• Aucun résultat trouvé

Client VPN IPSec TheGreenBow

N/A
N/A
Protected

Academic year: 2022

Partager "Client VPN IPSec TheGreenBow"

Copied!
72
0
0

Texte intégral

(1)

Propriete de TheGreenBow© - Sistech SA 2000-2007

Client VPN IPSec TheGreenBow Guide Utilisateur

Contact: support@thegreenbow.com Website: www.thegreenbow.com

(2)

All rights reserved. No parts of this work may be reproduced in any form or by any means - graphic, electronic, or mechanical, including photocopying, recording, taping, or information storage and retrieval systems - without the written permission of the publisher.

Products that are referred to in this document may be either trademarks and/or registered trademarks of the respective owners. The publisher and the author make no claim to these trademarks.

While every precaution has been taken in the preparation of this document, the publisher and the author assume no responsibility for errors or omissions, or for damages resulting from the use of information contained in this document or from the use of programs and source code that may accompany it. In no event shall the publisher and the author be liable for any loss of profit or any other commercial damage caused or alleged to have been caused directly or indirectly by this document.

Printed: janvier 2007 in San Francisco.

TheGreenBow Client VPN IPSec - Guide Utilisateur

Propriete de TheGreenBow© - Sistech SA 2000-2007

(3)

I

I TheGreenBow Client VPN IPSec - Guide Utilisateur

Table des Matieres

Part I Présentation du Client VPN TheGreenBow 2

... 2 1 Pourquoi le Client VPN IPSec TheGreenBow?

... 2 2 Solution VPN Multi Gateway

... 2 3 Support des Appliances Linux

... 2 4 Les fonctionnalités du Client VPN IPSec TheGreenBow

... 4 5 OEM et Customisation du Logiciel

Part II Installer le Client VPN TheGreenBow 6

... 6 1 Installation du logiciel

... 7 2 Evaluation du logiciel

... 7 3 Licence Logiciel Temporaire

... 9 4 Assistant d'Activation

... 9 Assistant d'activation en deux étapes

... 9 Etape 1 sur 2: Saisir le numéro de licence

... 10 Etape 2 sur 2: Activation en ligne

... 10 Erreurs d'activation

... 11 5 Mise a Jour Logiciel

... 12 6 Désinstallation du logiciel

Part III Quelques HowTo 14

... 14 1 Comment ouvrir un tunnel VPN ?

... 14 2 Comment tester un tunnel VPN ?

... 14 3 Comment importer une Configuration VPN par simple double clic ?

Part IV Navigation et Interface Utilisateur 17

... 17 1 Interface utilisateur

... 18 2 Icône en barre des tâches

... 18 3 Raccourcis

... 19 4 Panneau de Configuration

... 19 Menus principaux

... 20 Barre de status

... 20 Fenêtre "A propos"

... 20 Contrôle d'accès à la Configuration (Interface Réduite)

... 22 Assistants

... 22 Préférences

... 23 5 Panneau de Connexion

Part V Panneau de Connexion 26

... 26 1 Eléments du Panneau de Connexion

... 26 2 Informations et Alertes dans le Panneau de Connexion

Part VI VPN Configuration 29

(4)

TheGreenBow Client VPN IPSec - Guide Utilisateur II

TheGreenBow Client VPN IPSec - Guide Utilisateur Propriete de TheGreenBow© - Sistech SA 2000-2007 ... 29 1 Assistant de Configuration

... 29 Assistant de Configuration en trois étapes

... 29 Etape 1 sur 3: Choix de l'équipement distant

... 30 Etape 2 sur 3: Paramètres du tunnel VPN

... 31 Etape 3 sur 3: Synthèse

... 31 2 Configuration Tunnel VPN

... 31 Comment créer un tunnel VPN ?

... 32 Multiplicité des Phases 1 et 2 (Authentication et Configuration IPSec)

... 32 Fonctionnalités avancées

... 32 3 Authentification ou Phase 1

... 32 Qu'est ce que la Phase 1 ?

... 33 Phase 1 Description des paramètres

... 34 Phase 1 Description des paramètres avancés

... 36 4 IPSec Configuration ou Phase 2

... 36 Qu'est ce que la Phase 2 ?

... 37 Phase 2 Description des paramètres

... 39 Phase 2 Description des paramètres Avancés

... 39 Configuration des Scripts

... 40 5 Paramètres Globaux

... 40 Description des paramètres Globaux

... 42 6 Gestion des Tunnels VPN

... 42 Comment visualiser les tunnels VPN ouverts ?

... 43 7 Mode USB

... 43 Qu'est ce que le Mode USB ?

... 43 Comment activer le Mode USB ?

... 44 Comment activer un Stick USB ?

... 45 Comment ouvrir automatiquement les tunnels sur insertion du Stick USB ?

... 45 8 Gestion des Certificats

... 45 Introduction

... 46 Comment configurer le Client VPN IPSec avec Certificats PKCS#12 ?

... 47 Comment configurer le Client VPN IPSec avec Certificats PEM ?

... 48 Gestion Carte à Puce et Token

... 48 Comment configurer un tunnel avec le Certificat d'une SmartCard

... 51 Comment utiliser un tunnel avec le Certificat d'une SmartCard

... 51 SmartCard Troubleshooting

... 52 9 Gestion des Configurations VPN

... 52 Comment Importer ou Exporter une configuration VPN ?

... 53 Embarquer une Configuration VPN dans le Setup du Client VPN

... 53 Configuration VPN par défaut

... 53 10 Documents de support complémentaires

Part VII Déploiement 55

... 55 1 Configuration VPN embarquée

... 55 2 Options du Setup

... 55 Introduction des Options du Setup

... 55 Option Setup pour l'Interface Utilisateur

... 55 Option Setup pour control d'accès à l'Interface Utilisateur

... 56 Option Setup pour les items du menu en barre de tâches

... 56 Autres Options de Setup

... 57 3 Outils ligne de commande

... 57 Stopper le Client VPN: option "/stop"

... 57 Importer ou exporter une Configuration VPN

(5)

III

III TheGreenBow Client VPN IPSec - Guide Utilisateur

Part VIII Console et Traces 60

... 60 1 Description des fonctions

... 61 2 Description des filtres

Part IX Traduction du logiciel 63

Part X Contacts 65

Index 66

(6)

Présentation du Client VPN TheGreenBow

Section

I

(7)

Présentation du Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

2

Propriete de TheGreenBow© - Sistech SA 2000-2007

1 Présentation du Client VPN TheGreenBow

1.1 Pourquoi le Client VPN IPSec TheGreenBow?

Le Client VPN IPSec TheGreenBow est un logiciel de sécurisation des communications réseaux.

Disponible pour toutes versions Windows, il est basé sur la technologie VPN IPSec conforme au standard du marché (Internet Protocol Security). Il permet d'établir des connexions VPN via Internet entre des utilisateurs distants et le système d'information de l'entreprise. IPSec est le moyen le plus sûr aujourd'hui pour se connecter à son entreprise puisqu'il permet une

authentification forte de l'utilisateur, un chiffrement fort des tunnels, et la capacité de s'intégrer dans le SI (Système d'Information) existant.

Le Client VPN IPSec TheGreenBow complète la gamme de produits de sécurité pour Entreprise TheGreenBow. Comme tous les produits de la gamme, il respecte notre philosophie d'extrême simplicité d'installation et d'utilisation.

1.2 Solution VPN Multi Gateway

La première priorité de TheGreenBow est le support du plus grand nombre de passerelles/routeurs VPN IPSec disponibles sur le marché pour offrir une vraie solution multi-vendeurs aux entreprises.

