Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN dynamiques avec pulse secure clients

Le VPN dynamique permet aux clients Pulse Secure d’établir des tunnels VPN IPsec vers les passerelles de services SRX sans configurer manuellement les paramètres VPN sur leurs PC. L’authentification utilisateur est prise en charge par un serveur RADIUS ou un pool d’adresses IP local.

Le logiciel client Pulse Secure peut être obtenu sur le site de téléchargement du logiciel Juniper Networks à l’adresse https://www.juniper.net/support/downloads/?p=pulse#sw.

Présentation du VPN dynamique

Les tunnels VPN permettent aux utilisateurs d’accéder en toute sécurité aux ressources telles que les serveurs de messagerie électronique et les serveurs d’applications qui se trouvent derrière un pare-feu. Les tunnels VPN de bout en bout sont particulièrement utiles aux utilisateurs distants, comme les télétravailleurs, car un tunnel unique permet d’accéder à toutes les ressources d’un réseau. Les utilisateurs n’ont pas besoin de configurer les paramètres d’accès individuels à chaque application et serveur. Voir Figure 1.

Figure 1 : Utilisation d’un tunnel VPN pour permettre l’accès distant à un réseau d’entreprise Utilisation d’un tunnel VPN pour permettre l’accès distant à un réseau d’entreprise

La fonctionnalité VPN dynamique est également connue sous le nom de client VPN d’accès distant ou VPN IPsec. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345, SRX380 et SRX550HM. Le logiciel client Pulse Secure est utilisé pour l’accès VPN. L’authentification utilisateur est prise en charge par un serveur RADIUS externe ou un pool d’adresses IP local configuré sur la passerelle SRX. Le client d’accès distant de couche 3 utilise les paramètres de configuration côté client qu’il reçoit de la passerelle SRX Series pour créer et gérer un tunnel VPN sécurisé de bout en site jusqu’à la passerelle.

Si plus de deux connexions utilisateur simultanées sont requises, une licence VPN dynamique doit être installée sur la passerelle SRX Series. Consultez le Guide d’installation et de mise à niveau des logiciels pour plus d’informations sur l’installation et la gestion des licences. Le nombre maximal de connexions utilisateur prises en charge dépend de l’équipement SRX Series.

La fonction VPN dynamique est désactivée par défaut sur l’équipement. Pour activer un VPN dynamique, vous devez configurer la fonctionnalité à l’aide de dynamic-vpn l’instruction de configuration au niveau de la hiérarchie [edit security].

Si vous avez mis à niveau vers Junos OS version 21.4R1 et versions ultérieures, notez les points suivants concernant l’utilisation de la fonctionnalité VPN dynamique :

  • Depuis la version 21.4R1 de Junos OS, nous avons obsolète la solution d’accès à distance VPN dynamique. Cela signifie que vous ne pouvez pas utiliser Pulse Secure Client sur les équipements SRX Series. Dans le cadre de ce changement, nous avons déprécié toutes les instructions et commandes CLI associées à Dynamic VPN existantes, notamment :
    • Options de configuration au [edit security dynamic-vpn] niveau de la hiérarchie.
    • Afficher et effacer les commandes au niveau hiérarchique [edit dynamic-vpn] .
  • La fonctionnalité VPN dynamique fonctionne si vous continuez à configurer dans la hiérarchie obsolète de Junos OS version 21.3R1 et antérieure. Dans l’interface de ligne de commande, vous pouvez configurer le VPN dynamique dans la hiérarchie dépréciée en mentionnant explicitement les options VPN dynamiques.
  • Vous pouvez également utiliser le client VPN d’accès distant Juniper Secure Connect que nous avons introduit dans Junos OS version 20.3R1. Juniper Secure Connect est un client VPN convivial qui prend en charge plus de fonctionnalités et de plates-formes que le VPN dynamique. SrX comprend deux utilisateurs simultanés intégrés sur tous les équipements SRX Series. Si vous avez besoin d’utilisateurs simultanés supplémentaires, contactez votre représentant Juniper Networks pour obtenir une licence d’accès distant. Pour en savoir plus sur les licences Juniper Secure Connect, consultez licences pour Juniper Secure Connect et Licences de gestion.

Comprendre la prise en charge de tunnels VPN dynamiques

Les tunnels VPN dynamiques sont configurés de la même manière que les tunnels VPN IPsec traditionnels. Cependant, toutes les options VPN IPsec ne sont pas prises en charge. Cette fonctionnalité est prise en charge sur les équipements SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550, SRX550HM et SRX650.

La liste suivante décrit les exigences et les options prises en charge lors de la configuration de tunnels VPN dynamiques :

  • Seuls les VPN basés sur des stratégies sont pris en charge. Les VPN basés sur le routage ne sont pas pris en charge avec les tunnels VPN dynamiques. Les protocoles de routage ne sont pas pris en charge.

  • Seul l’IKEv1 est pris en charge. IKEv2 n’est pas pris en charge.

  • Seuls le trafic IPv4 et les tunnels IPv4-in-IPv4 sont pris en charge. Le trafic et les tunnels IPv6 ne sont pas pris en charge.

  • Seules les clés pré-partagées sont prises en charge pour l’authentification. PKI n’est pas pris en charge.

  • Le mode agressif est pris en charge pour les échanges IKE de phase 1. Le mode principal n’est pas pris en charge.

  • Le trafic VPN ne peut être initié qu’à partir du client distant. Le trafic VPN initié à partir de la passerelle SRX n’est pas pris en charge.

  • La détection des pairs morts (DPD) est prise en charge. La surveillance VPN n’est pas prise en charge.

  • L’authentification étendue (XAuth) avec configuration en mode est prise en charge.

  • L’authentification est prise en charge à partir d’un profil local. Des attributs peuvent être fournis à partir d’un pool d’adresses local. Un serveur RADIUS peut fournir l’authentification et les attributs.

  • Les clusters de châssis sont pris en charge.

  • NAT-T est pris en charge.

  • IKE dans les routeurs virtuels ou dans les instances de routage et de transfert virtuels est pris en charge.

