Création d’un VPN d’accès distant : client exclusif NCP

Vous êtes ici : VPN réseau > > VPN IPsec.

Le client d’accès distant exclusif NCP fait partie de la solution d’accès distant exclusif NCP pour les passerelles Juniper SRX Series. Le client VPN n’est disponible qu’avec la gestion des accès à distance exclusive de NCP. NCP Exclusive Client vous permet d’établir des liaisons de données IPsec sécurisées depuis n’importe quel emplacement lorsque vous êtes connecté aux passerelles SRX Series.

Pour créer un VPN d’accès distant pour Juniper Secure Connect :

Choisissez Create VPN > Remote Access > NCP Exclusive Client dans le coin supérieur droit de la page VPN IPsec.

La page Créer un accès distant (client exclusif NCP) s’affiche.
Complétez la configuration en suivant les instructions fournies dans les tableaux 1 à 5.

La connectivité VPN passera de la ligne grise à la ligne bleue dans la topologie pour indiquer que la configuration est terminée.
Cliquez sur Enregistrer pour enregistrer les modifications.

Si vous souhaitez annuler vos modifications, cliquez sur Annuler.

Tableau 1 : Champs de la page Créer un accès distant (client exclusif NCP)
Champ	Action
Nom	Entrez un nom pour la connexion d’accès à distance. Ce nom s’affiche en tant que nom de connexion de l’utilisateur final dans le client exclusif NCP.
Description	Saisissez une description. Cette description sera utilisée pour les propositions IKE et IPsec, les stratégies, le profil d’accès à distance, la configuration client et l’ensemble de règles NAT. Lors de la modification, la description de la stratégie IPsec s’affiche. Les descriptions des stratégies IPsec et des profils d’accès à distance seront mises à jour.
Mode de routage	Cette option est désactivée pour l’accès à distance. Le mode par défaut est le sélecteur de trafic (insertion automatique d’itinéraire).
Méthode d’authentification	Sélectionnez une méthode d’authentification dans la liste que l’appareil utilise pour authentifier la source des messages IKE (Internet Key Exchange) : EAP Based : EAP-MSCHAPv2 utilise les informations d’identification du compte d’utilisateur vérifiées par le serveur RADIUS (pour l’authentification des utilisateurs externes) pour authentifier l’accès au réseau. Clé pré-partagée (nom d’utilisateur et mot de passe) : une clé secrète partagée entre les deux pairs est utilisée lors de l’authentification pour identifier les pairs l’un par rapport à l’autre.
Création automatique d’une stratégie de pare-feu	Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement créée entre la zone interne et la zone d’interface de tunnel avec les réseaux protégés locaux comme adresse source et les réseaux protégés distants comme adresse de destination. Une autre politique de pare-feu sera créée inversement. Si vous choisissez Non, cela signifie que vous n’avez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne. Note: Si vous ne souhaitez pas créer automatiquement une stratégie de pare-feu dans le flux de travail VPN, le réseau protégé est masqué pour le routage dynamique dans les passerelles locales et distantes.
Utilisateur distant	Affiche l’icône de l’utilisateur distant dans la topologie. Cette option est désactivée.
Passerelle locale	Affiche l’icône de la passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale. Pour plus d’informations sur les champs, voir le tableau 2.
Paramètres IKE et IPsec	Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec les algorithmes ou valeurs recommandés. Pour plus d’informations sur les champs, voir le tableau 5. Note: J-Web ne prend en charge qu’une seule proposition IKE personnalisée et ne prend pas en charge l’ensemble de propositions prédéfinies. Lors de l’édition et de l’enregistrement, J-Web supprime le jeu de propositions prédéfini s’il est configuré. Sur la passerelle distante du tunnel VPN, vous devez configurer la même proposition et la même stratégie personnalisées. Lors de la modification, J-Web affiche la première proposition IKE et IPsec personnalisée lorsque plusieurs propositions personnalisées sont configurées.

