Page 1
Routeur Internet, point d’accès sans fil 802.11g – 54 Mbps avec Modem ADSL, switch 4 ports et serveur VPN intégrés Manuel de l’utilisateur (Modèle WRM54) Version 1.01 – Janv. 2004...
Copyright La reproduction, même en partie de ce manuel n’est pas autorisée. Son édition, son stockage, sa transcription, sa traduction est interdite sans autorisation préalable et écrite. Marques déposées Tous les produits, sociétés et marques déposées sont propriétés de leurs dépositaires respectifs . Elles ne sont prés entes dans ce manuel que pour une meilleure compréhension.
Félicitations pour l’acquisition de ce modem/routeur ADSL sans fil Comet Labs. Ce produit est conçu pour les besoins des particuliers et des petites entreprises. Facile à installer et à configurer, même pour une personne non technique, il fournit une solution complète pour surfer sur internet. Toutes les instructions pour installer et configurer ce produit se trouvent sur ce manuel.
Page 5
Internet, etc. Le routeur détecte automatiquement le type d’application puis ouvre les ports concernés . Permet d’exposer un ordinateur directement sur Internet: cette fonction est utilisée quand les règles de Spécial Application sont insuffisantes pour permettre à une application de fonctionner correctement .
Page 6
Le routeur supporte aussi le VPN pass-through. C’est à dire qu’il laisse passer les paquets encryptés générés par d’autres logiciels ou matériels qui existent au sein de votre réseau local. NOTE : Si vous utilisez les protocoles ESP pour établir la connexion VPN traversant, vous devez définir une règle de filtrage autorisant l’ouverture du port 500.
é é é 2.1 Identification des éléments externes 2.1.1. Face avant Figure 2-1 Face Avant Témoins lumineux : Fonction Couleur Status Description Témoin POWER Vert Allumée Le routeur est bien alimenté d’alimentation Témoin Le routeur fonctionne Vert Clignote Système correctement La ligne ADSL est Allumée Témoin...
2.1.2. Face arrière Figure 2-2 Face arrière Ports: Port Description 5VDC Connecteur d’alimentation: DC 5V, 1.5A (minimum) ADSL Connecteur pour la ligne ADSL Port 1-4 Connecteurs réseau (ordinateurs et autres périphériques réseau) Connecteur pour l’imprimante USB 2.2 Procédure d’installation du matériel 1.
Page 10
Figure 2-3 Paramétrage des connexion LAN et WAN. 3. Paramétrage de la connexion ADSL Branchez le câble téléphonique sur le port ADSL puis l’autre extrémité à votre prise téléphonique Figure 2-3 montre la connexion WAN. 4. Connectez ce produit à votre imprimante. Utilisez le câble imprimante (livré...
é é é é é é é é é Pour utiliser ce produit de manière efficace, vous devez configurer correctement les paramètres réseau de votre ordinateur. 3.1 Configurez correctement vos paramètres réseau L’adresse IP par défaut du routeur est 192.168.0.1 et son masque de sous réseau est 255.255.255.0. Ces paramètres peuvent être modifiés à...
3.2 Installation logiciel Ignorez cette section si vous ne désirez pas utiliser la fonction « Serveur d’impression » de ce routeur. Note: Si vous êtes un utilisateur de Windows 2000 et de Windows XP, veuillez vous référencer au chapitre 5 – Serveur d’impression – 5.3 Windows 2000 et Windows XP. Il n’est pas nécessaire d’installer un programme de serveur d’impression.
Page 13
Etape 3: Sélectionnez le dossier de destination puis cliquez sur le bouton Next. Le logiciel commence à s’installer. Etape 4: Dès que cette fenêtre apparaît, cliquez sur le bouton Finish. Sélectionnez le bouton pour redémarrer votre ordinateur puis cliquez sur le bouton OK. Etape 5: Après avoir redémarrer votre ordinateur, la procédure d’installation est terminée.
La configuration de ce produit se fait par une interface web, telle que Netscape Navigator ou Microsoft Internet Explorer. Vous pouvez donc paramétrer le routeur à partir de n’importe quelle machine Windows, Unix ou Macintosh.
4.1 Démarrage Démarrez votre navigateur Internet, désactiver le Proxy si vous utilisez un serveur Proxy ou ajouter l’adresse IP du routeur dans la liste des exceptions. Avec certain navigateur web, tel qu’Internet Explorer, il suffit de cocher la case «Ne pas utiliser de serveur Proxy pour les adresses locales». Puis, tapez l’adresse IP du routeur dans la partie Adresse de votre navigateur web, par exemple : http://192.168.0.1.
