Tunnel entre un Routeur VPN et un PC distant équipé du logiciel Client VPN Netgear



Impératif : le routeur VPN et le PC distant équipé du logiciel Client VPN doivent être configurés avec un plan d'adressage IP différent.

I. Configuration du Routeur VPN Netgear

1) Se connecter au routeur :
Se connecter à l'interface de configuration de votre routeur en entrant l'adresse http://192.168.0.1 depuis votre Navigateur Internet.
Nom d'utilisateur = admin
Mot de passe = password

 2) Configuration à l'aide de l'assistant VPN :
. VPN Wizard

VPN Wizard
 
The Wizard sets most parameters to defaults as proposed by the VPN Consortium (VPNC), and assumes a pre-shared key, which greatly simplifies setup.





After creating the policies through the VPN Wizard, you can always update the parameters through the VPN setting links on the left menu.
 
 

Cliquer sur le bouton Next.

VPN Wizard
Step 1 of 3: Connection Name and Remote IP Type
 
What is the new Connection Name?
What is the pre-shared key?
 
This VPN tunnel will connect to: A remote VPN Gateway
A remote VPN client
 
 

Configurer un nom de connexion (Connection Name) et une clé (pre-shared key).

Choisir ensuite le type de périphérique distant avec lequel la connexion VPN sera établie, ici VPN Client.

Puis cliquer sur le bouton Next.

VPN Wizard
Summary
 
Please verify your inputs:
  Connection Name: VPNClient
  Exchange Type: Aggressive Mode
  ID Type: FQDN
  Remote WAN ID: fvl_remote
  Remote VPN Endpoint: 0.0.0.0
  Remote Client Access: By Single
  Remote IP: 0.0.0.0
  Local WAN ID: fvl_local
  Local Client Access: By Subnet
  Local IP: 192.168.0.0/255.255.255.0
 
You can click here to view the VPNC-recommended parameters.
Please click "Done" to apply the changes.
 

Un écran récapitulatif apparaît.

Cliquer sur le bouton Done pour valider la configuration du tunnel VPN.

La page IKE Policies apparaît, il est alors possible de modifier certains paramètres manuellement, si nécessaire, à l'aide du bouton Edit.

3) Configuration manuelle :

a) Configurer une politique IKE :
 . VPN
. IKE Policies

IKE Policies
 
Policy Table
  # Name Mode Local ID Remote ID Encr Auth DH
1 VPNclient Aggressive fvl_local fvl_remote 3DES SHA1 Group 2 (1024 Bit)
 
     

Cliquer sur le bouton Add.

IKE Policy Configuration
 
General
Policy Name
Direction/Type
Exchange Mode
 
Local
Local Identity Type
Local Identity Data
 
Remote
Remote Identity Type
Remote Identity Data
 
IKE SA Parameters
Encryption Algorithm  
Authentication Algorithm  
Authentication Method
Pre-shared Key
 
RSA Signature (requires Certificate)
Diffie-Hellman (DH) Group  
SA Life Time   (secs) 
 
     

Définir un nom de politique IKE (Policy Name).
Chaque nom de politique doit être différent.

Configurer Direction/Type sur Remote Access.

A noter :
. Initiator = seules les communications sortantes sont autorisées
. Responder = seules les communications entrantes sont autorisées
. Remote Access = autorise uniquement les communications entrantes lorsque l'adresse IP des clients distants est inconnue

Configurer Exchange Mode sur Aggressive Mode.

Configurer Local Identity Type sur Fully Qualified User Name et entrer fvl_local.

Configurer Remote Identity Type sur Fully Qualified User Name et entrer fvl_remote.

Configurer les paramètres de sécurité IKE :
. Encryption Algorithm = 3DES (niveau de cryptage le plus sécurisé)
. Authentication Algorithm = SHA-1 (algorithme d'authentification le plus sécurisé)
. Authentication Method = cocher le bouton radio Pre-shared Key (clé partagée) et configurer une  clé
. Diffie-Hellman (DH) Group = Group 2 (1024 Bit)
. SA Life Time = 28800 (temps en secondes au bout duquel la connexion sécurisée expire)

Cliquer sur le bouton Apply pour  valider les paramètres de configuration.

b) Configurer une politique VPN :
 . VPN
. VPN Policies

VPN Policies
 
Policy Table
  # Enable Name Type Local Remote AH ESP
1 Yes VPNclient Auto 192.168.0.0/255.255.255.0 Any Disabled ESP
 
   

 
 

 

Cliquer sur le bouton Add Auto Policy.

VPN - Auto Policy
 
General
Policy Name
IKE policy
IKE Keep Alive Ping IP Address: ...
Remote VPN Endpoint
Address Type:
Address Data:
SA Life Time (Seconds)
(Kybtes)
IPSec PFS   PFS Key Group:
NetBIOS Enable
 
Traffic Selector
Local IP
Start IP address: ...
Finish IP address: ...
Subnet Mask: ...
Remote IP
Start IP address: ...
Finish IP address: ...
Subnet Mask: ...
 
