Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Créer un VPN d’accès distant — Client exclusif NCP

Vous êtes ici : Réseau > VPN > VPN IPsec.

Le client d’accès à distance exclusif NCP fait partie de la solution d’accès à distance exclusive NCP pour les passerelles SRX Series de Juniper. Le client VPN n’est disponible qu’avec la gestion d’accès à distance exclusive NCP. Utilisez le client exclusif NCP pour établir des liaisons de données sécurisées basées sur IPsec depuis n’importe quel emplacement lorsqu’elles sont connectées avec des passerelles SRX Series.

Pour créer un VPN d’accès distant pour Juniper Secure Connect :

  1. Choisissez Create VPN > Remote Access > NCP Exclusive Client dans le coin supérieur droit de la page VPN IPsec.

    La page Créer un accès à distance (client exclusif NCP) s’affiche.

  2. Complétez la configuration selon les instructions fournies dans les tableau 1 à 5.

    La connectivité VPN passera de la ligne grise à la ligne bleue dans la topologie pour montrer que la configuration est complète.

  3. Cliquez sur Enregistrer pour enregistrer les modifications.

    Si vous souhaitez ignorer vos modifications, cliquez sur Annuler.

Tableau 1 : Champs de la page Créer un accès distant (client exclusif NCP)

Champ

Action

Nom

Saisissez un nom pour la connexion d’accès à distance. Ce nom sera affiché en tant que nom de connexion des utilisateurs finaux dans le client exclusif NCP.

Description

Saisissez une description. Cette description sera utilisée pour les propositions IKE et IPsec, les stratégies, le profil d’accès distant, la configuration du client et l’ensemble de règles NAT.

Lors de la modification, la description de la stratégie IPsec s’affiche. Les stratégies IPsec et les descriptions des profils d’accès distant seront mises à jour.

Mode de routage

Cette option est désactivée pour l’accès distant.

Le mode par défaut est le sélecteur de trafic (insertion de route automatique).

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’équipement utilise pour authentifier la source des messages Internet Key Exchange (IKE) :

  • Clé pré-partagée (méthode par défaut) : spécifie qu’une clé prépartage, c’est-à-dire une clé secrète partagée entre les deux pairs, est utilisée lors de l’authentification pour identifier les pairs entre eux. La même clé doit être configurée pour chaque pair. Il s’agit de la méthode par défaut.

  • Basé sur des certificats : types de signatures numériques, qui sont des certificats qui confirment l’identité du détenteur du certificat.

    La signature prise en charge est rsa-signatures. rsa-signatures spécifie qu’un algorithme à clé publique, qui prend en charge le chiffrement et les signatures numériques, est utilisé.

Stratégie de pare-feu de création automatique

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement créée entre la zone interne et la zone d’interface du tunnel avec les réseaux locaux protégés comme adresse source et les réseaux protégés à distance comme adresse de destination.

Une autre politique de pare-feu sera créée visa-versa.

Si vous choisissez Non, vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Note:

Si vous ne souhaitez pas créer automatiquement une stratégie de pare-feu dans le flux de travail VPN, le réseau protégé est masqué pour un routage dynamique dans les passerelles locales et distantes.

Utilisateur distant

Affiche l’icône de l’utilisateur distant dans la topologie.

Cette option est désactivée.

Passerelle locale

Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 2.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec des algorithmes ou des valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 5.

Note:

  • J-Web ne prend en charge qu’une seule proposition IKE personnalisée et ne prend pas en charge l’ensemble de propositions prédéfinis. Une fois les modifications et les sauvegardes effectuées, J-Web supprime le jeu de propositions prédéfinis s’il est configuré.

  • Sur la passerelle distante du tunnel VPN, vous devez configurer la même proposition et stratégie personnalisées.

  • Après modification, J-Web affiche la première proposition IKE et IPsec personnalisée lorsque plusieurs propositions personnalisées sont configurées.
Tableau 2 : champs sur la page de la passerelle locale

Champ

Action

La passerelle est derrière NAT

Activez cette option lorsque la passerelle locale est derrière un équipement NAT.

Adresse IP NAT

Saisissez l’adresse IP publique (NAT) de l’équipement SRX Series.

Note:

Cette option n’est disponible que lorsque la passerelle est derrière nat est activée. Vous pouvez configurer une adresse IPv4 pour référencer l’équipement NAT.

IKE ID

Ce champ est obligatoire. Saisissez l’ID IKE au format user@example.com.

Interface externe

Sélectionnez une interface sortante dans la liste à laquelle le client se connectera.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IPv4 sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste à qui le client doit se connecter.

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Créer une interface tunnel s’affiche. Pour plus d’informations sur la création d’une nouvelle interface tunnel, reportez-vous au tableau 3.