4.2 Status Cette option permet de vérifier l’état du routeur: A. Etat du port WAN : Si le port WAN est configuré pour obtenir une adresse IP dynamiquement, un bouton Renew ou Release apparaît dans la colonne Sidenote. Vous pouvez cliquer sur ce bouton pour libérer manuellement l’adresse IP ou pour obtenir une nouvelle adresse IP.
4.3 Wizard – Assistant de configuration Le Setup Wizard vous guidera pas à pas dans la configuration basique du routeur. Cliquez sur le bouton 'Next'. Setup Wizard - Select WAN Type: Pour plus de détails, voir chapitre 4.4.1 primary setup.
4.4 Basic Setting 4.4.1 Primary Setup – WAN Type Cliquez sur le bouton “Change”...
Page 19
La bonne configuration de cette page est primordiale pour le bon fonctionnement du routeur. Sélectionnez correctement l’option WAN Type avant de commencer. Référez-vous à l’Annexe d de ce manuel pour connaître le type d’encapsulation utilisé par chaque FAI (Fournisseur d’Accès Internet) tel que : Wanadoo, Free, Liberty Surf, etc…...
Page 20
4.4.1.1 Ethernet Over ATM (RFC 1483 Bridged) without NAT Cette option désactive la fonction NAT, le produit devient un pur pont (un simple modem ADSL) entre votre LAN et le WAN, tous les ordinateurs de votre LAN doivent avoir une IP publique. Si vous activez le NAT, vous devez configurer les paramètres IP WAN suivant : WAN IP Address, WAN Subnet Mask, WAN Gateway, et Primary/Secondary DNS Votre FAI vous fournit ces informations...
Page 21
4.4.1.2 Ethernet Over ATM (RFC 1483 Bridged) with NAT Dynamic IP Address: Obtient une adresse IP automatiquement du FAI. Host Name: option. Peut être demandé par certain FAI, par exemple @domicile. Renew IP Forever: Cette fonction permet au routeur d’obtenir une adresse IP automatiquement si la connexion ADSL est perdue.
Page 22
4.4.1.3 IP over ATM (RFC 1483 Routed) En mode routeur, le NAT est toujours activé. Vous devez configurer les paramètres IP WAN suivant : WAN IP Mode: Ce produit supporte 2 modes: IP statique et IP dynamique. Si vous sélectionnez le mode dynamique, le routeur va essayer d’obtenir une adresse IP automatiquement depuis le serveur de votre FAI.
Page 23
4.4.1.4 Classical IP over ATM (RFC 1577) En mode Classical IP over ATM , le NAT est toujours activé. Vous devez configurer les paramètres IP WAN suivant : WAN IP Mode: Ce produit supporte 2 modes: IP statique et IP dynamique. Si vous sélectionnez le mode dynamique, le routeur va essayer d’obtenir une adresse IP automatiquement depuis le serveur de votre FAI.
Page 24
4.4.1.5 PPP over ATM (RFC 2364) Cliquez sur le bouton “More >>” PPPoA Account/Password: Identifiant de connexion et mot de passe de connexion fournis par votre FAI. Maximum Idle Time: Période d’inactivité avant déconnexion de votre session PPPoA. Vous pouvez saisir la valeur zéro ou/et cocher Auto-reconnect pour désactiver cette fonction.
Page 25
perte de connexion. VPI/VCI Numbers: Valeurs utilisées par votre FAI. Fournit par votre FAI, sinon voir Annexe d de ce manuel. Schedule Type: Paramètres du type de trafic ADSL. Ce produit supporte UBR (Un-specified bit rate ) et CBR (Constant bit rate ). PPPoA Service Name: Option.
routeur se reconnectera automatiquement à votre FAI après un redémarrage système ou après une perte de connexion. VPI/VCI Numbers: Valeurs utilisées par votre FAI. Fournit par votre FAI, sinon voir Annexe d de ce manuel. Schedule Type: Paramètres du type de trafic ADSL. Ce produit supporte UBR (Un-specified bit rate ) et CBR (Constant bit rate ).