AH Configuration
Enable Authentication Authentication Algorithm:
 
ESP Configuration
Enable Encryption Encryption Algorithm:
Enable Authentication Authentication Algorithm:
 
     

Définir un nom de politique VPN (Policy Name).
Ce nom doit être différent de celui de la politique IKE.

Sélectionner la politique IKE correspondante (configurée plus haut).

Configurer Remote VPN Endpoint sur IP Address et rentrer 0.0.0.0.

Configurer la valeur SA Life Time sur 86400 (temps en secondes au bout duquel la connexion sécurisée expire.

Cocher l'option IPSec PFS et la paramétrer sur Group 2 (1024 Bit) (optimise la sécurité en changeant la clé à intervalles réguliers).

Afin d'établir le Tunnel VPN, en Traffic Selector :
- configurer l'adresse IP local du routeur (Local IP) sur Subnet address et entrer 192.168.0.0 / 255.255.255.0
- configurer l'adresse IP du PC distant (Remote IP) sur Any.
Configurer les paramètres de sécurité ESP :
. Enable Encryption = 3DES
. Enable Authentication = SHA-1

Puis cliquer sur le bouton Apply pour  valider les paramètres de configuration.

II. Configuration du Client VPN Netgear

1) Installer le logiciel Client VPN Netgear depuis le CD :

Vous devrez insérer le CD d'installation de Windows pour terminer l'installation du Client VPN Netgear.

Un redémarrage du PC sera également nécessaire une fois l'installation effectuée.

2) Configurer une connexion réseau :

Dans la Barre des tâches de Windows, cliquer avec le bouton droit de la souris sur l'icône NETGEAR ProSafe VPN Client.
Cliquer sur Security Policy Editor dans le menu déroulant.

Puis créer une nouvelle connexion (Add Connection).



Configurer cette connexion.



Configurer Connection Security sur Secure.

Configurer ID Type sur IP Subnet et entrer 192.168.0.0 / 255.255.255.0 en Subnet et Mask.

Configurer Protocol sur All.

Cocher l'option Connect Using Secure et la paramétrer sur Secure Gateway Tunnel.

Configurer ID Type sur Domain Name et saisir le même nom de domaine que sur votre routeur VPN (configuré dans le menu IKE Policy Configuration en Local Identity Data), ici fvl_local.

Configurer ensuite l'adresse IP (Gateway IP address) ou le nom de domaine (Gateway Hostname) du routeur VPN distant.

3) Configurer les paramètres de politique :



Sélectionner Aggressive Mode.

Cocher l'option Enable Perfect Forward Secrecy (PFS) et la paramétrer en Diffie-Hellman Group 2.

Cocher l'option Enable Replay Detection.

4) Configurer les paramètres d'identification :



Configurer Select Certificate sur None.

Configurer ID Type sur Domain Name et saisir et saisir le même nom de domaine que sur votre routeur VPN (configuré dans le menu IKE Policy Configuration en Remote Identity Data), ici fvl_remote.

En Internet Interface sélectionner votre carte réseau Ethernet à l'aide du champ Name.
Puis cliquer sur le bouton Pre-Shared Key.



Saisir la clé partagée (la même que celle configurée sur le routeur VPN distant) et cliquer sur le bouton OK.

5) Configurer les paramètres de cryptage :

- Authentication (phase 1) :



Configurer Authentication Method sur Pre-Shared Key.

Puis configurer les paramètres de cryptage :
. Encrypt Alg = Triple DES
. Hash Alg = SHA-1
. SA Life = Unspecified
. Key Group = Diffie-Hellman Group 2

- Key Exchange (phase 2) :


Configurer SA Life sur Unspecified et Compression sur None.

Puis Configurer les paramètres ESP :
. Encrypt Alg = 3DES
. Hash Alg = SHA-1
. Encapsulation = Tunnel

6) Configurer les paramètres généraux de politique :

Menu Options puis cliquer sur Global Policy Settings.



Configurer Retransmist Interval sur 45 secondes.

Cocher les options Send Status notifications to peer hosts et Allow to Specify Internal Network Address.

7) Sauvegarder les paramètres de configuration du Client VPN :

Menu File puis cliquer sur Save ou bien cliquer sur la petite icone en forme de disquette.

8) Etablir la connexion VPN :

Dans la Barre des tâches de Windows, cliquer avec le bouton droit de la souris sur l'icône NETGEAR ProSafe VPN Client.
Se déplacer sur Connect... dans le menu déroulant.

Puis cliquer sur la connexion correspondant au Tunnel VPN que vous souhaitez établir : My Connections\Nom de connexion.

Sur le même principe Disconnect... permet de déconnecter manuellement le Tunnel VPN.

Les options Log Viewer... et Connection Monitor... sont également utiles pour vérifier que le Tunnel VPN est bien établit.

Pour accéder à l'interface de configuration du routeur VPN distant, simplement ouvrir votre Navigateur Internet et entrer l'adresse IP local du routeur de la forme http:\\192.168.x.x.

Pour accéder aux ressources partagées d'un PC distant, simplement ouvrir l'Explorateur Windows et accéder  au PC par son adresse IP local de la forme \\192.168.x.x.