  • AutoVPN n’est pas pris en charge.

  • L’insertion automatique de route (ARI) n’est pas prise en charge.

  • Les droits d’administrateur sont requis pour installer le logiciel client Pulse, les droits d’administrateur sont requis.

  • Les utilisateurs doivent ré-authentification pendant les clés de re-clés IKE de phase 1. L’heure de la clé en main est configurable.

Les ID IKE partagés ou de groupe peuvent être utilisés pour configurer un VPN unique partagé par tous les clients distants. Lorsqu’un seul VPN est partagé, le nombre total de connexions simultanées à la passerelle ne peut pas être supérieur au nombre de licences VPN dynamiques installées. Lors de la configuration d’une passerelle IKE ID partagée ou de groupe, vous pouvez configurer un nombre maximal de connexions supérieur au nombre de licences VPN dynamiques installées. Toutefois, si une nouvelle connexion dépasse le nombre de connexions sous licence, celle-ci sera refusée. Vous pouvez afficher les informations de licence VPN dynamiques à l’aide de la show system license usage commande.

Comprendre l’accès des clients distants au VPN

Un déploiement VPN dynamique commun consiste à fournir un accès VPN aux clients distants connectés via un réseau public tel qu’Internet. L’accès IPsec est fourni par le biais d’une passerelle sur l’équipement Juniper Networks. Le logiciel client Pulse Secure est utilisé pour l’accès VPN. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Le logiciel client Pulse Secure peut être obtenu sur le site de téléchargement du logiciel Juniper Networks à l’adresse https://www.juniper.net/support/downloads/?p=pulse#sw.

Les éléments suivants décrivent le processus d’accès au VPN d’un client distant Pulse Secure :

Pour obtenir des instructions détaillées sur la connexion du programme client distant à l’équipement SRX Series, voir KB17641. Consultez également la documentation sur Pulse Secure pour obtenir des informations client actuelles.

  1. L’utilisateur télécharge et installe le logiciel client Pulse Secure sur son équipement.

  2. L’utilisateur lance le programme client distant Pulse Secure.

    Dans le programme client distant Pulse Secure, l’utilisateur effectue les opérations suivantes :

    1. Cliquez sur Add connection.

    2. Pour Type, sélectionnez Firewall (SRX).

    3. Pour Nom, saisissez le nom d’hôte de la passerelle SRX.

      Sur l’équipement SRX Series, ce nom d’hôte est configuré avec la set security ike gateway gateway-name dynamic hostname hostname commande. L’administrateur SRX doit fournir le nom d’hôte aux utilisateurs distants.

    4. Pour le nom de l’URL du serveur, saisissez l’adresse IP de la passerelle SRX.

      Sur l’équipement SRX Series, cette adresse IP est l’adresse IP de la external-interface commande configurée set security ike gateway gateway-name . L’administrateur SRX doit fournir l’adresse IP aux utilisateurs distants.

  3. Cliquez sur Add, puis cliquez sur Connect. Le programme client distant Pulse Secure se connecte à la gamme SRX Series à l’aide de HTTPS.

  4. Saisissez vos nom d’utilisateur et mot de passe lorsque vous y êtes invité. Les informations de configuration sont téléchargées depuis l’équipement SRX Series vers le client distant afin de permettre au client d’établir un IKE SA avec l’équipement SRX Series.

  5. Si vous accédez pour la première fois à un VPN dynamique, saisissez à nouveau vos données d’identification utilisateur pour établir un SA IPsec. Une adresse IP est attribuée au client distant à partir d’un pool d’adresses local ou à partir d’un serveur RADIUS externe.

    Les informations d’identification utilisateur que vous saisissez à l’étape 4 permettent de télécharger la configuration sur le client distant et d’établir un certificat IKE SA entre le client et l’équipement SRX Series. Les données d’identification de l’utilisateur saisies dans cette étape sont utilisées pour établir un SA IPsec. Les données d’identification utilisateur peuvent être identiques ou différentes, en fonction de la configuration de l’équipement SRX Series.

  6. Une fois l’authentification et l’attribution de l’adresse réussies, un tunnel est établi.

Ensembles de proposition VPN dynamiques

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. La configuration de propositions personnalisées d’IKE (Internet Key Exchange) et de sécurité IP (IPsec) pour les stratégies IKE et IPsec peut s’avérer fastidieuse et chronophage lorsqu’il existe de nombreux clients VPN dynamiques . L’administrateur peut sélectionner des ensembles de proposition de base, compatibles ou standard pour les clients VPN dynamiques. Chaque ensemble de propositions se compose d’au moins deux propositions prédéfinies. Le serveur sélectionne une proposition prédéfinie dans l’ensemble et la transmet au client dans la configuration du client. Le client utilise cette proposition dans le cadre de négociations avec le serveur pour établir la connexion.

Les valeurs par défaut pour la re-clé en main IKE et IPsec Security Association (SA) sont les suivantes :

  • Pour les SAS IKE, le délai d’expiration de la clé en main est de 28 800 secondes.

  • Pour les SAS IPsec, le délai d’expiration de la clé en main est de 3 600 secondes.

Étant donné que la configuration de l’ensemble de propositions ne permet pas la configuration du délai d’expiration de la clé en main, ces valeurs sont incluses dans la configuration du client qui est envoyée au client au moment du téléchargement du client.

Les cas d’utilisation de base pour les propositions sont les suivants :

  • IKE et IPsec utilisent tous deux des ensembles de proposition.

    Le serveur sélectionne une proposition prédéfinie dans l’ensemble de propositions et l’envoie au client, ainsi que la valeur de délai d’expiration de la nouvelle clé par défaut.

  • IKE utilise un ensemble de propositions et IPsec utilise une proposition personnalisée.

    Le serveur envoie au client une proposition IKE prédéfinie à partir de la proposition IKE configurée, ainsi que la valeur de délai d’expiration de la re-clé par défaut. Pour IPsec, le serveur envoie le paramètre configuré dans la proposition IPsec.

