Authentification VPN avec Active Directory

De Wiki de Jordan LE NUFF
Sauter à la navigation Sauter à la recherche
 
(5 révisions intermédiaires par le même utilisateur non affichées)
Ligne 8 : Ligne 8 :
  
 
Ainsi, pour une connexion avec "Cisco VPN Client", il faudra configurer un VPN "'''client-to-site'''", alors que pour une connexion avec "AnyConnect", il faudra configurer un VPN "'''SSL VPN'''". C'est ce dernier qui sera présenté dans cette page.
 
Ainsi, pour une connexion avec "Cisco VPN Client", il faudra configurer un VPN "'''client-to-site'''", alors que pour une connexion avec "AnyConnect", il faudra configurer un VPN "'''SSL VPN'''". C'est ce dernier qui sera présenté dans cette page.
 +
 +
La documentation de référence est accessible ici : https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb5492-configure-and-manage-user-accounts-on-an-rv34x-series-router.html
 +
 +
==Contraintes==
 +
'''Important !''' Sur le routeur RV340, pour que l'authentification se fasse auprès d'un Active Directory, '''il faut impérativement''' que ces deux points soient respectés :
 +
*Dans l'arborescence de l'Active Directory, les utilisateurs doivent se trouver dans '''le même conteneur''' que le groupe utilisé pour le VPN.
 +
*'''L'imbrication de groupes ne fonctionne pas'''. Il faut que les utilisateurs fasse directement partie du groupe utilisé pour le VPN.
  
 
==Création du groupe dans l'AD==
 
==Création du groupe dans l'AD==
Ligne 48 : Ligne 55 :
 
:[[Fichier:ClipCapIt-210614-232129.PNG|none|thumb|300px]]
 
:[[Fichier:ClipCapIt-210614-232129.PNG|none|thumb|300px]]
  
Se rendre dans la section "VPN -> Client-to-site" :
+
==Connexion du routeur à l'Active Directory==
:[[Fichier:ClipCapIt-210614-232307.PNG|none|thumb|300px]]
+
Se rendre dans la section "System Configuration -> User Accounts", dans la section "Remote Authentication Service" :
 +
:[[Fichier:ClipCapIt-210702-230512.PNG|none|thumb|300px]]
 +
 
 +
Cliquer sur le symbole '''+''' pour ajouter un nouveau service d'authentification :
 +
:[[Fichier:ClipCapIt-210702-230633.PNG|none|thumb|300px]]
  
Cliquer sur le symbole '''+''' pour ajouter une connexion VPN :
+
Remplir les champs suivants :
:[[Fichier:ClipCapIt-210614-232618.PNG|none|thumb|300px]]
+
*'''Name :'''
 +
*:Donner un nom à la connexion
 +
*'''Authentication Type :'''
 +
*:Sélectionner "Active Directory"
 +
*'''AD Domain Name :'''
 +
*:Renseigner le nom du domaine auquel se connecter
 +
*'''Primary Server :'''
 +
*:Renseigner l'adresse IP et le port du contrôleur de domaine à joindre
 +
*'''User Container Path :'''
 +
*:Renseigner le DN (DistinguishedName) du conteneur dans lequel se trouvent les utilisateurs '''et''' le groupe AD utilisés pour le VPN
  
L'écran suivant s'affiche alors :
+
Valider.
:[[Fichier:ClipCapIt-210614-235442.PNG|none|thumb|300px]]
+
 
 +
==Ajout d'une connexion VPN SSL==
 +
Se rendre dans la section "VPN -> SSL VPN" :
 +
:[[Fichier:ClipCapIt-210615-231759.PNG|none|thumb|300px]]
 +
 
 +
Dans l'onglet "General Configuration", activer le SSL VPN en cochant le bouton radio "On" du champ "Cisco SSL VPN Server" :
 +
:[[Fichier:ClipCapIt-210615-232201.PNG|none|thumb|300px]]
  
 
Renseigner les éléments suivants :
 