4.4.2 DHCP Server Les paramètres d’un environnement TCP/IP inclus la configuration de l’adresse IP de l’hôte, son masque de sous réseau, l’adresse de la passerelle et le DNS. C’est assez difficile et surtout assez long pour configurer manuellement tous les ordinateurs du réseau. Heureusement que le serveur DHCP permet de configurer automatiquement les ordinateurs du réseau.
connecter à internet. Cette fonction permet de configurer une autre passerelle à votre ordinateur. 4.4.3 Paramètres sans fil et 802.1X Les paramètres sans fil vous permettent de configurer les points suivants: 1. Network ID (SSID): Le nom de réseau est utilisé pour identifier votre réseau sans fil (WLAN). Les stations clients peuvent se connecter librement à...
6. 802.1X Setting 802.1X: Cliquez sur la case Enable pour activer cette fonction. Quand cette fonction est activée, l’utilisateur sans fil doit s’authentifier en premier avant de pouvoir utiliser les services du réseau RADIUS Server: Adresse IP du serveur 82.1X ou nom de domaine RADIUS Shared Key: valeur de la clé...
4.5 Forwarding Rules / Règles de filtrage 4.5.1 Virtual Server: Serveur Virtuel Le firewall de ce produit filtre tous les paquets inconnus pour protéger votre réseau Intranet.
Comme cela les machines de votre réseau local sont inaccessibles depuis internet. Si vous le désirez, vous pouvez rendre accessible une de vos machines en activant la fonction Virtual Server. Un serveur virtuel est défini par un numéro de port (Service port). Toutes requêtes vers ce port seront redirigées vers l’ordinateur spécifié...
Page 32
ces applications de fonctionner avec ce produit. Si malgré cela, vos applications ne fonctionnent toujours pas, alors il faut utiliser la fonction DMZ. Trigger: numéro du port sortant utilisé par l’application. Incoming Ports: quand le paquet défini par le Trigger est détecté, alors les paquets entrant envoyés vers les ports spécifiés sont autorisés à...
4.6 Security Settings: Paramètres de sécurité 4.6.1 Packet Filter: Filtrage par paquets...
Page 34
Le filtrage de paquets vous permet de définir quels paquets sont autorisés à passer à travers le routeur. Outbound filter ne s’applique qu’aux paquets sortants . Cependant, Inbound Filter, ne s’applique seulement qu’aux paquets en destination des serveurs virtuels ou des machines en DMZ. Vous pouvez sélectionner un des deux règles de filtrage suivantes: 1.
Page 35
Exemple 1: • (1.2.3.100-1.2.3.149) Il s sont autorisés à envoyer des mail (25), recevoir des mails (110) et à accéder au serveur web (80). • (1.2.3.10-1.2.3.20) Ils ont tous les droits d’accès (rien ne les bloque). • Le reste est bloqué Exemple 2:...
Page 36
• (1.2.3.100-1.2.3.119) Ils peuvent tout faire sauf lire les news (port 119) et envoyer des fichiers par FTP (port 21). • Le reste est autorisé. Cliquez sur le bouton Save à la fin de la configuration. Outbound Filter: Pour activer le filtrage de paquets sortant Outbound Packet Filter, cliquez sur le bouton Outbound Filter puis cocher la case Enable.
Page 37
Exemple 2: • (192.168.0.100-192.168.0.119) Ils peuvent tout faire sauf lire les news (port 119) et effectuer des transferts de fichiers en FTP (port 21). • Le reste est autorisé. Cliquez sur le bouton Save à la fin de la configuration.
4.6.2 Domain Filter: Filtrage par nom de domaine • Domain Filter Le filtrage par domaine permet de bloquer des sites web spécifiques. • Domain Filter Enable Cochez la case Enable pour activer le filtrage par domaine. • Log DNS Query Cochez la case Enable si vous désirez créer un historique quand une personne accède à...
Page 39
Exemple: Dans cet exemple: 1. L’adresse URL “www.msn.com” sera bloquée, puis l’action sera enregistrée dans un fichier journal. 2. L’adresse URL “www.sina.com” ne sera pas bloquée, mais l’action sera enregistrée dans un fichier journal. 3. L’adresse URL “www.google.com” sera bloquée, mais l’action ne sera pas enregistrée dans un fichier journal.
4.6.4 MAC Address Control: Contrôle par adresse MAC Le contrôle par adresse MAC permet de définir plusieurs droits d’accès pour les différents utilisateurs et d’attribuer une adresse IP à certaines adresses MAC. MAC Address Control Cochez la case Enable pour activer le contrôle par adresse MAC. Les paramètres définis ici ne prennent effet que lorsque la case Enable est cochée.