  • IKE utilise une proposition personnalisée et IPsec utilise un ensemble de propositions.

    Le serveur envoie au client une proposition IPsec prédéfinie de la proposition IPsec configurée, ainsi que la valeur de délai d’expiration de la nouvelle clé par défaut. Pour IKE, le serveur envoie le paramètre configuré dans la proposition IKE.

Si IPsec utilise un ensemble de propositions standard et que le secret de transfert parfait (PFS) n’est pas configuré, alors le secret de transfert parfait (PFS) par défaut est group2. Pour les autres ensembles de propositions, le PFS ne sera pas défini, car il n’est pas configuré. De plus, pour l’ensemble de propositions IPsec, la configuration de la group stratégie perfect-forward-secrecy keys ipsec remplace le paramètre de groupe Diffie-Hellman (DH) dans les jeux de propositions.

Comme le client accepte une seule proposition pour négocier l’établissement d’un tunnel avec le serveur, le serveur sélectionne en interne une proposition parmi l’ensemble de propositions à envoyer au client. La proposition sélectionnée pour chaque ensemble est répertoriée comme suit :

Pour IKE

  • Niveau sec de base : clé pré-partagée, g1, des, sha1

  • Compatible au niveau sec : clé pré-partagée, g2, 3des, sha1

  • Norme sec : clé pré-partagée, g2, aes128, sha1

Pour IPsec

  • Niveau sec de base : esp, pas de pfs (si non configuré) ou groupx (si configuré), des, sha1

  • Compatible au niveau sec : esp, pas de pfs (si non configuré) ou groupx (si configuré), 3des, sha1

  • Norme sec : g2 (si non configuré) ou groupx (si configuré), aes128, sha1

Présentation de la configuration dynamique des VPN

Le VPN dynamique vous permet de fournir aux utilisateurs distants un accès IPsec à une passerelle sur un équipement Juniper Networks. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Il existe deux cas à prendre en compte lors de la configuration d’un VPN dynamique :

  • Lorsque les utilisateurs sont configurés localement, ils sont configurés au niveau de la hiérarchie [edit access profile profile-name client client-name] et organisés en groupes d’utilisateurs à l’aide de l’option client-group de configuration.

  • Les utilisateurs peuvent être configurés sur un serveur d’authentification externe, tel qu’un serveur RADIUS. Les utilisateurs configurés sur un serveur d’authentification externe n’ont pas besoin d’être configurés au niveau de la hiérarchie [edit access profile profile-name].

Pour les utilisateurs configurés localement, le groupe d’utilisateurs doit être spécifié dans la configuration VPN dynamique afin qu’un utilisateur puisse être associé à une configuration client. Vous spécifiez un groupe d’utilisateurs avec l’option user-groups au niveau de la hiérarchie [edit security dynamic-vpn clients configuration-name].

Lorsqu’un utilisateur est authentifié, le groupe d’utilisateurs est inclus dans la réponse d’authentification. Ces informations sont extraites et les groupes d’utilisateurs configurés au niveau de la hiérarchie [edit security dynamic-vpn clients configuration-name] sont cherchés afin de déterminer la configuration du client à récupérer et à retourner au client pour l’établissement d’un tunnel.

Si un utilisateur est associé à plusieurs groupes d’utilisateurs, la première configuration de groupe d’utilisateurs correspondant est utilisée. Si un utilisateur crée une deuxième connexion, la prochaine configuration de groupe d’utilisateurs correspondant est utilisée. Les connexions utilisateur suivantes utilisent la configuration de groupe d’utilisateurs correspondant jusqu’à ce qu’il n’y a plus de configurations équivalentes.

La procédure suivante répertorie les tâches de configuration d’un VPN dynamique.

  1. Configurez l’authentification et l’attribution de l’adresse pour les clients distants :

    1. Configurez un profil XAuth pour authentifier les utilisateurs et attribuer des adresses. Il est possible d’utiliser une authentification locale ou un serveur RADIUS externe. Utilisez l’instruction profile de configuration au niveau de la hiérarchie [edit access] pour configurer le profil XAuth.

    2. Attribuez des adresses IP à partir d’un pool d’adresses locales si l’authentification locale est utilisée. Utilisez l’instruction address-assignment pool de configuration au niveau de la hiérarchie [edit access]. Un sous-réseau ou une plage d’adresses IP peuvent être spécifiés. Les adresses IP des serveurs DNS et WINS peuvent également être spécifiées.

  2. Configurer le tunnel VPN :

    1. Configurez la stratégie IKE. Le mode doit être agressif. Des ensembles de proposition basiques, compatibles ou standard peuvent être utilisés. Seules les clés pré-partagées sont prises en charge pour l’authentification de phase 1. Utilisez l’instruction policy de configuration au niveau de la hiérarchie [edit security ike].

    2. Configurez la passerelle IKE. Il est possible d’utiliser des ID IKE partagés ou de groupe. Vous pouvez configurer le nombre maximum de connexions simultanées à la passerelle. Utilisez l’instruction gateway de configuration au niveau de la hiérarchie [edit security ike].

    3. Configurez le VPN IPsec. Des ensembles de proposition de base, compatibles ou standard peuvent être spécifiés avec l’instruction policy de configuration au niveau de la hiérarchie [edit security ipsec]. Utilisez l’instruction vpn de configuration au niveau de la hiérarchie [edit security ipsec] pour configurer la passerelle et la stratégie IPsec.

      Une vérification de la configuration peut être effectuée pour vérifier que tous les paramètres IKE et IPsec nécessaires au VPN dynamique sont correctement configurés. Si la configuration n’est pas valide pour IKE ou IPsec, un message d’erreur s’affiche. Vous activez le contrôle de configuration à l’aide de la set security dynamic-vpn config-check commande.

    4. Configurez une stratégie de sécurité pour autoriser le trafic des clients distants vers la passerelle IKE. Utilisez l’instruction policy de configuration au niveau de la hiérarchie [edit security policies from-zone zone to-zone zone].

