Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 1 / 17

Version : 1.1

FL mGuard VPN

Guide de démarrage

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 2 / 17

Annexes : ________________________________________________________________________________ 3

But du document : _________________________________________________________________________ 4

Mémo de mise en route ____________________________________________________________________ 5

Architecture ___________________________________________________________________________________ 5

Configuration du PC et de l’automate ; _____________________________________________________________ 6

Configuration des passerelles mGuard : _____________________________________________________________ 6

Authentification ________________________________________________________________________________ 7 Création d’un certificat Société _____________________________________________________________________________ 7 Création d’un template ___________________________________________________________________________________ 10 Création de certificats basés sur le modèle pour les machines. ___________________________________________________ 13 Exportation des certificats machines ________________________________________________________________________ 15 Importation des certificats dans le mGuard ___________________________________________________________________ 16

Création d’un tunnel VPN _______________________________________________________________________ 16

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 3 / 17

Annexes : Annexe 1 : Versions Logiciels et matériels utilisés pour ce manuel

Matériels :

Fabricant référence Type Version Hardware Version Firmware

Phoenix contact 2200515 FL MGUARD RS4000 TX/TX

VPN

7.1.1

Logiciels :

Fabricant référence Type Version

XCA Freeware 0.8.1

Annexe 2 : Révision document

Version en cours : 1.0

Version Date Opérateur Commentaires

1.0 30/08/2010 Schneider Création

1.1 13/04/2012 Lecoeur Mise à jour

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 4 / 17

But du document : Ce document décrit les étapes nécessaires au paramétrage de 2 FL mguard utilisés pour établir une connexion

VPN via une liaison RJ45 sur le WAN.

Argumentaire

Applications cibles

Communication sécurisée entre 2 sites, reliés par une connexion RJ45, directe, ou via ADSL ou similaire.

Mise en œuvre

Logiciel XCA à télécharger sur le site http://xca.sourceforge.net.

Argumentaire

Argument Bénéfice Client Bénéfice PHOENIX

Compacité VPN + router + Firewall dans le

même module

Industriel Alimenté en 24 VDC,

redondance, montage sur rail

Din

Simplicité Configuration à l’aide du serveur

web embarqué

Portabilité Configuration exportable dans

un fichier facilement ré-

importable

Concurrence

Fabricant Référence Caractéristiques

Exemples d’applications.

Client Application Solution Avantage concurrentiel

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 5 / 17

Mémo de mise en route Tunnel VPN entre deux Mguard

Architecture

On appellera le mGuard1 : demo1 et le mGuard2 : demo2.

L’adresse par défaut du mGuard est 192.168.1.1 : Si le mGuard dispose déjà d’une adresse IP inconnue, ou

qu’il n’est plus accessible, utiliser la procédure de remise en configuration usine.

Procédure (extraite du manuel utilisateur, chapitre 7.2)

Appuyer sur le bouton reset 6 fois régulièrement jusqu’à ce que la LED Stat s’allume, attendre deux secondes

puis recommencer. Ensuite, le Mguard est accessible par le wan : https://1.1.1.1/ ou par le LAN :

https://192.168.1.1. Le login par défaut est : admin, et le mot de passe est mGuard.

Cela vous permet de ré-accéder au mGuard. Si vous voulez tout réinitialiser en configuration usine, allez dans

l’onglet Management/configuration profiles/factory default

CHAQUE OPERATION DOIT ETRE VALIDEE PAR LE BOUTON « APPLY » PUIS « CONTINUE »

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 6 / 17

Configuration du PC et de l’automate ;

Selon l’architecture précédente, vous devez initialiser le plan d’adresse ci-dessous :

PC Automate

IP : 192.168.0.5

Masque : 255.255.255.0

Passerelle : 192.168.0.254

IP : 192.168.1.15

Masque : 255.255.255.0

Passerelle : 192.168.1.253

Configuration des passerelles mGuard :

Onglet Network / interface / General

Demo 1

Mode routeur

Static

External network : Internal Network :

10.1.80.100

255.255.255.0

10.80.101

192.168.0.254

255.255.255.0

Demo2:

Mode routeur

Static

External network : Internal Network :

10.1.80.101

255.255.255.0

10.80.100

192.168.1.253

255.255.255.0

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 7 / 17

Authentification

Avant cette étape, il est nécessaire de créer ou d’obtenir des certificats X.509.

