Configuration ZyXEL Greenbow client VPN et routeur

Référence ZF108J

Nederlandse versie:  

Ce document est destiné aux utilisateurs, client VPN Greenbow, désirant créer une connexion VPN  avec un routeur ZyWALL. Les instructions peuvent aussi être employés pour une utilisation de Greenbow en combinaisons avec un routeur 652 ADSL ZyXEL Prestige, qui a les capacités de VPN caractéristiquement comparables. Les routeurs ZyXEL qui ont seulement les possibilités client VPN (tels que le Prestige 324) ne fonctionnent pas avec Greenbow.

Nous faisons deux hypothèses:

1.    Les gens sont situé dans différents endroits et ne connaissent pas les adresses IP publiques qui peuvent les connecter.

2.    Nous voulons installer le moins possible de chose dans le client VPN.

Ce document aborde les sujets suivants:

1.    Configuration d'un routeur:

1.        ZyWALL 10W

2.        ZyWALL 5, 35 et 70

3.        Telnet

2.    Installation Greenbow

3.    Configuration Greenbow

Router configureren: ZyWALL 10W Configuration du routeur: ZyWALL 10W

Les paramètres ci-dessous fonctionnent avec le ZyWALL 10W qui est équipé du dernier firmware. Ils sont accessibles via le configurateur web du ZyWALL.

1.    Aller au menu principal VPN et modifier la ligne qui indique la connexion.

2.    Utilisez les paramètres comme ci-dessous, sauf les institutions . .

1. Nat Traversal: NAT Traversal:
   Comme dans bien des cas, un utilisateur d'un client VPN est "mobile" il ou elle sera souvent derrière un routeur NAT qui ne laisse pas toujours passer le protocole ESP. Pour cette raison l est donc recommandé standard que la case où est indiquée le NAT traversal soit activé (grâce à l'icône) vérifier si le routeur ou le routeur/modem a cette capacité. Bien que cela soit un peu au détriment de la performance, cela pourra, dans tous les cas, fournir une connexion VPN. Les versions actuelles du client VPN détecté automatiquement si oui ou non cette option doit être utilisée sans aucun besoin supplémentaire pour le client à établir d' autre fonctions.
2. Prendre la première adresse IP sur le réseau qui gère le ZyWALL. Y compris le masque de sous-réseau qui doit correspondre au sous-réseau qui est utilisé par le réseau.
3. Prenez la " Pre-Shared key " sur la connexion VPN.
4. Prendre l'adresse IP WAN du ZyWALL elle-même. Ne prenez pas l'adresse IP WAN d'un routeur NAT en cours.

Cliquez sur " advance " (Avancé) pour entrer les paramètres avancés

Utilisez les paramètres comme ci-dessus, et cliquez sur "Apply"(Appliquer) puis cliquez une fois de plus sur "Apply" pour sauf garder les paramètres.

Configuration du routeur: ZyWALL 5, 35 et 70

Les paramètres ci-dessous fonctionnent avec le ZyWALL 5, 35 et 70 et sont basés sur le dernier firmware. Ils sont accessibles via le configurateur intégré du ZyWALL. Utilisez les paramètres comme ci-dessous, sauf les institutions

1. Aller au VPN> onglet Règles de VPN (IKE)

2. Créez une nouvelle règle en appuyant sur le bouton "+" comme ci-dessus

3. Prendre les paramètres suivants, sauf les institutions
(Exemple 1: le firmware 3.64)

Exemple 2: Firmware 4.00 et plus tard

1. NAT Traversal:
   Comme dans bien des cas, un utilisateur d'un client VPN est "mobile" il ou elle sera souvent derrière un routeur NAT qui ne laisse pas toujours passer le protocole ESP. Pour cette raison il est donc recommandé standard que la case où est indiquée le NAT traversal soit activé (grâce à l'icône) vérifier si le routeur ou le routeur / modem a cette capacité. Bien que cela soit un peu au détriment de la performance, cela pourra, dans tous les cas, fournir une connexion VPN. Les versions actuelles du client VPN détecte automatiquement si oui ou non cette option doit être utilisée sans aucun besoin supplémentaire pour le client à établir d' autre fonctions.
2. Prendre l'adresse IP WAN du ZyWALL elle-même. Ne prenez pas l'adresse IP WAN d'un routeur NAT en cours..
3. Entrez votre code "Pre-Shared Key" Apply Puis cliquez sur "Apply" (appliquer)