      Configurez la stratégie de sécurité en fonction des critères source-address anyde correspondance , destination-address anyet application any de l’action permit tunnel ipsec-vpn avec le nom du tunnel VPN dynamique. Placez cette politique à la fin de la liste.

    5. Configurez le trafic entrant de l’hôte pour qu’il autorise le trafic spécifique à atteindre l’équipement à partir des systèmes connectés à ses interfaces. Par exemple, le trafic IKE et HTTPS doit être autorisé. Découvrez comment contrôler le trafic entrant en fonction des types de trafic.

    6. (Facultatif) Si le pool d’adresses client appartient à un sous-réseau qui est directement connecté à l’équipement, il doit répondre aux requêtes ARP aux adresses du pool provenant d’autres équipements de la même zone. Utilisez l’instruction proxy-arp de configuration au niveau de la hiérarchie [edit security nat]. Indiquez l’interface qui connecte directement le sous-réseau à l’équipement et les adresses du pool.

  3. Associer le VPN dynamique aux clients distants :

    1. Indiquez le profil d’accès à utiliser avec un VPN dynamique. Utilisez l’instruction access-profile de configuration au niveau de la hiérarchie [edit security dynamic-vpn].

    2. Configurez les clients qui peuvent utiliser le VPN dynamique. Indiquez les ressources protégées (le trafic de la ressource protégée passe par le tunnel VPN dynamique spécifié et est donc protégé par les stratégies de sécurité du pare-feu) ou les exceptions à la liste des ressources protégées (le trafic qui ne passe pas par le tunnel VPN dynamique et est envoyé en clair). Ces options contrôlent les routes transmises au client lorsque le tunnel est opérationnel, contrôlant ainsi le trafic envoyé par le tunnel. Utilisez l’instruction clients de configuration au niveau de la hiérarchie [edit security dynamic-vpn].

  4. Pour consigner des messages VPN dynamiques, configurez l’instruction traceoptions au niveau de la hiérarchie [edit security dynamic-vpn].

Comprendre l’authentification locale et l’attribution d’adresses

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. Une application cliente peut demander une adresse IP pour le compte d’un client. Cette demande est faite en même temps que la demande d’authentification du client. Une fois l’authentification du client réussie, une adresse IP peut être attribuée au client à partir d’un pool d’adresses prédéfini ou une adresse IP spécifique peut être attribuée. D’autres attributs, tels que les adresses IP de serveur WINS ou DNS, peuvent également être fournis au client.

Les pools d’adresses sont définis avec pool l’instruction de configuration au niveau de la hiérarchie [edit access address-assignment]. Une définition de pool d’adresses contient des informations réseau (adresse IP avec netmask en option), des définitions de plages facultatives et des attributs DHCP ou XAuth pouvant être renvoyés au client. Si toutes les adresses d’un pool sont attribuées, une nouvelle demande d’adresse client échouera même si le client est authentifié.

Les profils d’accès sont définis à l’aide de l’instruction profile de configuration au niveau de la hiérarchie [edit access]. Un pool d’adresses défini peut être référencé dans une configuration de profil d’accès.

Vous pouvez également lier une adresse IP spécifique à un client dans un profil d’accès avec l’option xauth ip-address address . L’adresse IP doit se retrouver dans la plage d’adresses spécifiée dans le pool d’adresses. Elle doit également être différente de l’adresse IP spécifiée avec l’instruction host de configuration au niveau de la hiérarchie [edit access profile address-assignment pool pool-name family inet]. Pour toute application, si une adresse IP a été attribuée, elle ne sera pas réassignée tant qu’elle n’a pas été publiée.

Comprendre les ID IKE partagés et de groupe

Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM. Avec un VPN dynamique, un ID IKE (Internet Key Exchange) unique est utilisé pour chaque connexion utilisateur. Lorsqu’un grand nombre d’utilisateurs doivent accéder au VPN, la configuration d’une passerelle IKE individuelle, d’un VPN IPsec et d’une stratégie de sécurité pour chaque utilisateur peut s’avérer fastidieuse. Les fonctionnalités groupées IKE ID et IKE ID partagées permettent à un certain nombre d’utilisateurs de partager une configuration de passerelle IKE, réduisant ainsi le nombre de configurations VPN requises.

Nous vous recommandons de configurer les ID IKE de groupe pour les déploiements VPN dynamiques, car les ID IKE de groupe fournissent une clé pré-partagée unique et un ID IKE pour chaque utilisateur.

Cette rubrique comprend les sections suivantes :

ID IKE de groupe

Lorsque les ID IKE de groupe sont configurés, l’ID IKE de chaque utilisateur est une concaténation d’une partie spécifique à l’utilisateur et d’une partie commune à tous les utilisateurs IKE ID de groupe. Par exemple, l’utilisateur Bob peut utiliser « Bob.example.net » comme id IKE complet, où « example.net » est commun à tous les utilisateurs. L’id IKE complet permet d’identifier de manière unique chaque connexion utilisateur.

Bien que les ID IKE de groupe n’aient pas besoin de XAuth, XAuth est requis par le VPN dynamique pour récupérer des attributs réseau tels que les adresses IP client. Un avertissement s’affiche si XAuth n’est pas configuré pour un VPN dynamique qui utilise des ID IKE de groupe.

Nous recommandons aux utilisateurs d’utiliser les mêmes données d’identification pour l’authentification WebAuth et XAuth lorsque les ID IKE de groupe sont configurés.

Plusieurs utilisateurs peuvent utiliser le même IKE ID de groupe, mais un seul utilisateur ne peut pas utiliser le même IKE ID de groupe pour différentes connexions. Si un utilisateur doit disposer de connexions de différents clients distants, il doit avoir configuré différents ID IKE de groupe, un pour chaque connexion. Si un utilisateur dispose d’un seul id IKE de groupe configuré et tente une seconde connexion à partir d’un autre PC, la première connexion sera interrompue pour permettre la seconde connexion.

Pour configurer un ID IKE de groupe :

  • Configurez ike-user-type group-ike-id au niveau [] de laedit security ike gateway gateway-name dynamic hiérarchie.

