IPsec: Configuration DMS-SDWAN pour IKEv2 EAP-MSCHAPv2 ¶
EAP-MSCHAPv2 via IKEv2 est la combinaison la plus compatible. Supposons que vous ayez lu la première partie sur IPsec: Configuration de l'accès à distance
Étape 1 - Créer des certificats ¶
Pour EAP-MSCHAPv2 avec IKEv2, vous devez créer une autorité de certification racine et un certificat de serveur pour le pare-feu.
Accédez à et cliquez sur Ajouter. Donnez-lui un nom descriptif et comme méthode sélectionnez Créer une autorité de certification interne . Augmentez la durée de vie et remplissez les champs correspondant à vos valeurs locales. Maintenant, allez dans et créez un nouveau certificat pour le pare-feu lui-même. Il est important de changer le type en serveur. Le nom commun peut être le nom d'hôte du pare-feu et définir comme nom alternatif FQDN de votre pare-feu comme il est connu du côté WAN. Ceci est très important car votre VPN sera supprimé lorsque le FQDN ne correspondra pas à ceux du certificat.
Si vous avez déjà une CA, déployez un certificat de serveur et importez la CA elle-même via et le certificat avec la clé dans .
Étape 2 - Clients mobiles ¶
Nous devrons d'abord configurer le réseau des clients mobiles et la source d'authentification. Accédez à
Par exemple, nous utiliserons les paramètres suivants:
Extensions IKE ¶
|
Autoriser |
coché |
cocher pour activer les clients mobiles |
|
Authentification d'utilisateur |
Base de données locale |
Par exemple, nous utilisons la base de données locale |
|
Authentification de groupe |
personne |
Ne laissez personne |
|
Pool d'adresses virtuelles |
10.10.0.0/24 |
Entrez la plage IP pour les clients distants |
Vous pouvez sélectionner d'autres options, mais nous les laisserons toutes décochées pour cet exemple.
Enregistrez vos paramètres et sélectionnez Créer Phase1 lorsqu'il apparaît. Entrez ensuite le paramètre Mobile Client Phase 1.
Étape 3 - Clients mobiles de la phase 1 ¶
Informations générales sur la phase 1 ¶
|
Méthode de connexion |
Défaut |
la valeur par défaut est "Start Release" |
|
Version d'échange de clés |
V2 |
seul V2 est pris en charge pour EAP-MSCHAPv2 |
|
protocole Internet |
IPv4 |
|
|
Interface |
WAN |
sélectionnez l'interface qui est connectée à Internet |
|
Description |
MobileIPsec |
description librement choisie |
Proposition de phase 1 (authentification) ¶
|
Méthode d'authentification |
EAP-MSCHAPv2 |
C'est la méthode que nous voulons ici |
|
Mon identifiant |
Nom distingué |
Spécifiez le nom de domaine complet que vous avez utilisé dans le certificat |
|
Mon certificat |
Certificat |
Sélectionnez le certificat dans la liste déroulante |
Proposition de phase 1 (algorithmes) ¶
|
Algorithme de chiffrement |
AES |
Pour notre exemple, nous utiliserons AES / 256 bits |
|
Algorithme de hachage |
SHA256 |
SHA256 pour la compatibilité |
|
Groupe de clés DH |
521 bits |
521 bits pour la compatibilité |
|
Durée de vie |
28800 secondes |
durée de conservation avant renégociation |
Les options avancées sont correctes par défaut.
Enregistrez vos paramètres.
Étape 3 - Clients mobiles Phase 2 ¶
Appuyez sur + à droite de la liste pour ajouter une entrée de phase 2.
Informations générales ¶
|
Mode |
Tunnel IPv4 |
Sélectionnez le mode tunnel |
|
Description |
MobileIPsecP2 |
Description librement sélectionnée |
Réseau local ¶
|
Réseau local |
Sous-réseau LAN |
Lancez le Local LAN |
Proposition de phase 2 (SA / échange de clés) ¶
|
Protocole |
ESP |
Sélectionnez ESP pour le chiffrement |
|
Algorithmes de chiffrement |
AES / 256 |
Pour cet exemple, nous utilisons AES 256 |
|
Algorithmes de hachage |
SHA256 |
Comme avant, SHA256 |
|
Groupe de clés PFS |
désactivé |
La plupart des systèmes mobiles ne prennent pas en charge PFS dans la phase 2 |
|
Durée de vie |
3600 secondes |
Enregistrez vos paramètres et activez IPsec , sélectionnez:
Étape 4 - Ajouter des utilisateurs IPsec χρη
Accédez à et appuyez sur Ajouter .
Saisissez les informations suivantes dans le formulaire :
|
Identifiant |
spécifique |
|
Clé Pré-Partagée |
& test! 9T |
|
Type |
PAE |
Enregistrez pour postuler et vous avez terminé ici.