Cliquez sur Modifier pour modifier l’interface du tunnel sélectionné.

Clé pré-partagée

Saisissez l’une des valeurs suivantes de la clé prépartagée :

  • ascii-text : clé de texte ASCII.

  • hexadécimale : clé hexadécimale.

Note:

Cette option est disponible si la méthode d’authentification est une clé pré-partagée.

Certificat local

Sélectionnez un certificat local dans la liste.

Le certificat local ne répertorie que les certificats RSA.

Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’équipement, voir Ajouter un certificat d’équipement.

Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’équipement, voir Importer un certificat d’équipement.

Note:

Cette option est disponible si la méthode d’authentification est basée sur des certificats.

Ca/groupe de confiance

Sélectionnez un profil d’autorité de certification/de groupe de confiance dans la liste.

Pour ajouter un profil d’autorité de certification, cliquez sur Ajouter un profil d’autorité de certification. Pour plus d’informations sur l’ajout d’un profil d’autorité de certification, voir Ajouter un profil d’autorité de certification.

Note:

Cette option est disponible si la méthode d’authentification est basée sur des certificats.

Authentification de l’utilisateur

Ce champ est obligatoire. Sélectionnez le profil d’authentification dans la liste qui sera utilisé pour authentifier l’utilisateur accédant au VPN d’accès distant.

Cliquez sur Ajouter pour créer un nouveau profil. Pour plus d’informations sur la création d’un nouveau profil d’accès, voir Ajouter un profil d’accès.

Profil VPN SSL

Sélectionnez le profil VPN SSL dans la liste qui sera utilisé pour mettre fin aux connexions d’accès à distance.

Pour créer un nouveau profil VPN SSL :

  1. Cliquez sur Ajouter.

  2. Saisissez les détails suivants :

    • Nom : saisissez le nom d’un profil VPN SSL.

    • Journalisation : activez cette option pour vous connecter au VPN SSL.

    • Profil de terminaison SSL : sélectionnez un profil de terminaison SSL dans la liste.

      Pour ajouter un nouveau profil de terminaison SSL :

      1. Cliquez sur Ajouter.

      2. Saisissez les détails suivants :

        • Nom : saisissez un nom pour le profil de terminaison SSL.

        • Certificat de serveur : sélectionnez un certificat de serveur dans la liste.

          Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’équipement, voir Ajouter un certificat d’équipement.

          Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’équipement, voir Importer un certificat d’équipement.

        • Cliquez sur OK.

      3. Cliquez sur OK.

  3. Cliquez sur OK.

Trafic NAT source

Cette option est activée par défaut.

Par défaut, tout le trafic du client Juniper Secure Connect est en natété vers l’interface sélectionnée.

En cas de désactivation, vous devez vous assurer que vous disposez d’un routage de votre réseau pointant vers les équipements SRX Series pour gérer correctement le trafic de retour.

Interface

Sélectionnez une interface dans la liste par laquelle transite le trafic NAT source.

Réseaux protégés

Cliquez sur +. La page Créer des réseaux protégés s’affiche.
Créer des réseaux protégés

Zone

Sélectionnez une zone de sécurité dans la liste qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse globale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour les déplacer vers la colonne Sélectionnée.

Cliquez sur Ajouter pour sélectionner les réseaux que le client peut se connecter.

La page Créer une adresse globale s’affiche. Pour plus d’informations sur les champs, voir le tableau 4.

Modifier

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône du crayon.

La page Modifier les réseaux protégés s’affiche avec des champs éditables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation apparaît.

Cliquez sur Oui pour supprimer le réseau protégé.
Tableau 3 : Champs sur la page Créer une interface de tunnel

Champ

Action

Unité d’interface

Saisissez le numéro de l’unité logique.

Description

Saisissez une description de l’interface logique.

Zone

Sélectionnez une zone dans la liste pour l’ajouter à l’interface du tunnel.

Cette zone est utilisée dans la création automatique de la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Saisissez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Note:

L’instance de routage par défaut, principale, fait référence à la table de routage inet.0 principale du système logique.
Tableau 4 : Champs de la page Créer une adresse globale

Champ

Action

Nom

Saisissez un nom pour l’adresse globale. Le nom doit être une chaîne unique qui doit commencer par un caractère alphanumérique et peut inclure des points, des points, des tirets et des soulignements ; pas d’espaces autorisés ; 63 caractères maximum.

IP Type

Sélectionnez IPv4.
IPv4

Adresse IPv4

Saisissez une adresse IPv4 valide.