  • Configurez hostname l’instruction de configuration au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic]. Cette configuration est la partie courante de l’id IKE complet pour tous les utilisateurs.

  • Configurez l’instruction pre-shared-key de configuration au niveau de la hiérarchie [edit security ike policy policy-name]. La clé prépartage configurée est utilisée pour générer la clé réelle pré-partagée.

ID IKE partagés

Lorsqu’un ID IKE partagé est configuré, tous les utilisateurs partagent un id IKE unique et une seule clé IKE pré-partagée. Chaque utilisateur est authentifié via la phase XAuth obligatoire, au cours de laquelle les informations d’identification des utilisateurs individuels sont vérifiées soit via un serveur RADIUS externe, soit via une base de données d’accès locale. XAuth est requis pour les ID IKE partagés.

Le nom d’utilisateur XAuth et l’ID IKE partagé configuré permettent de distinguer les différentes connexions utilisateur. Le nom d’utilisateur étant utilisé pour identifier chaque connexion utilisateur, le nom d’utilisateur WebAuth et le nom d’utilisateur XAuth doivent être les mêmes.

Plusieurs utilisateurs peuvent utiliser le même id IKE partagé, mais un seul utilisateur ne peut pas utiliser le même id IKE partagé pour différentes connexions. Si un utilisateur a besoin de connexions provenant de différents clients distants, il doit avoir configuré différents ID IKE partagés, un pour chaque connexion. Si un utilisateur dispose d’un seul ID IKE partagé configuré et tente une seconde connexion à partir d’un autre client, la première connexion sera interrompue pour permettre la seconde connexion. En outre, le nom d’utilisateur étant nécessaire pour identifier chaque connexion utilisateur avec l’ID IKE, l’utilisateur doit utiliser les mêmes données d’identification pour l’authentification WebAuth et XAuth.

Pour configurer un ID IKE partagé :

  • Configurez ike-user-type shared-ike-id au niveau [] de laedit security ike gateway gateway-name dynamic hiérarchie.

  • Configurez l’instruction hostname de configuration au niveau de la hiérarchie [edit security ike gateway gateway-name dynamic]. Le nom d’hôte configuré est partagé par tous les utilisateurs configurés dans le profil d’accès VPN dynamique.

  • Configurez l’instruction pre-shared-key de configuration au niveau de la hiérarchie [edit security ike policy policy-name]. La clé pré-partagée configurée est partagée par tous les utilisateurs configurés dans le profil d’accès VPN dynamique.

Exemple : Configuration du VPN dynamique

Cet exemple montre comment configurer un VPN dynamique sur un équipement Juniper Networks afin de fournir un accès VPN aux clients distants. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Conditions préalables

Avant de commencer :

  1. Configurez les interfaces réseau sur l’équipement. Voir Interfaces User Guide for Security Devices.

  2. Créez des zones de sécurité et attribuez-leur des interfaces. Voir « Understanding Security Zones » (Comprendre les zones de sécurité) à la page 111.

  3. S’il y a plus de deux connexions utilisateur simultanées, installez une licence VPN dynamique sur l’équipement. Consultez le guide d’installation et de mise à niveau des logiciels.

Présentation

Un scénario de déploiement courant d’un VPN dynamique consiste à fournir un accès VPN aux clients distants connectés via un réseau public tel qu’Internet. Une adresse IP publique est attribuée à l’une des interfaces de la passerelle; cette interface fait normalement partie de la zone non sécurisée. Une fois le logiciel client installé, l’utilisateur distant peut accéder au VPN en se connectant au portail Web ou en lançant directement le client. Dans les deux cas, le client distant s’authentifie à l’aide de l’équipement SRX Series et télécharge la dernière configuration disponible.

Figure 2 illustre cette topologie de déploiement. L’interface ge-0/0/15.0 de l’équipement SRX Series est le point de terminaison du tunnel VPN dynamique. Les clients distants dans la zone non sécurisée accèdent à l’interface ge-0/0/15.0 via un client Pulse Secure.

Figure 2 : Topologie de déploiement VPN dynamiqueTopologie de déploiement VPN dynamique

Dans cet exemple, l’authentification du client XAuth est effectuée localement et des adresses IP client sont attribuées à partir d’un pool d’adresses configuré sur l’équipement SRX Series. Voir Tableau 1.

Ensuite, des ensembles de propositions standard sont utilisés pour les négociations IKE et IPsec. Pour les tunnels VPN dynamiques, le mode agressif doit être configuré et seules les clés pré-partagées sont prises en charge pour l’authentification de phase 1. Un id IKE de groupe est utilisé et le nombre maximum de connexions est défini sur 10. Étant donné que les VPN dynamiques doivent être basés sur des stratégies, une stratégie de sécurité doit être configurée pour transférer le trafic vers le tunnel. Le trafic IKE et HTTPS doit être autorisé pour le trafic entrant de l’hôte.Voir Tableau 2.

Enfin, le profil XAuth configuré pour les clients distants est spécifié pour le VPN dynamique. Les utilisateurs distants sont associés au VPN IPsec configuré. Les ressources protégées à distance (adresses de destination du trafic toujours envoyées via le tunnel) et les exceptions à distance (adresses de destination du trafic envoyées en clair plutôt qu’via le tunnel) sont également configurées. Voir Tableau 3.

Tableau 1 : Authentification client à distance et configuration de l’attribution des adresses

Fonctionnalité

Nom

Paramètres de configuration

Pool d’adresses IP

pool d’adresses dyn-vpn

  • Adresses: 10.10.10.0/24

  • Adresse du serveur DNS : 192.0.2.1/32.

Profil XAuth

profil dyn-vpn-access

  • Nom d’utilisateur du client distant : 'client1' avec mot de passe $ABC 123

  • Nom d’utilisateur du client distant : 'client2' avec mot de passe $ABC 456

  • Référence du pool d’adresses IP : pool d’adresses dyn-vpn

  • Ce profil est le profil par défaut pour l’authentification Web.

