Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet

Dossier d installation et de configuration du client VPN pour L accès nomade au CEAnet V3.0 Accès poste nomade par client VPN Page1/29

SUIVI DES VERSIONS Version Date Etat Nom du rédacteur Commentaire 1.0 14/10/02 Mise en production DTI/STC 2.0 16/12/02 DTI/STC 3.0 08/04/03 DTI/STC ÉTAT DES MISES A JOUR Chapitre Motif et/ou nature des mises à jour Version Première livraison 1.0 Corrections 2.0 Ajouts et corrections 3.0 V3.0 Accès poste nomade par client VPN Page:2

SOMMAIRE 1 PRESENTATION GENERALE...4 1.1 OBJET ET DOMAINE D'APPLICATION...4 2 CONFIGURATION DU CLIENT VPN EXTRANET ACCESS CLIENT...5 2.1 INSTALLATION DU CLIENT EAC...5 2.1.1 Plates-formes supportées...5 2.1.2 Installation du client...5 2.2 CONFIGURATION DU CLIENT EAC...10 2.2.1 Connexion Extranet...12 2.2.2 Adresse DESTINATION...15 2.2.3 Authentification NT et DNS...16 2.2.4 Connexion «internet»...16 2.3 DEMARRAGE D UNE CONNEXION EXTRANET...20 2.3.1 Connexion à internet :...20 2.3.2 Connexion IPSec...21 2.4 CHANGEMENT DU MOT DE PASSE PAR L UTILISATEUR...23 3 CONFIGURATION D ACCES COMPANION : DRIVER GERANT LES APPELS GLOBAL INTRANET A PARTIR DE L INTERNATIONAL...25 3.1 L ACCES DE POSTES NOMADES LOCALISES HORS DE FRANCE...25 3.1.1 Installation du driver : acces companion...25 3.1.2 Parametrage du driver...27 V3.0 Accès poste nomade par client VPN Page:3

1 PRESENTATION GENERALE 1.1 OBJET ET DOMAINE D'APPLICATION Le présent document a pour objet de définir l installation et le paramétrage du client VPN, Extranet Access Client, fourni dans le cadre de la nouvelle connexion des postes nomades au CEA. Ce document décrit la mise en œuvre de la version du client pour Windows. La version pour Linux sera décrite dans une version ultérieure. V3.0 Accès poste nomade par client VPN Page:4

2 CONFIGURATION DU CLIENT VPN EXTRANET ACCESS CLIENT Le client EAC (Extranet Access Client) est une application Windows qui permet de créer des informations de connexion pour l établissement de tunnels chiffrés vers un commutateur d accès Extranet, de type CES, situé sur le réseau local d une entreprise. Le client EAC utilise le protocole IPSec, incluant notamment le protocole d échange de clés ISAKMP/Oakley permettant d authentifier et de sécuriser les connexions de bout en bout vers un réseau distant. 2.1 INSTALLATION DU CLIENT EAC 2.1.1 PLATES-FORMES SUPPORTEES Le client EAC fourni s installe sur des stations Windows 2000 et XP. 2.1.2 INSTALLATION DU CLIENT Avant de lancer l installation du client, il faut récupérer le fichier client sur le site ftp de la DTI (ftp://ftp-dti.cea.fr/dti/vpn/client-windows/). Et le copier sur le disque local de votre PC ou sur un CD. IL est préférable d être déconnecté du réseau (Ethernet, ADSL ou autre) Ouvrir le fichier zip et démarrer le programme eacxxx.exe. (ou XXX est le numéro de version) Attention : L installation du client VPN demande des droits d administrateur sur le poste Les écrans suivants doivent défiler : V3.0 Accès poste nomade par client VPN Page:5

Cliquer sur le bouton «Next». La fenêtre ci-dessous reprend les termes de la licence. Cliquer sur le bouton «Yes» afin de poursuivre l installation : V3.0 Accès poste nomade par client VPN Page:6

Cet écran vous indique l emplacement du dossier dans lequel sera installé le programme d application du client EAC (C:\Program Files\Nortel Networks, par défaut). Vous pouvez modifier cet emplacement en cliquant sur le bouton «Browse». Une fois que le dossier convient, cliquer sur le bouton «Next» : Il est possible de modifier le nom du dossier de destination au niveau de l écran suivant : V3.0 Accès poste nomade par client VPN Page:7

Si le nom du dossier convient, cliquer sur «Next». L installation des différents composants démarre alors : Cliquez sur «next» si vous voulez utiliser le client Nortel comme une application (default) sinon choisissez l option service NT, et ce service sera démarré automatiquement et vous authentifiera à chaque démarrage de Windows. En pratique choisissez l option par défaut et cliquez sur next. L écran suivant rappelle les logiciels à installer. V3.0 Accès poste nomade par client VPN Page:8