TheGreenBow a ainsi certifié les routeurs BeWan, CISCO, Linksys, Netscreen, Sonicwall, Symantec, Zyxel et des appliances Linux comme StrongS/WAN et FreeS/WAN. La liste complète des passerelles/routeurs compatibles est disponible sur notre site web. Cette liste augmente régulièrement. Pour faciliter le travail des intégrateurs, plusieurs guides de configuration de passerelles/routeurs sont disponibles sur notre site.

1.3 Support des Appliances Linux

TheGreenBow supporte les différentes implémentations VPN IPSec Linux comme StrongS/WAN et FreeS/WAN. Ainsi le Client VPN IPSec TheGreenBow est compatible avec tous les routeurs IPSec basés sur ces implémentations Linux. La liste des appliances Linux est aussi disponible sur notre site web.

1.4 Les fonctionnalités du Client VPN IPSec TheGreenBow

Versions Windows supportées Win98 ,Me, NT, Win2000, WinXP (Tous Service Packs)

Mode de Connexion Fonctionne en mode VPN peer-to-gateway ou peer- to-peer (configuration point à point sans Gateway ou serveur).

Tous les types de connexions comme Dial up, DSL, Cable, GSM/GPRS et WiFi sont supportés.

Permet le filtrage d'adresse IP par plage (IP Range).

Tunneling Protocol Support IKE complet: Le module IKE est basé sur une souche de l'OpenBSD 3.1 (ISAKMPD) qui garantit l'interopérabilité avec les solutions de serveurs et de routeurs IPSec leaders du marché.

Support IPSec complet:

· Main mode et Aggressive mode

· Algorithmes Hash MD5 et SHA

· Changement de Port IKE

(8)

Présentation du Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

3

Propriete de TheGreenBow© - Sistech SA 2000-2007 NAT Traversal NAT Traversal Draft 1 (enhanced), Draft 2 et 3

(implémentation complète)

· Incluant le support NAT_OA

· Incluant NAT keepalive

· Incluant NAT-T mode agressif

NAT-T en mode Forcé, Désactivé ou Automatique Chiffrement Chiffrement 3DES, DES et AES 128/192/256 bits.

Authentification Utilisateur · Support de X-AUTH

· Pre-shared key et support des Certificats X509. Compatible avec les Routeurs IPSec les plus courants.

· Support de Group 1, 2, 5 et 14 (i.e. 768, 1024, 1536 et 2048)

· Formats de Certificats PEM, PKCS12

· Supporte un Certificat par tunnel

· Support de l'authentification Hybrid Mode

· Support de Carte à Puce (SmartCard) Dead Peer Detection (DPD) DPD est une extension (i.e. RFC3706) de IKE

(Internet Key Exchange) qui permet la détection d'extrémités IKE non actives. Ce mécanisme est utilisé dans la fonction de Redundant Gateway (i.e.

Gateway Secours)

Redundant Gateway La fonctionnalité de Redundant Gateway (i.e.

Gateway Secours) améliore la disponibilité de l'accès au réseau d'entreprise. La fonction de Redundant Gateway permet au Client VPN TheGreenBow d'ouvrir un tunnel VPN IPSec avec une gateway de secours dans le cas où la gateway principale est inaccessible ou non opérationnelle.

Mode-Config Le "Mode-Config" est une extension de IKE (Internet Key Exchange) qui permet de récupérer certains paramètres réseau comme les adresses IP du serveur DNS, du serveur WINS et l'adresse IP virtuelle du Client VPN depuis la gateway distante et de les utiliser dans la configuration VPN du Client VPN. Avec Config-Mode, l'utilisateur est capable de trouver un serveur sur le réseau distant en utilisant son nom sur le réseau au lieu de son adresse IP (e.g.

//myserver/marketing/budget).

Stick USB Les configurations VPN et les éléments de sécurité (e.g. Certificats, preshared key, …) peuvent être sauvegardés sur un Stick USB de façon à supprimer les informations d'authentification de la machine.

L'ouverture et la fermeture d'un tunnel peuvent être conditionnées à l'insertion et extraction du stick USB.

Token et Cartes à Puces Le Client VPN IPSec TheGreenBow peut lire les Certificats depuis les Cartes à Puces. En particulier, les cartes à puces ou autres badges utilisés en entreprise peuvent être exploités par le logiciel.

Console de Log Tous les messages des différentes phases sont loggés pour faciliter les tests et les phases de déploiement. Différents filtres (10) permettent de simplifier l'analyse des messages.

Interface utilisateur réduite L'installation silencieuse et l'interface graphique invisible permet au Responsable Informatique de déployer une solution VPN avec la garantie que les configurations VPN ne seront pas modifiées par l'utilisateur. Ainsi, le Panneau de Connexion peut être masqué, et l'accès au Panneau de Configuration peut être interdit ou protégé par mot de passe.

(9)

Présentation du Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

4

Propriete de TheGreenBow© - Sistech SA 2000-2007

Scripts Des scripts et applications peuvent être lancés

automatiquement avant ou après ouverture d'un tunnel, avant ou après fermeture d'un tunnel.

Gestion des Configuration VPN La configuration VPN du Client VPN peut être effectuée via le Panneau de Configuration ou via un jeu de commandes en ligne.

Les éléments de sécurité VPN sont chiffrés et la totalité de la configuration VPN peut être protégée par mot de passe.

L'installation du logiciel peut être effectuée en mode silencieux.

Le Client VPN inclut une Configuration VPN dite 'Configuration par Défaut' pour test avec les serveurs TheGreenBow.

Live update Le Client VPN est doté d'un mécanisme de mise à jour incrémentale qui permet de n'effectuer les mises à jour que pour les modules d'authentification ou de chiffrement nécessaires.

Licence Logiciel Licence Logiciel temporaire, définitive ou basée sur le numéro de version.

1.5 OEM et Customisation du Logiciel

L'offre TheGreenBow VPN s'adresse aux constructeurs et intégrateurs de solutions VPN globales qui proposent les technologies VPN IPSec sur leurs solutions matérielles et dans leurs

architectures. Nos produits sont ainsi customisables sur demande.

(10)

Installer le Client VPN TheGreenBow

Section

II

(11)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

6

Propriete de TheGreenBow© - Sistech SA 2000-2007

2 Installer le Client VPN TheGreenBow

2.1 Installation du logiciel

L'installation du Client VPN TheGreenBow est une installation Windows classique, qui ne nécessite la saisie d'aucune information. L'installation se termine par un redémarrage de l'ordinateur.

A l'issue du redémarrage, après l'ouverture de la session Windows, une fenêtre s'ouvre avec les options suivantes:

· "Quitter" ferme la fenêtre et le logiciel.

· "Evaluer" permet de continuer à évaluer le logiciel. La période d'évaluation est affichée dans la zone orange.

· "Activer" permet d'activer le logiciel en ligne. Cette étape nécessite un Numéro de Licence.

En cliquant sur le bouton "Activer", un Assistant d'Activation en deux étapes apparait.

· "Acheter" permet d'acheter une licence sur la boutique en ligne TheGreenBow.

Attention : sur station Windows NT, 2000 et XP, l'installation du Client VPN TheGreenBow nécessite d'être en mode Administrateur. Si ce n'est pas le cas, l'installation s'arrête après le choix de la langue par un message d'avertissement.

Raccourcis : A l'issue de l'installation, le Client VPN TheGreenBow est accessible :

· depuis le bureau Windows, en double-cliquant sur l'icône TheGreenBow Client VPN

· depuis l'icône Client VPN situé en barre des tâches

· depuis le menu Démarrer > Programmes > TheGreenBow > VPN > TheGreenBow Client VPN

Note: L'installation peut être customisée via un certain nombre de paramètres passés en ligne de commande. Pour plus de détails, veuillez vous référer au document "VPN Deployment Guide"

aussi disponible sur notre site web.