Tableau 2 : Paramètres de configuration d’un tunnel VPN

Fonctionnalité

Nom

Paramètres de configuration

Politique IKE (phase 1)

ike-dyn-vpn-policy

  • Mode: Agressif

  • Ensemble de propositions : Standard

  • Clé pré-partagée : (ASCII) $ABC 789

Passerelle IKE (phase 1)

dyn-vpn-local-gw

  • Référence de stratégie IKE : ike-dyn-vpn-policy

  • Nom d’hôte dynamique : dynvpn

  • Type d’utilisateur IKE : ID IKE de groupe

  • Nombre maximum de connexions simultanées : 10

  • Interface externe : ge-0/0/15.0

  • Référence du profil d’accès : profil dyn-vpn-access

Stratégie IPsec (phase 2)

ipsec-dyn-vpn-policy

Ensemble de propositions : Standard

VPN IPsec (phase 2)

dyn-vpn

  • Référence de la passerelle IKE : dyn-vpn-local-gw

  • Référence de la stratégie IPsec : ipsec-dyn-vpn-policy

Stratégie de sécurité (permet le trafic de la zone non sécurisée vers la zone de confiance)

stratégie dyn-vpn

  • Critères de correspondance :

    • adresse source n’importe quel

    • adresse de destination n’importe quel

    • application n’importe quelle

  • Autoriser l’action : tunnel ipsec-vpn dyn-vpn

Trafic entrant de l’hôte

Autoriser les types de trafic suivants vers l’interface ge-0/0/15.0 dans la zone non sécurisée :

  • IKE

  • HTTPS

  • Ping

Tableau 3 : Configuration VPN dynamique pour les clients distants

Fonctionnalité

Nom

Paramètres de configuration

Profil d’accès pour les clients distants

Référence du profil d’accès : profil dyn-vpn-access

Clients distants

Tous

  • Référence VPN IPsec : dyn-vpn

  • Référence du nom d’utilisateur : client1 et client2

  • Ressources protégées à distance : 10.0.0.0/8

  • Exceptions à distance : 0.0.0.0/0

Configuration

Configuration de l’authentification des utilisateurs distants et de l’attribution des adresses

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer l’authentification des utilisateurs distants et l’attribution de l’adresse :

  1. Créez le pool d’attribution d’adresses.

  2. Configurez le profil XAuth.

  3. Configurez l’authentification Web à l’aide du profil XAuth.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show access commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du tunnel VPN

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le tunnel VPN :

  1. Configurez la stratégie IKE.

  2. Configurez la passerelle IKE.

  3. Configurez IPsec.

  4. Configurez la stratégie de sécurité.

  5. Configurez le trafic entrant de l’hôte.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show security ikecommandes , show security ipsecet show security policiesshow security zones . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Associer le VPN dynamique aux clients distants

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour associer le VPN dynamique aux clients distants :

  1. Indiquez le profil d’accès à utiliser avec un VPN dynamique.

  2. Configurez les clients qui peuvent utiliser le VPN dynamique.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show security dynamic-vpn commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Les tunnels VPN dynamiques peuvent être surveillés à l’aide des mêmes commandes que celles utilisées pour surveiller les tunnels VPN IPsec traditionnels. Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de l’état de la phase 1 de l’IKE

But

Vérifiez l’état IKE phase 1 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ike security-associations commande.

Vérification des clients connectés et des adresses attribuées

But

Vérifiez que les clients distants et les adresses IP qui leur sont attribuées utilisent XAuth.

Action

Dans le mode opérationnel, saisissez la show security ike active-peer commande.

Vérification de l’état de la phase 2 de l’IPsec

But

Vérifiez l’état IPsec de la phase 2 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ipsec security-associations commande.

Vérification des connexions et paramètres simultanés pour chaque utilisateur

But

Vérifiez le nombre de connexions simultanées et les paramètres négociés pour chaque utilisateur.

Action

Dans le mode opérationnel, saisissez la show security dynamic-vpn users commande.

Exemple : Configuration de l’authentification locale et du pool d’adresses

Cet exemple montre comment créer un pool d’adresses et comment attribuer des adresses IP client dans un profil d’accès. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Conditions préalables

Avant de commencer, configurez les serveurs DNS et WINS primaires et secondaires et attribuez-leur des adresses IP.

Présentation

Cet exemple crée un pool xauth1 d’adresses constitué des adresses IP du sous-réseau 192.0.2.0/24. Le xauth1 pool attribue également des adresses IP aux serveurs DNS et WINS primaires et secondaires.

Le profil d’accès dvpn-auth fait référence au pool xauth1. Le dvpn-auth profil d’accès configure deux clients :

  • Jason: L’adresse IP 192.0.2.1 est liée à ce client. Une fois l’authentification réussie, l’adresse IP 192.0.2.1 est attribuée au client. Si le client se reconnecte avant de se déconnecter, une adresse IP du pool xauth1 est attribuée au client.

  • Jacky: Une fois l’authentification réussie, une adresse IP du pool xauth1 est attribuée au client.

En outre, le profil d’accès spécifie que l’authentification par mot de passe est utilisée pour vérifier les clients lors de la dvpn-auth connexion. Des méthodes d’authentification supplémentaires peuvent être spécifiées; le logiciel essaie les méthodes d’authentification afin, du premier au dernier, de chaque tentative de connexion client.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer un pool d’adresses et un profil d’accès qui utilise le pool d’adresses :

  1. Créez le pool d’adresses.

  2. Configurez le profil d’accès.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show access commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de l’attribution des adresses

But

Vérifier l’attribution de l’adresse. Pour XAuth, l’adresse matérielle est toujours affichée sous la forme NA. Si une adresse IP statique est attribuée à un utilisateur spécifique, le nom d’utilisateur et le nom de profil (au format user@profile) s’affichent dans la colonne « Hôte/Utilisateur ». Si une adresse IP du pool est attribuée à un client, le nom d’utilisateur s’affiche ; si le nom d’utilisateur n’existe pas, le nom d’utilisateur est affiché. Pour les autres applications (par exemple, DHCP), le nom de l’hôte s’affiche s’il est configuré ; si le nom de l’hôte n’est pas configuré, le nom NA s’affiche.