L installation des composants étant terminée, cliquer sur «Next». Conserver l option proposée et cliquer sur «Finish» pour redémarrer l ordinateur. V3.0 Accès poste nomade par client VPN Page:9

Attention : un warning peut apparaître au moment de l installation sous XP. Il ne faut pas en tenir compte et continuer l installation. 2.2 CONFIGURATION DU CLIENT EAC Lors de l installation du client EAC, trois éléments sont installés sur les PC clients. V3.0 Accès poste nomade par client VPN Page:10

Ils sont également disponibles sur le bureau : «Contivity VPN Client» est le client qui permet de lancer une connexion Extranet, «Readme Contivity VPN Client» est un fichier texte qui décrit le client EAC, «Uninstall Extranet Contivity VPN Client» est l application qui permet de désinstaller le client EAC. Il s agit maintenant de définir votre profil de connexion. Un profil de connexion est constitué du type de connexion (Dial-Up) associé à la connexion IPSec, appelée «Extranet Connection». La connexion Dial-Up correspond à la connexion réseau à distance de Microsoft, il s agit d une connexion à un provider de service Internet ou de la connexion au réseau Global Intranet. La connexion Extranet correspond quant à elle à la connexion sur un Contivity, et comporte notamment les paramètres d authentification (par certificat, par login et mot de passe, ou par activ-card) de l utilisateur. Dans le «Menu Démarrer», sélectionner : V3.0 Accès poste nomade par client VPN Page:11

Programmes->Nortel Networks-> Contivity VPN Client 2.2.1 CONNEXION EXTRANET 2.2.1.1 Authentification 2.2.1.1.1 Login/password Si votre accès est défini par login et mot de passe, entrez-le en face de User Name ainsi que votre mot de passe. 2.2.1.1.2 Activ-Card Si votre accès est défini par Activ-Card o Cliquez sur options -> Authentication Options sur la barre des tâches Sélectionnez comme suit, l option group security authentication Puis rentrer le groupe et le mot de passe du groupe qui vous a été donné avec la calculette (ex : cea) : V3.0 Accès poste nomade par client VPN Page:12

Sélectionner ensuite l option Response Only Token puis cliquez sur options Et sélectionnez : la première option : Use two-factor authentication en cochant la case pass-code display comme suit et cliquez sur ok : NB : Vous avez désormais comme nouvelle fenêtre de départ celle-ci : V3.0 Accès poste nomade par client VPN Page:13

2.2.1.1.3 Certificat Si votre accès est défini par certificat : o Cliquez sur options -> Authentication Options sur la barre des tâches : Sélectionnez le mode d authentification par certificat ainsi que l application associée MS CAPI et cliquez sur ok (Windows fera le reste si vous cliquez ensuite sur la trousse à outil en face de certificat dans la nouvelle fenêtre de démarrage du client), comme suit : NB : la nouvelle fenêtre de démarrage est la suivante : V3.0 Accès poste nomade par client VPN Page:14

A ce stade votre certificat apparaît, sinon exportez-le dans Windows. 2.2.2 ADRESSE DESTINATION Indiquer l adresse IP publique du Contivity (adresse accessible depuis Internet ou Global Intranet) : soit 132.166.172.9 pour un accès à CEAnet Interne, 132.166.172.13 pour un accès à CEAnet externe. V3.0 Accès poste nomade par client VPN Page:15

2.2.3 AUTHENTIFICATION NT ET DNS Les adresses des serveurs DNS sont fournies automatiquement au client par l équipement VPN de centre lors de la connexion. Il n est donc pas nécessaire de les renseigner dans le client contivity. Si vous utilisez un serveur WINS il faut renseigner les champs «primary WINS serveur» dans la page ci-dessous. Cette adresse peut aussi être fournie par l équipement VPN si l utilisation du serveur WINS est généralisée pour un groupe d utilisateurs. 2.2.4 CONNEXION «INTERNET» Avant de pouvoir lancer la connexion du client VPN il faut que la connexion réseau (Internet ou Global Intranet) soit effective. Deux façons de procéder sont possibles : 1. La connexion réseau est faite avant de lancer le client VPN. Dans ce cas le champ Dialup doit être positionné à none. 2. La connexion réseau est lancée par le client VPN. Dans ce cas il faut renseigner le champ dialup. 2.2.4.1 Connexion réseau pré-établie Vous avez établi la connexion à votre provider selon les modalités qu il vous a indiquées. Dès que le client VPN sera lancé, la connexion sera automatiquement utilisée pour l accès au CEA. Il ne vous sera plus possible d utiliser cette connexion pour une autre utilisation tant que le client VPN sera actif. 2.2.4.2 Connexion réseau établie par le client VPN V3.0 Accès poste nomade par client VPN Page:16