(12)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

7

Propriete de TheGreenBow© - Sistech SA 2000-2007

2.2 Evaluation du logiciel

Il est possible d'utiliser le Client VPN TheGreenBow en version d'évaluation - limitée à 30 jours d'utilisation - en cliquant sur le bouton "Evaluer". Tant que le Client VPN est utilisé en mode

"Evaluation", la fenêtre d'activation s'affiche systématiquement à chaque nouveau démarrage du Client VPN.

Une fois la période d'évaluation expirée, le bouton "Evaluer" n'est plus disponible et le software n'est plus accessible. Seul le bouton "Activer" est disponible.

2.3 Licence Logiciel Temporaire

Une Licence Logiciel Temporaire peut être fournie par exemple pour des périodes de test importantes.

La période de validité est de 1 à 35 semaines. Pour recevoir une Licence Logiciel Temporaire vous pouvez contacter l'équipe de ventes: sales@thegreenbow.fr

La période de validité d'une Licence Logiciel Temporaire et la durée d'usage restante sont affichées dans la première fenêtre du Client VPN IPSec ou via le menu 'A propos':

(13)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

8

Propriete de TheGreenBow© - Sistech SA 2000-2007 A la fin de la période de validité le Client VPN IPSec ne fonctionne plus, le bouton 'Evaluer' est

désactivé. L'utilisateur peut 'Acheter' ou 'Activer' une Licence Logiciel.

Pendant la période de validité d'une Licence Logiciel Temporaire, la fenêtre d'Activation est accessible depuis le Panneau de Configuration. Cela permet à l'utilisateur d'activer un Numéro de Licence différent, typiquement comme une Licence Définitive, après les tests.

(14)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

9

Propriete de TheGreenBow© - Sistech SA 2000-2007

2.4 Assistant d'Activation

2.4.1 Assistant d'activation en deux étapes

L'Assistant d'Activation se déroule en deux étapes. Il permet d'activer le logiciel en ligne en quelques secondes. L'activation nécessite un numéro de licence.

L'Assistant d'Activation peut être lancé :

· Depuis le Panneau de Configuration en cliquant sur le menu "?" puis sur "Assistant Activation...".

· Depuis la fenêtre d'évaluation (lancement du logiciel) en cliquant sur 'Activer'

2.4.2 Etape 1 sur 2: Saisir le numéro de licence

L'activation nécessite un Numéro de Licence.

Saisir votre Numéro de Licence, votre adresse email et cliquer sur 'Suivant':

Attention: Si votre Numéro de Licence est un numéro de 20 chiffres, vous devez changer de format de saisie en cliquant sur "Cliquer ici pour entrer une licence de 20 caractères" en dessous du champ Numéro de Licence.

Note: L'adresse email est utilisée pour renvoyer à l'utilisateur une confirmation d'activation une fois l'activation terminée.

Note: L'adresse email peut ne pas être nécessaire. Le Responsable Informatique peut forcer la valeur de ce champ dans le 'setup', elle sera alors affichée à l'étape 1 de l'Assistant d'Activation Logiciel. Ceci est particulièrement adapté pour centraliser sur une seule adresse email toutes les Confirmations email d'Activation Logiciel.

(15)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

10

Propriete de TheGreenBow© - Sistech SA 2000-2007

2.4.3 Etape 2 sur 2: Activation en ligne

L'Assistant d'Activation se connecte automatiquement au serveur d'activation en ligne pour activer le logiciel Client VPN IPSec. Vous pouvez revenir en arrière à tout moment en utilisant le bouton 'Précédent' pour changer le Numéro de Licence par exemple.

L'Assistant d'Activation se termine par une Activation avec succès.

2.4.4 Erreurs d'activation

Dans le cas ou une erreur intervient pendant l'activation, un code d'erreur est affiché immédiatement. Les explications et recommandations associées permettant de résoudre le problème sont alors disponibles en ligne en cliquant sur le lien "Plus d'information sur cette erreur"

ou l'icône d'aide i.e. "?".

(16)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

11

Propriete de TheGreenBow© - Sistech SA 2000-2007 La plupart des erreurs peuvent être résolues en vérifiant les quelques points suivants:

1. Vérifier que le Numéro de Licence est correct (erreur 031).

2. La communication avec le serveur en ligne d'Activation Logiciel peut être filtrée par un proxy (erreur 053 ou erreur 054). Vous pouvez configurer le proxy de votre entreprise dans l'étape 1 de l'Assistant d'Activation.

3. La communication avec le serveur en ligne d'Activation Logiciel peut être filtrée par un Firewall (erreur 053 ou erreur 054). Vérifier si un Firewall personnel ou Firewall d'entreprise ne bloque les messages.

4. Le serveur en ligne d'Activation Logiciel peut être temporairement indisponible. Ré- essayer l'activation quelques minutes plus tard.

5. Votre Numéro de Licence est déjà activé (erreur 033). Vous pouvez contacter notre équipe de vente: sales@thegreenbow.fr

Toutes les erreurs d'activation logiciel sont détaillées sur notre site web:

http://www.thegreenbow.fr/help.html?subject=osa&id=001

Note: Si l'Activation Logiciel en ligne ne fonctionne pas malgré les recommandations précédentes, il est toujours possible d'activer le Client VPN IPSec manuellement sur notre site web: http://www.thegreenbow.fr/activation/osa_manual.html. Ceci permet aux

utilisateurs d'activer complètement et immédiatement le Logiciel.

2.5 Mise a Jour Logiciel

Attention: Le Client VPN IPSec nécessite une Activation après chaque mise à jour du logiciel. En fonction du status de votre contrat de Maintenance, une Activation Logiciel peut être rejetée. Lire les recommandations suivantes avec attention et vérifier en ligne le status de votre contrat de maintenance en cliquant sur le menu "?"

puis "Mise à jour" dans le 'Panneau de Configuration'.

Le succès d'une mise à jour logiciel dépend de votre contrat de maintenance:

1. Pendant la période de maintenance (qui commence lors de la première activation logiciel), toutes mises à jour logiciel est possible.

(17)

Installer le Client VPN TheGreenBow

TheGreenBow Client VPN IPSec - Guide Utilisateur

12

Propriete de TheGreenBow© - Sistech SA 2000-2007 2. Une fois la période de maintenance expirée (ou si vous n'avez pas de contrat de

maintenance), seules les mises jour avec des versions mineures sont possibles. Une version mineure est identifiée par le dernier digit du numéro de version.

Exemple: Ma maintenance a expiré et la version installée actuellement est la 3.12.

Je peux faire une mise à jour et activer cette mise jour avec les versions 3.13 à 3.19 seulement.

Les mises à jour avec les versions 3.20, 3.30 ou 4.0 ne pourront pas être activées.

Pour étendre votre contrat de maintenance, vous pouvez contacter notre équipe de ventes:

sales@thegreenbow.fr

Note: Votre Configuration VPN est sauvée pendant la mise à jour logiciel et automatiquement prise en compte par la nouvelle version.

