Comment configurer les services VPN-Plus SSL d’une passerelle de périphérie

Synopsis

Ce guide vous explique une des façons de configurer la fonctionnalité VPN-Plus SSL pour une passerelle de périphérie.

Aperçu

Nous utilisons ici un serveur d’authentification local, mais les services VPN-Plus SSL prennent en charge d’autres types d’authentification, comme Active Directory, le protocole LDAP, le service d'usager commuté à authentification distante (RADIUS) et RCA ACE.

Comment faire

Création d'une passerelle de périphérie

1. Connectez-vous au portail Performance Cloud.

 

2. Cliquez sur votre centre de données virtuel.


 

3. À partir de Networking, rendez-vous dans Edges.



 4. Sélectionnez votre passerelle de périphérie et cliquez sur SERVICES.


Configuration des paramètres du serveur

1. Rendez-vous dans l’onglet SSL VPN-Plus.

 


2. Accédez à la section Server Settings et exécutez la configuration suivante :

  • Activez le serveur du réseau privé virtuel SSL.
  • Configurez l’adresse IP publique de la passerelle de périphérie.
  • Configurez le port désiré (443 dans cet exemple, mais cela peut être différent).
  • Configurez la liste cryptographique (votre choix peut différer).
  • Les paramètres par défaut de la politique de connexion et du certificat du serveur peuvent être conservés (votre choix peut différer).

 

3. Cliquez sur Save changes.

 

4. Rendez-vous dans la section IP Pools

 

5. Cliquez sur "+" afin de créer un groupe d'adresse IP.

Notez : Nous utilisons ici le réseau 192.168.20.0/24, mais vous pouvez choisir un groupe d’adresses IP privées, selon les exigences auxquelles vous devez répondre. Veuillez noter que nous avons aussi décidé d’utiliser la plage d’adresses IP 192.168.20.5 à 192.168.20.200 et d’opter pour des serveurs OpenDNS dans cet exemple.)

  




6. Rendez-vous dans la section Private Networks.

 

7. Créez des réseaux privés afin de donner accès à votre réseau Performance Cloud propulsé par VMware. Dans cet exemple, nous donnons accès à notre réseau VNET-DLapointe (10.0.0.0/24) :

 

  • Cliquez sur “+” afin d'ajouter un nouveau réseau
  • Network : votre réseau dans la solution Performance Cloud propulsée par VMware
  • Description : Virtual network description
  • Send Traffic : Over Tunnel
  • Enable TCP Optimization : option activée
  • Ports : champ à laisser en blanc
  • Status : option désactivée

 



8. Nous sommes maintenant prêts à configurer l’authentification. Dans cet exemple, nous utilisons l’authentification du serveur local (la seule possibilité dans l’interface graphique pour l’instant).

Veuillez noter qu’un serveur d’authentification dorsal LDAP, Active Directory, RADIUS ou RCA ACE peut être configuré par notre équipe de soutien. Si vous souhaitez utiliser l’un de ces types de serveurs d’authentification, veuillez contacter notre équipe de soutien afin de leur communiquer les informations associées au serveur d’authentification.

 

Exemple de détails dont notre équipe de soutien doit disposer pour l’authentification Active Directory :

  • Adresse IP (IP address) du serveur Active Directory
  • Base de recherche (Search base) (unité organisationnelle comprenant les utilisateurs devant accéder au réseau privé virtuel SSL, par exemple)
  • Nom distinctif lié (Bind DN) (utilisateur se connectant au compte de service Active Directory)
  • Mot de passe lié (Bind password) (mot de passe de l’utilisateur du nom distinctif lié)
  • Nom de l’attribut de connexion (Login attribute name) (s’il ne s’agit pas de sAMAccountName
  • Filtre de recherche (Search filter) (s’il ne s’agit pas d’objectClass=*)

 


Exemple de détails dont notre équipe de soutien doit disposer pour l’authentification RADIUS :

  • Adresse IP (IP address) du serveur RADIUS
  • Port (s’il ne s’agit pas du port 1812 par défaut)
  • Clé secrète (Secret key)

 

 

Vous pouvez sauter la configuration de l’authentification locale et passer à l’étape 13.

 

Pour configurer l’authentification du serveur local, rendez-vous dans la section Authentication.