Renseigner les éléments suivants :
*Type de VPN
+
*'''Mandatory Gateway Settings'''
**Cisco VPN Client
+
**Gateway Interface
*Enable
+
**:Sélectionner l'adresse IP publique du routeur sur laquelle le SSL VPN écoutera
**Coché
+
**Gateway Port:
*Group Name
+
**:Choisir le port publique du routeur sur laquelle le SSL VPN écoutera
**Nom donné à la connexion VPN
+
**Certificate File
*Interface
+
**:A moins de disposer d'un certificat personnalisé pour le routeur, laisser celui par défaut
**Sélectionner l'interface réseau sur laquelle le VPN écoutera
+
**Client Address Pool
*IKE Authentication Method
+
**:Renseigner l'adresse réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
**Choisir le type d'authentification
+
**Client Netmask
**Pour le type d'authentification "Pre-Shared Key"
+
**:Renseigner le masque de sous-réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
**:Y renseigner la clé pré-partagée souhaitée
+
**Client Domain
**:Choisir d'activer la complexité minimum ou non de la clé partagée
+
**:Renseigner le domaine qui sera suffixé au nom des machines des clients VPN
**:Afficher à l'écran ou non la clé pré-partagée saisie
+
**Login Banner
*User Group
+
**:Renseigner le message d'accueil désiré lors de la connexion VPN
**Cliquer sur le symbole '''+''' pour ajouter un groupe autorisé à utiliser la connexion VPN :
+
*'''Optional Gateway Settings'''
**:[[Fichier:ClipCapIt-210614-233744.PNG|none|thumb|300px]]
+
**L'ensemble des paramètres de cette section est optionnel, mais les valeurs par défaut suffisent à utilisation normale.
**Sélectionner le groupe précédemment créé dans le routeur :
 
**:[[Fichier:ClipCapIt-210614-233845.PNG|none|thumb|300px]]
 
*Mode
 
**Sélectionner le mode "Client"
 
**En mode "Client"
 
**:Dans "Start IP", définir l'adresse IP du début du pool DHCP à utiliser pour affecter une adresse IP au client VPN
 
**:Dans "End IP", définir l'adresse IP de la fin du pool DHCP à utiliser pour affecter une adresse IP au client VPN
 
*Mode Configuration
 
**Renseigner ici les différentes options à communiquer au client VPN (DNS server, domaine par défaut, etc...)
 
  
Cliquer sur "Apply" pour valider la création de la connexion VPN.
+
Dans l'onglet "Group Policies", ajouter une nouvelle ''Group policy'' en cliquant sur '''+''' ou bien éditer la ''Group policy'' par défaut (''SSLVPNDefaultPolicy'') :
 +
:[[Fichier:ClipCapIt-210615-234918.PNG|none|thumb|300px]]
 +
 
 +
:[[Fichier:ClipCapIt-210615-235104.PNG|none|thumb|300px]]
 +
 
 +
Renseigner les éléments suivants :
 +
*'''Basic Settings'''
 +
**Policy Name
 +
**:Choisir un nom pour la ''Group Policy''
 +
**Primary DNS
 +
**:Renseigner l'adresse IP du DNS primaire à utiliser
 +
**Secondary DNS
 +
**:Renseigner l'adresse IP du DNS secondaire à utiliser
 +
**Primary WINS
 +
**:Renseigner l'adresse IP du serveur WINS primaire à utiliser
 +
**Secondary WINS
 +
**:Renseigner l'adresse IP du serveru WINS secondaire à utiliser
 +
**Description
 +
**:Renseigner la description de cette ''Group Policy''
 +
*'''IE Proxy Settings'''
 +
**Choisir le comportement pour la configuration de proxy
 +
*'''Split Tunneling Settings'''
 +
**Si tout le trafic réseau (à destination du réseau distant + à destination d'internet) doit passer par le VPN, ne pas cocher la case "Enable Split Tunneling"
 +
**Si le trafic réseau à destination du réseau distant doit passer par le VPN alors que le trafic réseau à destination d'internet ne doit pas passer par le VPN, cocher la case "Enable Split Tunneling" :
 +
**:[[Fichier:ClipCapIt-210615-235835.PNG|none|thumb|300px]]
 +
***Split Selection
 +
***:Choisir d'inclure ou d'exclure les réseaux ou domaines ensuite définis dans le réseau du VPN
 +
***Split Network Table
 +
***:Ajouter les réseaux à inclure ou exclure du réseau du VPN
 +
***Split DNS Table
 +
***:Ajouter les domaines à inclure ou exclure du réseau du VPN
 +
 