2.6 Désinstallation du logiciel

Le logiciel Client VPN TheGreenBow se désinstalle de différentes façons :

· Depuis le panneau de contrôle Windows en sélectionnant "Ajout/Suppression de programmes"

· Depuis le menu Démarrer > Programmes > TheGreenBow > VPN > Désinstaller Client VPN

(18)

Quelques HowTo

Section

III

(19)

Quelques HowTo

TheGreenBow Client VPN IPSec - Guide Utilisateur

14

Propriete de TheGreenBow© - Sistech SA 2000-2007

3 Quelques HowTo

3.1 Comment ouvrir un tunnel VPN ?

Comment ouvrir un tunnel VPN (une fois configuré):

· Panneau de Connexion > Open

· Icon en barre de tache > cliquer sur 'Ouvrir xxx'

· 'Automatique sur détection de trafic'

· 'Automatique sur insertion du Stick USB'

· 'Automatique quand MS Windows démarre' (avant ou après le login)

· Double clic sur une Configuration VPN (e.g. icône sur le Bureau Windows, pièce jointe à un email)

3.2 Comment tester un tunnel VPN ?

Pour résoudre les problèmes rencontrés au cours de la mise au point des configurations VPN vous pouvez utiliser les outils et documents suivants sur notre site web:

· Document TroubleShooting (pdf).

· Aide en ligne (html).

· Support en ligne incluant l'activation logiciel en ligne.

· Utiliser la Configuration VPN par Défaut pour valider votre réseau.

· Voir aussi les FAQs Client VPN IPSec.

3.3 Comment importer une Configuration VPN par simple double clic

?

Aussi appelé 'Mode Dial up': Un tunnel peut être ouvert par un simple double clic sur une

Configuration VPN (i.e. extension fichier '.tgb'). Ceci permet de créer plusieurs Configurations VPN sur le Bureau Windows et d'ouvrir chaque tunnel en cliquant sur l'un des icônes raccourcis.

Pour créer un icône raccourci :

Etape1: Configurer une Configuration VPN dans le Panneau de Configuration.

Etape2: Dans la 'Phase 2 Paramètres Avancés', configurer le tunnel avec 'Ouvrir automatiquement ce tunnel au démarrage du Client VPN'.

Etape3: Exporter la Configuration VPN sur votre Bureau Windows.

Note: Il est possible de protéger la Configuration VPN avec un mot de passe au moment de l'export. Le mot de passe est demandé à l'utilisateur lors du double clic sur l'icône.

(20)

Quelques HowTo

TheGreenBow Client VPN IPSec - Guide Utilisateur

15

Propriete de TheGreenBow© - Sistech SA 2000-2007

(21)

Navigation et Interface Utilisateur

Section

IV

(22)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

17

Propriete de TheGreenBow© - Sistech SA 2000-2007

4 Navigation et Interface Utilisateur

4.1 Interface utilisateur

Le Client VPN IPSec TheGreenBow est totalement autonome et ne nécessite pas d'intégration particulière avec d'autres logiciels. Il peut aussi établir ou fermer des tunnels VPN sans

intervention de l'utilisateur en fonction du trafic vers certaines destinations. Il nécessite simplement d'être configuré.

L'interface du logiciel permet de créer, modifier, sauver, exporter ou importer les configurations VPN avec les éléments de sécurité (e.g. Preshared key, Certificats, ...).

La configuration du Client VPN IPSec est définie dans un fichier de configuration.

Les différents éléments de l'interface utilisateur sont les suivants:

· Panneau de Configuration

· Panneau de Connexion

· Menus principaux

· Icône en barre des tâches

· Barre de status

· Assistants

· Préferences

(23)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

18

Propriete de TheGreenBow© - Sistech SA 2000-2007

4.2 Icône en barre des tâches

Le Client VPN TheGreenBow est identifié, en utilisation courante, par un icône situé en barre des tâches. L'interface graphique du Client VPN peut être ouverte par simple clic sur cet icône.

Cet icône indique l'état des tunnels. Le code des couleurs de l'icône Client VPN est le suivant:

Icône bleu: aucun tunnel VPN n'est ouvert Icône vert: au moins un tunnel VPN est ouvert Un clic gauche sur l'icône Client VPN ouvre l'interface du logiciel.

Un clic droit sur l'icône VPN affiche le menu suivant :

· Liste des tunnels configurés avec leur status. Ces tunnels peuvent aussi être ouverts ou fermés depuis ce menu.

· 'Sauver & Appliquer' permet de sauver les modifications de configuration pour pouvoir relancer l'ouverture des tunnels VPN avec les nouveaux paramètres de configuration.

· 'Console' lance la fenêtre de traces VPN.

· 'Panneau des Connexions' ouvre le Panneau de Connexions.

· 'Quitter' ferme les connexions (tunnels) en cours, arrête le moteur VPN et ferme l'interface du logiciel. Pour redémarrer le Client VPN TheGreenBow, il suffit de cliquer sur l'icône TheGreenBow VPN sur le bureau Windows, ou de cliquer sur le menu "Démarrer >

Programmes > TheGreenBow > VPN > TheGreenBow VPN".

Le 'tooltip' de l'icône VPN indique à tout moment l'état du Client VPN TheGreenBow :

· 'Tunnel [NomDuTunnel]' si un ou plusieurs tunnels sont actifs.

· 'Attente VPN prêt...' pendant le temps de lancement du moteur VPN IKE.

· 'TheGreenBow Client VPN' lorsque le Client VPN est lancé, sans tunnel ouvert.

4.3 Raccourcis

Cette fonctionnalité améliore la facilité d'usage du logiciel.

Raccourcis Actions

Ctrl + P Bascule entre le Panneau de Configuration et le Panneau de Connexion.

Note: Si le Panneau de Configuration est protégé par un mot de passe, ce mot de passe est demandé à l'utilisateur lorsqu'il bascule du Panneau de Connexion vers le Panneau de Configuration.

Ctrl + C Ouvre la Console de debug.

Ctrl + A 'Sauver & Appliquer' une Configuration VPN.

(24)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

19

Propriete de TheGreenBow© - Sistech SA 2000-2007

4.4 Panneau de Configuration

Le Panneau de Configuration est composé des éléments suivants:

· Trois boutons 'Console', 'Paramètres' et 'Tunnels'

· Une arborescence en colonne de gauche, qui décrit toutes les configurations IKE et IPSec du Client VPN

· Une fenêtre de configuration contextuelle dépendant du niveau de l'arborescence choisi.

Un fichier de Configuration VPN (i.e. extension '.tgb') peut être glissé/déposé sur le Panneau de Configuration. Ceci permet d'importer rapidement une Configuration VPN. Si le tunnel est configuré pour être 'ouvert quand le Client VPN démarre' (voir section 'Phase 2 Paramètres Avancés'), il s'ouvrira dès que l'utilisateur clique sur 'Sauver & Appliquer'

4.4.1 Menus principaux

Les menus principaux sont les suivants:

· Le menu 'Fichier' contient les fonctions Import ou Export de configuration. En particulier, il est possible d'importer or exporter des configurations VPN depuis ou vers n'importe quels emplacements comme un serveur, un disque local ou un Stick USB. Le mode Stick USB et les Préférences peuvent être activés depuis ce menu.

· Le menu 'Configuration VPN' reprend toutes les actions du menu contextuel de l'arborescence. Il donne aussi accès à tout moment à l'Assistant de Configuration.

· Le menu ''Affichage' permet de configurer les éléments auxquels l'utilisateur final a accès.

· Le menu 'Outils' reprend les fonctions des boutons 'Console' et 'Connexions'.

(25)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

20

Propriete de TheGreenBow© - Sistech SA 2000-2007

· Le menu '?' donne accès à l'aide en ligne, à l'Assistant d'Activation et à la fenêtre 'A propos'.

4.4.2 Barre de status

La barre de status (bas de la fenêtre de l'application) peut indiquer plusieurs types d'information :

· La zone gauche indique la localisation du fichier de configuration VPN et le cas échéant l'état actif ou inactif du mode stick USB.

· La zone centrale donne des informations sur l'état général du logiciel Client VPN IPSec (e.g.

"VPN prêt", "VPN Tunnel ouvert", "Sauvegarde configuration en cours", …).