 

  • Cliquez sur “+ Local
  • Configurez la politique de mots de passe (PASSWORD POLICY)

 


  • Configurez la politique de verouillage de comptes (ACCOUNT LOCKOUT POLICY)

  


  • STATUS :  option activée
  • SECONDARY AUTHENTICATION : option désactivée

 



9. Rendez-vous dans la section Installation Packages.

 


10. Cliquez sur "+" afin de créer un nouveau paquet d’installation.

  • Profile Name : donnez un nom au paquet
  • Gateway : configurez votre passerelle à partir de laquelle les gens téléchargeront le paquet. Il peut même s’agir d’un nom d’hôte DNS externe
  • Create installation packages for : l’option Windows est activée par défaut et ne peut être cochée. Vous avez les options Linux et Mac
  • Description : attribuez une description au paquet
  • Enabled : option activée
  • Installation Parameters for Windows : activez les fonctionnalités d’après vos exigences

 




11. Rendez-vous dans la section Client Configuration.

Mode de tunnellisation : en mode tunnel fractionné, seul le trafic du réseau privé virtuel circule dans la passerelle NSX Edge. En mode tunnel complet, la passerelle NSX Edge devient la passerelle par défaut des utilisateurs distants et l’ensemble du trafic (du réseau privé virtuel, local et Internet) circule dans cette passerelle.

  • Tunneling mode : Split
  • Enable auto reconnect : option activée
  • Client upgrade notification : option activée


 

 12. Rendez-vous dans la section Users (étape nécessaire seulement si vous utilisez l’authentification locale).

  


13. Créez vos utilisateurs (étape nécessaire seulement si vous utilisez l’authentification locale).

  • Cliquez sur “+
  • Indiquez les renseignements pour chacun des utilisateurs.

 

 



14. Rendez-vous dans la section General Settings.

 

15. Les paramètres par défaut peuvent être conservés (personnalisez-les selon vos exigences).


 

16. Rendez-vous dans l’onglet Firewall et assurez-vous que la règle de pare-feu a automatiquement été ajoutée afin d’autoriser le téléchargement du paquet d’installation.

  


17. Si ce n’est pas déjà fait, assurez-vous de disposer d’une règle de pare-feu autorisant le trafic du groupe d’adresses IP choisi (192.168.20.0/24). Dans cet exemple, nous l’avons configuré de façon à ce qu’il atteigne n’importe quelle destination, mais vous pouvez choisir d’être plus restrictif, conformément à vos exigences.

 

Test des services VPN-Plus SSL

1. Connectez-vous à votre passerelle IP à l’aide du port spécifié. Dans cet exemple, nous utilisons le port 443 par défaut. Vous êtes alors automatiquement redirigé vers la page de connexion.

 

 

2. Connectez-vous à l’aide de votre compte d’utilisateur (compte d’utilisateur local dans cet exemple) (si une autre méthode d’authentification est utilisée, comme Active Directory, connectez-vous en utilisant vos informations d’identification Active Directory).

 

 

3. Cliquez sur SSL-VPN-Plus Package afin de télécharger le client.


 

4. Cliquez sur "click here" pour télécharger l'installateur.


 

5. Une fois le paquet téléchargé, extrayez le fichier ZIP et double-cliquez sur l’installateur.


 

6. Donnez votre accord pour installer le client.

 

 


7. Une fois le client installé, double-cliquez sur l’icône du bureau (si vous avez décidé d’activer l’icône de bureau). Sinon, à partir de la barre des tâches, vous pouvez faire un clic droit sur le client afin de vous connecter.



 

Connectez-vous

  • Acceptez de procéder malgré l’alerte de sécurité

 

 

  • Indiquez vos informations d’identification



  • Vous pouvez alors voir des options à partir de l’icône du client des services VPN-Plus SSL dans la partie inférieure droite de votre écran

  


8. Votre machine est maintenant dotée d’un nouvel adaptateur Ethernet.

 


9. Vous pouvez réaliser un test ping vers le réseau privé configuré antérieurement (10.0.0.0/24 dans cet exemple) :

  


Veuillez noter que si votre test ping échoue, vous devez vous assurer que le pare-feu de la passerelle de périphérie est configuré correctement. Vérifiez aussi que le pare-feu de la machine distante autorise le trafic ping.