Sous-réseau

Saisissez le sous-réseau pour l’adresse IPv4.
Tableau 5 : Paramètres IKE et IPsec

Champ

Action
Paramètres IKE
Note:

Les paramètres suivants sont générés automatiquement et ne sont pas affichés dans l’interface utilisateur J-Web :

  • Si la méthode d’authentification est une clé pré-partagée, la version IKE est 1, le type utilisateur ike est partagé-ike-id et le mode est agressif.

  • Si la méthode d’authentification est basée sur des certificats, la version IKE est 2, ike-user-type est group-ike-id et le mode principal.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est AES-CBC 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez une durée de vie (en quelques secondes) d’une association de sécurité (SA) IKE.

La valeur par défaut est de 28 800 secondes. Portée : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologues morts, qu’il y ait ou non un trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

  • optimisé : envoyez des sondes uniquement lorsqu’il y a du trafic sortant et qu’il n’y a pas de trafic de données entrant , RFC3706 (mode par défaut).

  • tunnel de sonde inactif : envoyez des sondes de la même manière qu’en mode optimisé et en l’absence de trafic de données sortant et entrant.

  • toujours envoyer : envoyez régulièrement des sondes, quel que soit le trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle (en quelques secondes) pour envoyer des messages de détection des pairs morts. L’intervalle par défaut est de 10 secondes. La portée est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre de 1 à 5 pour définir le seuil de défaillance DPD.

Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés en l’absence de réponse de l’homologue. Le nombre de transmissions par défaut est 5 fois.
Configuration avancée (facultatif)

NAT-T

Activez cette option pour que le trafic IPsec passe par un équipement NAT.

NAT-T est un algorithme IKE de phase 1 qui est utilisé pour établir une connexion VPN entre deux équipements de passerelle, où il y a un équipement NAT devant l’un des équipements SRX Series.

NAT en vie

Sélectionnez l’intervalle de maintien approprié en quelques secondes. Portée : 1 à 300.

Si le VPN doit avoir de longues périodes d’inactivité, vous pouvez configurer des valeurs de conservation pour générer du trafic artificiel afin de maintenir la session active sur les équipements NAT.

Limite de connexion IKE

Saisissez le nombre de connexions simultanées que le profil VPN prend en charge.

La portée est de 1 à 4294967295.

Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison d’utilisateur d’accès distant (VPN) qui tente d’accéder à un VPN IPsec ne peut commencer les négociations Internet Key Exchange (IKE).

IKEv2 Fragmentation

Cette option est activée par défaut. La fragmentation IKEv2 divise un grand message IKEv2 en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau de l’IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément.

Note:

Cette option est disponible si la méthode d’authentification est basée sur des certificats.

Taille du fragment IKEv2

Sélectionnez la taille maximale(en octets) d’un message IKEv2 avant qu’il ne soit divisé en fragments.

La taille s’applique au message IPv4. Plage : 570 à 1 320 octets.

La valeur par défaut est de 576 octets.

Note:

Cette option est disponible si la méthode d’authentification est basée sur des certificats.
Paramètres IPsec

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128.

Note:

Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm.

Confidentialité de transfert parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’équipement utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés les plus élevés offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Note:

group15, group16 et group21 ne prennent en charge que la SRX5000 gamme d’équipements avec une carte SPC3 et un package junos-ike installés.

Secondes à vie

Sélectionnez la durée de vie (en quelques secondes) d’une association de sécurité IPsec (SA). Lorsque le SA expire, il est remplacé par un nouvel index SA et des paramètres de sécurité (SPI) ou terminé. Par défaut est de 3 600 secondes. Portée : 180 à 86 400 secondes.

Kilo-octets à vie

Sélectionnez la durée de vie (en kilooctets) d’une SA IPsec. Par défaut, 256 ko. Portée : 64 à 4294967294.
Configuration avancée

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de nombres intégrée au paquet IPsec: le système n’accepte pas un paquet avec le même numéro de séquence.

Cette option est activée par défaut. L’anti-replay vérifie les numéros de séquence et applique la vérification, plutôt que d’ignorer simplement les nombres de séquence.

Désactivez l’anti-replay en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets en panne, ce qui empêche les fonctionnalités appropriées.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour permettre l’installation d’une association de sécurité sortante (SA) rekeyed sur l’équipement. Sélectionnez une valeur de 1 à 10.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes s’arrêtent après un certain laps de temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

DF Bit

Sélectionnez la façon dont l’équipement gère le bit Don’t Fragment (DF) dans l’en-tête externe :

  • clear :effacer (désactiver) le DF bit de l’en-tête externe. C’est la valeur par défaut.

  • copy : copiez le bit DF dans l’en-tête externe.

  • set : définissez (activez) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code de services différencié (DSCP+ ECN) à partir du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles coS internes (DSCP+ECN).

Documentation connexe