 +
Cliquer sur "Apply" pour appliquer les paramètres et activer le SSL VPN.
  
 
==Déploiement du client VPN AnyConnect==
 
==Déploiement du client VPN AnyConnect==
 
===Installation===
 
===Installation===
:[[Fichier:ClipCapIt-210615-005035.PNG]]
+
Lancer l'exécutable AnyConnect fourni par le service informatique de l'entreprise.
 +
 
 +
Une fois lancé, un menu s'affiche. Ne sélectionner que l'option "Core & VPN" :
 +
:[[Fichier:ClipCapIt-210615-005035.PNG|none|thumb|300px]]
  
:[[Fichier:ClipCapIt-210615-005100.PNG]]
+
Sur le message suivant, valider pour lancer l'installation :
 +
:[[Fichier:ClipCapIt-210615-005100.PNG|none|thumb|300px]]
  
:[[Fichier:ClipCapIt-210615-005141.PNG]]
+
L'installation se lance alors :
 +
:[[Fichier:ClipCapIt-210615-005141.PNG|none|thumb|300px]]
  
:[[Fichier:ClipCapIt-210615-005213.PNG]]
+
Une fois l'installation terminée, ce message s'affiche :
 +
:[[Fichier:ClipCapIt-210615-005213.PNG|none|thumb|300px]]
  
 
===Configuration===
 
===Configuration===
 
Depuis le menu Windows, rechercher et lancer l'application "Cisco AnyConnect Secure Mobility Client" :
 
Depuis le menu Windows, rechercher et lancer l'application "Cisco AnyConnect Secure Mobility Client" :
:[[Fichier:ClipCapIt-210615-005419.PNG]]
+
:[[Fichier:ClipCapIt-210615-005419.PNG|none|thumb|300px]]
 +
 
 +
Renseigner l'adresse IP ou le nom DNS du VPN suivi du port précédemment configuré dans le SSL VPN puis cliquer sur "Connect" :
 +
:[[Fichier:ClipCapIt-210615-005446.PNG|none|thumb|300px]]
 +
 
 +
Un message d'avertissement relatif au certificat utilisé par le VPN peut s'afficher :
 +
:[[Fichier:ClipCapIt-210616-000555.PNG|none|thumb|300px]]
 +
 
 +
Cliquer sur "Connect Anyway" pour se connecter malgré ce message.
  
:[[Fichier:ClipCapIt-210615-005446.PNG]]
+
Si une authentification a été mise en place, une fenêtre d'identification s'affiche alors :
 +
:[[Fichier:ClipCapIt-210616-000919.PNG|none|thumb|300px]]

Version actuelle datée du 2 juillet 2021 à 21:20

Présentation

Cette page a pour objet de décrire comment mettre en place une authentification avec un Active Directory sur le VPN d'un routeur Cisco RV340.

Contexte

L'Active Directory utilisé est installé sur un serveur Windows Server 2012 R2.

Le client VPN "Cisco VPN Client" a été abandonné au profit du client "AnyConnect".

Ainsi, pour une connexion avec "Cisco VPN Client", il faudra configurer un VPN "client-to-site", alors que pour une connexion avec "AnyConnect", il faudra configurer un VPN "SSL VPN". C'est ce dernier qui sera présenté dans cette page.

