Étape 2 : Configuration d’un tunnel IPSec SonicWall

Documentation Jamf Connect
Solution
Application
Jamf Connect
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Important:

Comme pour toute modification du routeur, Jamf recommande vivement de configurer ces réglages avec précaution et éventuellement dans un environnement de pré-production afin d’éviter toute interruption de service involontaire.

  1. Configurez une règle de VPN Jamf Security Cloud :
    1. Connectez-vous à votre routeur SonicWall à l’aide de vos identifiants d’administrateur.
    2. Accédez à VPN > Settings (Réglages).
    3. Dans la section VPN Policies (Règles de VPN), cliquez sur Add (Ajouter).
    4. Dans l’onglet General (Général), dans Authentication Method (Méthode d’authentification), sélectionnez "IKE using Preshared Secret (IKE avec secret pré-partagé)".
    5. Dans Name (Nom), saisissez un nom facilement identifiable.
    6. Définissez IPSec Primary Gateway Name or Address (Nom ou adresse de la passerelle IPSec principale) et IPSec Secondary Gateway Name or Address (Nom ou adresse de la passerelle IPSec secondaire) sur 0.0.0.0.
    7. Dans la section IKE Authentication (Authentification IKE), dans Shared Secret (Secret partagé) et Confirm Shared Secret (Confirmer le secret partagé), copiez la clé pré-partagée créée lors de la configuration de l’interconnexion IPSec dans Jamf Security Cloud.
    8. Dans Local IKE ID (Identifiant IKE local), sélectionnez Domain Name (Nom de domaine), puis saisissez la valeur Customer IKE Domain ID (Identifiant du domaine IKE client) spécifiée lors de la configuration de l’interconnexion IPSec dans Jamf Security Cloud.
    9. Dans Peer IKE ID (Identifiant IKE de l’homologue), sélectionnez Domain Name (Nom de domaine), puis saisissez wpa.wandera.com.
    10. Cliquez sur l’onglet Network (Réseau), en haut de la fenêtre.
    11. Dans Local Networks (Réseaux locaux), sélectionnez l’objet ou le groupe d’adresse qui définit les sous-réseaux sur lesquels se trouvent vos serveurs, vos applications ou vos volumes de travail.
      Important:

      Si vous définissez le sous-réseau client dans l’assistant d’interconnexion IPSec de Jamf Security Cloud sur 0.0.0.0/0, vous pouvez sélectionner n’importe quel objet ou groupe d’adresse.

      Sinon, les réseaux sélectionnés dans Local Networks (Réseaux locaux) doivent correspondre à tous les sous-réseaux du client définis dans Jamf Security Cloud.

    12. Dans Destination Networks (Réseaux de destination), sélectionnez Create new address object (Créer un nouvel objet d’adresse).
    13. Dans la fenêtre qui s’affiche, configurez les éléments suivants :
      • NomLe nom du réseau côté Jamf, par exemple JamfClientIPs.
      • Attribution de la zoneEn général, il s’agit du VPN, mais vous devrez peut-être spécifier une zone différente en fonction de la configuration de votre routeur.
      • TypeSélectionnez Network (Réseau).
      • RéseauSpécifiez l’adresse réseau définie dans la configuration du sous-réseau Jamf dans Jamf Security Cloud. L’exemple recommandé par Jamf est 192.168.233.0/24, mais vous pouvez obtenir cette valeur dans View infographic (Afficher l’infographie) de l’interconnexion IPSec.
      • Masque de réseauSpécifiez le sous-réseau pour le réseau ci-dessus, tel qu’indiqué dans Jamf Security Cloud. Un sous-réseau /24 est représenté par 255.255.255.0.
    14. Enregistrez l’objet réseau et sélectionnez-le comme Destination Network (Réseau de destination) dans la fenêtre de la règle de VPN.
    15. Sélectionnez l’élément de menu "Proposals (Propositions)".
    16. Dans IKE (Phase 1), configurez les champs comme suit :
      • ExchangeIKEv2 Mode
      • DH group (Groupe DH)Group 14 (Groupe 14)
      • ChiffrementAES-256
      • AuthentificationSHA512
      • Lifetime (Seconds) [Durée de vie en secondes]28800
    17. Dans IPSec (Phase 2), configurez les champs comme suit :
      • ProtocoleESP
      • ChiffrementAES-256
      • Enable Perfect Forward Secrecy (Activer la confidentialité persistante parfaite)Yes (checked) [Oui (à cocher)]
      • DH group (Groupe DH)Group 14 (Groupe 14)
      • Lifetime (Seconds) [Durée de vie en secondes]28800
    18. Sélectionner l’onglet Advanced (Avancé) en haut de l’écran.
    19. Cochez la case Enable Keep Alive (Activer Keep Alive).
    20. Assurez-vous que la valeur VPN Policy Bound To (Règle de VPN liée à) est définie sur "Zone WAN (WAN de la zone)" (ou à l’autre zone utilisée pour se connecter aux connexions externes en fonction de la configuration de votre pare-feu).
    21. Cliquez sur OK pour créer la règle de VPN.
    22. Cochez la case Enabled (Activé) de la règle de VPN qui s’affiche.