· La zone droite indique l'état des tunnels :

signifie qu'au moins un tunnel est ouvert signifie qu'aucun tunnel n'est ouvert

4.4.3 Fenêtre "A propos"

La fenêtre 'A propos' précise les versions de l'interface et du moteur IKE du Client VPN ainsi que le nombre de jours d'évaluation restant. Elle offre aussi un lien direct sur notre site web.

4.4.4 Contrôle d'accès à la Configuration (Interface Réduite)

Cette fonctionnalité est spécifiquement conçue pour les Responsables Informatiques. Il est possible de bloquer l'accès à l'interface de configuration du Client VPN et de le rendre invisible à l'utilisateur final par utilisation d'un mot de passe.

(26)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

21

Propriete de TheGreenBow© - Sistech SA 2000-2007 Lorsque cette option est configurée, l'interface graphique ne peut pas être ouverte (ni par double- clic sur l'icône du bureau, ni par sélection du menu Démarrer), et le menu déroulant dans la barre des tâches se réduit à l'accès à la console, à l'ouverture/fermeture des tunnels configurés et au menu 'quitter' :

Une fois mise en place, l'utilisateur final se verra demander son mot de passe:

· quand il clique (ou double-clique) sur l'icône en barre des tâches

· quand il bascule du Panneau de Connexion vers le Panneau de Configuration

Ce mot de passe peut être configuré dans les Options du Setup.

La fenêtre de Contrôle d'Accès, disponible dans le Menu 'Affichage > Configuration...' dans le Panneau de Configuration, permet aussi de configurer les items du menu associé à l'icône en barre des tâches.

Le Responsable Informatique peut restreindre partiellement ou complètement l'accès au Panneau de Configuration jusqu'à le rendre invisible à l'utilisateur final. L'accès au Panneau de Connexion n'est pas restreint.

(27)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

22

Propriete de TheGreenBow© - Sistech SA 2000-2007 Pour configurer la restriction d'accès, renseigner les champs 'mot de passe' et 'Confirmer' puis

cliquer 'OK'.

Note: L'item 'Quitter' pour le menu en barre des tâches ne peut être supprimé depuis le logiciel.

Toutefois il peut être supprimé en utilisant les Options du Setup.

4.4.5 Assistants

Le logiciel propose deux Assitants:

· Assistant de Configuration VPN accessible via le Menu "VPN configuration > Assistant de Configuration"

· Assistant d'Activation accessible soit depuis la fenêtre d'évaluation affichée au lancement du logiciel, soit via le Menu "? > Assistant d'Activation"

4.4.6 Préférences

La fenêtre des Préférences permet :

· De définir le mode de démarrage du logiciel.

· D'activer/désactiver la détection de déconnexion de l'interface réseau.

Les Préférences sont disponibles via le Menu 'Fichier' puis 'Préférences'.

(28)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

23

Propriete de TheGreenBow© - Sistech SA 2000-2007 Mode de démarrage du logiciel

Le Client VPN IPSec TheGreenBow peut démarrer suivant différents modes :

· 'Démarrer le Client VPN IPSec avant le logon Windows': Ce mode peut être utilisé pour sécuriser un login distant.

· 'Démarrer le Client VPN IPSec aprés le logon Windows'.

· 'Ne pas démarrer le Client VPN IPSec quand Windows démarre': le Client VPN est démarré manuellement par l'utilisateur.

Divers

Désactiver la détection de déconnexion de l'interface réseau permet au Client VPN de ne pas fermer les tunnels ouverts sur déconnexions momentanées mais fréquentes. Ce type de comportement est observé sur des connexions de type GPRS/3G ou WiFi.

4.5 Panneau de Connexion

Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il permet d'identifier de façon particulièrement claire les erreurs de connexion.

Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de Configuration par un mot de passe.

(29)

Navigation et Interface Utilisateur

TheGreenBow Client VPN IPSec - Guide Utilisateur

24

Propriete de TheGreenBow© - Sistech SA 2000-2007

(30)

Panneau de Connexion

Section

V

(31)

Panneau de Connexion

TheGreenBow Client VPN IPSec - Guide Utilisateur

26

Propriete de TheGreenBow© - Sistech SA 2000-2007

5 Panneau de Connexion

5.1 Eléments du Panneau de Connexion

Le Panneau de Connexion est spécifiquement conçu pour les utilisateurs finaux. Il permet d'ouvrir et de fermer un tunnel, et de visualiser la progression de l'ouverture d'un tunnel. Le cas échéant, il permet d'identifier de façon particulièrement claire les erreurs de connexion.

Le logiciel permet de passer du Panneau de Connexion au Panneau de Configuration simplement via le raccourci 'Ctrl+P'. Cette fonctionnalité peut être bridée en protégeant l'accès au Panneau de Configuration par un mot de passe.

Pour ouvrir un tunnel, il suffit de cliquer sur le bouton 'Ouvrir' associé à ce tunnel. Ce bouton bascule automatiquement à 'Fermer' dès que le tunnel est ouvert. Un clic sur le nom du tunnel ouvre automatiquement le Panneau de Configuration, permettant de changer la configuration de ce tunnel. Ce dispositif est désactivé quand le Panneau de Connexion est protégé par un mot de passe.

Il est également possible d'appliquer automatiquement une nouvelle Configuration VPN en glissant une configuration VPN sur le Panneau de Connexion. Si un tunnel est configuré pour être

automatiquement ouvert quand le <%%PRODUCT2> démarre (voir section 'Phase 2 Paramètres Avancés'), il sera immédiatement ouvert dès que la nouvelle Configuration VPN sera appliquée (i.

e. 'Sauver & Appliquer')

5.2 Informations et Alertes dans le Panneau de Connexion

Lorsqu'un problème se produit pendant l'ouverture du tunnel, il est identifié par un segment orange sur la barre de progression, et par un lien 'warning' dans la colonne de status du tunnel concerné :

(32)

Panneau de Connexion

TheGreenBow Client VPN IPSec - Guide Utilisateur

27

Propriete de TheGreenBow© - Sistech SA 2000-2007 En cliquant sur le lien 'warning', une fenêtre d'explication du problème est affichée. Cette fenêtre aide l'utilisateur ou le responsable informatique à identifier le problème. Elle contient de plus un lien vers nos pages web d'aide en ligne qui détaillent les symptômes d'erreurs et donnent des informations sur les possibilités de résolution du problème rencontré.

(33)

VPN Configuration

Section

VI

(34)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

29

Propriete de TheGreenBow© - Sistech SA 2000-2007

6 VPN Configuration

6.1 Assistant de Configuration

6.1.1 Assistant de Configuration en trois étapes

Le Client VPN IPSec TheGreenBow intègre un "Assistant de Configuration" qui permet de créer une configuration complète en trois étapes. Cet Assistant est optimisé pour la connexion d'un poste nomade sur l'Internet ayant besoin de se connecter à un réseau local d'entreprise en passant par un routeur VPN.

Voici ci-dessous le schéma représentant les différents éléments de notre exemple de connexion VPN :

· Le poste nomade dispose d'une adresse IP publique 195.100.205.101.

· Il souhaite accéder au réseau local situé derrière le routeur qui a pour adresse DNS publique routeur.mydomain.com.

· Dans le réseau local de l'entreprise, le nomade aura pour adresse IP privée 192.168.1.50

· Il pourra accéder aux ressources du réseau local, notamment un serveur ayant l'adresse IP privée 192.168.1.101.

Note : Les configurations plus complexes du Client VPN ou spécifiques à certains routeurs compatibles sont disponibles sur notre site web.

Pour accéder à l'Assistant de Configuration, sélectionner le menu 'Configuration > Assistant'.