La documentation de référence est accessible ici : https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-small-business-routers/smb5492-configure-and-manage-user-accounts-on-an-rv34x-series-router.html

Contraintes

Important ! Sur le routeur RV340, pour que l'authentification se fasse auprès d'un Active Directory, il faut impérativement que ces deux points soient respectés :

  • Dans l'arborescence de l'Active Directory, les utilisateurs doivent se trouver dans le même conteneur que le groupe utilisé pour le VPN.
  • L'imbrication de groupes ne fonctionne pas. Il faut que les utilisateurs fasse directement partie du groupe utilisé pour le VPN.

Création du groupe dans l'AD

Sur le serveur Windows, lancer une invite de commandes avec les touches Windows + R puis taper dsa.msc :

Erreur lors de la création de la miniature : Fichier manquant

La console de gestion des "Utilisateurs et ordinateurs Active Directory" se lance alors :

Erreur lors de la création de la miniature : Fichier manquant

Se rendre dans l'OU désirée et créer un groupe dédié aux utilisateurs VPN, par exemple "VpnUsers", en faisant "Nouveau -> Groupe" :

Erreur lors de la création de la miniature : Fichier manquant

Renseigner le nom désiré, sélectionner l'étendue du groupe à "Globale" et le type de groupe à "Sécurité", puis cliquer sur "OK" pour valider la création du groupe d'utilisateurs :

Erreur lors de la création de la miniature : Fichier manquant

Le groupe une fois créé s'affiche :

Erreur lors de la création de la miniature : Fichier manquant

Pour lui ajouter des membres, faire un "clic-droit -> Propriétés" puis se rendre dans l'onglet "Membres" :

Erreur lors de la création de la miniature : Fichier manquant

Cliquer sur "Ajouter..." :

Erreur lors de la création de la miniature : Fichier manquant

Dans le champ "Entrez les noms des objets à sélectionner", taper le nom d'un utilisateur ou d'un groupe puis cliquer sur "Vérifier les noms" pour rechercher dans l'Active Directory.

Une fois l'utilisateur et/ou groupe trouvé, cliquer sur "OK" pour valider l'ajout au groupe précédemment créé.

Création du groupe dans le routeur

Se connecter à la page web du routeur RV340 puis se rendre dans la section "System Configuration -> User Groups" :

Erreur lors de la création de la miniature : Fichier manquant

Cliquer sur le symbole + pour ajouter un groupe :

ClipCapIt-210614-230458.PNG

Lui donner le nom du groupe VPN précédemment créé dans l'Active Directory et cliquer sur "Apply" pour créer le groupe :

Erreur lors de la création de la miniature : Fichier manquant

Le groupe apparaît ensuite dans la liste des groupes du routeur :

Erreur lors de la création de la miniature : Fichier manquant

Connexion du routeur à l'Active Directory

Se rendre dans la section "System Configuration -> User Accounts", dans la section "Remote Authentication Service" :

Erreur lors de la création de la miniature : Fichier manquant

Cliquer sur le symbole + pour ajouter un nouveau service d'authentification :

ClipCapIt-210702-230633.PNG

Remplir les champs suivants :

  • Name :
    Donner un nom à la connexion
  • Authentication Type :
    Sélectionner "Active Directory"
  • AD Domain Name :
    Renseigner le nom du domaine auquel se connecter
  • Primary Server :
    Renseigner l'adresse IP et le port du contrôleur de domaine à joindre
  • User Container Path :
    Renseigner le DN (DistinguishedName) du conteneur dans lequel se trouvent les utilisateurs et le groupe AD utilisés pour le VPN

Valider.

Ajout d'une connexion VPN SSL

Se rendre dans la section "VPN -> SSL VPN" :

ClipCapIt-210615-231759.PNG

Dans l'onglet "General Configuration", activer le SSL VPN en cochant le bouton radio "On" du champ "Cisco SSL VPN Server" :

Erreur lors de la création de la miniature : Fichier manquant

Renseigner les éléments suivants :

