Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Création d’un VPN d’accès distant - Client exclusif NCP

Vous êtes ici : VPN > réseau > VPN IPsec.

Le client d’accès distant exclusif NCP fait partie de la solution d’accès à distance exclusif NCP pour les passerelles Juniper SRX Series. Le client VPN n’est disponible qu’avec la gestion des accès à distance exclusive de NCP. Utilisez le client exclusif NCP pour établir des liaisons de données sécurisées basées sur IPsec à partir de n’importe quel emplacement lorsqu’il est connecté aux passerelles SRX Series.

Pour créer un VPN d’accès distant pour Juniper Secure Connect :

  1. Choisissez Create VPN > Remote Access > NCP Exclusive Client (Créer un VPN accès distant client exclusif NCP ) dans le coin supérieur droit de la page VPN IPsec.

    La page Créer un accès distant (client exclusif NCP) s’affiche.

  2. Terminez la configuration en suivant les instructions fournies dans les tableaux 1 à 5.

    La connectivité VPN passe d’une ligne grise à une ligne bleue dans la topologie pour indiquer que la configuration est terminée.

  3. Cliquez sur Enregistrer pour enregistrer les modifications.

    Si vous souhaitez annuler vos modifications, cliquez sur Annuler.

Tableau 1 : Champs de la page Créer un accès distant (client exclusif NCP)

Champ

Action

Nom

Entrez un nom pour la connexion d’accès à distance. Ce nom sera affiché en tant que nom de connexion de l’utilisateur final dans le client exclusif NCP.

Description

Saisissez une description. Cette description sera utilisée pour les propositions IKE et IPsec, les stratégies, le profil d’accès à distance, la configuration client et l’ensemble de règles NAT.

Lors de la mise à jour, la description de la stratégie IPsec s’affiche. Les descriptions de la stratégie IPsec et des profils d’accès à distance seront mises à jour.

Mode de routage

Cette option est désactivée pour l’accès à distance.

Le mode par défaut est le sélecteur de trafic (insertion automatique d’itinéraire).

Méthode d’authentification

Sélectionnez une méthode d’authentification dans la liste que l’appareil utilise pour authentifier la source des messages IKE (Internet Key Exchange) :

  • Basé sur EAP : EAP-MSCHAPv2 utilise les informations d’identification du compte utilisateur vérifiées par le serveur RADIUS (pour l’authentification des utilisateurs externes) pour authentifier l’accès réseau.

  • Clé pré-partagée (nom d’utilisateur et mot de passe) : une clé secrète partagée entre les deux homologues est utilisée lors de l’authentification pour identifier les pairs l’un par rapport à l’autre.

Création automatique d’une stratégie de pare-feu

Si vous sélectionnez Oui, une stratégie de pare-feu est automatiquement créée entre la zone interne et la zone d’interface de tunnel avec les réseaux protégés locaux comme adresse source et les réseaux protégés distants comme adresse de destination.

Une autre politique de pare-feu sera créée, inversement.

Si vous choisissez Non, vous ne disposez pas d’option de stratégie de pare-feu. Vous devez créer manuellement la stratégie de pare-feu requise pour que ce VPN fonctionne.

Note:

Si vous ne souhaitez pas créer automatiquement une stratégie de pare-feu dans le flux de travail VPN, le réseau protégé est masqué pour le routage dynamique dans les passerelles locales et distantes.

Utilisateur distant

Affiche l’icône de l’utilisateur distant dans la topologie.

Cette option est désactivée.

Passerelle locale

Affiche l’icône de passerelle locale dans la topologie. Cliquez sur l’icône pour configurer la passerelle locale.

Pour plus d’informations sur les champs, voir le tableau 2.

Paramètres IKE et IPsec

Configurez la proposition IKE ou IPsec personnalisée et la proposition IPsec personnalisée avec les algorithmes ou valeurs recommandés.

Pour plus d’informations sur les champs, voir le tableau 5.

Note:

  • J-Web ne prend en charge qu’une seule proposition IKE personnalisée et ne prend pas en charge l’ensemble de propositions prédéfinies. Lors de la modification et de l’enregistrement, J-Web supprime l’ensemble de propositions prédéfinies s’il est configuré.

  • Sur la passerelle distante du tunnel VPN, vous devez configurer la même proposition et la même stratégie personnalisées.

  • Lors de la modification, J-Web affiche la première proposition IKE et IPsec personnalisée lorsque plusieurs propositions personnalisées sont configurées.
Tableau 2 : Champs de la page Passerelle locale

Champ

Action

La passerelle est derrière NAT

Activez cette option lorsque la passerelle locale se trouve derrière un périphérique NAT.

