fl mguard vpn guide de démarrage - phoenix contact · mguard_guide_demarrage.28_03_2014.docx...
TRANSCRIPT
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 1 / 17
Version : 1.1
FL mGuard VPN
Guide de démarrage
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 2 / 17
Annexes : ________________________________________________________________________________ 3
But du document : _________________________________________________________________________ 4
Mémo de mise en route ____________________________________________________________________ 5
Architecture ___________________________________________________________________________________ 5
Configuration du PC et de l’automate ; _____________________________________________________________ 6
Configuration des passerelles mGuard : _____________________________________________________________ 6
Authentification ________________________________________________________________________________ 7 Création d’un certificat Société _____________________________________________________________________________ 7 Création d’un template ___________________________________________________________________________________ 10 Création de certificats basés sur le modèle pour les machines. ___________________________________________________ 13 Exportation des certificats machines ________________________________________________________________________ 15 Importation des certificats dans le mGuard ___________________________________________________________________ 16
Création d’un tunnel VPN _______________________________________________________________________ 16
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 3 / 17
Annexes : Annexe 1 : Versions Logiciels et matériels utilisés pour ce manuel
Matériels :
Fabricant référence Type Version Hardware Version Firmware
Phoenix contact 2200515 FL MGUARD RS4000 TX/TX
VPN
7.1.1
Logiciels :
Fabricant référence Type Version
XCA Freeware 0.8.1
Annexe 2 : Révision document
Version en cours : 1.0
Version Date Opérateur Commentaires
1.0 30/08/2010 Schneider Création
1.1 13/04/2012 Lecoeur Mise à jour
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 4 / 17
But du document : Ce document décrit les étapes nécessaires au paramétrage de 2 FL mguard utilisés pour établir une connexion
VPN via une liaison RJ45 sur le WAN.
Argumentaire
Applications cibles
Communication sécurisée entre 2 sites, reliés par une connexion RJ45, directe, ou via ADSL ou similaire.
Mise en œuvre
Logiciel XCA à télécharger sur le site http://xca.sourceforge.net.
Argumentaire
Argument Bénéfice Client Bénéfice PHOENIX
Compacité VPN + router + Firewall dans le
même module
Industriel Alimenté en 24 VDC,
redondance, montage sur rail
Din
Simplicité Configuration à l’aide du serveur
web embarqué
Portabilité Configuration exportable dans
un fichier facilement ré-
importable
Concurrence
Fabricant Référence Caractéristiques
Exemples d’applications.
Client Application Solution Avantage concurrentiel
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 5 / 17
Mémo de mise en route Tunnel VPN entre deux Mguard
Architecture
On appellera le mGuard1 : demo1 et le mGuard2 : demo2.
L’adresse par défaut du mGuard est 192.168.1.1 : Si le mGuard dispose déjà d’une adresse IP inconnue, ou
qu’il n’est plus accessible, utiliser la procédure de remise en configuration usine.
Procédure (extraite du manuel utilisateur, chapitre 7.2)
Appuyer sur le bouton reset 6 fois régulièrement jusqu’à ce que la LED Stat s’allume, attendre deux secondes
puis recommencer. Ensuite, le Mguard est accessible par le wan : https://1.1.1.1/ ou par le LAN :
https://192.168.1.1. Le login par défaut est : admin, et le mot de passe est mGuard.
Cela vous permet de ré-accéder au mGuard. Si vous voulez tout réinitialiser en configuration usine, allez dans
l’onglet Management/configuration profiles/factory default
CHAQUE OPERATION DOIT ETRE VALIDEE PAR LE BOUTON « APPLY » PUIS « CONTINUE »
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 6 / 17
Configuration du PC et de l’automate ;
Selon l’architecture précédente, vous devez initialiser le plan d’adresse ci-dessous :
PC Automate
IP : 192.168.0.5
Masque : 255.255.255.0
Passerelle : 192.168.0.254
IP : 192.168.1.15
Masque : 255.255.255.0
Passerelle : 192.168.1.253
Configuration des passerelles mGuard :
Onglet Network / interface / General
Demo 1
Mode routeur
Static
External network : Internal Network :
10.1.80.100
255.255.255.0
10.80.101
192.168.0.254
255.255.255.0
Demo2:
Mode routeur
Static
External network : Internal Network :
10.1.80.101
255.255.255.0
10.80.100
192.168.1.253
255.255.255.0
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 7 / 17
Authentification
Avant cette étape, il est nécessaire de créer ou d’obtenir des certificats X.509.
Création des certificats
Les certificats sont nécessaires pour assurer une connexion VPN sécurisée.
Pour créer des certificats, nous allons utiliser le logiciel XCA gratuit que vous pouvez télécharger ici :
http://xca.sourceforge.net.
Ensuite, installer le logiciel en double cliquant sur celui-ci.
Création de la base des certificats
Pour une première utilisation, il faut créer une base de données des certificats.
Fichier / Nouvelle base de données
Création d’un certificat Société
Ensuite, nous allons créer un certificat – onglet certificats - en cliquant sur nouveau certificat.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 8 / 17
Ensuite, sélectionner onglet Sujet pour donner les détails du certificat. Ces informations seront affichées lors de
l’importation du certificat dans le mGuard.
Puis générer une nouvelle clé.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 9 / 17
Ensuite, sur l’onglet extensions, nous allons indiquer type = « autorité de certification », la validité du
certificat, et valider les options « critical » et « subject key indentifier ».
Dans l’onglet utilisation de la clé, nous allons indiquer l’utilisation « certificat sign » et « CRL sign » pour la
clé société.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 10 / 17
Validation par OK. Le certificat est créé.
Création d’un template
Onglet modèles, ensuite nouveau modèle. Choisir rien dans le menu, puis ok.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 11 / 17
Comme pour le certificat société, on remplit les champs dans l’onglet sujet.
Dans l’onglet extensions, on choisit « entité finale » pour que le modèle soit utilisé pour des certificats
machines. On choisit aussi la validité du certificat, et valide les options « critical » , « subject key indentifier »
et « Autority
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 12 / 17
Dans l’onglet utilisation de la clé, on choisit « digital signature », « data enciphement » et « key agreement ».
Puis on valide par OK.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 13 / 17
Création de certificats basés sur le modèle pour les machines.
Dans l’onglet certificat, on fait nouveau certificat, puis on va choisir le modèle créé dans la partie « signer ».
Ensuite dans l’onglet Sujet, on remplit les champs descriptifs comme précédemment en indiquant les
informations propres à la machine.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 14 / 17
Puis créer la clé en cliquant sur générer la clé.
On renouvelle l’opération pour chaque machine. Ici, démo1 et démo
Exportation des certificats machines
Dans l’écran des certificats, on clique sur export. On va exporter le certificat privé .p12 avec l’extension PKCS
#12 avec la chaine de certification. Le programme va ici demandé un mot de passe qu’il faudra ressaisir dans le
mGuard lors de l’importation du certificat.
Ensuite, on refait un export du certificat public .crt avec l’extension PEM.
Cette opération est à effectuer pour les deux machines du tunnel VPN.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 16 / 17
Importation des certificats dans le mGuard
On va importer le certificat privé dans chaque mguard.
Onglet authentification / certificat / machine certificat
On importe le programme .P12 correspondant au mguard concerné, pour le demo1 et le démo 2. Ici il faudra
ressaisir le mot de passe pour déverrouiller le cerificat.
Création d’un tunnel VPN
Nous allons maintenant créer un tunnel VPN entre les deux mguard.
Onglet IPsec VPN / Connections
Créer une connexion puis edit. Dans l’onglet général, on va saisir les informations du tunnel :
Demo1 :
Enabled : yes
Adresse remote : 10.1.80.101
Connection startup : initiate
Type : tunnel
Local : 192.168.0.0/24
Remote: 192.168.1.0/24
Demo2 :
Enabled : yes
Adresse remote : any%
Connection startup : wait
Type : tunnel
Local : 192.168.1.0/24
Remote: 192.168.0.0/24
On valide en cliquent sur apply. Ensuite, on edit à nouveau le tunnel et onglet authentification.
Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 17 / 17
On choisit :
Local X509 certificat : le certificat de la machine concernée, démo1.
Puis remote certificat, le certificat PEM de la machine distante (démo2), à aller chercher dans votre répertoire
de certificats.
On renouvelle l’opération sur le module mGuard démo2 en choisissant :
Local X509 certificat : le certificat de la machine concernée, démo2.
Puis remote certificat, le certificat PEM de la machine distante (démo1), à aller chercher dans votre répertoire
de certificats.
Ensuite, nous allons vérifier que le tunnel fonctionne :
Onglet IPsec VPN / IPsec status
Si besoin , procéder à un update de l’affichage.