Tableau 2 : Champs de la page Passerelle locale
Champ	Action
La passerelle se trouve derrière le NAT	Activez cette option lorsque la passerelle locale se trouve derrière un périphérique NAT.
Adresse IP NAT	Entrez l’adresse IP publique (NAT) du pare-feu SRX Series. Note: Cette option n’est disponible que lorsque la passerelle est derrière NAT est activée. Vous pouvez configurer une adresse IPv4 pour référencer le périphérique NAT.
IKE ID	Ce champ est obligatoire. Saisissez l’ID IKE au format user@example.com.
Interface externe	Sélectionnez dans la liste une interface sortante à laquelle le client se connectera. La liste contient toutes les adresses IP disponibles si plusieurs adresses IPv4 sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.
Tunnel Interface	Sélectionnez une interface dans la liste à laquelle le client souhaite se connecter. Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Create Tunnel Interface (Créer une interface de tunnel) s’affiche. Pour plus d’informations sur la création d’une interface de tunnel, reportez-vous au Tableau 3. Cliquez sur Modifier pour modifier l’interface de tunnel sélectionnée.
Clé pré-partagée	Entrez l’une des valeurs suivantes de la clé prépartagée : ascii-text : clé de texte ASCII. hexadecimal : clé hexadécimale. Note: Cette option est disponible si la méthode d’authentification est Clé pré-partagée.
Certificat local	Sélectionnez un certificat local dans la liste. Le certificat local répertorie uniquement les certificats RSA. Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la section Ajouter un certificat d’appareil. Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’appareil, reportez-vous à la section Importation d’un certificat d’appareil. Note: Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Autorité de certification/groupe de confiance	Sélectionnez un profil d’autorité de certification/de groupe de confiance dans la liste. Pour ajouter un profil d’autorité de certification, cliquez sur Ajouter un profil d’autorité de certification. Pour plus d’informations sur l’ajout d’un profil d’autorité de certification, consultez Ajouter un profil d’autorité de certification. Note: Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Authentification de l’utilisateur	Ce champ est obligatoire. Sélectionnez dans la liste le profil d’authentification qui sera utilisé pour authentifier l’utilisateur accédant au VPN d’accès à distance. Cliquez sur Ajouter pour créer un nouveau profil. Pour plus d’informations sur la création d’un profil d’accès, consultez Ajouter un profil d’accès.
Profil VPN SSL	Sélectionnez le profil VPN SSL dans la liste qui sera utilisé pour mettre fin aux connexions d’accès à distance. Pour créer un profil VPN SSL : Cliquez sur Ajouter. Saisissez les informations suivantes : Name (Nom) : entrez le nom d’un profil VPN SSL. Journalisation : activez cette option pour la journalisation du VPN SSL. Profil de terminaison SSL : sélectionnez un profil de terminaison SSL dans la liste. Pour ajouter un nouveau profil de terminaison SSL : Cliquez sur Ajouter. Saisissez les informations suivantes : Name (Nom) : entrez un nom pour le profil de terminaison SSL. Certificat de serveur : sélectionnez un certificat de serveur dans la liste. Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la section Ajouter un certificat d’appareil. Pour importer un certificat, cliquez sur Importer. Pour plus d’informations sur l’importation d’un certificat d’appareil, reportez-vous à la section Importation d’un certificat d’appareil. Cliquez sur OK. Cliquez sur OK. Cliquez sur OK.
Trafic NAT source	Cette option est activée par défaut. Tout le trafic provenant du client Juniper Secure Connect est NATé vers l’interface sélectionnée par défaut. Si cette option est désactivée, vous devez vous assurer qu’un itinéraire depuis votre réseau pointe vers les pare-feu SRX Series pour gérer correctement le trafic de retour.
Interface	Sélectionnez une interface dans la liste par laquelle transite le trafic NAT source.
Réseaux protégés	Cliquez sur +. La page Create Protected Networks (Créer des réseaux protégés) s’affiche.
Créer des réseaux protégés
La zone	Sélectionnez dans la liste une zone de sécurité qui sera utilisée comme zone source dans la stratégie de pare-feu.
Adresse mondiale	Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche vers la droite pour la déplacer vers la colonne Sélectionné. Cliquez sur Ajouter pour sélectionner les réseaux auxquels le client peut se connecter. La page Créer une adresse globale s’affiche. Pour plus d’informations sur les champs, voir le tableau 4.
Modifier	Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône en forme de crayon. La page Modifier les réseaux protégés s’affiche avec des champs modifiables.
Supprimer	Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression. Le message de confirmation s’affiche. Cliquez sur Oui pour supprimer le réseau protégé.

Tableau 3 : Champs de la page Créer une interface de tunnel
Champ	Action
Unité d’interface	Entrez le numéro de l’unité logique.
Description	Entrez une description pour l’interface logique.
La zone	Sélectionnez une zone dans la liste pour l’ajouter à l’interface du tunnel. Cette zone est utilisée dans la création automatique de la stratégie de pare-feu. Cliquez sur Ajouter pour ajouter une nouvelle zone. Entrez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.
Instance de routage	Sélectionnez une instance de routage dans la liste. Note: L’instance de routage par défaut, primary, fait référence à la table de routage inet.0 principale dans le système logique.

Tableau 4 : Champs de la page Créer une adresse globale
Champ	Action
Nom	Entrez un nom pour l’adresse globale. Le nom doit être une chaîne unique commençant par un caractère alphanumérique et pouvant inclure des signes deux-points, des points, des tirets et des traits de soulignement. aucun espace n’est autorisé ; 63 caractères maximum.
Type d’IP	Sélectionnez IPv4.
IPv4 (en anglais)
Adresse IPv4	Saisissez une adresse IPv4 valide.
Sous-réseau	Entrez le sous-réseau pour l’adresse IPv4.