Page 41
Control table La table de contrôle Control Table est ce tableau se trouvant en bas de la page MAC Address Control. Chaque rangée de cette table indique l’adresse MAC et l’adresse IP correspondant à la machine. Vous pouvez distinguer 4 colonnes : MAC Address Adresse MAC de la machine IP Address...
Page 42
4.6.5 VPN setting: Paramètres VPN Permet de créer un réseau virtuel privé (Virtual Private Network) à travers la connexion internet. Cette technologie es t très sécurisée, supporte la confidentialité des données, en utilisant des protocoles d’encapsulation, des algorithmes d’encryptions et de brouillage. •...
Page 43
Pour afficher la configuration détaillée de votre tunnel IKE ou Manual, cliquez sur le bouton More. 4.6.5.1 VPN Settings – IPSEC VPN Settings – IKE Le tunnel VPN se crée en 3 temps (3 parties séparées): la partie basique (adresse IP, etc.…), IKE proposal, et IPSec proposal.
Page 44
• Remote gateway L’adresse IP de la passerelle VPN distante. • Pre-shared key La première clé partagée et prédéfinie qui démarre le mécanisme IKE des deux passerelles VPN pour négocier une clé sécurisée. La Pre-shared key doit être la même de chaque côté du tunnel VPN.
Page 45
• DH group: Vous pouvez sélectionner jusqu’à 3 groupes: groupe 1 (MODP768), group 2 (MODP1024), group 5 (MODP1536). • Encryption algorithm: Vous pouvez sélectionner 2 algorithmes différents d’encryption: 3DES (Codage 168 bits) ou DES (56 bits). • Authentication algorithm: Vous pouvez sélectionner jusqu’à 2 algorithmes d’authentification: SHA1 ou MD5. •...
Page 46
• IPSec Proposal index: Une liste de proposition est indexée depuis la liste de proposition IPSec ci-dessous. Sélectionnez un numéro d’ID depuis Proposal ID, puis cliquez sur le bouton Add to, ajoute cette proposition à la liste. Vous ne pouvez choisir que 4 propositions par mis la liste pour le tunnel dédié.
• Life time unit: Unité de mesure du temps de vie: en secondes ou en KB. • Proposal ID: L’identifiant IPSec proposal peut être sélectionné pour ajouter la proposition correspondante au tunnel dédié. Vous pouvez, au total avoir 10 propositions IKE. Au plus, seulement 4 propositions peuvent être appliquées au tunnel dédié.
Page 48
Remote Administrator Host/Port: En général, il n’y a que les utilisateurs locaux qui peuvent accéder au routeur pour exécuter les tâches administratives. Cette fonction vous permet d’exécuter les tâches administratives depuis des machines distantes. Si cette fonction est activée, seule l’adresse IP spécifiée peut exécuter les tâches administratives à...
4.7 Advanced Settings / Fonctions évoluées 4.7.1 System Time...
Page 50
• Get Date and Time by NTP Protocol: Sélectionnez, si vous désirez obtenir la date et l’heure via le protocole NTP. Le routeur va se connecter à un serveur de temps sur Internet pour synchroniser son horloge. • Time Server: Sélectionnez un serveur de temps.
4.7.2 System Log Vous avez 2 méthodes pour exporter le journal système: via un serveur Syslog (UDP) ou via un envoie d’email par le protocole SMTP (TCP). IP Address for Syslog: Adresse IP de votre serveur Syslog. Cochez la case Enable pour activer cette fonction. E-mail Alert Enable Cochez la case Enable pour activer les alertes par email (envoie du syslog par email).
4.7.3 Dynamic DNS Pour accéder à votre serveur intranet avec une adresse IP dynamique, vous devez utiliser un service de nom de domaine dynamique (DDNS). Dans ce cas, les utilisateurs qui veulent se connecter à votre serveur, n’ont besoin de connaître que votre nom de serveur.
Exemple: Cliquez sur le bouton Save dès que la configuration du DynDNS est finie. 4.7.4 SNMP Setting / Paramétrage SNMP...
Page 54
En bref, SNMP - Simple Network Management Protocol - est un protocole conçu pour donner à un utilisateur la capacité de gérer à distance un ordinateur du réseau en surveillant les évènements du réseau. Enable SNMP Vous devez cocher la case Local ou Remote ou les deux, pour activer la fonction SNMP. Si la case Local est cochée, ce périphérique va répondre à...
4.7.5 Routing Table / Table de routage Les tables de routages vous permettent d'établir des chemins de transferts des paquets entre les interfaces physiques des routeurs. Si vous avez plus d’un routeur et plus d’un réseau, vous devez activer la table de routage pour permettre aux paquets de trouver leur chemin et permettre aux différents sous réseau de communiquer ensemble.
Page 56
Exemple: Configuration du routeur qui fait office de NAT: Destination Subnet Mask Gateway Enabled 192.168.1.0 255.255.255.0 192.168.0.216 192.168.0.0 255.255.255.0 192.168.0.103 Si par exemple, Client3 (192.168.12.22) veut envoyer un paquet vers Client2 (192.168.0.2), il va utiliser la table de routage pour déterminer son chemin, il passera donc par l’adresse IP 192.168.0.103 (Router2).
4.7.6 Schedule Rule / Règles horaires Vous pouvez paramétrer des règles pour activer ou désactiver certains services à des heures spécifiques. Pour cela, cochez la case Enable se trouvant en face de Schedule. Puis cliquez sur le bouton “Add New Rule” Vous pouvez définir une règle puis paramétrer la date et l’heure de connexion et de déconnexion du service.
Page 58
Après la configuration de la règle1 (Rule1): Schedule Enable Sélectionnez la case Enable si vous voulez activer les règles de programmation. Edit Pour éditer les règles de programmation. Delete Pour supprimer les règles programmées. Vous pouvez associer ces règles avec les fonctions Virtual Server et Packets Filter, par exemple: Exemple1: Virtual Server –...
Vous pouvez visualiser le journal des évènements – Log – en cliquant sur le bouton View Log. 4.8.2 Firmware Upgrade / Mise à jour firmware Vous pouvez mettre à jour le firmware du routeur en cliquant sur le bouton Firmware Upgrade. Cliquez sur le bouton Parcourir, sélectionnez le fichier firmware puis cliquez sur le bouton Upgrade.
Setting. Quand vous voulez restaurer vos paramètres, il suffit de cliquer sur Firmware Upgrade puis sélectionnez votre fichier. 4.8.4 Reset to default / Réinitialisation des paramètres à leurs valeurs par défaut Vous pouvez effacer tous les paramètres pour que le routeur reprenne ses valeurs d’usine en cliquant sur Reset default.
Page 63
MAC Address for Wake-on-LAN Wake-on-LAN est une technologie permettant de démarrer une machine du réseau à distance. Pour utiliser cette fonction, la machine cible doit supportée le Wake-On-Lan, cette fonction doit être activée et vous devez connaître la MAC adresse de cette dernière. Saisissez sa MAC adresse puis cliquez sur le bouton Wake up, fera démarrer immédiatement la machine cible.
’ ’ ’ Ce produit fournit la fonction de serveur d’impression pour les systèmes d’exploitation Microsoft Windows 95/98/Me/NT/2000/XP et les plates -formes basés sur UNIX (comme Linux) 5.1 Windows 95/98 Dès que vous avez fini d’installer le logiciel décrit au chapitre3, votre ordinateur est capable d’imprimer vers l’imprimante connectée sur le routeur.
Page 65
2. Sélectionnez l’onglet Détails: 3. Dans la zone Imprimer vers, sélectionnez PRTmate: (All-in-1). Vérifiez que vous avez bien installé le driver correspondant à votre imprimante. 4. Cliquez sur le bouton Paramètres du port. Saisissez l’adresse IP du routeur puis cliquez sur le bouton OK. 6.
5.2 Windows NT La procédure de configuration pour Windows NT est similaire à la configuration sous Windows 95/98 exceptée la fenêtre Propriété de l’imprimante. Par rapport à la configuration sous Windows 95/98, l’onglet Détails devient Ports sous Windows NT, et Paramètres du port devient Configurer le port. 5.3 Windows 2000 et XP Sous Windows 2000 et XP, vous n’avez pas besoin d’installer le logiciel livré...
Page 67
1. Ouvrez Imprimantes et télécopieurs 2. Clic droit sur l’icône de l’imprimante, sélectionnez l’onglet Ports puis cliquez sur le bouton Ajouter port.
Page 68
3. Sélectionnez “Standard TCP/IP Port”, puis cliquez sur le bouton Ajouter un Port. 4. Cliquez sur le bouton Suivant puis fournissez les informations suivantes: Tapez l’adresse IP du routeur puis cliquez sur le bouton Suivant. 4. Sélectionnez le bouton Personnalisé puis cliquez sur le bouton Paramètres.
Page 69
6. Dans la zone Protocole, sélectionnez LPR. Dans la zone Paramètres LPR, Nom de la file d’attente, tapez lp en minuscule (l comme lima et p comme papa). Puis cochez la case Comptage des octets LPR activé.