Action

Dans le mode opérationnel, saisissez la show network-access address-assignment pool commande.

Exemple : Configuration d’un ID IKE de groupe pour plusieurs utilisateurs

Cet exemple montre comment configurer un ID IKE de groupe utilisé par plusieurs utilisateurs. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Conditions préalables

Avant de commencer :

Présentation

Dans cet exemple, vous configurez deux utilisateurs VPN dynamiques distants qui utilisent un id IKE unique et une seule clé pré-partagée IKE (voir Tableau 4 et Tableau 5). Un serveur RADIUS externe est utilisé pour authentifier les utilisateurs et attribuer des adresses IP aux clients (voir Tableau 6).

Tableau 4 : Paramètres de configuration des tunnels VPN IKE ID de groupe

Fonctionnalité

Nom

Paramètres de configuration

Politique IKE (phase 1)

clientpol-group

  • Mode: Agressif

  • Ensemble de propositions : Compatible

  • Clé pré-partagée : (ASCII) pour tout le monde dans le profil d’accès

Passerelle IKE (phase 1)

groupgw

  • Référence de stratégie IKE : clientpol-group

  • Nom d’hôte dynamique : example.net

  • Type d’utilisateur IKE : ID IKE de groupe

  • Nombre maximum de connexions simultanées : 50

  • Interface externe : ge-0/0/0.0

  • Référence du profil d’accès : profil radius

Stratégie IPsec (phase 2)

client1vpnPol

Ensemble de propositions : Compatible

VPN IPsec (phase 2)

groupvpn

  • Référence de la passerelle IKE : groupgw

  • Référence de la stratégie IPsec : client1vpnPol

Stratégie de sécurité (permet le trafic de la zone non sécurisée vers la zone de confiance)

stratégie de groupe sec

  • Critères de correspondance :

    • adresse source n’importe quel

    • adresse de destination n’importe quel

    • application n’importe quelle

  • Autoriser l’action : tunnel ipsec-vpn groupvpn

Trafic entrant de l’hôte

Autoriser les types de trafic suivants vers l’interface ge-0/0/0.0 dans la zone non sécurisée :

  • IKE

  • HTTPS

  • Ping

  • SSH

Tableau 5 : Configuration VPN dynamique IKE ID de groupe pour les clients distants

Fonctionnalité

Nom

Paramètres de configuration

Profil d’accès pour les clients distants

Référence du profil d’accès : profil radius

Clients distants

groupcfg

  • Référence VPN IPsec : groupvpn

  • Référence du nom d’utilisateur : derek et chris

  • Ressources protégées à distance : 10.100.100.0/24

  • Exceptions à distance : 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tableau 6 : Authentification des utilisateurs du serveur RADIUS (ID IKE de groupe)

Fonctionnalité

Nom

Paramètres de configuration

Profil XAuth

profil radius

  • RADIUS est la méthode d’authentification utilisée pour vérifier les informations d’identification de l’utilisateur.

  • L’adresse IP du serveur RADIUS est 10.100.100.250 et le mot de passe est « $ABC 123 ».

  • Ce profil est le profil par défaut de l’authentification Web.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer un ID IKE de groupe pour plusieurs utilisateurs :

  1. Configurez le profil XAuth.

  2. Configurez la stratégie IKE.

  3. Configurez la passerelle IKE.

  4. Configurez IPsec.

  5. Configurez la stratégie de sécurité.

  6. Configurez le trafic entrant de l’hôte.

  7. Indiquez le profil d’accès à utiliser avec un VPN dynamique.

  8. Configurez les clients qui peuvent utiliser le VPN dynamique.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security ikecommandes , show security ipsec, show security policiesshow security zoneset show security dynamic-vpn . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Les tunnels VPN dynamiques peuvent être surveillés à l’aide des mêmes commandes que celles utilisées pour surveiller les tunnels VPN IPsec traditionnels. Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de l’état de la phase 1 de l’IKE

But

Vérifiez l’état IKE phase 1 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ike security-associations commande.

Vérification des clients connectés et des adresses attribuées

But

Vérifiez que les clients distants et les adresses IP qui leur sont attribuées utilisent XAuth.

Action

Dans le mode opérationnel, saisissez la show security ike active-peer commande.

Vérification de l’état de la phase 2 de l’IPsec

But

Vérifiez l’état IPsec de la phase 2 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ipsec security-associations commande.

Vérification des connexions et paramètres simultanés pour chaque utilisateur

But

Vérifiez le nombre de connexions simultanées et les paramètres négociés pour chaque utilisateur.

Action

Dans le mode opérationnel, saisissez la show security dynamic-vpn users commande.

Exemple : Configuration d’ID IKE individuels pour plusieurs utilisateurs

Cet exemple montre comment configurer des ID IKE individuels pour plusieurs utilisateurs. Cette fonctionnalité est prise en charge sur les équipements SRX300, SRX320, SRX340, SRX345 et SRX550HM.

Lorsqu’un grand nombre d’utilisateurs doivent accéder au VPN, la configuration d’une passerelle IKE individuelle, d’un VPN IPsec et d’une stratégie de sécurité pour chaque utilisateur peut s’avérer fastidieuse. La fonctionnalité IKE ID de groupe permet à un certain nombre d’utilisateurs de partager une configuration de passerelle IKE, réduisant ainsi le nombre de configurations VPN requises.

Conditions préalables

Avant de commencer :

Présentation

L’exemple suivant illustre la configuration de deux utilisateurs VPN dynamiques distants. Pour chaque utilisateur, une stratégie et une passerelle IKE, une stratégie IPsec et un VPN, ainsi qu’une stratégie de sécurité doivent être configurées (voir Tableau 7 et Tableau 8). Un serveur RADIUS externe est utilisé pour authentifier les utilisateurs et attribuer des adresses IP aux clients (voir Tableau 9).