  • Mandatory Gateway Settings
    • Gateway Interface
      Sélectionner l'adresse IP publique du routeur sur laquelle le SSL VPN écoutera
    • Gateway Port:
      Choisir le port publique du routeur sur laquelle le SSL VPN écoutera
    • Certificate File
      A moins de disposer d'un certificat personnalisé pour le routeur, laisser celui par défaut
    • Client Address Pool
      Renseigner l'adresse réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
    • Client Netmask
      Renseigner le masque de sous-réseau correspond au pool d'adresses IP qui sera utilisé pour affecter une adresse IP aux clients VPN
    • Client Domain
      Renseigner le domaine qui sera suffixé au nom des machines des clients VPN
    • Login Banner
      Renseigner le message d'accueil désiré lors de la connexion VPN
  • Optional Gateway Settings
    • L'ensemble des paramètres de cette section est optionnel, mais les valeurs par défaut suffisent à utilisation normale.

Dans l'onglet "Group Policies", ajouter une nouvelle Group policy en cliquant sur + ou bien éditer la Group policy par défaut (SSLVPNDefaultPolicy) :

Erreur lors de la création de la miniature : Fichier manquant
Erreur lors de la création de la miniature : Fichier manquant

Renseigner les éléments suivants :

  • Basic Settings
    • Policy Name
      Choisir un nom pour la Group Policy
    • Primary DNS
      Renseigner l'adresse IP du DNS primaire à utiliser
    • Secondary DNS
      Renseigner l'adresse IP du DNS secondaire à utiliser
    • Primary WINS
      Renseigner l'adresse IP du serveur WINS primaire à utiliser
    • Secondary WINS
      Renseigner l'adresse IP du serveru WINS secondaire à utiliser
    • Description
      Renseigner la description de cette Group Policy
  • IE Proxy Settings
    • Choisir le comportement pour la configuration de proxy
  • Split Tunneling Settings
    • Si tout le trafic réseau (à destination du réseau distant + à destination d'internet) doit passer par le VPN, ne pas cocher la case "Enable Split Tunneling"
    • Si le trafic réseau à destination du réseau distant doit passer par le VPN alors que le trafic réseau à destination d'internet ne doit pas passer par le VPN, cocher la case "Enable Split Tunneling" :
      Erreur lors de la création de la miniature : Fichier manquant
      • Split Selection
        Choisir d'inclure ou d'exclure les réseaux ou domaines ensuite définis dans le réseau du VPN
      • Split Network Table
        Ajouter les réseaux à inclure ou exclure du réseau du VPN
      • Split DNS Table
        Ajouter les domaines à inclure ou exclure du réseau du VPN

Cliquer sur "Apply" pour appliquer les paramètres et activer le SSL VPN.

Déploiement du client VPN AnyConnect

Installation

Lancer l'exécutable AnyConnect fourni par le service informatique de l'entreprise.

Une fois lancé, un menu s'affiche. Ne sélectionner que l'option "Core & VPN" :

Erreur lors de la création de la miniature : Fichier manquant

Sur le message suivant, valider pour lancer l'installation :

Erreur lors de la création de la miniature : Fichier manquant

L'installation se lance alors :

Erreur lors de la création de la miniature : Fichier manquant

Une fois l'installation terminée, ce message s'affiche :

Erreur lors de la création de la miniature : Fichier manquant

Configuration

Depuis le menu Windows, rechercher et lancer l'application "Cisco AnyConnect Secure Mobility Client" :

ClipCapIt-210615-005419.PNG

Renseigner l'adresse IP ou le nom DNS du VPN suivi du port précédemment configuré dans le SSL VPN puis cliquer sur "Connect" :

Erreur lors de la création de la miniature : Fichier manquant

Un message d'avertissement relatif au certificat utilisé par le VPN peut s'afficher :

Erreur lors de la création de la miniature : Fichier manquant

Cliquer sur "Connect Anyway" pour se connecter malgré ce message.

Si une authentification a été mise en place, une fenêtre d'identification s'affiche alors :

Erreur lors de la création de la miniature : Fichier manquant
Récupérée de « https://wiki.jordan-lenuff.com/index.php?title=Technique/Cisco/Routeur_RV340/Authentification_VPN_avec_Active_Directory&oldid=1227 »