Page 70
7. Cliquez sur le bouton OK pour activer les changements.
5.4 Linux (exemple avec Red Hat) Veuillez suivre la procédure de configuration traditionnelle sous Linux pour ajouter une imprimante. Le nom de l’imprimante est «lp». 1. Cliquez sur le chapeau rouge, sélectionnez Paramètres de système, Printing. 2. Cliquez sur Nouveau, une nouvelle fenêtre s’affiche, cliquez sur Suivant.
Page 72
3. Saisissez le nom de votre imprimante, cochez le bouton Imprimante Unix (LPD), puis cliquez sur le bouton Suivant. 4. Saisissez l’adresse IP du routeur dans la zone Serveur, et lp (l comme lima et p comme papa) dans le champ File d’attente, puis cliquez sur le bouton Suivant.
Page 73
5. Sélectionnez la marque et le modèle de votre imprimante puis cliquez sur le bouton Suivant. 6. Cliquez sur le bouton Appliquer pour finir l’installation de votre imprimante. 7. Enfin cliquez sur le bouton Appliquer pour terminer l’installation définitive.
Page 74
8. Une dernière fenêtre apparaît, cliquez sur le bouton Valider. Vous pouvez aussi installer l’imprimante en ligne de commande (pour les utilisateurs avancés seulement): Linux a un client LPR intégré, vous pouvez l’utiliser pour imprimer. Vous pouvez le paramétrer manuellement ou via l’utilitaire printtool depuis Xwindows. PS: Le nom du spool est lp (lp en minuscule, l comme lima et p comme papa) Exemple: /etc/printcap...
5.5 Apple MACOS Note: Avec le système Apple MACOS, il faut que l’imprimante connectée au routeur soit Postscript. 1. Démarrer le centre d’impression ou Configuration de l’imprimante. Pour cela, parcourir votre le disque système, généralement il s’appelle Macintosh HD, allez dans le dossier Applications puis Utilitaires.
Page 76
Cette section vous montre comment installer le protocole TCP/IP sur votre ordinateur. Bien sur, votre carte réseau est sensée être correctement installée dans votre ordinateur. Si ce n’est pas le cas, veuillez faire référence au manuel d’installation de votre carte avant de continuer. D’ailleurs, la section B2 vous explique comment paramétrer les valeurs TCP/IP pour fonctionner correctement avec le routeur.
Page 77
5. Le système vous demandera sûrement le CDROM système de Windows. Insérerez le CDROM dès qu’il vous le demande puis suivez les instructions jusqu’au redémarrage de votre ordinateur. A.2 Paramétrage du protocole TCP/IP pour fonctionner avec le routeur: 1. Cliquez sur le bouton Démarrer, sélectionnez Paramètres puis cliquez sur Panneau de Configuration 2.
Page 78
a. Sélectionnez Obtenir automatiquement une adresse IP depuis l’onglet Adresse IP. b. Ne rien saisir dans l’onglet Passerelle. c. Dans l’onglet Configuration DNS, sélectionnez Désactiver DNS. B. Configuration de l’adresse IP manuellement. a. Sélectionnez Spécifier une adresse IP. L’adresse IP du routeur étant 192.168.0.1,...
Page 79
choisissez donc une adresse IP du même genre, comme par exemple 192.168.0.xxx (xxx compris entre 2 et 254). Ici nous allons choisir 192.168.0.2, puis l’adresse de sous réseau sera 255.255.255.0. b. Sélectionnez l’onglet Passerelle, saisissez l’adresse IP du routeur, dans notre exemple ce sera 192.168.0.1, car l’adresse du routeur est 192.168.0.1, puis cliquez sur le bouton Ajouter.
Page 81
’ ’ ’ Exemple: Connexion d’un client Win XP/2000 vers le Routeur VPN (La configuration sous Windows 2000 est similaire que sous Windows XP) 1. Sur Windows 2000/XP, cliquez sur Démarrer, Exécuter. Dans la zone Ouvrir, tapez secpol.msc puis cliquez sur le bouton OK. Sélectionnez le dossier Stratégies locales. 2.
Page 82
Double cliquez sur l’icône Performances et maintenance.
Page 83
Double cliquez sur l’icône Outils d’administration. stratégie de sécurité locale Double cliquez sur l’icône Stratégie de sécurité locale. Effectuez un clic droit sur Stratégies de sécurité IP sur Ordinateur local puis sélectionnez Créer une stratégie de sécurité IP. La fenêtre de l’assistant s’ouvre, cliquez sur le bouton Suivant, entrez un nom pour cette connexion (vers_routeur_vpn par exemple), puis cliquez sur le bouton Suivant.