Tableau 7 : Paramètres de configuration du client 1

Fonctionnalité

Nom

Paramètres de configuration

Politique IKE (phase 1)

client1pol

  • Mode: Agressif

  • Ensemble de propositions : Compatible

  • Clé pré-partagée : (ASCII) pour client1

Passerelle IKE (phase 1)

client1gw

  • Référence de stratégie IKE : client1pol

  • Nom d’hôte dynamique : example.net

  • Interface externe : ge-0/0/0.0

  • Référence du profil d’accès : profil radius

Stratégie IPsec (phase 2)

client1vpnPol

Ensemble de propositions : Compatible

VPN IPsec (phase 2)

client1vpn

  • Référence de la passerelle IKE : client1 gw

  • Référence de la stratégie IPsec : client1vpnPol

Stratégie de sécurité (permet le trafic de la zone non sécurisée vers la zone de confiance)

client1-policy

  • Critères de correspondance :

    • adresse source n’importe quel

    • adresse de destination n’importe quel

    • application n’importe quelle

  • Autoriser l’action : tunnel ipsec-vpn client1vpn

Trafic entrant de l’hôte

Autoriser les types de trafic suivants vers l’interface ge-0/0/0.0 dans la zone non sécurisée :

  • IKE

  • HTTPS

  • Ping

  • SSH

Profil d’accès pour les clients distants

Référence du profil d’accès : profil radius

Clients distants

cfg1

  • Référence VPN IPsec : client1vpn

  • Référence du nom d’utilisateur : Derek

  • Ressources protégées à distance : 10.100.100.0/24

  • Exceptions à distance : 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

Tableau 8 : Paramètres de configuration du client 2

Fonctionnalité

Nom

Paramètres de configuration

Politique IKE (phase 1)

client2pol

  • Mode: Agressif

  • Ensemble de propositions : Compatible

  • Clé pré-partagée : (ASCII) pour client2

Passerelle IKE (phase 1)

client2gw

  • Référence de stratégie IKE : client2pol

  • Nom d’hôte dynamique : example.net

  • Interface externe : ge-0/0/0.0

  • Référence du profil d’accès : profil radius

Stratégie IPsec (phase 2)

client2vpnPol

Ensemble de propositions : Compatible

VPN IPsec (phase 2)

client2vpn

  • Référence de la passerelle IKE : client2gw

  • Référence de la stratégie IPsec : client2vpnPol

Stratégie de sécurité (permet le trafic de la zone non sécurisée vers la zone de confiance)

client2-policy

  • Critères de correspondance :

    • adresse source n’importe quel

    • adresse de destination n’importe quel

    • application n’importe quelle

  • Autoriser l’action : tunnel ipsec-vpn client2vpn

Trafic entrant de l’hôte

Autoriser les types de trafic suivants vers l’interface ge-0/0/0.0 dans la zone non sécurisée :

  • IKE

  • HTTPS

  • Ping

  • SSH

Profil d’accès pour les clients distants

Référence du profil d’accès : profil radius

Clients distants

cfg2

  • Référence VPN IPsec : client2vpn

  • Référence du nom d’utilisateur : Chris

  • Ressources protégées à distance : 10.100.100.0/24

  • Exceptions à distance : 0.0.0.0/0, 192.0.2.1/24

Tableau 9 : Authentification utilisateur du serveur RADIUS (ID IKE individuel)

Fonctionnalité

Nom

Paramètres de configuration

Profil XAuth

profil radius

  • RADIUS est la méthode d’authentification utilisée pour vérifier les informations d’identification de l’utilisateur.

  • L’adresse IP du serveur RADIUS est 10.100.100.250 et le mot de passe est « $ABC 123 ».

  • Ce profil est le profil par défaut de l’authentification Web.

Configuration

Configuration du profil XAuth

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer le profil XAuth :

  1. Configurez le profil d’accès.

  2. Configurez l’authentification Web à l’aide du profil XAuth.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant la show access commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du client 1

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer un VPN dynamique pour un utilisateur unique :

  1. Configurez la stratégie IKE.

  2. Configurez la passerelle IKE.

  3. Configurez IPsec.

  4. Configurez la stratégie de sécurité.

  5. Configurez le trafic entrant de l’hôte.

  6. Indiquez le profil d’accès à utiliser avec un VPN dynamique.

  7. Configurez les clients qui peuvent utiliser le VPN dynamique.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security ikecommandes , show security ipsec, show security policiesshow security zoneset show security dynamic-vpn . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Configuration du client 2

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit du mode de configuration.

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette méthode, reportez-vous à Using the CLI Editor in Configuration Mode dans le GUIDE DE L’UTILISATEUR CLI.

Pour configurer un VPN dynamique pour un utilisateur unique :

  1. Configurez la stratégie IKE.

  2. Configurez la passerelle IKE.

  3. Configurez IPsec.

  4. Configurez la stratégie de sécurité.

  5. Configurez le trafic entrant de l’hôte.

  6. Indiquez le profil d’accès à utiliser avec un VPN dynamique.

  7. Configurez les clients qui peuvent utiliser le VPN dynamique.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show security ikecommandes , show security ipsec, show security policiesshow security zoneset show security dynamic-vpn . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Les tunnels VPN dynamiques peuvent être surveillés à l’aide des mêmes commandes que celles utilisées pour surveiller les tunnels VPN IPsec traditionnels. Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification de l’état de la phase 1 de l’IKE

But

Vérifiez l’état IKE phase 1 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ike security-associations commande.

Vérification des clients connectés et des adresses attribuées

But

Vérifiez que les clients distants et les adresses IP qui leur sont attribuées utilisent XAuth.

Action

Dans le mode opérationnel, saisissez la show security ike active-peer commande.

Vérification de l’état de la phase 2 de l’IPsec

But

Vérifiez l’état IPsec de la phase 2 des associations de sécurité.

Action

Dans le mode opérationnel, saisissez la show security ipsec security-associations commande.

Vérification des connexions et paramètres simultanés pour chaque utilisateur

But

Vérifiez le nombre de connexions simultanées et les paramètres négociés pour chaque utilisateur.

Action

Dans le mode opérationnel, saisissez la show security dynamic-vpn users commande.