Cet écran vous permet de définir ou de modifier une politique VPN « automatique ».
Une politique VPN « automatique » utilise le protocole IKE (Internet Key Protocol) pour échanger et négocier des paramètres pour la IPsec SA (Security Association). Grâce à cette négociation, il n'est pas nécessaire que tous les paramètres de cette passerelle VPN correspondent aux paramètres du point final VPN distant. Les paramètres qui doivent correspondre sont indiqués.
Ces paramètres identifient cette politique et en déterminent les principales caractéristiques.
Saisissez un nom unique pour identifier cette politique. Ce nom n'est pas fourni au point final VPN distant. Il est uniquement destiné à vous aider à gérer les politiques.
Si le point final distant possède une adresse IP dynamique, sélectionnez « Adresse IP dynamique ». Aucune « Donnée d'adresse » n'est requise.
Dans le cas contraire, sélectionnez l'option désirée (Adresse IP ou Nom de domaine) et saisissez l'adresse du point final VPN distant auquel vous souhaitez vous connecter.
Remarque : l'adresse de cette passerelle VPN doit être utilisée comme« Point final VPN distant ».
Activez cette option si vous souhaitez que la connexion soit maintenue ou automatiquement rétablie en cas de déconnexion.
Le Ping adresse IP doit être associé au point final distant. Vous pouvez utiliser l'adresse WAN ou une adresse LAN, bien que cette dernière soit préférable. Cette adresse IP sera « sondée » afin de générer du trafic pour le tunnel VPN.
Cela permet d'identifier quels sont les ordinateurs de votre réseau local concernés par cette politique. Pour chaque sélection, les données doivent être renseignées comme suit :
Ces adresses IP doivent être saisies en tant qu'adresses « distantes » du point final VPN distant.
Cela permet d'identifier quels sont les ordinateurs de votre réseau local concernés par cette politique. Pour chaque sélection, les données doivent être renseignées comme suit :
Ces adresses IP doivent être saisies en tant qu'adresses « locales » du point final VPN distant.
Direction/Type - Ce paramètre est utilisé pour déterminer si la politique IKE correspond au trafic actuel. Choisissez parmi les options suivantes :
Mode échange
Actuellement, seul « Mode principal » est pris en charge. Assurez-vous que le point final VPN distant est programmé pour utiliser « Mode principal ».
Groupe Diffie-Hellman (DH) - L'algorithme de Diffie-Hellman est utilisé lors de l'échange de clés. Le paramètre du groupe DH détermine le nombre de bits utilisé lors de l'échange. Cette valeur doit correspondre à la valeur utilisée sur la passerelle VPN distante.
Type d'identité locale
Sélectionnez l'option voulue pour faire correspondre le paramètre « Type d'identité distante » au point final VPN distant.
Données de l'identité locale
Saisissez les données pour la sélection ci-dessus. (Si « Adresse IP Wan » est sélectionné, aucune donnée n'est nécessaire.)
Type d'identité distante
Sélectionnez l'option désirée afin de faire correspondre le paramètre « Type d'identité locale » au point final VPN distant.
Données de l'identité distante
Saisissez les données pour la sélection ci-dessus. (Si « Adresse IP » est sélectionné, aucune donnée n'est nécessaire.)
Algorithme de cryptage - L'algorithme de cryptage est utilisé pour le protocole IKE et les IPSec. Ce paramètre doit correspondre au paramètre utilisé par la passerelle VPN distante.
Algorithme d'authentification - L'algorithme d'authentification est utilisé pour le protocole IKE et les IPSec. Ce paramètre doit correspondre au paramètre utilisé par la passerelle VPN distante.
Clé pré-partagée - Cette clé doit être saisie ici et sur la passerelle VPN.
SA Life Time détermine l'intervalle de temps avant que la SA (Security Association) n'expire. (Elle sera automatiquement rétablie si nécessaire.) Utiliser une courte période de temps (ou une faible quantité de données) augmente la sécurité mais dégrade également les performances. On utilise généralement des périodes de plus d'une heure (3 600 secondes) pour SA Life Time. Ce paramètre s'applique au protocole IKE et aux IPSec SA.
L'activation du paramètre IPSec PFS améliore le niveau de sécurité en nécessitant une modification régulière de la clé. La rupture de l'une des clés ne facilite pas la rupture des clés suivantes. (Les clés ne possèdent aucune relation entre elles.)
Ce paramètre s'applique au protocole IKE et aux IPSec SA. Lorsque vous configurez le point final distant pour qu'il corresponde à ce paramètre, vous devrez peut être spécifier le « Groupe de clés » utilisé. Pour cet appareil, le « Groupe de clés » correspond au « Groupe DH » de la section IKE.