Avant de configurer le composant VPN du logiciel Novell^® BorderManager^TM, vous devez remplir les conditions décrites dans ce chapitre. Cette section comprend les procédures suivantes :

• "Conditions préalables relatives au réseau VPN site à site"
• "Conditions préalables relatives au réseau VPN client à site"

Conditions préalables relatives au réseau VPN site à site

Avant de configurer un site VPN site à site, votre réseau doit remplir les conditions suivantes :

• Le logiciel de routage NetWare^® doit être installé et configuré sur chaque réseau VPN. La configuration du logiciel de routage inclut, mais ne se limite pas à, la configuration de liaisons LAN ou WAN aux autres membres VPN, et la configuration du routage statique ou dynamique pour les paquets Internet Packet Exchange^TM (IPX^TM) et IP. Vérifiez la connectivité entre vos serveurs VPN comme requis par votre topologie VPN. Tout logiciel pare-feu associé doit être configuré et la connectivité doit être vérifiée avant l'installation du logiciel VPN et avant la connexion de chaque serveur VPN aux réseaux privés qu'il doit protéger. Vous trouverez plus d'informations sur la configuration du logiciel de routage dans la documentation en ligne NetWare 5^TM à l'emplacement suivant :

  Contents > Connectivity Services (sous le titre Network Services) > Routing Configuration

• Si vos sites VPN ne se trouvent pas sur le même intranet, chaque serveur VPN doit avoir une connexion à Internet, qu'elle soit directe ou indirecte. Si votre serveur VPN est connecté directement à Internet, utilisez l'adresse IP publique fournie par votre fournisseur de services Internet (ISP) lors de la connexion à Internet. Chaque serveur VPN utilise l'adresse IP publique pour échanger les informations codées avec d'autres serveurs VPN. Procurez-vous l'adresse IP publique avant la configuration du réseau VPN. La connexion ISP doit également être testée avant l'installation du logiciel VPN et la connexion du serveur VPN à tout réseau privé. Dans le cas d'un réseau VPN intranet, la connexion ISP n'est pas requise.

• Si votre serveur VPN est connecté directement à Internet, vous devez obtenir une adresse IP permanente pour la connexion ISP. L'adresse IP ne peut pas être affectée de façon dynamique par l'ISP.

• Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion.

• Si vous configurez un serveur VPN pour la première fois dans une arborescence Annuaire, vous devez pouvoir vous loguer à l'arborescence du serveur avec des droits administratifs afin d'étendre le schéma de l'objet Serveur.

• Si le serveur VPN fait également office de pare-feu qui protège le réseau privé d'accès Internet, sélectionnez l'options permettant de configurer BorderManager de façon à ce que l'accès à l'interface publique soit protégé, lors de la première installation et configuration de BorderManager. Si ce n'est pas le cas, chargez BDRCFG pour configurer les filtres requis.

• Si le serveur VPN est protégé par un pare-feu, veillez à configurer le pare-feu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu fait tourner également le logiciel BorderManager, sélectionnez l'option permettant de configurer BorderManager de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales de BorderManager pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les membres VPN et le passage des paquets codés. Les filtres répertoriés dans le Table 6-1 peuvent être utilisés comme base de modification des filtres de pare-feu pour le réseau VPN. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services BorderManager.

  Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu ne fait pas tourner le logiciel BorderManager, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le pare-feu tiers.

  
  Tableau 6-1.
  Filtres VPN

  Description du filtre	Protocole	Source Adresse	Source Port	Adresse cible	Destination Port
  Filtres d'exception pour le serveur VPN maître autorisant le trafic entrant	TCP (ID=6)	Tout	213	Adresse publique VPN	Tout
  	SKIP (ID=57)	Tout	Tout	Tout	Tout
  	UDP (ID=17)	Tout	2010	Adresse publique VPN	2010
  Filtres d'exception pour le serveur VPN maître autorisant le trafic sortant	TCP (ID=6)	Adresse publique VPN	Tout	Tout	213
  	SKIP (ID=57)	Tout	Tout	Tout	Tout
  	UDP (ID=17)	Adresse publique VPN	2010	Tout	2010
  Filtres d'exception pour le serveur VPN esclave autorisant le trafic entrant	TCP (ID=6) Si vous avez configuré deux serveurs VPN sur le même réseau, ou si le nombre de sauts entre les deux serveurs VPN est 1, vous devez utiliser FILTCFG pour empêcher toutes les routes réseau privées d'être diffusées sur les interfaces publiques. Effectuez cette procédure pour IPX et IP comme décrit dans la documentation en ligne relative au filtrage des paquets. Si votre réseau utilise le routage dynamique OSPF (Open Shortest Path First), votre serveur VPN doit se trouver sur un réseau principal OSPF "pur". Conditions préalables relatives au réseau VPN client à site Avant d'installer le logiciel client VPN, vérifiez que les conditions préalables suivantes ont été remplies : Windows 95*, Windows 98* ou Windows NT* Workstation 4.0 doit tourner sur le poste de travail. Si le client VPN utilise une connexion à distance, le composant Accès réseau à distance de Microsoft* doit être installé avant le logiciel client VPN. Si vous utilisez Windows 95, postérieur à OSR2, la version 1.1 (ou ultérieure) de l'Accès réseau à distance de Microsoft doit être installée avant le logiciel client VPN. Si vous utilisez le client VPN avec le logiciel client Novell, la version 2.2 (ou ultérieure) de ce dernier doit être installée. Si vous utilisez le client VPN LAN, vous devez posséder un adaptateur Ethernet. Si vous utilisez Windows NT, vous devez utiliser un poste de travail Intel*. Le client VPN ne prend pas en charge les postes de travail Alpha. Si vous utilisez Windows NT, le Service Pack 3 (SP3), ou version ultérieure, de Windows NT doit être installé avant le logiciel client VPN. Notez que le SP3 doit être réinstallé chaque fois que vous installez des fonctions du CD-ROM de Windows NT, telles que les services d'accès réseau ou d'accès à distance, qui ne figuraient pas sur votre système lors de l'installation du SP3. Si vous installez Windows NT, vous devez vous loguer à Windows NT en tant qu'utilisateur disposant de droits administratifs afin d'installer le client VPN. Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion. Si le serveur VPN est protégé par un pare-feu, veillez à configurer le pare-feu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu fait tourner également le logiciel BorderManager, sélectionnez l'option permettant de configurer BorderManager de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les clients VPN et le serveur, et le passage des paquets codés. Les filtres répertoriés dans le Table 6-1 peuvent être utilisés comme base de modification des filtres de pare-feu. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services BorderManager. Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu ne fait pas tourner le logiciel BorderManager, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le pare-feu tiers. Tableau 6-2. Filtres requis pour les VPN client à site Description du filtre Protocole Source Adresse Source Port Adresse cible Destination Port Filtres d'exception pour le serveur VPN maître ou esclave autorisant le trafic entrant TCP (ID=6) Tout Tout Adresse publique VPN 353   SKIP (ID=57) Tout Tout Tout Tout   UDP (ID=17) Tout 353 Tout 353 Filtres d'exception pour le serveur VPN maître ou esclave autorisant le trafic sortant TCP (ID=6) Adresse publique VPN 353 Tout Tout   SKIP (ID=57) Tout Tout Tout Tout   UDP (ID=17) Tout 353 Tout 353