Comment configurer les services VPN-Plus SSL d’une passerelle Edge sur Performance Cloud propulsé par VMware
- Sommaire
- Notes
- Procédure
- Ajout d’un Pool d’adresses IP
- Ajout d’un Réseau Privé
- Configuration de l’authentification
- Paramètres du serveur
- Modules d'installation
- Optionnel – Section Configuration du client
- Création des utilisateurs VPN
- Optionnel – Section Paramètres généraux
- Règles de pare-feu
- Téléchargement du client VPN-Plus SSL
- Installation du client VPN-Plus SSL
- Connexion au client VPN-Plus SSL
Sommaire
Ce guide vous explique une des façons de configurer la fonctionnalité VPN-Plus SSL pour les utilisateurs mobiles.
Notes
Le client VPN-Plus SSL n'est pas supporté sur les ordinateurs qui utilisent des processeurs ARM.
Procédure
- Connectez-vous au portail Performance Cloud VMware à l'aide de vos informations d'identification.
- Sélectionnez votre centre de données virtuel.
- Sous la section Mise en réseau, cliquez sur Dispositifs Edges.
Sélectionnez votre passerelle Edge et cliquez sur SERVICES.Ajout d’un Pool d’adresses IP
1. Cliquez sur l’onglet VPN-Plus SSL puis sur Pools d’adresses IP.
2. Cliquez ensuite sur le bouton « + »
3. Créer un pool d'adresses IP pour l’accès VPN avec les informations suivantes :
- Nouvelle plage d’adresses IP pour le réseau VPN (10.200.200.100-10.200.200.199 dans cet exemple)
- Masque de sous-réseau (255.255.255.0 dans cet exemple)
- Passerelle du réseau VPN (10.200.200.1 dans cet exemple)
- Description
- Facultatif mais recommandé – Serveurs DNS (Adresse IP du contrôleur de domaine dans cet exemple)
Activer le pool et cliquez sur CONSERVER.
Ajout d’un Réseau Privé
1. Cliquez sur l’onglet Réseaux privés et cliquez ensuite sur le bouton « + »
2. Entrer le réseau privé à autoriser pour l’accès via VPN-Plus SSL.
Répétez cette étape au besoin si plus d’un réseau virtuel doit être autorisé pour l’accès VPN.
3. Cliquez ensuite sur Enregistrer les modifications.
Configuration de l’authentification
Pour l'authentification, plusieurs options sont possibles comme local, LDAP, Active Directory, RADIUS et RCA ACE.
Pour les serveurs d'authentification LDAP, Active Directory, RADIUS ou RCA ACE, ces méthodes d'authentification nécessitent une configuration en arrière-plan. Débutez par implémenter les rôles et les configurations nécessaires dans vos machines virtuelles, puis contactez notre équipe de support cloud pour leur fournir les informations associées au serveur d'authentification.
Exemples :
Exemple de détails dont notre équipe de soutien doit disposer pour l’authentification Active Directory afin de configurer celle-ci en arrière-plan:
- Adresse IP (IP address) du serveur Active Directory
- Base de recherche (Search base) (unité organisationnelle comprenant les utilisateurs devant accéder au réseau privé virtuel SSL, par exemple)
- Nom distinctif lié (Bind DN) (utilisateur se connectant au compte de service Active Directory
- Mot de passe lié (Bind password) (mot de passe de l’utilisateur du nom distinctif lié)
- Nom de l’attribut de connexion (Login attribute name) (s’il ne s’agit pas de sAMAccountName
- Filtre de recherche (Search filter) (s’il ne s’agit pas d’objectClass=*)
Exemple de détails dont notre équipe de soutien doit disposer pour l’authentification RADIUS afin de configurer celle-ci en arrière-plan:
- Adresse IP du serveur RADIUS
- Port (s’il ne s’agit pas du port 1812 par défaut)
- Clé secrète (Secret key)
Sinon, pour un serveur local d'authentification (usagers et mots de passe VPN gérés dans la passerelle Edge):
1. Cliquez sur Authentification et ensuite sur le bouton « + LOCAL ».
2. Configurez la politique de mots de passe désirée, activer le serveur local d'authentification et cliquez sur CONSERVER.
Paramètres du serveur
Cliquez ensuite sur Paramètres du serveur et configurer les éléments suivants :
- Activez le serveur VPN-Plus SSL.
- Sélectionnez l’adresse IP publique de la passerelle Edge.
- Configurez le port désiré (60003 dans cet exemple)
- Configurez les options de chiffrement désirés.