Tableau 5 : paramètres IKE et IPsec
Champ	Action
Paramètres IKE Note: Les paramètres suivants sont générés automatiquement et ne sont pas affichés dans l’interface utilisateur de J-Web : Si la méthode d’authentification est Pre-Shared Key, la version IKE est 1, ike-user-type est shared-ike-id et mode est Aggressive. Si la méthode d’authentification est basée sur un certificat, la version IKE est 2, ike-user-type est group-ike-id et mode est Main.
Algorithme de chiffrement	Sélectionnez le mécanisme de chiffrement approprié dans la liste. La valeur par défaut est AES-CBC 256 bits.
Algorithme d’authentification	Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.
Groupe DH	Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.
Secondes à vie	Sélectionnez la durée de vie (en secondes) d’une association de sécurité (SA) IKE. La valeur par défaut est de 28 800 secondes. Autonomie : 180 à 86 400 secondes.
Détection des pairs morts	Activez cette option pour envoyer des requêtes de détection d’homologue mort, qu’il y ait ou non du trafic IPsec sortant vers l’homologue.
DPD Mode	Sélectionnez l’une des options dans la liste : optimized : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut). probe-idle-tunnel : envoie les sondes de la même manière qu’en mode optimisé et également lorsqu’il n’y a pas de trafic de données entrant et sortant. always-send : envoie des sondes périodiquement, quel que soit le trafic de données entrant et sortant.
Intervalle DPD	Sélectionnez un intervalle (en secondes) pour envoyer des messages de détection d’homologue mort. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.
Seuil DPD	Sélectionnez un nombre compris entre 1 et 5 pour définir le seuil d’échec DPD. Cela spécifie le nombre maximal de fois que les messages DPD doivent être envoyés lorsqu’il n’y a pas de réponse de l’homologue. Le nombre par défaut de transmissions est de 5 fois.
Configuration avancée (en option)
NAT-T	Activez cette option pour que le trafic IPsec passe par un périphérique NAT. NAT-T est un algorithme IKE de phase 1 utilisé pour tenter d’établir une connexion VPN entre deux périphériques de passerelle, où un périphérique NAT se trouve devant l’un des pare-feu SRX Series.
NAT Rester en vie	Sélectionnez l’intervalle keepalive approprié en secondes. Portée : 1 à 300. Si l’on s’attend à ce que le VPN ait de longues périodes d’inactivité, vous pouvez configurer des valeurs keepalive pour générer un trafic artificiel afin de maintenir la session active sur les périphériques NAT.
Limite de connexion IKE	Entrez le nombre de connexions simultanées prises en charge par le profil VPN. La plage est comprise entre 1 et 4294967295. Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison utilisateur d’accès distant (VPN) ne tentant d’accéder à un VPN IPsec ne peut commencer des négociations IKE (Internet Key Exchange).
IKEv2 Fragmentation	Cette option est activée par défaut. La fragmentation IKEv2 divise un message IKEv2 volumineux en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément. Note: Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Taille des fragments IKEv2	Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit divisé en fragments. La taille s’applique au message IPv4. Plage : 570 à 1320 octets. La valeur par défaut est de 576 octets. Note: Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Paramètres IPsec
Algorithme de chiffrement	Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.
Algorithme d’authentification	Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128. Note: Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm.
Confidentialité persistante parfaite	Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’appareil utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19. PFS génère chaque nouvelle clé de chiffrement indépendamment de la clé précédente. Les groupes numérotés plus haut offrent plus de sécurité, mais nécessitent plus de temps de traitement. Note: group15, group16 et group21 prennent uniquement en charge la gamme SRX5000 de périphériques avec une carte SPC3 et un package junos-ike installés.
Secondes à vie	Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque la SA expire, elle est remplacée par une nouvelle SA et un nouvel index des paramètres de sécurité (SPI) ou résiliée. La valeur par défaut est de 3 600 secondes. Autonomie : 180 à 86 400 secondes.
Kilo-octets sur toute la durée de vie	Sélectionnez la durée de vie (en kilo-octets) d’une SA IPsec. La valeur par défaut est de 256 Ko. Portée : 64 à 4294967294.
Configuration avancée
Anti Replay	IPsec protège contre les attaques VPN en utilisant une séquence de numéros intégrée au paquet IPsec : le système n’accepte pas de paquet portant le même numéro de séquence. Cette option est activée par défaut. L’Anti-Replay vérifie les numéros de séquence et applique la vérification, plutôt que de simplement ignorer les numéros de séquence. Désactivez l’anti-relecture en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets dans le désordre, ce qui empêche le bon fonctionnement.
Intervalle d’installation	Sélectionnez le nombre maximal de secondes pour autoriser l’installation d’une association de sécurité sortante (SA) recléée sur l’appareil. Sélectionnez une valeur comprise entre 1 et 10.
Temps d’inactivité	Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes expirent après un certain temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.
Embout DF	Sélectionnez la façon dont l’appareil gère le bit Don’t Fragment (DF) dans l’en-tête externe : clear : efface (désactive) le bit DF de l’en-tête externe. Il s’agit de l’option par défaut. copy : copie le bit DF dans l’en-tête externe. set : définissez (activez) le bit DF dans l’en-tête externe.
Copier le DSCP externe	Cette option est activée par défaut. Cela permet de copier le point de code de services différenciés (DSCP) (DSCP+ECN externe) du paquet chiffré de l’en-tête IP externe vers le message texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).

Création d’un VPN d’accès distant : client exclusif NCP

Documentation connexe