IPsec: Configuration DMS-SDWAN pour IKEv2 EAP-RADIUS

Indice

• IPsec: Configurer DMS-SDWAN pour IKEv2 EAP-RADIUS

  • Étape 1 - Créer des certificats

  • Étape 2 - Configuration du rayon

  • Étape 3 - Clients mobiles

    • Extensions IKE

  • Étape 4 - Clients de la phase mobile 1

    • Phase 1 Informations générales

    • Proposition de phase 1 (authentification)

    • Proposition de phase 1 (algorithmes)

  • Étape 5 - Clients mobiles de la phase 2

    • informations générales

    • Réseau local

    • Proposition de phase 2 (SA / échange de clés)

EAP-RADIUS via IKEv2 est presque identique à EAP-MSCHAPv2, mais l'authentification est effectuée par rapport à une instance Radius. Nous supposons que vous avez lu la première partie sur IPsec: Configurer l'accès à distance

Étape 1 - Créer des certificats

Pour EAP-RADIUS avec IKEv2, vous devez créer une autorité de certification racine et un certificat de serveur de pare-feu.

Accédez à Système ‣ Confiance Autorités et cliquez sur Ajouter. Donnez-lui un nom descriptif ainsi qu'une méthode sélectionnez Créer une autorité de certification interne . Augmentez la durée de vie et remplissez les champs correspondant à vos valeurs locaux. Maintenant, allez dans Système ‣ Confiance ‣ Certificats et créez un nouveau certificat pour le pare-feu lui-même. Il est important de changer le type en serveur. Le nom commun peut être le nom d'hôte du pare-feu et définir comme nom alternatif FQDN de votre pare-feu comme il est connu du côté WAN. Ceci est très important car votre VPN sera supprimé lorsque le FQDN ne correspondra pas à ceux du certificat.

Si vous avez déjà un certificat de serveur et importez la CA elle-même via Système ‣ Confiance ‣ Système Autorités et le certificat avec la clé dans Système ‣ Confiance ‣ Certificats .

Étape 2 - Configuration du rayon

Si vous disposez déjà d'un serveur Radius local, ajoutez un nouveau client avec l'adresse IP de votre pare-feu, définissez un secret partagé, accédez à DMS-SDWAN UI à Système ‣ Accès ‣ Serveurs et ajoutez une nouvelle instance:

Nom descriptif	Nom	Donne lui un nom
Type	Rayon	C'est ce que nous voulons
Nom d'hôte ou adresse IP	Radius IP	Définissez l'adresse IP du serveur Radius
Secret de polichinelle	s3cureP4ssW0rd	Choisissez un mot de passe sécurisé

Étape 3 - Clients mobiles

Nous devrons d'abord configurer le réseau des clients mobiles et la source d'authentification. Accédez à VPN ‣ IPsec. Clients mobiles

Par exemple, nous utiliserons les paramètres suivants:

Extensions IKE

Autoriser	coché	cocher pour activer les clients mobiles
Authentification d'utilisateur	Rien	Comme nous utilisons Radius, nous n'avons rien à choisir
Authentification de groupe	personne	Ne laissez personne
Pool d'adresses virtuelles	10.10.0.0/24	Entrez la plage IP pour les clients distants

Vous pouvez sélectionner d'autres options, mais nous les laisserons toutes décochées pour cet exemple.

Enregistrez vos paramètres et sélectionnez Créer une Phase1 lorsqu'il apparaît. Entrez ensuite le paramètre Mobile Client Phase 1.

Étape 4 - Clients mobiles Phase 1

Phase 1 Informations générales

Méthode de connexion	Défaut	la valeur par défaut est "Start Release"
Version d'échange de clés	V2	seul V2 est pris en charge pour EAP-RADIUS
protocole Internet	IPv4
Interface	WAN	sélectionnez l'interface qui est connectée à Internet
Description	MobileIPsec	description librement choisie

Proposition de phase 1 (authentification)

Méthode d'authentification	EAP-RADIUS	C'est la méthode que nous voulons ici
Mon identifiant	Nom distingué	Spécifiez le nom de domaine complet que vous avez utilisé dans le certificat
Mon certificat	Certificat	Sélectionnez le certificat dans la liste déroulante

Proposition de phase 1 (algorithmes)

Algorithme de chiffrement	AES	Pour notre exemple, nous utiliserons AES / 256 bits
Algorithme de hachage	SHA256	SHA256 pour la compatibilité
Groupe de clés DH	521 bits	521 bits pour la compatibilité
Durée de vie	28800 secondes	durée de conservation avant renégociation

Les options avancées sont correctes par défaut.

Enregistrez vos paramètres.

Étape 5 - Clients mobiles de la phase 2

Appuyez sur + à droite de cette liste pour ajouter une entrée de phase 2.

Informations générales

Mode	Tunnel IPv4	Sélectionnez le mode tunnel
Description	MobileIPsecP2	Description librement sélectionnée

Réseau local

Réseau local

Sous-réseau LAN

Lancez le Local LAN

Proposition de phase 2 (SA / échange de clés)

Protocole	ESP	Sélectionnez ESP pour le chiffrement
Algorithmes de chiffrement	AES / 256	Pour cet exemple, nous utilisons AES 256
Algorithmes de hachage	SHA256	Comme avant, SHA256
Groupe de clés PFS	désactivé	La plupart des systèmes mobiles ne prennent pas en charge PFS dans la phase 2
Durée de vie	3600 secondes

Enregistrez vos paramètres et activez IPsec , sélectionnez: