Conditions préalables relatives au réseau privé virtuel
Avant de configurer le composant VPN du logiciel Novell BorderManager 3.7, vous devez remplir les conditions décrites dans ce chapitre. Ce chapitre comprend les sections suivantes :
Conditions préalables relatives au réseau VPN site à site
Avant de configurer un VPN site à site, vérifiez que le réseau remplit les conditions suivantes :
- Le logiciel de routage NetWare® doit être installé et configuré sur chaque serveur VPN. La configuration du logiciel de routage inclut, mais ne se limite pas à, la configuration de liaisons LAN ou WAN aux autres membres VPN, et la configuration du routage statique ou dynamique pour les paquets Internet Packet ExchangeTM (IPXTM) et IP. Vérifiez la connectivité entre vos serveurs VPN comme requis par votre topologie VPN. Tout logiciel pare-feu associé doit être configuré et la connectivité doit être vérifiée avant l'installation du logiciel VPN et avant la connexion de chaque serveur VPN aux réseaux privés qu'il doit protéger.
- Si vos sites VPN ne se trouvent pas sur le même intranet, chaque serveur VPN doit avoir une connexion à Internet, qu'elle soit directe ou indirecte. Si votre serveur VPN est connecté directement à Internet, utilisez l'adresse IP publique fournie par votre fournisseur de services Internet (ISP) lors de la connexion à Internet. Chaque serveur VPN utilise l'adresse IP publique pour échanger les informations codées avec d'autres serveurs VPN. Procurez-vous l'adresse IP publique avant la configuration du réseau VPN. La connexion ISP doit également être testée avant l'installation du logiciel VPN et la connexion du serveur VPN à tout réseau privé. Dans le cas d'un réseau VPN intranet, la connexion ISP n'est pas requise.
- Si votre serveur VPN est connecté directement à Internet, vous devez obtenir une adresse IP permanente pour la connexion ISP. L'adresse IP ne peut pas être affectée de façon dynamique par l'ISP.
- Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion.
- Si vous configurez un serveur VPN pour la première fois dans une arborescence NDS® ou Novell eDirectoryTM, vous devez pouvoir vous loguer à l'arborescence du serveur avec des droits administratifs afin d'étendre le schéma de l'objet Serveur.
- Si le serveur VPN fait également office de pare-feu qui protège le réseau privé d'accès Internet, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé, lors de la première installation et configuration de Novell BorderManager 3.7. Si ce n'est pas le cas, chargez BDRCFG pour configurer les filtres requis.
- Si le serveur VPN est protégé par un pare-feu, veillez à configurer le pare-feu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu exécute également le logiciel Novell BorderManager 3.7, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales de Novell BorderManager 3.7 pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les membres VPN et le passage des paquets codés. Les filtres répertoriés dans le Tableau peuvent être utilisés comme base de modification des filtres de pare-feu pour le réseau VPN. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services Novell BorderManager 3.7.
Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le logiciel Novell BorderManager 3.7, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le pare-feu tiers.
Tableau 2. Filtres VPN
| Description du filtre |
Protocole |
Adresse
source |
Port
source |
Adresse cible |
Port
cible |
Filtres d'exception pour permettre au serveur maître VPN d'autoriser le trafic entrant |
TCP (ID=6) |
Tout |
213 |
Adresse publique VPN |
Tout |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Tout |
2010 |
Adresse publique VPN |
2010 |
Filtres d'exception pour permettre au serveur maître VPN d'autoriser le trafic sortant |
TCP (ID=6) |
Adresse publique VPN |
Tout |
Tout |
213 |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Adresse publique VPN |
2010 |
Tout |
2010 |
Filtres d'exception pour le serveur VPN esclave autorisant le trafic entrant |
TCP (ID=6) |
Tout |
Tout |
Adresse publique VPN |
213 |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Tout |
2010 |
Adresse publique VPN |
2010 |
Filtres d'exception pour le serveur VPN esclave autorisant le trafic sortant |
TCP (ID=6) |
Adresse publique VPN |
213 |
Tout |
Tout |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Adresse publique VPN |
2010 |
Tout |
2010 |
- Si vous avez configuré deux serveurs VPN sur le même réseau, ou si le nombre de sauts entre les deux serveurs VPN est 1, vous devez utiliser FILTCFG pour empêcher toutes les routes réseau privées d'être diffusées sur les interfaces publiques. Effectuez cette procédure pour IPX et IP comme décrit dans la documentation en ligne relative au filtrage des paquets.