Page 84
Décochez la case Activer la règle de réponse par défaut puis cliquez sur le bouton Suivant. Vérifiez que la case Modifier les propriétés est cochée puis cliquez sur le bouton Terminer. Créez 2 listes de filtre: “xpàrouter” et “routeràxp” par exemple. Liste de filtre 1: xpàrouteur Depuis la fenêtre Propriétés de nouvelles règles, désélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter pour créer une nouvelle règle.
Page 85
Cliquez sur le bouton Ajouter. Entrez un nom, par exemple: xpàrouter puis désélectionnez la case Utiliser l’assistant Ajout. Cliquez sur le bouton Ajouter.
Page 86
Dans le champ Adresse source, sélectionnez Une adresse IP spécifique puis saisissez l’adresse 192.168.1.1. Dans le champ Adresse de destination, sélectionnez Un sous réseau IP spécifique, saisissez l’adresse IP: 192.168.0.0 et un masque de sous réseau: 255.255.255.0 Si vous désirez un protocole pour votre filtre, cliquez sur l’onglet Protocole. Cliquez sur le bouton OK.
Page 87
Sélectionnez l’onglet Action de filtrage, cochez le bouton Sécurité requise puis cliquez sur le bouton Modifier. Cochez le bouton Négocier la sécurité, cochez la case Session de clé protocole PFS (Perfect Forward Secrecy) puis cliquez sur le bouton Modifier.
Page 88
Cochez le bouton Personnalisée (pour les utilisateurs expérimentés) puis cliquez sur le bouton Paramètres. Sélectionnez Cryptage et intégrité des données (ESP) Configurez l’Algorithme d’intégrité sur MD5 Configurez l’Algorithme de cryptage sur DES Configurez Générer une nouvelle clé tous les: sur 10000 secondes Cliquez sur le bouton OK jusqu’à...
Page 89
Sélectionnez Méthodes d’authentification, cliquez sur le bouton Ajouter. Sélectionnez le bouton Utiliser cette chaîne (clé partagée au préalable), puis saisissez votre clé partagée comme par exemple mypresharedkey, puis cliquez sur le bouton OK. Cliquez sur le bouton OK depuis l’onglet Méthodes d’authentification. Sélectionnez l’onglet Paramètres du tunnel.
Page 90
Configurez Le point d’arrêt du tunnel est spécifié par cette adresse IP sur 192.168.1.254. Sélectionnez l’onglet Type de connexion. Sélectionnez Toutes les connexions réseau.
Page 91
Tunnel 2: router->xp Depuis la fenêtre Propriétés de nouvelles règles, désélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter pour créer une nouvelle règle. Cliquez sur le bouton Ajouter Entrez un nom dans la zone Nom, par exemple routeuràxp. Désélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter.
Page 92
Dans la zone Adresse source, sélectionnez Un sous réseau IP spécifique, saisir dans Adresse IP 192.168.0.0 et dans masque de so us réseau 255.255.255.0 Dans la zone Adresse de destination, sélectionnez Une adresse IP spécifique, saisir dans Adresse IP 192.168.1.1. Si vous désirez sélectionner un protocole, cliquez sur l’onglet Protocole.
Page 93
Sélectionnez l’onglet Action de filtrage, sélectionnez le bouton Exiger la sécurité puis cliquez sur le bouton Modifier. Sélectionnez Negociate security, Sélectionnez Session Clé principale PFS (Perfect Forward Secrecy) puis cliquez sur le bouton Modifier.
Page 94
Sélectionnez Personnalisée (pour les utilisateurs expérimentés) Cliquez sur le bouton Paramètres. Sélectionnez Cryptage et intégrité des données (ESP) Configurez l’Algorithme d’intégrité sur MD5 Configurez l’Algorithme de cryptage sur DES Configurez Générer une nouvelle clé tous les: sur 10000 secondes Cliquez sur le bouton OK jusqu’à revenir sur la fenêtre Propriétés de nouvelle règle.
Page 95
Sélectionnez l’onglet Méthodes d’authentification puis cliquez sur le bouton Modifier. Sélectionnez le bouton Utiliser cette chaîne pour protéger l’échange de clés (clé partagée prédéfinie), puis saisissez votre clé pré-chargée comme par exemple mypresharedkey, puis cliquez sur le bouton OK. Cliquez sur le bouton OK depuis l’onglet Méthodes d’authentification.