Edit Changer les "property rules". Modifier par la suite la même règle (cliquez sur l'icône affichée sur la ligne correspondante):

Utilisez les paramètres comme ci-dessus, mais là où vous voyez entrez la première adresse IP et le masque de sous-réseau du LAN ZyWALL qui est active. Puis cliquez sur "Apply".

Configuration du routeur: Telnet

La plupart des anciens modèles routeurs sont approchables pour les configurés via Telnet (ou série). Les pages web des différents modèles de routeurs peuvent variées, mais les menus Telnet des différents modèles sont identiques.

1. Créer sous le menu 27.1 un profil "Wildcard" (joker) dans le routeur (donc Secure Gateway Address = 0.0.0.0). Dans ce tel profil, la plupart des modifications sont indiquées ci-dessous. Ce profil doit être le dernier profil possible (soit profil 10 dans un ZyWALL 10, profil 50 dans un ZyWALL 50 etc...) et aussi le seul profil "Wildcard" (joker) dans le routeur!
2. Dans le nouveau profil nous appliquons les données marquées à:

                            Menu 27.1.1 - IPSec Setup

          Index #= 1        Name= CnxVpn1
          Active= Yes       Keep Alive= No    Nat Traversal= No
          Local ID type= IP         Content=
          My IP Addr= 0.0.0.0
          Peer ID type= IP          Content=
          Secure Gateway Address= 0.0.0.0
          Protocol= 0       DNS Server= 0.0.0.0
          Local:  Addr Type= SUBNET
          IP Addr Start= 192.168.1.0      
          End/Subnet Mask= 255.255.255.0
          Port Start= 0                End= N/A
          Remote: Addr Type= N/A
          IP Addr Start= N/A              End/Subnet Mask= N/A
          Port Start= N/A              End= N/A
          Enable Replay Detection= No
          Key Management= IKE
          Edit Key Management Setup= No

                    Press ENTER to Confirm or ESC to Cancel:
  

• Un nom (aléatoire, au hasard) dans la partie "Name"
• type d'adresse locale et installation des données. Dans cet exemple, sous-réseau 192.168.1.0 avec un masque  255.255.255.0.
• Ce n'est que seulement, lorsqu' un routeur est situe derrière (un autre) NAT routeur, l'adresse IP publique définir derrière

  Local ID type= IP         Content=

• Edit Key Management Setup= No avec la barre espace,"Yes" pour obtenir le menu d'installation sous-adjacent.

                            Menu 27.1.1.1 - IKE Setup

      Phase 1
        Negotiation Mode= Main
        Authentication Method= Pre-Shared Key
        Pre-Shared Key= 12345678
        Certificate= N/A
        Encryption Algorithm= 3DES
        Authentication Algorithm= SHA1
        SA Life Time (Seconds)= 1800
        Key Group= DH2 
      Phase 2
        Active Protocol= ESP
        Encryption Algorithm= 3DES
        Authentication Algorithm= SHA1
        SA Life Time (Seconds)= 1200
        Encapsulation= Tunnel
        Perfect Forward Secrecy (PFS)= DH2

                    Press ENTER to Confirm or ESC to Cancel:
  

• Installer la Preshared key (12345678 dans cet exemple et tous les clients de ce routeur seront obliger d'être identiques).
• Toutes les données indiqué ci-dessus installer identiquement comme l'exemple. Enregistrer les données et quitter Telnet.