- Les paramètres par défaut de la politique de connexion et du certificat du serveur peuvent être conservés ou non selon vos requis.
puis cliquez sur Enregistrer les modifications
Modules d'installation
- Cliquez ensuite sur « Modules d'installation », puis sur le bouton « + ».
- Définir ici les options désirées pour le module d’installation.
- Nom de profil : Nommez le module
- Passerelle : Configurez le nom d’hôte DNS externe à partir de laquelle les gens téléchargeront le paquet. Il faudra créer une entrée DNS dans la zone du domaine en question. Sinon, entrez l’adresse IP publique configurée à l’étape précédente.
- Port : Utilisez le même port défini à l’étape précédente.
- Créer des modules d’installation pour : l’option Windows est activée par défaut et ne peut être cochée. Vous avez aussi les options Linux et Mac disponibles. Cependant, la compatibilité peut être limitée avec les versions à jour de ces systèmes d’exploitation.
- Description : Attribuez une description au module.
- Activé: Laissez le module activé.
- Paramètres d’installation pour Windows : Activez les fonctionnalités selon vos exigences
Répétez cette étape pour créer plus d’un module d’installation avec différents paramètres.
Optionnel – Section Configuration du client
Par défaut, le mode tunnel fractionné est activé. Seul le trafic du réseau privé virtuel circule dans la passerelle NSX Edge. En mode tunnel complet, la passerelle NSX Edge devient la passerelle par défaut des utilisateurs distants et l’ensemble du trafic (du réseau privé virtuel, local et Internet) circule dans cette passerelle.
Personnalisez au besoin.
Création des utilisateurs VPN
(Étape nécessaire seulement si vous utilisez un serveur local d’authentification.)
1. Cliquez sur l’onglet Utilisateurs et cliquez sur le bouton « + »
2. Remplir les champs nécessaires pour la création de vos utilisateurs VPN.
Répétez cette étape pour chaque utilisateur VPN à créer.
Optionnel – Section Paramètres généraux
Les paramètres par défaut peuvent être conservés. Personnalisez-les selon vos exigences.
Règles de pare-feu
Aller dans l'onglet Pare-feu et créer les règles de pare-feu nécessaires pour autoriser le trafic VPN à accéder aux ressources internes. Puis, cliquez sur Enregistrer les modifications
Exemple ci-bas pour autoriser tout le trafic en provenance du VPN vers le réseau interne. Les règles peuvent être plus restrictives si nécessaire.
Téléchargement du client VPN-Plus SSL
- Connectez-vous à votre passerelle IP (ou via le nom d’hôte DNS externe) à l’aide du port spécifié précédemment. Vous êtes alors automatiquement redirigé vers la page de connexion.
- Connectez-vous à l’aide de votre utilisateur VPN (Utilisateur local créé précédemment ou si une autre méthode d’authentification est utilisée, comme Active Directory ou RADIUS, connectez-vous en utilisant vos informations d’identification Active Directory).
- La liste des modules d’installation apparaîtra ensuite.
- Cliquez sur le module d’installation de votre choix
- Cliquez sur "click here" pour télécharger le module d’installation
Installation du client VPN-Plus SSL
- Une fois le paquet téléchargé, extraire le fichier ZIP et lancez l’installation.
- Donnez votre accord pour installer le client.
- Votre ordinateur est maintenant doté d’une nouvelle carte réseau.
Connexion au client VPN-Plus SSL
- Une fois le client installé, double-cliquez sur l’icône du bureau (si vous avez décidé d’activer l’icône de bureau). Sinon, à partir de la barre des tâches, vous pouvez faire un clique-droit sur le client afin de vous connecter. Cliquez sur « Login »
- Acceptez de procéder malgré l’alerte de sécurité
- Indiquez vos informations d’identification (Utilisateur local créé précédemment ou si une autre méthode d’authentification est utilisée, comme Active Directory ou RADIUS, connectez-vous en utilisant vos informations d’identification Active Directory).
- Vous pouvez alors voir des informations supplémentaires à partir de l’icône du client des services VPN-Plus SSL dans la partie inférieure droite de votre écran.
Vous pouvez effectuer un test ping vers le réseau privé configuré précédemment (10.0.1.0/24 dans cet exemple) :
Veuillez noter que si votre test ping échoue, vous devez vous assurer que le pare-feu du dispositif Edge est configuré correctement. Vérifiez aussi que le pare-feu de la machine distante autorise le trafic ping.