- Si votre réseau utilise le routage dynamique OSPF (Open Shortest Path First), votre serveur VPN doit se trouver sur un réseau principal OSPF "pur".
Conditions préalables relatives au réseau VPN client à site
Avant d'installer le logiciel client VPN, vérifiez que les conditions préalables suivantes ont été remplies :
- Windows 98*, Windows* 2000, Windows* XP, Windows* Me ou Windows NT* doit fonctionner sur le poste de travail.
- Si le client VPN utilise une connexion à distance, le composant Accès réseau à distance de Microsoft* doit être installé avant le logiciel client VPN.
- Si vous utilisez le client VPN avec le logiciel Novell ClientTM, la version 3.3 (ou ultérieure) de ce dernier est recommandée.
- Si vous utilisez le client VPN LAN, vous devez posséder un adaptateur Ethernet.
- Si vous utilisez Windows NT, vous devez utiliser un poste de travail Intel*. Le client VPN ne prend pas en charge les postes de travail Alpha.
- Si vous utilisez Windows NT, le Service Pack 3 (SP3) ou version ultérieure de Windows NT doit être installé avant le logiciel client VPN. Notez que le SP3 doit être réinstallé chaque fois que vous installez des fonctions du CD-ROM de Windows NT, telles que les services d'accès réseau ou d'accès à distance, qui ne figuraient pas sur votre système lors de l'installation du SP3.
- Si vous installez Windows NT, vous devez vous loguer à Windows NT en tant qu'utilisateur disposant de droits administratifs afin d'installer le client VPN.
- Le serveur VPN ne doit posséder qu'une seule connexion à Internet. Autrement, vous risquez d'envoyer et de recevoir des données confidentielles sans codage si elles sont acheminées vers l'autre connexion.
- Si le serveur VPN est protégé par un pare-feu, veillez à configurer le pare-feu avec les filtres de transmission de paquets adéquats comme défini par vos mesures de sécurité. Si le pare-feu exécute également le logiciel Novell BorderManager 3.7, sélectionnez l'option permettant de configurer Novell BorderManager 3.7 de façon à ce que l'accès à l'interface publique soit protégé lors de l'installation et de la configuration initiales pour configurer automatiquement les filtres de pare-feu. Ces filtres de pare-feu doivent ensuite être modifiés en accord avec vos règles de sécurité. Généralement, les filtres doivent être modifiés pour permettre la communication entre les clients VPN et le serveur, et le passage des paquets codés. Les filtres répertoriés dans le Tableau peuvent être utilisés comme base de modification des filtres de pare-feu. Les filtres peuvent également être modifiés pour permettre la communication avec d'autres services Novell BorderManager 3.7.
Les filtres de pare-feu peuvent également être configurés après l'installation en chargeant BDRCFG. Si le pare-feu n'exécute pas le logiciel Novell BorderManager 3.7, vous devez configurer ces filtres manuellement comme décrit dans la documentation fournie avec le pare-feu tiers.
Tableau 3. Filtres requis pour les VPN client à site
| Description du filtre |
Protocole |
Adresse
source |
Port
source |
Adresse cible |
Port
cible |
Filtres d'exception pour permettre au serveur maître ou esclave VPN d'autoriser le trafic entrant |
TCP (ID=6) |
Tout |
Tout |
Adresse publique VPN |
353 |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Tout |
353 |
Tout |
353 |
Filtres d'exception pour permettre au serveur maître ou esclave VPN d'autoriser le trafic sortant |
TCP (ID=6) |
Adresse publique VPN |
353 |
Tout |
Tout |
|
SKIP (ID=57) |
Tout |
Tout |
Tout |
Tout |
|
UDP (ID=17) |
Tout |
353 |
Tout |
353 |