Adresse IP NAT

Saisissez l’adresse IP publique (NAT) du pare-feu SRX Series.

Note:

Cette option n’est disponible que lorsque la passerelle est derrière NAT est activée. Vous pouvez configurer une adresse IPv4 pour référencer le périphérique NAT.

IKE ID

Ce champ est obligatoire. Entrez l’ID IKE au format user@example.com.

Interface externe

Sélectionnez dans la liste une interface sortante à laquelle le client se connectera.

La liste contient toutes les adresses IP disponibles si plusieurs adresses IPv4 sont configurées sur l’interface spécifiée. L’adresse IP sélectionnée sera configurée en tant qu’adresse locale sous la passerelle IKE.

Tunnel Interface

Sélectionnez une interface dans la liste à laquelle le client souhaite se connecter.

Cliquez sur Ajouter pour ajouter une nouvelle interface. La page Create Tunnel Interface (Créer une interface de tunnel) s’affiche. Pour plus d’informations sur la création d’une interface de tunnel, reportez-vous au Tableau 3.

Cliquez sur Modifier pour modifier l’interface de tunnel sélectionnée.

Clé pré-partagée

Entrez l’une des valeurs suivantes de la clé prépartagée :

  • ascii-text : clé de texte ASCII.

  • hexadecimal : clé hexadécimale.

Note:

Cette option est disponible si la méthode d’authentification est Clé pré-partagée.

Certificat local

Sélectionnez un certificat local dans la liste.

Le certificat local répertorie uniquement les certificats RSA.

Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la page À propos des certificats.

Note:

Cette option est disponible si la méthode d’authentification est basée sur un certificat.

CA/Groupe de confiance

Sélectionnez un profil d’autorité de certification/groupe de confiance dans la liste.

Pour ajouter un profil d’autorité de certification, cliquez sur Ajouter un profil d’autorité de certification. Pour plus d’informations sur l’ajout d’un profil d’autorité de certification, reportez-vous à la section Ajouter un certificat d’autorité de certification.

Note:

Cette option est disponible si la méthode d’authentification est basée sur un certificat.

Authentification de l’utilisateur

Ce champ est obligatoire. Sélectionnez dans la liste le profil d’authentification qui sera utilisé pour authentifier l’utilisateur accédant au VPN d’accès à distance.

Cliquez sur Ajouter pour créer un nouveau profil. Pour plus d’informations sur la création d’un profil d’accès, reportez-vous à la section Ajouter un profil d’accès.

Profil VPN SSL

Sélectionnez le profil VPN SSL dans la liste qui sera utilisé pour mettre fin aux connexions d’accès à distance.

Pour créer un profil VPN SSL :

  1. Cliquez sur Ajouter.

  2. Saisissez les informations suivantes :

    • Name (Nom) : saisissez le nom d’un profil VPN SSL.

    • Journalisation : activez cette option pour enregistrer la présence d’un VPN SSL.

    • Profil de terminaison SSL : sélectionnez un profil de terminaison SSL dans la liste.

      Pour ajouter un nouveau profil de terminaison SSL :

      1. Cliquez sur Ajouter.

      2. Saisissez les informations suivantes :

        • Name (Nom) : entrez un nom pour le profil de terminaison SSL.

        • Certificat de serveur : sélectionnez un certificat de serveur dans la liste.

          Pour ajouter un certificat, cliquez sur Ajouter. Pour plus d’informations sur l’ajout d’un certificat d’appareil, reportez-vous à la page À propos des certificats.

          Pour importer un certificat, cliquez sur Importer. .

        • Cliquez sur OK.

      3. Cliquez sur OK.

  3. Cliquez sur OK.

Trafic NAT source

Cette option est activée par défaut.

Par défaut, tout le trafic provenant du client Juniper Secure Connect est connecté à l’interface sélectionnée.

Si cette option est désactivée, vous devez vous assurer qu’un itinéraire depuis votre réseau pointe vers les pare-feu SRX Series pour gérer correctement le trafic de retour.

Interface

Sélectionnez une interface dans la liste par laquelle transite le trafic NAT source.

Réseaux protégés

Cliquez sur +. La page Create Protected Networks (Créer des réseaux protégés) s’affiche.
Créer des réseaux protégés

Zone

Sélectionnez dans la liste une zone de sécurité qui sera utilisée comme zone source dans la stratégie de pare-feu.

Adresse mondiale

Sélectionnez les adresses dans la colonne Disponible, puis cliquez sur la flèche droite pour la déplacer vers la colonne Sélectionné.

Cliquez sur Ajouter pour sélectionner les réseaux auxquels le client peut se connecter.