6.1.2 Etape 1 sur 3: Choix de l'équipement distant

La première étape permet de choisir le type d'équipement utilisé à l'extrêmité du tunnel :

· Un routeur pour une connexion à l'entreprise

· Un autre ordinateur pour une connexion peer-2-peer.

(35)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

30

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.1.3 Etape 2 sur 3: Paramètres du tunnel VPN

La deuxième étape permet de déterminer les caractéristiques du tunnel VPN:

· L'adresse IP publique ou DNS (coté réseau Internet) du routeur VPN (e.g. routeur.

mydomain.com)

· La preshared key qui sera utilisée pour authentifier l'utilisateur (doit être identique dans le routeur)

· L'adresse IP du réseau LAN de l'entreprise (e.g. préciser 192.168.1.0)

(36)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

31

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.1.4 Etape 3 sur 3: Synthèse

La troisième étape résume tous les paramètres de configuration VPN choisis. Les autres paramètres peuvent être configurés directement depuis le Panneau de Configuration (e.g.

Certificats, adresse IP virtuelle, …).

A la fermeture de cette troisième étape, la configuration VPN complète apparaît dans l'arborescence du Panneau de Configuration.

6.2 Configuration Tunnel VPN

6.2.1 Comment créer un tunnel VPN ?

Pour créer un tunnel VPN directement depuis le Panneau de Configuration (sans utiliser l'Assistant de Configuration), suivre les étapes suivantes:

1. Clic droit sur 'Configuration' dans l'arborescence et sélectionner 'Nouvelle Phase 1'

2. Configurer la Phase d'Authentification (Phase 1)

3. Clic droit sur la 'Phase 1' dans l'arborescence et sélectionner 'Ajouter Phase 2'

4. Configurer la Phase IPSec (Phase 2)

5. Cliquer sur le bouton 'Sauver & Appliquer' pour que la nouvelle configuration soit prise en compte.

6. Ouvrir le tunnel directement en cliquant sur le bouton 'Ouvrir le tunnel' (fenêtre 'Phase2') Pour la description des paramêtres voir aussi Phase 1 ou Phase 2.

(37)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

32

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.2.2 Multiplicité des Phases 1 et 2 (Authentication et Configuration IPSec)

Plusieurs Phases d'Authentification (Phase 1) peuvent être configurées. Ceci permet de créer depuis un même poste plusieurs tunnels vers plusieurs routeurs VPN différents.

De même, plusieurs Configurations IPSec (Phase 2) peuvent être créées pour une même Phase d'Authentification (Phase 1).

6.2.3 Fonctionnalités avancées

Les fonctionnalités avancées et autres paramètres peuvent être définis pour les Phase1 et Phase2.

Ceux définis dans la Phase1 s'appliquent à toutes les Phases 2 de la configuration VPN courante :

· Activer/Désactiver Config Mode

· Activer/Désactiver NAT-T Mode Agressif

· Activer/Désactiver Gateway Secours

· Sélectionner le mode NAT-T (Forcé, Désactivé ou Automatique)

· Saisir Login/mot de passe pour X-Auth avec option "Se souvenir du login/mot de passe"

Ceux définis dans la Phase2 s'appliquent seulement aux Phases 2 :

· Mode d'ouverture automatique de tunnel

· Choisir un script/application à lancer sur ouverture d'un tunnel

· Configuration manuelle des adresses serveur DNS/WINS

6.3 Authentification ou Phase 1

6.3.1 Qu'est ce que la Phase 1 ?

La page 'Authentification' permet de configurer les différents éléments d'une Phase d'Authentification (alias Phase 1 ou Phase de négociation IKE).

Le but de la phase 1 est de négocier les règles de sécurité IKE, d'authentifier les correspondants, et de démarrer un tunnel sécurisé entre ces correspondants. Dans la Phase 1, chaque extrémité doit identifier et s'authentifier auprès des autres.

(38)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

33

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.3.2 Phase 1 Description des paramètres

Nom Identifiant de la Phase d'Authentification utilisé uniquement par le logiciel. Ce paramètre n'est, par exemple, pas transmis dans la négociation IKE.

Il est possible de modifier le nom d'une Phase à tout moment. Une modification de nom sera reflété dans l'arborescence. Deux phases ne peuvent pas avoir le même nom.

Interface Adresse IP de l'interface réseau sur laquelle la connexion VPN s'établit (dans notre exemple : 195.100.205.101).

Lorsque cette adresse IP n'est pas prédéfinie (c'est le cas par exemple lorsqu'elle est allouée dynamiquement par un FAI), sélectionner l'option

" Automatique ".

Adresse Router Distant Adresse IP ou adresse DNS du routeur VPN distant (dans notre exemple : routeur.mydomain.com). Ce champ doit être

obligatoirement renseigné.

Clé partagée Mot de passe ou clé partagée par le routeur ou le destinataire.

Certificats Certificat X509 utilisé par le Client VPN (voir Configuration Client VPN avec Certificats)

(39)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

34

Propriete de TheGreenBow© - Sistech SA 2000-2007 IKE Chiffrement Algorithme de chiffrement négocié au cours de la Phase

d'Authentification (3DES, AES, ...)

IKE authentification Algorithme d'authentification négocié au cours de la Phase d'Authentification (MD5, SHA, ...)

IKE Groupe de clé Longueur de clé Diffie-Hellman.

Une fois configurés, cliquer sur 'Sauver & Appliquer' pour que les paramètres soient pris en compte.

6.3.3 Phase 1 Description des paramètres avancés

Config-Mode Si sélectionné, le Client VPN active le Config-Mode. Le Config-Mode permet de recupérer certains éléments de configuration VPN depuis la gateway/routeur. Si le Config-Mode est selectionné et disponible sur la gateway, les paramètres suivants sont négociés entre le Client VPN IPSec et la gateway distante durant la Phase 1 IKE:

· Adresse IP Virtuelle du Client VPN

· Adresse du serveur DNS (optionnel)

· Adresse du serveur WINS (optionnel)

Dans le cas où la gateway ne supporte pas le Config-Mode, il est possible de configurer ces adresses IP de serveurs DNS/WINS pour chaque tunnel dans le Client VPN (voir 'P2 avancé').

(40)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

35

Propriete de TheGreenBow© - Sistech SA 2000-2007 Aggressive Mode Le Client VPN utilisera le mode agressif pour se connecter au

routeur VPN distant.

Redund. GW La fonctionnalité de Redundant Gateway (ou gateway de secours) permet au Client VPN TheGreenBow d'ouvrir un tunnel IPSec avec une gateway de secours dans le cas où la gateway primaire est indisponible ou inaccessible.

Pour activer la fonction de Gateway de Secours, saisir une adresse IP ou l'url de cette gateway (e.g. router.dyndns.com).

· Le Client VPN TheGreenBow va essayer de contacter la gateway primaire pour établir un tunnel. Si le tunnel ne peut être établi après plusieurs tentatives (5 par défaut, configurable dans la fenêtre "Paramètres" puis le champ "Retransmissions"), la gateway de secours est utilisée comme nouvelle destination.

Le délai entre chaque essais est de 10 sec environ.

· Dans le cas où la gateway primaire est accessible mais que l'ouverture du tunnel est impossible (e.g. problème de configuration VPN), le Client VPN n'essaye pas d'ouvrir les tunnels avec la gateway de secours. La configuration VPN nécessite des modifications.

· Dans le cas où le tunnel a été ouvert avec la gateway primaire et que celle-ci supporte le "Dead Peer Detection", le Client VPN essaye immédiatement d'ouvrir le tunnel avec la gateway de secours s'il détecte que la gateway primaire ne répond plus.

· Le même comportement s'applique pour la gateway de secours. Le Client VPN essayera d'ouvrir le tunnel avec la gateway de secours et primaire jusqu'à ce que l'utilisateur quitte le logiciel ou clique sur "Sauver & Appliquer".

