ZyXEL OTP (One Time Password) avec IPSec-VPN et USG ou ZyWALL Ce document vous démontre la marche à suivre afin d'implémenter le serveur Authentication Radius ZyXEL OTP avec un logiciel VPN IPSEec et un ZyWALL ou un USG. USG ge1 IP: 192.168.1.1 VPN Client ZyXEL OTP Serveur 192.168.1.2 Configuration du serveur ZyXEL OTP-Server Après l installation du serveur Authenex, vous avez accès aux pages d administration via le lien http://localhost:8080/asas. admin+ clé ESN Master Créez l entrée NAS (service pour le raccordement réseau, dans le cas présent avec l USG). 11/2007/HAL Copyright by ZyXEL Seite 1/15
Créez le groupe radius et autorisez toutes les ressources (Allowed). Via le menu Add User, créez l utilisateur ssl-user. 11/2007/HAL Copyright by ZyXEL Seite 2/15
Sélectionnez le groupe radius et autorisez (Allowed) la ressource USG. Cliquez sur Update User pour sauvegarder les paramètres. Attribuez une clé (Key) à l utilisateur ssl-user, cliquez sur Assign afin de sauvegarder la configuration. Via le menu Search A-Keys, vous pouvez éditer les clés de l utilisateur ssl-user. Choisissez le OTP Pin Code (4 à 24 caractères alphanumériques) (= Password sur le login du USG), ensuite cliquez sur Update. 11/2007/HAL Copyright by ZyXEL Seite 3/15
Lancez une nouvelle fois le serveur Radius Authenex. Configuration du ZyXEL USG Modification de l objet AAA Server. Sélectionnez l AAA Server Type RADIUS, tapez l IP du serveur Authenex. Rentrez le port 1812, tapez la Key (mot de passe pour la communication avec le serveur ZyXEL-OTP). tapez 99 dans le champ Timeout Modifier l objet Auth. Method. Editer la règle default et ajouter en deuxième position la méthode group radius. 11/2007/HAL Copyright by ZyXEL Seite 4/15
Configuration du USG Activer la configuration Wizard. Choisir le VPN SETUP. Cliquer sur l option Advanced. 11/2007/HAL Copyright by ZyXEL Seite 5/15
Rentrer le Pre-Shared Key (la clé d échange doit contenir au moins 8 Caractères). Changer les paramètres Encryption sur 3DES avec Authentication sur SHA1 avec le Key Group sur DH2. Renter les paramètres Encryption sur 3DES avec SHA1 et PFS sur DH2. Modifier le Remote sur 0.0.0.0 / 0.0.0.0 de plus la coche Nailed UP doit être désactivé. 11/2007/HAL Copyright by ZyXEL Seite 6/15
Sauver la configuration VPN avec Save. Terminer la configuration VPN avec Close. 11/2007/HAL Copyright by ZyXEL Seite 7/15
Allez sur le menu Network Routing IMPORTANT (seulement pour le tunnel VPN dynamique): Effacer la première Route qui a été ajouter automatiquement avec la configuration Wizard du tunnel VPN sinon un problème d accès Internet intervient pour tous le réseau local (ge1). Maintenant vous pouvez éditer si vous le désirez) la connexion IPSec via le menu IPSec VPN. Le VPN Gateway représente la Phase 1 Important : sur la Phase 1 cocher la case Enable Extended Authentication avec le mode Server. 11/2007/HAL Copyright by ZyXEL Seite 8/15
Le VPN Connection représente la Phase 2. Vous avez la possibilité ici de changer les paramètres de défaut par exemple activation de l option Netbios broadcast pour l accès au File-Sharing d un serveur qui se situe sur le réseau local (ge1). 11/2007/HAL Copyright by ZyXEL Seite 9/15
Configuration du ZyWALL Menü Security / Authentication Server RADIUS activer le radius. Rentrer l adresse IP du serveur et le mot de passe. VPN Ouvrez le menu Security > VPN et cliquez sur l icône Add Gateway Policy. Renter sur l option PMy Address l adresse IP WAN Publique du ZyWALL. Rentrer la clé d échange (Pre-Shared key), doit correspondre à l opposition. Activation de l authentification avec Enable Extended Authentication et choisir le mode Server. Choisissez le codage IKE, pour plus de sécurité nous vous conseillons de choisir l algorithme 3DES, SHA1 et DH2 pour le Key Group. 11/2007/HAL Copyright by ZyXEL Seite 10/15
Après l'établissement de la relation, le côté récapitulatif apparaît à nouveau. Cliquez sur l icône Add Network Policy pour configurer la deuxième partie de la relation. Activez la Checkbox Active puis placez un nom à votre Policy. Si Allow NetBIOS over TCP/IP through IPSec Tunnel est activé, vous avez la possibilité d accéder sur un serveur / ordinateur distant \\<nom ordinateur>. Algorithme 3DES, SHA1 et DH2 pour le PFS. LAN coté ZyWALL Réseau distant 11/2007/HAL Copyright by ZyXEL Seite 11/15
Configuration du client ZyXEL VPN Démarrage de l Assistant de configuration. Introduire l adresse IP publique du USG, la clé partagé et le réseau distant. Terminer le Wizard. 11/2007/HAL Copyright by ZyXEL Seite 12/15
Activer la case X-Auth Popup puis cliquer sur OK. Maintenant vous pouvez tester la connexion VPN. Pour le Login entrer l utilisateur et le mot de passe OTP-PIN + 11/2007/HAL Copyright by ZyXEL Seite 13/15
Configuration du VPN Client (Safenet) Cliquer sur l icône «add a new connection». Placer un nom à votre connexion, par exemple «USG», comme «ID Type» choisir «IP Subnet» et mettre l adresse du réseau local (privé du coté du USG/ ZyWALL): 192.168.1.0» et «Mask: 255.255.255.0» Activer la case «Connect using Secure Gateway Tunnel». Comme «ID Type» choisir «IP Address» et placer l adresse publique (statique Internet) du ZyWALL / USG. Sous «My Identity», changer le «Select Certificate» sur «None», puis cliquer sur le bouton «Pre-Shared Key» Cliquez maintenant sur l icône «Enter Key» (rentrez la clef). Tapez le mot de passe (minimum 8 caractères) afin de sécuriser votre connexion VPN/IPSec entre votre PC et le ZyWALL / USG. «Security Policy» décocher la case «Enable Replay Detection». Cocher la case «PFS» et choisir le mode «DH2». 11/2007/HAL Copyright by ZyXEL Seite 14/15
Cliquez sur le menu de gauche sur «Authentication (Phase 1)» changer le mode d authentication, puis sur «Proposal 1» à droite, comme «Encrypt» placez «Triple DES» et pour «Hash Alg» placer «SHA1». Le «Key Group» sur «DH2». Pour finir la configuration de votre connexion avec le logiciel SoftRemote configurer la phase 2 et activer seulement l icône «Encapsulation Protocol [ESP]» en choisissant l algorythme en «Triple DES». Voilà! Vous n avez plus qu à sauver votre connexion en cliquant sur l icône «Save». Maintenant, vous pouvez tester si votre connexion fonctionne! Pour le Login entrer l utilisateur et le mot de passe OTP-PIN + 11/2007/HAL Copyright by ZyXEL Seite 15/15