La page Create Global Address (Créer une adresse globale) s’affiche. Pour plus d’informations sur les champs, voir le tableau 4.

Éditer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône en forme de crayon.

La page Modifier les réseaux protégés s’affiche avec des champs modifiables.

Supprimer

Sélectionnez le réseau protégé que vous souhaitez modifier et cliquez sur l’icône de suppression.

Le message de confirmation s’affiche.

Cliquez sur Oui pour supprimer le réseau protégé.
Tableau 3 : champs de la page Créer une interface de tunnel

Champ

Action

Unité d’interface

Entrez le numéro de l’unité logique.

Description

Entrez une description pour l’interface logique.

Zone

Sélectionnez une zone dans la liste pour l’ajouter à l’interface du tunnel.

Cette zone est utilisée dans la création automatique de la stratégie de pare-feu.

Cliquez sur Ajouter pour ajouter une nouvelle zone. Entrez le nom et la description de la zone, puis cliquez sur OK sur la page Créer une zone de sécurité.

Instance de routage

Sélectionnez une instance de routage dans la liste.

Note:

L’instance de routage par défaut, primaire, fait référence à la table de routage inet.0 principale du système logique.
Tableau 4 : Champs de la page Créer une adresse globale

Champ

Action

Nom

Entrez un nom pour l’adresse globale. Le nom doit être une chaîne unique commençant par un caractère alphanumérique et pouvant inclure des signes deux-points, des points, des tirets et des traits de soulignement. aucun espace n’est autorisé ; 63 caractères maximum.

IP Type

Sélectionnez IPv4.
IPv4 (en anglais)

Adresse IPv4

Saisissez une adresse IPv4 valide.

Sous-réseau

Entrez le sous-réseau pour l’adresse IPv4.
Tableau 5 : paramètres IKE et IPsec

Champ

Action
Paramètres IKE
Note:

Les paramètres suivants sont générés automatiquement et ne sont pas affichés dans l’interface utilisateur de J-Web :

  • Si la méthode d’authentification est Pre-Shared Key, la version IKE est 1, ike-user-type est shared-ike-id et mode est Agressif.

  • Si la méthode d’authentification est basée sur un certificat, la version IKE est 2, ike-user-type est group-ike-id et mode est Main.

Algorithme de chiffrement

Sélectionnez le mécanisme de chiffrement approprié dans la liste.

La valeur par défaut est AES-CBC 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification dans la liste. Par exemple, SHA 256 bits.

Groupe DH

Un échange Diffie-Hellman (DH) permet aux participants de générer une valeur secrète partagée. Sélectionnez le groupe DH approprié dans la liste. La valeur par défaut est group19.

Secondes à vie

Sélectionnez la durée de vie (en secondes) d’une association de sécurité (SA) IKE.

La valeur par défaut est de 28 800 secondes. Portée : 180 à 86 400 secondes.

Détection des pairs morts

Activez cette option pour envoyer des requêtes de détection d’homologue mort, qu’il y ait ou non du trafic IPsec sortant vers l’homologue.

DPD Mode

Sélectionnez l’une des options dans la liste :

  • optimized : envoie des sondes uniquement lorsqu’il y a du trafic sortant et aucun trafic de données entrant - RFC3706 (mode par défaut).

  • probe-idle-tunnel : envoie des sondes de la même manière qu’en mode optimisé et également lorsqu’il n’y a pas de trafic de données entrant et sortant.

  • always-send : envoie des sondes périodiquement, indépendamment du trafic de données entrant et sortant.

Intervalle DPD

Sélectionnez un intervalle (en secondes) pour envoyer des messages de détection d’homologue mort. L’intervalle par défaut est de 10 secondes. La plage est de 2 à 60 secondes.

Seuil DPD

Sélectionnez un nombre compris entre 1 et 5 pour définir le seuil d’échec DPD.

Spécifie le nombre maximal de fois que les messages DPD doivent être envoyés en l’absence de réponse de l’homologue. Le nombre de transmissions par défaut est de 5 fois.
Configuration avancée (en option)

NAT-T

Activez cette option pour que le trafic IPsec passe par un périphérique NAT.

NAT-T est un algorithme IKE de phase 1 utilisé pour tenter d’établir une connexion VPN entre deux périphériques de passerelle, où un périphérique NAT se trouve devant l’un des pare-feu SRX Series.

NAT Rester en vie

Sélectionnez l’intervalle keepalive approprié en secondes. Portée : 1 à 300.

Si le VPN est censé avoir de longues périodes d’inactivité, vous pouvez configurer des valeurs keepalive pour générer un trafic artificiel afin de maintenir la session active sur les périphériques NAT.