Création des certificats

Les certificats sont nécessaires pour assurer une connexion VPN sécurisée.

Pour créer des certificats, nous allons utiliser le logiciel XCA gratuit que vous pouvez télécharger ici :

http://xca.sourceforge.net.

Ensuite, installer le logiciel en double cliquant sur celui-ci.

Création de la base des certificats

Pour une première utilisation, il faut créer une base de données des certificats.

Fichier / Nouvelle base de données

Création d’un certificat Société

Ensuite, nous allons créer un certificat – onglet certificats - en cliquant sur nouveau certificat.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 8 / 17

Ensuite, sélectionner onglet Sujet pour donner les détails du certificat. Ces informations seront affichées lors de

l’importation du certificat dans le mGuard.

Puis générer une nouvelle clé.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 9 / 17

Ensuite, sur l’onglet extensions, nous allons indiquer type = « autorité de certification », la validité du

certificat, et valider les options « critical » et « subject key indentifier ».

Dans l’onglet utilisation de la clé, nous allons indiquer l’utilisation « certificat sign » et « CRL sign » pour la

clé société.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 10 / 17

Validation par OK. Le certificat est créé.

Création d’un template

Onglet modèles, ensuite nouveau modèle. Choisir rien dans le menu, puis ok.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 11 / 17

Comme pour le certificat société, on remplit les champs dans l’onglet sujet.

Dans l’onglet extensions, on choisit « entité finale » pour que le modèle soit utilisé pour des certificats

machines. On choisit aussi la validité du certificat, et valide les options « critical » , « subject key indentifier »

et « Autority

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 12 / 17

Dans l’onglet utilisation de la clé, on choisit « digital signature », « data enciphement » et « key agreement ».

Puis on valide par OK.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 13 / 17

Création de certificats basés sur le modèle pour les machines.

Dans l’onglet certificat, on fait nouveau certificat, puis on va choisir le modèle créé dans la partie « signer ».

Ensuite dans l’onglet Sujet, on remplit les champs descriptifs comme précédemment en indiquant les

informations propres à la machine.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 14 / 17

Puis créer la clé en cliquant sur générer la clé.

On renouvelle l’opération pour chaque machine. Ici, démo1 et démo

Exportation des certificats machines

Dans l’écran des certificats, on clique sur export. On va exporter le certificat privé .p12 avec l’extension PKCS

#12 avec la chaine de certification. Le programme va ici demandé un mot de passe qu’il faudra ressaisir dans le

mGuard lors de l’importation du certificat.

Ensuite, on refait un export du certificat public .crt avec l’extension PEM.

Cette opération est à effectuer pour les deux machines du tunnel VPN.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 16 / 17

Importation des certificats dans le mGuard

On va importer le certificat privé dans chaque mguard.

Onglet authentification / certificat / machine certificat

On importe le programme .P12 correspondant au mguard concerné, pour le demo1 et le démo 2. Ici il faudra

ressaisir le mot de passe pour déverrouiller le cerificat.

Création d’un tunnel VPN

Nous allons maintenant créer un tunnel VPN entre les deux mguard.

Onglet IPsec VPN / Connections

Créer une connexion puis edit. Dans l’onglet général, on va saisir les informations du tunnel :

Demo1 :

Enabled : yes

Adresse remote : 10.1.80.101

Connection startup : initiate

Type : tunnel

Local : 192.168.0.0/24

Remote: 192.168.1.0/24

Demo2 :

Enabled : yes

Adresse remote : any%

Connection startup : wait

Type : tunnel

Local : 192.168.1.0/24

Remote: 192.168.0.0/24

On valide en cliquent sur apply. Ensuite, on edit à nouveau le tunnel et onglet authentification.

Mguard_Guide_demarrage.28_03_2014.docx Version : 1.1 Page : 17 / 17

On choisit :

Local X509 certificat : le certificat de la machine concernée, démo1.

Puis remote certificat, le certificat PEM de la machine distante (démo2), à aller chercher dans votre répertoire

de certificats.

On renouvelle l’opération sur le module mGuard démo2 en choisissant :

Local X509 certificat : le certificat de la machine concernée, démo2.

Puis remote certificat, le certificat PEM de la machine distante (démo1), à aller chercher dans votre répertoire

de certificats.

Ensuite, nous allons vérifier que le tunnel fonctionne :

Onglet IPsec VPN / IPsec status

Si besoin , procéder à un update de l’affichage.