Le SA Life Time des deux phases sont disponibles dans les paramètres de la configuration du client VPN.

Greenbow VPN Client 2.03 Installation de Windows

Let op:Note: Greenbow fonctionne sous différentes versions de Windows. Les images suivantes peuvent légèrement êtres différentes des exemples ci-dessous. La description qui suit est basé sur Windows XP.

1. Via http://www.thegreenbow.com/vpn_down.html vous pouvez obtenir une version complète que vous pouvez essayer 30 jours. Enregistrez le fichier de téléchargement sur votre bureau.
2. Cliquez sur l'icône représentant Greenbow
3. Puis cliquez sur pour l'Anglais:
   
4. L'installation commence.
   
5. Puis cliquez sur "Next"
   
6. Puis cliquez sur "Yes"
   
7. Choisissez l'emplacement pour votre Greenbow à installer et cliquez sur "Next"
   
8. Rendre le dossier souhaité et cliquez sur "Next"
   
9. En quelques secondes, puis cliquez sur "Finish"
   
10. Doit que de besoin "Oui, je veux redémarrer mon ordinateur et cliquez sur "Finish" pour redémarrer votre ordinateur.
11. Une fois que votre ordinateur démarre le logiciel client Greenbow est démarré automatiquement et vous pourrez voir l'écran suivant. Cliquez "Trial".
12. Cliquez à nouveau "Trial", vous permet d'utiliser le logiciel pendant 30 jours.
    
13. À la fin des 30 jours de la période d'essai, vous pouvez obtenir une licence. Pour plus d'informations: sales@valadis.be

Greenbow configuration client

Dans le prochain exemple nous avons choisi une institution (dans le ZyXEL) avec que des changements minimes au client VPN requises.

1. Cliquez avec la droite sur l'icône dans la barre des tâches
2. Cliquez avec la droite sur configuration et sélectionnez "New phase 1".
   
3. Configurer la première phase:
   
   

• Réglé l'interface sur "*" afin que les gens qui ont souvent d'autres LAN ou par ligne commutée adresses IP ne sont pas toujours confronter a faire de nouveau changement (l'utilisation du signe " *" peut causer des problèmes lorsque plusieurs actif réseau interfaces sont disponibles, à ce moment il faut installer l'adresse IP correcte.)
• Dans Remote address: vous pouvez utiliser une adresse IP, fixe ou dyndns URL (62.177.153.186 dans cet exemple).
• Indication pour "Pre Shared Key" (12345678 dans cet exemple)
• Appuyer sur "Apply Rules".

4.   Cliquez droit sur la connexion crée et sélectionnez Add phase 2

5.     Configurez la deuxième phase. Il existe des différences mineures entre les versions de Greenbow. En dessous la fenêtre qui était utilisée dans les versions Greenbow jusque la version 2.5 de Greenbow.

• Réglez le "Local Address" sur 1.2.3.4, ou une autre adresse IP locale inutilisées, afin d'avoir l'adresse IP de l'ordinateur exécutant le client VPN (ce n'est pas un problème avec les connexions à distance ou de réseaux avec une connexion unique) ou fixez-vous une adresse IP virtuelle. Dans "SA monitor" de ZyXEL apparaissent par l'adresse IP utilise part le client. Faite attention :S'il vous plaît noter que pendant l'utilisation (simultanée) de plusieurs adresses, les clients VPN doivent être uniques et ne se chevauchent pas avec d'autres dans le routeur VPN qui a été déjà programmé.
• Réglez le "Network Address" dans le LAN VPN sur Network Address (192.168.1.0 dans notre exemple).
• Activez (grâce à l'icône) Subnet, vérifiez et réglez-le correctement (255.255.255.0 dans cet exemple).
• Appuyez ici sur "Apply Rules".