Limite de connexion IKE

Entrez le nombre de connexions simultanées prises en charge par le profil VPN.

La plage est comprise entre 1 et 4294967295.

Lorsque le nombre maximal de connexions est atteint, plus aucun point de terminaison d’utilisateur d’accès distant (VPN) ne tentant d’accéder à un VPN IPsec ne peut commencer les négociations IKE (Internet Key Exchange).

IKEv2 Fragmentation

Cette option est activée par défaut. La fragmentation IKEv2 divise un message IKEv2 volumineux en un ensemble de messages plus petits afin qu’il n’y ait pas de fragmentation au niveau IP. La fragmentation a lieu avant que le message d’origine ne soit chiffré et authentifié, de sorte que chaque fragment est chiffré et authentifié séparément.

Note:

Cette option est disponible si la méthode d’authentification est basée sur un certificat.

Taille des fragments IKEv2

Sélectionnez la taille maximale, en octets, d’un message IKEv2 avant qu’il ne soit divisé en fragments.

La taille s’applique au message IPv4. Plage : 570 à 1320 octets.

La valeur par défaut est de 576 octets.

Note:

Cette option est disponible si la méthode d’authentification est basée sur un certificat.
Paramètres IPsec

Algorithme de chiffrement

Sélectionnez la méthode de chiffrement. La valeur par défaut est AES-GCM 256 bits.

Algorithme d’authentification

Sélectionnez l’algorithme d’authentification IPsec dans la liste. Par exemple, HMAC-SHA-256-128.

Note:

Cette option est disponible lorsque l’algorithme de chiffrement n’est pas gcm.

Confidentialité de transmission parfaite

Sélectionnez Perfect Forward Secrecy (PFS) dans la liste. L’appareil utilise cette méthode pour générer la clé de chiffrement. La valeur par défaut est group19.

PFS génère chaque nouvelle clé de chiffrement indépendamment de la précédente. Les groupes numérotés les plus élevés offrent plus de sécurité, mais nécessitent plus de temps de traitement.

Note:

Les groupes 15, 16 et 21 prennent uniquement en charge la gamme SRX5000 d’équipements équipés d’une carte SPC3 et du package junos-ike.

Secondes à vie

Sélectionnez la durée de vie (en secondes) d’une association de sécurité IPsec (SA). Lorsque la SA expire, elle est remplacée par une nouvelle SA et un nouvel index de paramètres de sécurité (SPI) ou résiliée. La valeur par défaut est de 3 600 secondes. Portée : 180 à 86 400 secondes.

Kilo-octets à vie

Sélectionnez la durée de vie (en kilo-octets) d’une SA IPsec. La valeur par défaut est de 256 Ko. Portée : 64 à 4294967294.
Configuration avancée

Anti Replay

IPsec protège contre les attaques VPN en utilisant une séquence de chiffres intégrée au paquet IPsec : le système n’accepte pas de paquet portant le même numéro de séquence.

Cette option est activée par défaut. L’Anti-Replay vérifie les numéros de séquence et applique la vérification, plutôt que de simplement ignorer les numéros de séquence.

Désactivez l’anti-rejeu en cas d’erreur avec le mécanisme IPsec qui entraîne des paquets désordonnés, ce qui empêche le bon fonctionnement.

Intervalle d’installation

Sélectionnez le nombre maximal de secondes pour autoriser l’installation d’une association de sécurité sortante (SA) recléée sur l’appareil. Sélectionnez une valeur comprise entre 1 et 10.

Temps d’inactivité

Sélectionnez l’intervalle de temps d’inactivité. Les sessions et leurs traductions correspondantes expirent après un certain temps si aucun trafic n’est reçu. La portée est de 60 à 999999 secondes.

Embout DF

Sélectionnez la façon dont l'appareil gère le bit Ne pas fragmenter (DF) dans l'en-tête externe :

  • clear : efface (désactive) le bit DF de l’en-tête externe. Il s’agit de l’option par défaut.

  • copy : copie le bit DF dans l’en-tête externe.

  • set : définit (active) le bit DF dans l’en-tête externe.

Copier le DSCP externe

Cette option est activée par défaut. Cela permet de copier le point de code des services différenciés (DSCP) (DSCP externe+ECN) du paquet chiffré d’en-tête IP externe vers le message en texte brut de l’en-tête IP interne sur le chemin de déchiffrement. En activant cette fonctionnalité, après le déchiffrement IPsec, les paquets en texte clair peuvent suivre les règles CoS internes (DSCP+ECN).

Documentation connexe