Mode NAT-T Le mode NAT-T peut être Forcé, Désactivé ou Automatique.

NAT-T "Désactivé" interdit au Client VPN IPSec et à la gateway VPN de passer en mode NAT-Traversal.

NAT-T "Automatique" laisse la gateway VPN et le Client VPN IPSec négocier le mode NAT-Traversal.

Dans le mode NAT-T "Forcé" le Client VPN IPSec TheGreenBow force NAT-T par l'encapsulation systématique des packets IPSec dans des trames UDP pour résoudre les problèmes de NAT- Traversal dans certains routeurs intermédiaires.

Local ID Le 'Local ID' est l'identifiant de la Phase d'Authentification (Phase 1) que le Client VPN envoie au routeur VPN distant. Suivant le Type sélectionné, cet identifiant peut être :

· une adresse IP (type = Adresse IP), e.g. 195.100.205.101

· un nom de domaine (type = FQDN), e.g. gw.mydomain.net

· une adresse email (type = USER FQDN), e.g.

support@TheGreenBow.fr

· une chaîne de caractères (type = KEY ID), e.g. 123456

· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du Client VPN qui est utilisée par défaut.

(41)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

36

Propriete de TheGreenBow© - Sistech SA 2000-2007 Remote ID Le 'Remote ID' est l'identifiant que le Client VPN s'attend à recevoir

du routeur VPN distant. Suivant le type sélectionné, cet identifiant peut être :

· une adresse IP (type = Adresse IP), par exemple : 80.2.3.4

· un nom de domaine (type = FQDN), par exemple : routeur.

mondomaine.com

· une adresse email (type = USER FQDN), par exemple : admin@mydomain.com

· une chaîne de caractères (type = KEY ID), par exemple : 123456

· Quand ce paramètre n'est pas renseigné, c'est l'adresse IP du routeur VPN qui est utilisée par défaut.

X-Auth Saisir le Login et mot de passe choisis pour la négociation X-AUTH IPSec.

Si "X-Auth popup" est sélectionné, une fenêtre de saisie du login/

mot de passe X-Auth apparaîtra à chaque tentative d'ouverture de tunnel. L'utilisateur à 20 secondes pour saisir les paramètres avant que l'authentification X-Auth n'expire. Si l'authentification X-Auth n'est pas effectuée, le tunnel ne peut pas être ouvert.

Hybrid Authentication Mode

Le Mode Hybrid est un mode d'authentification simplifié utilisé dans la Phase 1 IKE.

L'authentification X-Auth classique s'effectue par identification/

authentification mutuelles entre le Client et la Gateway VPN, basées sur les techniques standard d'échanges de clés publiques. Le Mode Hybrid permet une authentification "asymétrique" qui autorise le Client à utiliser une technique d'authentification plus simple, comme un 'challenge response', aboutissant à une authentification

"unidirectionnelle".

Hybrid Mode est implémenté dans le Client VPN IPSec

TheGreenBow conformément à la RFC 'draft-ietf-ipsec-isakmp- hybrid-auth-05.txt'.

6.4 IPSec Configuration ou Phase 2

6.4.1 Qu'est ce que la Phase 2 ?

La page de 'Configuration IPSec' permet de configurer les différents paramètres de la Phase IPSec (alias Phase 2).

Le but de la phase 2 est de négocier les paramètres de sécurité qui seront appliqués à tout trafic passant par les tunnels VPN négociés pendant la Phase 1.

(42)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

37

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.4.2 Phase 2 Description des paramètres

Nom Identifiant de la Configuration IPSec utilisé uniquement par le logiciel.

Ce paramètre n'est pas transmis dans la négociation IPSec.

Il est possible de modifier le nom d'une Phase à tout moment.

Une modification de nom sera reflétée dans l'arborescence.

Deux phases ne peuvent avoir le même nom.

Adresse du Client VPN Adresse IP source affectée aux trames IPSec avant le tunneling.

Cette adresse est utilisée pour définir l'adresse IP "virtuelle" du poste sur le réseau distant, c'est-à-dire, l'adresse avec laquelle le poste sera "vu" sur le réseau distant par les autres machines.

Dans notre exemple, cette adresse vaut 192.168.1.50.

Type d'adresse L'extrémité du tunnel peut être un réseau ou un poste distant.

· Choisir 'Adresse réseau' pour un réseau. Dans ce cas, les deux paramètres 'Adresse Réseau Distant' et 'Masque Réseau' sont disponibles.

· Choisir 'Plage d'adresses' pour un réseau avec possibilité de restreindre la plage d'adresses IP sur lesquelles le trafic déclenche l'ouverture du tunnel automatiquement.

· Choisir 'Adresse Poste' pour un poste distant. Dans ce cas, seul le paramètre 'Poste distant' est disponible.

(43)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

38

Propriete de TheGreenBow© - Sistech SA 2000-2007 Adresse Réseau Distant /

Adresse Poste Distant

Adresse IP distante, ou adresse IP du routeur, qui déclenche l'ouverture du tunnel.

Masque réseau Masque de réseau (subnet mask)

Certificat Certificat X509 utilisé par le Client VPN (voir Mise en œuvre des Certificats)

ESP Chiffrement Algorithme de chiffrement négocié au cours de la Phase IPSec (3DES, AES, ...)

ESP Authentification Algorithme d'authentification négocié au cours de la Phase IPSec (MD5, SHA, ...)

ESP mode Mode d'encapsulation IPSec : Tunnel ou Transport PFS Groupe Longueur de clé Diffie-Hellman.

Ouvrir le tunnel Ce bouton permet d'ouvrir manuellement le tunnel. Ce bouton se transforme en 'Fermer le tunnel' dès que le tunnel est ouvert.

Scripts Des scripts ou applications (e.g. script security admin , Outlook, CRM apps, ..) peuvent être configurés, voir 'Configuration des Scripts'.

Note: La fonctionnalité "Plage d'adresses" combinée avec la fonctionnalité "Ouverture du tunnel sur trafic" permet d'ouvrir automatiquement un tunnel sur détection de trafic vers l'une des adresses dans la plage d'adresses specifiée.

Une fois la configuration terminée, cliquer sur "Sauver et Appliquer" pour que cette configuration soit prise en compte par le Client VPN.

Note: De nombreux exemples et guides de configuration, suivant les passerelles/routeurs utilisés, sont disponibles sur notre site web.

(44)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

39

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.4.3 Phase 2 Description des paramètres Avancés

Mode d'ouverture automatique

Le Client VPN peut ouvrir un tunnel (Phase2) automatiquement sur événements particuliers:

· Ouvrir automatiquement le tunnel au démarrage du Client VPN.

Comme le Client VPN peut être configuré pour démarrer pendant le boot de la machine (avant le login Windows, voir "

Préférences"), cette configuration peut être utilisée pour ouvrir un tunnel vers un serveur sur lequel se connecte le poste avant l'ouverture de Windows, par exemple pour des opérations de maintenance.

· Ouvrir automatiquement le tunnel sur insertion d'un Stick USB et à condition que ce dernier contienne les éléments de sécurité nécessaires (PreShared Key, Certificats, ..). La détection du Stick USB est automatique. Voir Mode USB.

· Ouvrir automatiquement le tunnel quand le Client VPN détecte du trafic à destination du réseau privé distant spécifié pour ce tunnel.

Config Mode manuel Les adresses IP des serveurs DNS et WINS du réseau LAN distant peuvent être saisies manuellement dans cette fenêtre. Cette option permet de faciliter la résolution d'adresse des serveurs d'entreprise.

Les adresses sont prises en compte dès que le tunnel est ouvert et aussi longtemps qu'il le reste.