6.   En dessous même fenêtre dans la version 2.51

7.   Une fois enregistrer fermé la fenêtre (cliquez sur la croix en haut à droite).

Commentaires

1. La construction de la connexion est complètement transparent. Si le client fonctionne (quanti l'icône est dans la barre des tâches) et que vous essayez de vous connecter avec une adresse IP dans le réseau local, la connexion VPN est établie automatiquement.
2. Pendant la connexion VPN le réseau ordinaire et/ou le trafic Internet n'est pas bloqué. Cela est plus sûr (mais plus lent), en forçant l'ensemble du trafic à travers la connexion VPN en utilisant un masque à l'aide 0.0.0.0.
3. Sauf si WINS, a la fonction DNS (ou tous des noms internes sont connues), ou les fichiers LMHOSTS sont utilisés sur l'ordinateur local, les ordinateurs de l'autre côté du VPN peuvent uniquement communiquer à l'aide de l'adresse IP et ne reconnaisse pas le nom interne.
4. S'enregistrer sur les serveurs Windows et  serveurs Samba (avec adresse IP) est possible (en utilisant le Netbios du ZyXEL IP via le VPN est autorisée).
5. Ne pas utiliser de plages qui se chevauchent. Donc, si par exemple le ZyWALL  est situé derrière un SpeedTouch avec l'adresse IP 10.0.0.138, il est donc préférable de ne pas utiliser la même adresse du côté du client VPN Greenbow avec 10.0.0.x. Le ZyWALL peu perdre le contact.  
6. Quand il ya une connexion  établie, mais obtient aucune donnée (par l'utilisation d'adresses IP), il est possible que ceci soit due à une mauvaise transmission ou émission via IPsec part un routeur intermédiaire.
7. D'âpres la documentation, le client VPN Greenbow prend en charge "NAT Traversal", mais ceci est aussi introuvable dans la documentation ou les institutions.
8. Greenbow (sous Windows XP) fonctionne aussi bien lorsque vous allumez le Pare-feu (Firewall) pour la connexion Internet (via Propriétés- carte réseau- Onglet Avancé). Activation de la configuration TCP / IP de filtrage n'a pas d'effets indésirables, à moins que vous régler l'ordinateur pour ne rien accepter. Parce qu'ensuite l'ordinateur accepte vraiment rien.
9. Greenbouw ne fonctionne qu'avec des routeurs qui fonctionnent avec "IPsec pass-through".
10. Si en effet Greenbow commence automatiquement une connexion VPN, mais pas "à travers"  le routeur, restera l'adresse IP indiquée inaccessible pour d'autres types de VPN. Désactiver Greenbow dans ce cas si vous souhaitez utiliser une autre connexion VPN.
11. Si ceci échoue, en conseils vpndebug.html vous trouverez de nombreuses informations nécessaires pour vous aider.
12. Greenbow a été testé en association avec Toutefois, si vous installez le Service Pack 2 sur un ordinateur qui, auparavant, s'élevait à Greenbow, il est très probable que Greenbow ne fonctionne pas correctement. Dans ce cas vous devez désinstaller dans son intégralité Greenbow pour ensuite le réinstaller. Version 2.50 build 019 a été testé sur Windows XP SP2.
13. La mise en place du DH1024 Greenbow correspond avec DH2 à la fixation du routeur ZyWALL.
14. Beaucoup d'utilisateurs de Greenbow utilise leurs ordinateurs portable à la maison et au travail. Ceci peut empêcher l'ordinateur portable au travail de voir le réseau local. Dans la maison la connexion VPN sera créé automatiquement quand le trafic vers le réseau local distant est généré.

Si, toutefois, vous êtes à l'entreprise vous ne désirez pas qu'un tunnel VPN soit établit. La connexion VPN sera toutefois lancé automatiquement, parce que le trafic est généré, ce qui peu être inattendues et indésirables. Ce mouvement ne pourra jamais atteindre le réseau local(LAN). Avec l'utilisation du logiciel VPNstart.exe on peut choisir en sorte que  Greenbow ne fonctionne pas automatique, mais manuellement. Par exemple grâce à un icône sur le desktop.