      Une fois la configuration terminée, une entrée pour la règle de VPN s’affiche dans la section Currently Active VPN Tunnels (Tunnels VPN actuellement actifs).

  2. Si vous avez défini IPSec Primary Gateway Name or Address (Nom ou adresse de la passerelle IPSec principale) sur 0.0.0.0, vous devez configurer les chiffrements IKEv2 entrants :
    Important:

    La modification de cette configuration peut avoir un impact sur les tunnels IKEv2 existants qui se connectent à partir de n’importe quelle adresse IP. Les tunnels à IP fixe ne sont pas affectés. Vérifiez vos autres connexions VPN avant d’effectuer cette modification.

    1. Accédez à VPN > Advanced Settings (Réglages avancés).
    2. Dans IKEv2 Settings (Réglages IKEv2), cliquez sur Configure (Configurer).
    3. Dans la fenêtre qui s’affiche, configurez les réglages suivants de sorte qu’ils correspondent aux réglages équivalents dans Jamf Security Cloud :
      • DH group (Groupe DH)Group 14 (Groupe 14)
      • ChiffrementAES-256
      • AuthentificationSHA512
    4. Cliquez sur OK pour enregistrer la configuration.
  3. Créez et configurez une règle d’accès :
    Note:

    • Si SonicOS n’en crée pas automatiquement une, vous devrez peut-être définir une règle d’accès qui autorise le trafic depuis le réseau Jamf Security Cloud vers vos serveurs et vos applications, avant que le trafic ne passe par le tunnel VPN.

    • Ces réglages supposent que vous utilisez des configurations de zone classiques. Modifiez les détails de votre règle d’accès, si nécessaire.

    1. Accédez à Firewall (Pare-feu) > Access Rules (Règles d’accès).
    2. Cliquez sur Ajouter.
    3. Dans la fenêtre qui s’affiche, configurez le VPN comme suit :
      • ActionAutoriser
      • From Zone (Zone d’origine)VPN
      • To Zone (Zone de destination)LAN
      • ServiceTout
      • SourceSélectionnez l’objet d’adresse Jamf créé précédemment, par exemple JamfClientIPs.
      • DestinationSélectionnez l’objet ou le groupe d’adresse du réseau tel que configuré dans la règle VPN définie ci-dessus.
      • Users Allowed (Utilisateurs autorisés)Tout
      • ProgrammerAlways on (Toujours activé)
    4. Cliquez sur OK pour enregistrer la règle de VPN.

La connexion sécurisée est alors créée. La connectivité peut prendre jusqu’à 10 minutes pour s’établir.

Si le VPN n’apparaît pas dans la section Active VPN tunnels (Tunnels VPN actifs), vérifiez les journaux dans l’interface SonicWall et filtrez par VPN.

Les erreurs courantes sont :

  • Une mauvaise correspondance dans la sélection du chiffrement du tunnel IPSec/IKEv2 entre Jamf et SonicOS.

  • Si la fonctionnalité « Restriction de pays » est activée, les adresses IP Jamf peuvent être classées comme inconnues, ce qui peut entraîner leur refus. Pour résoudre ce problème, ajoutez le ou les objets des adresses IP Jamf à l’objet du groupe d’adresses « Exclusions de pays et de réseau de zombies ».