6.4.4 Configuration des Scripts

Des scripts ou applications peuvent être configurés dans la fenêtre de 'Configuration de Scripts'.

Cette fenêtre est accessible par le bouton 'Scripts' dans la Phase 2.

(45)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

40

Propriete de TheGreenBow© - Sistech SA 2000-2007 Des scripts ou applications peuvent être activés pour chaque étape d'un processus d'ouverture et de fermeture d'un tunnel VPN:

· avant l'ouverture d'un tunnel

· après l'ouverture d'un tunnel

· avant la fermeture d'un tunnel

· après la fermeture d'un tunnel

Cette fonctionnalité permet d'exécuter des scripts (batch, scripts, applications,…) à chaque étape, par exemple, pour se connecter directement sur le serveur intranet de l'entreprise, pour vérifier l'installation d'une mise à jour, pour vérifier la disponibilité d'une base de données avant le lancement d'une application de backup, pour vérifier qu'un logiciel est démarré, ... Elle permet également de modifier la configuration réseau avant ou après l'ouverture du tunnel, et de la restaurer à la fermeture.

6.5 Paramètres Globaux

6.5.1 Description des paramètres Globaux

La fenêtre 'Paramètres' permet de configurer différents paramètres partagés par toutes les phases 1 et 2 définies dans la configuration.

(46)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

41

Propriete de TheGreenBow© - Sistech SA 2000-2007 Lifetime (sec.) IKE durée par défaut Temps maximum autorisé pour l'authentification

IKE.

IKE durée minimale Temps maximum autorisé pour l'authentification IKE: valeur minimale négociée.

IKE durée maximale Temps maximum autorisé pour l'authentification IKE : valeur maximale négociée.

IPSec durée par défaut

Temps maximum autorisé pour la négociation IPSec.

IPSec durée minimale Temps maximum autorisé pour la négociation IPSec : valeur minimale négociée.

IPSec durée maximale Temps maximum autorisé pour la négociation IPSec : valeur maximale négociée.

(47)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

42

Propriete de TheGreenBow© - Sistech SA 2000-2007 Dead Peer Detection

(DPD)

Le Dead Peer Detection (DPD) est une extension IKE (RFC3706) utilisée pour la détection

d'inactivité d'une extrêmité du tunnel. Le Client VPN IPSec TheGreenBow utilise le DPD pour :

Fermer les tunnels ouverts lorsque la gateway distante est détectée comme inactive

Redémarrer les négociations IKE avec la gateway de secours si cette fonction est activée dans les paramètres avancés de Phase 1.

Période de vérification (sec.)

Interval entre messages DPD.

Nombre d'essais Nombre de messages DPD envoyés.

Durée entre essais (sec.)

Intervalle entre les messages DPD quand aucune réponse n'est reçue de la gateway distante.

Autres Retransmission Temps de retransmission des échanges en cas de non-réponse.

Echange temps max. Temps maximum d'attente d'un échange avant l'abandon de la négociation

Bloquer flux non chiffrés

Lorsque cette option est cochée, seul le trafic chiffré à partir du poste client sera autorisé.

IKE Port L'utilisateur peut changer le numéro de port pour la négociation IKE. Les échanges s'effectuent toujours sur UDP mais le cas échéant sur un autre port que le port 500. Ceci permet d'autoriser le passage du trafic VPN au travers de Firewalls n'autorisant pas le port 500.

Note : La gateway du réseau distant doit supporter ce dispositif.

Une fois que les paramètres sont modifiés, cliquer sur 'Sauver et Appliquer' pour sauver et prendre en compte la nouvelle Configuration VPN.

6.6 Gestion des Tunnels VPN

6.6.1 Comment visualiser les tunnels VPN ouverts ?

La fenêtre 'Tunnels' permet de gérer les tunnels en cours : visualisation et fermeture.

Pour fermer un tunnel, le sélectionner dans la liste des tunnels en cours et cliquer sur le bouton

"Fermer le tunnel".

Le bouton "Panneau des Connexions" donne un accès immédiat à ce Panneau.

(48)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

43

Propriete de TheGreenBow© - Sistech SA 2000-2007

6.7 Mode USB

6.7.1 Qu'est ce que le Mode USB ?

Le Client VPN TheGreenBow offre la possibilité de protéger les configurations VPN et les éléments de sécurité VPN (e.g. clé partagée, Certificats, …) sur une clé USB .

Si le "Mode USB" est sélectionné, les configurations VPN et les éléments de sécurité VPN contenus dans le fichier de configuration sont stockés sur la clé USB la première fois qu'elle est insérée. Une fois la clé USB configurée, il suffit de l'insérer/extraire pour ouvrir/fermer

automatiquement les tunnels configurés.

6.7.2 Comment activer le Mode USB ?

Pour activer le Mode USB, il suffit de modifier la localisation du fichier de configuration

· Sélectionner menu Fichier > Mode de Configuration VPN

· Sélectionner le mode "Clé USB"

(49)

VPN Configuration

TheGreenBow Client VPN IPSec - Guide Utilisateur

44

Propriete de TheGreenBow© - Sistech SA 2000-2007 Note: Si la clé USB est déjà insérée, le disque associé (e.g. "F:") sera reconnu automatiquement s'il contient la configuration VPN. Il n'est pas nécessaire d'insérer la clé USB pendant cette étape.

Si la clé USB n'est pas insérée, une fenêtre popup avertit l'utilisateur.

Une fois le mode "USB" activé, la zone "Clé USB" (barre de status) indique :

· Un icône bleu quand la clé USB est insérée:

· Un icône grisé quand aucune clé USB n'est pas insérée :

6.7.3 Comment activer un Stick USB ?

Une clé USB est activée lorsqu'elle contient une Configuration VPN.

En insérant une nouvelle clé USB, le Client VPN IPSec propose d'activer automatiquement la nouvelle clé USB avec les options suivantes:

· Copier la configurations VPN sur la clé USB: Le Client VPN copie les informations VPN sur la clé USB et laisse une copie sur l'ordinateur. Cette fonction est utilisée par les

Responsables Informatiques pour activer rapidement de multiples clés USB pour de multiples utilisateurs.

· Déplacer la configuration VPN sur la clé USB: Le Client VPN copie les informations VPN sur la clé USB et supprime toute trace de configuration VPN sur la machine.

Références

Documents relatifs

Dans la liste déroulante NAT Traversal, sélectionnez le même paramètre que celui que vous avez configuré sur le routeur RV160/RV260 pour NAT Traversal.. Les options de menu NAT

Pour terminer sur le choix de la solution de mise en œuvre du VPN IPsec site à site, la configuration d'un tunnel GRE puis des communications IPsec en mode transport avec le

VTI designs are relatively new, but can be used for the same customer requirements where a p2p GRE over IPsec design or DMVPN hub-and-spoke topology design would be recommended;

The extensive portfolio of Cisco ® VPN solutions includes Cisco routers, Cisco Catalyst ® 6500 Series Switches, and Cisco ASA 5500 Series Adaptive Security Appliances..

Pour ces deux flux, FAST assure l’analyse de la couche Application dans le module HTTP.. Fig 2 : Services et règles de flux

n ISAKMP est inutilisable seul : c'est un cadre générique qui permet l'utilisation de plusieurs protocoles d'échange de clef et qui peut être utilisé pour d'autres mécanismes

Vous allez donc modifier la configuration de votre machine afin que toutes les requêtes destinées à résoudre des noms en *.univ-fcomte.fr soient dirigées directement

1/ Un tunnel VPN peut s’ouvrir automatiquement lors de l’utilisation du Panneau TrustedConnect, si le Client VPN détecte que le poste ne se trouve pas dans le réseau de confiance..