IPsec: IPsec: Configurer DMS-SDWAN pour IKEv2 EAP-TLS

EAP-TLS via IKEv2 est basé sur l'authentification par certificat client. Assurez-vous d'installer le certificat client sur votre appareil l'utilisateur final.

Étape 1 - Créer des certificats

Pour EAP-TLS avec IKEv2, vous devez créer une autorité de certification racine et un certificat de serveur de pare-feu.

Accédez à Système ‣ Confiance ‣ Autorités et cliquez sur Ajouter . Donnez-lui un nom descriptif et comme méthode sélectionnez Créer une autorité de certification interne . Augmentez la durée de vie et remplissez les champs correspondant à vos valeurs locales. Maintenant, allez dans Système ‣ Confiance ‣ Certificats et créez un nouveau certificat pour le pare-feu lui-même. Il est important de changer le type en serveur. Le nom commun peut être le nom d'hôte du pare-feu et définir comme nom alternatif FQDN de votre pare-feu comme il est connu du côté WAN. Ceci est le plus important car votre VPN sera supprimé lorsque le FQDN ne correspondra pas à ceux du certificat.

Si vous avez déjà une CA, déployez un certificat de serveur et importez la CA elle-même via Système ‣ Confiance ‣ Système Autorités et le certificat avec la clé dans Système ‣ Confiance ‣ Certificats .

Étape 2 - Clients mobiles

Nous devrons d'abord configurer le réseau des clients mobiles et la source d'authentification. Accédez à VPN ‣ IPsec. Clients mobiles

Pour notre exemple, nous utiliserons les paramètres suivants:

Extensions IKE

Autoriser

coché

cocher pour activer les clients mobiles

Authentification d'utilisateur

Base de données locale

Par exemple, nous utilisons la base de données locale

Authentification de groupe

personne

Ne laissez personne

Pool d'adresses virtuelles

10.10.0.0/24

Entrez la plage IP pour les clients distants

Vous pouvez sélectionner d'autres options, mais nous les laisserons toutes décochées pour cet exemple.

Enregistrez vos paramètres et sélectionnez Créer Phase1 lorsqu'il apparaît. Entrez ensuite le paramètre Mobile Client Phase 1.

Étape 3 - Clients mobiles de la phase 1

Phase 1 Informations générales

Méthode de connexion

Défaut

la valeur par défaut est "Start Release"

Version d'échange de clés

V2

seul V2 est pris en charge pour EAP-TLS

protocole Internet

IPv4

Interface

WAN

sélectionnez l'interface qui est connectée à Internet

Description

MobileIPsec

description librement choisie

Proposition de phase 1 (authentification)

Méthode d'authentification

EAP-TLS

C'est la méthode que nous voulons ici

Mon identifiant

Nom distingué

Spécifiez le nom de domaine complet que vous avez utilisé dans le certificat

Mon certificat

Certificat

Sélectionnez le certificat dans la liste déroulante

Proposition de phase 1 (algorithmes)

Algorithme de chiffrement

AES

Pour notre exemple, nous utiliserons AES / 256 bits

Algorithme de hachage

SHA256

SHA256 pour la compatibilité

Groupe de clés DH

521 bits

521 bits pour la compatibilité

Durée de vie

28800 secondes

durée de conservation avant renégociation

Les options avancées sont correctes par défaut.

Enregistrez vos paramètres.

Étape 3 - Clients mobiles Phase 2

Appuyez sur + à droite de la liste pour ajouter une entrée de phase 2.

Informations générales

Mode

Tunnel IPv4

Sélectionnez le mode tunnel

Description

MobileIPsecP2

Description librement sélectionnée

Réseau local

Réseau local

Sous-réseau LAN

Lancez le Local LAN

Proposition de phase 2 (SA / échange de clés)

Protocole

ESP

Sélectionnez ESP pour le chiffrement

Algorithmes de chiffrement

AES / 256

Pour cet exemple, nous utilisons AES 256

Algorithmes de hachage

SHA256

Comme avant, SHA256

Groupe de clés PFS

désactivé

La plupart des systèmes mobiles ne prennent pas en charge PFS dans la phase 2

Durée de vie

3600 secondes

Enregistrez vos paramètres et activez IPsec , sélectionnez:

../../_images/ipsec_s2s_vpn_p1a_enable.png

Étape 4 - Ajouter des utilisateurs IPsec χρη

Accédez à Système ‣ Confiance ‣ Certificats et créez un nouveau certificat client. Cliquez simplement sur Ajouter , sélectionnez l'autorité de certification et augmentez éventuellement la durée de vie. Tout le reste à part le CN peut être laissé par défaut. Donnez un nom commun et enregistrez . Téléchargez le certificat nouvellement créé en tant que PKCS12 et exportez-le vers l'appareil de l'utilisateur final.