VPN IPSec avec IKEv2

et Windows

Série firewall Zyxel USG

à partir de la version de firmware 4.10

Knowledge Base KB-3520

Octobre 2016

©Zyxel Communication Corp.

VPN IPSEC AVEC IKEV2 ET WINDOWS
Windows 7 et 8 supportent IPSec IKEv2 avec authentification de certificat. La procédure est
identique pour les deux variantes, avec quelques différences de boîtes de dialogues.

Configuration de l’USG
Après une installation de base réussie de l’USG, nous créons un nouveau certificat avec l’IP WAN en
tant que Host IP Address. Après la création, nous ouvrons le certificat et l’enregistrons en local en
tant que fichier avec la terminaison *.cer. Nous aurons besoin plus tard du certificat pour l’import
sur le client VPN.

Configuration > Object > Certificate > My Certificate > add

Configuration > Object > Certificate > My Certificate > Edit > Export Certificate Only

VPN IPSec avec IKEv2 et Windows 2 KB-3509 / SRU

Créer un utilisateur ou un groupe d’utilisateurs : ce groupe d’utilisateurs est utilisé dans la Phase 1
EAP (Extended Authentication Protocol) du VPN IPSec.

Configuration > Object > User/Group

Pour les clients qui se connectent, nous créons un domaine d’adresses IP de 172.16.1.10 à 20. Ce
domaine ne doit pas se recouper avec un sous-réseau dans l’environnement du client et de l’USG.

Configuration > Object > Address > Add

Ensuite, on passe aux deux règles pour la définition du VPN. VPN-Gateway pour la Phase 1 et VPN-
Connection pour la Phase 2.

VPN IPSec avec IKEv2 et Windows 3 KB-3509 / SRU

Configuration > VPN > IPSec VPN > VPN Gateway > Add

VPN IPSec avec IKEv2 et Windows 4 KB-3509 / SRU

Configuration > VPN > IPSec VPN > VPN Connection > Add

VPN IPSec avec IKEv2 et Windows 5 KB-3509 / SRU

Client Windows– Importer le certificat
Nous importons sur le client VPN le certificat créé sur l’USG avec la Microsoft Management
Console.
Exécuter le fichier et démarrer MMC :

File > Add/Remove Snap-In… puis ajouter le Snap-In Certificates.

VPN IPSec avec IKEv2 et Windows 6 KB-3509 / SRU

Computer account > Next

Local computer > Finish

La console liste maintenant les Certificates (Local computer) dans les Snap-Ins sélectionnés :

VPN IPSec avec IKEv2 et Windows 7 KB-3509 / SRU

Console Root > Certificates (Local Computer) > Trusted Root Certification Authorities > Certificates
> All Tasks > Import...

Windows 8 affiche une suite légèrement modifiée lors de l’import de certificats, mais le procédé est
quasiment le même que pour Windows 7.
Sélectionner le certificat qui a été créé et exporté précédemment sur l’USG et le charger dans la
mémoire de certificats Trusted Root Certification Authorities :

VPN IPSec avec IKEv2 et Windows 8 KB-3509 / SRU

Client Windows– Paramétrer le VPN

Conrol Panel > Network and Sharing Center > Set up a new connection or network > Connect to a
workplace > Use my Internet connection (VPN)

VPN IPSec avec IKEv2 et Windows 9 KB-3509 / SRU

L’Adresse Internet correspond à l’IP WAN de l’USG. Le nom de destination décrit le profil.

Avec les propriétés de la nouvelle connexion réseau, les paramètres de cryptage peuvent être
modifiés :

VPN IPSec avec IKEv2 et Windows 10 KB-3509 / SRU

Avec le clic droit de la souris et Propriétés, nous continuons d’adapter le profil VPN. Dans le registre
Sécurité nous déterminons le type de VPN en tant que IKEv2. L’Authentification se base sur EAP.
Dans le registre Réseau nous désactivons IPv6.

L’établissement du tunnel se démarre facilement via l’icône Réseau dans la barre des tâches :

VPN IPSec avec IKEv2 et Windows 11 KB-3509 / SRU

DEPANNAGE
Description d’erreur :
L’établissement de la connexion s’interrompt et affiche le numéro d’erreur 809.

Cause :
En standard, Windows 7 et Windows 8 ne supportent pas NAT-Traversal. NAT-T peut être
nécessaire lorsque le serveur VPN se trouve derrière un routeur NAT.

Solution :
Démarrez en tant qu’administrateur l’éditeur d’enregistrement regedit. Créez un lien
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent et un nouveau DWORD-
Wert (32-Bit) du nom de AssumeUDPEncapsulationContextOnSendRule.
Saisissez dans le champ Valeur l’une des valeurs suivantes :
0 La valeur 0 (zéro) configure Windows de manière à ce qu’il NE PUISSE PAS paramétrer
d’attributions de sécurité avec des serveurs derrière des appareils NAT. C’est la valeur
standard.
1 La valeur 1 configure Windows de manière à ce qu’il puisse paramétrer les attributions de
sécurité avec des serveurs derrière des appareils NAT.
2 La valeur 2 configure Windows de manière à ce qu’il puisse paramétrer les attributions de
sécurité, lorsque le serveur et les ordinateurs clients VPN basés sur Windows Vista ou
Windows Server 2008 se situent derrière des appareils NAT.
Redémarrez l’ordinateur.
Chemin pour Windows XP Service Pack 2 (SP2):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC

Description d’erreur :
Le message Connecte… apparaît mais rien ne se produit ensuite. Le log de l’USG n’affiche aucun
message comme quoi une tentative de connexion a lieu.

Cause :
Le client VPN IPSec ZyXEL est installé sur l’ordinateur Windows. Les deux connexions ne peuvent
pas être utilisées simultanément, c’est pourquoi la routine d’installation du client VPN désactive le
service Windows pour Création de clés IKE et AuthIP IPSec et ajoute et active le service Tgbike
Starter.

Solution :
Désactivez le service Tgbike Starter et réactivez le service Création de clés IKE et AuthIP IPSec.

VPN IPSec avec IKEv2 et Windows 12 KB-3509 / SRU