Sélectionner la connexion Dial-Up («Accès réseau à distance» de Microsoft) si vous avez déjà un accès Internet paramétré (Un menu déroulant proposant les différentes connexions Dial-Up disponibles apparaît). Ceci pour atteindre le réseau du CEA via Internet ou Global Intranet : Création d une connexion au réseau GLOBAL INTRANET Créer la connexion qui va permettre de vous connecter au Contivity. Pour se faire, cliquer sur l icône représentant une boîte à outil associée au champ «DIAL-UP», et choisir l option «new» comme l indique la copie d écran précédente et laissez-vous guider par l assistant réseau. N de téléphone : 0860 880 880 V3.0 Accès poste nomade par client VPN Page:17

V3.0 Accès poste nomade par client VPN Page:18

Le login associé à une connexion au réseau Global Intranet est du type : initiales (prénom+nom) suivies du numéro de badge suivi du suffixe @ceasaclay.fr.ft. V3.0 Accès poste nomade par client VPN Page:19

2.3 DEMARRAGE D UNE CONNEXION EXTRANET Une fois la connexion paramétrée suivant le chapitre précédent après avoir cliqué sur connect, voici les étapes de l établissement du tunnel Ipsec : 2.3.1 CONNEXION A INTERNET : Dans le cas présent, l option «I want to dial-up first» a été sélectionnée. La connexion Accès réseau à distance, est donc initiée : V3.0 Accès poste nomade par client VPN Page:20

Comme précédemment, il est fréquent qu une fenêtre de connexion au domaine NT apparaisse suite à ce premier niveau de connexion. Ignorer cette requête. Une nouvelle fenêtre de connexion au domaine NT apparaîtra quand la liaison sécurisée sera établie. 2.3.2 CONNEXION IPSEC La connexion Ipsec sur le Contivity est alors initiée. V3.0 Accès poste nomade par client VPN Page:21

La connexion au Contivity est confirmée par les fenêtres suivantes : Si la fenêtre de connexion au domaine NT apparaît, suite à la connexion au Contivity, entrer les paramètres de connexion le cas échéant. Une fois connecté sur le Contivity, l icône suivante apparaît en bas à gauche de l écran du poste client : En double-cliquant sur cette icône, l écran suivant apparaît : V3.0 Accès poste nomade par client VPN Page:22

Il fournit différentes informations sur le tunnel créé, et indique notamment l adresse IP attribuée au nomade par le Contivity. En cochant l option «Details», on obtient un écran plus détaillé : 2.4 CHANGEMENT DU MOT DE PASSE PAR L UTILISATEUR V3.0 Accès poste nomade par client VPN Page:23

L utilisateur a la possibilité de modifier son mot de passe en cliquant «droit» avec la souris sur l icône en bas à droite de la barre des tâches. Afin de pouvoir utiliser cette application, l utilisateur doit être connecté au Contivity. La fenêtre suivante apparaît : L utilisateur doit saisir le mot de passe courant («Old Password»), puis son nouveau mot de passe («New Password»), et enfin confirmer son mot de passe («Confirm Password). Il doit ensuite cliquer sur le bouton «OK» : Remarque : La fenêtre de confirmation qui apparaît est incomplète, mais elle indique bien que le mot de passe a été modifié. V3.0 Accès poste nomade par client VPN Page:24

3 CONFIGURATION D ACCES COMPANION : DRIVER GERANT LES APPELS GLOBAL INTRANET A PARTIR DE L INTERNATIONAL 3.1 L ACCES DE POSTES NOMADES LOCALISES HORS DE FRANCE L accès au réseau CEANET est possible à partir de l international de deux façons. Soit à partir d un accès Internet : Dans ce cas une fois la connexion Internet établie il suffit de lancer le client VPN pour accéder au CEA. La connexion via l Internet est indépendante du lieu géographique. Soit à partir du réseau téléphonique du pays visité. Dans ce cas il est possible de se connecter au réseau Global Intranet en utilisant les infrastructures des autres pays décrites par des accords internationaux entre France Telecom et les autres opérateurs. 3.1.1 INSTALLATION DU DRIVER : ACCES COMPANION Ce driver permet d accéder à tous les points d accès disponibles. Avant d installer ce driver, recopier le fichier tcpdial.exe sur votre disque dur. Ce fichier se trouve sur le serveur ftp-dti : ftp://ftp-dti.cea.fr/dti/vpn/international/ Voici les différentes étapes de l installation. V3.0 Accès poste nomade par client VPN Page:25

V3.0 Accès poste nomade par client VPN Page:26

3.1.2 PARAMETRAGE DU DRIVER V3.0 Accès poste nomade par client VPN Page:27

V3.0 Accès poste nomade par client VPN Page:28

Pour certains pays un accord a été passé avec France Telecom. Celui-ci permet l utilisation d un numéro d appel spécifique nommé «Toll Free» qui permet de ne pas payer au moment de l appel (la communication étant facturée directement au CEA). Ces numéros sont disponibles dans le driver et doivent être sélectionnés préférentiellement. Ils ne sont pas accessibles à partir des postes GSM. V3.0 Accès poste nomade par client VPN Page:29