Page 96
Sélectionnez l’onglet Paramètres du tunnel. Sélectionnez Le point d’arrêt du tunnel est spécifiée par cette adresse IP, puis saisir l’adresse IP: 192.168.1.1. Sélectionnez l’onglet Type de connexion. Sélectionnez Toutes les connexions réseau.
Page 97
Configurez les propriétés IKE Sélectionnez l’onglet Général Cliquez sur le bouton Avancé. Activer la case Clé principale PFS (Perfect Forward Secrecy) . Configurez Authentifier et générer une nouvelle clé tous les en mettant 10000 secondes, ce qui fait 167 minutes. Cliquez sur le bouton Méthodes.
Page 98
Si cette méthode n’existe pas déjà, Cliquez sur le bouton Ajouter. Configurez Algorithme d’intégrité sur SHA1 Configurez Algorithme de cryptag e sur 3DES Configurez Groupe Diffie-Helman sur Moyenne (2) Cliquez sur le bouton OK.
Page 99
Revenez ensuite au paramètres de sécurité locaux et effectuer l’attribution de votre nouvelle stratégie de sécurité IP sur l’ordinateur local nommé vers_routeur_vpn par un clic droit.
Page 100
Paramétrage du routeur Routeur VPN: Adresse IP WAN:192.168.1.254 Adresse IP LAN:192.168.0.1 192.168.0.123 VPN Settings: Cochez la case Enable en face de VPN Max. number of tunnels: 2 ID: 1 Tunnel Name: 1 Method: IKE Cliquez sur le bouton More.à...
Page 101
VPN Settings - Tunnel 1 – IKE Tunnel:1 Local Subnet:192.168.0.0 Local Netmask:255.255.255.0 Remote Subnet:192.168.1.1 Remote Netmask:255.255.255.255 Remote Gateway:192.168.1.1 Pre-shared Key: mypresharekey...
Page 102
Cliquez sur le bouton Select IKE Proposal. VPN Settings - Tunnel 1 - Set IKE Proposal ID: 1 Proposal Name: 1 DH Group: Group2 Encrypt. Algorithm: 3DES Auth. Algorithm: SHA1 Life Time: 10000 Life Time Unit: Sec. Dans Proposal ID, sélectionnez 1 puis cliquez sur le bouton Add to Cliquez sur le bouton Save.
Page 103
Cliquez sur le bouton Select IPSec proposal. VPN Settings - Tunnel 1 - Set IPSec Proposal ID: 1 Proposal Name: proposal1 DH Group: Group2 Encaps. Protocol: ESP Encrypt. Algorithm: DES Auth. Algorithm:MD5 Life Time: 10000 Life Time Unit: Sec. Dans Proposal ID, sélectionnez 1 puis cliquez sur le bouton Add to Cliquez sur le bouton Save.
Page 104
Vous pouvez visualiser votre connexion VPN depuis la page System Log, et corriger les paramètres si nécessaire. Phase1 est lié aux paramètres IKE, et Phase2 est lié aux paramètres IPSEC.
è è è Figure 1: Environnement de test (Serveur Radius sous Windows 2000) 1 Détails des équipements PC1: Microsoft Windows XP Professionnel sans le Service Pack 1. Comet Labs WN561 : adaptateur sans fil PC2: Microsoft Windows XP Professionnel avec le Service Pack 1a. Comet Labs WN591 : adaptateur sans fil USB.
Page 106
5.Clé partagée du serveur RADIUS à saisir. 6.Clé WEP et paramètres 802.1X à configurer. Le test suivant utilise les méthodes d’authentification intégrées telles que: EAP_TLS, PEAP_CHAPv2 (Windows XP avec SP1 seulement), et PEAP_TLS (Windows XP avec SP1 seulement) utilisant la Smart Card ou un autre Certificat de Windows XP Professionnel. 3.
Page 107
Figure 2: Activé le contrôle d’accès IEEE802.1X Figure 3: Smart card or certificate properties 4. Test de l’authentification du serveur RADIUS Windows 2000: 4.1.DUT authentifie PC1 à l’aide d’un certificat (PC2 fonctionne de la même manière).
Page 108
1. Téléchargez puis installez le certificat sur PC1 (Fig.4). 2. PC1 choisit le SSID du DUT comme Point d’accès. 3. Configurez le type d’authentification des clients sans fil et du serveur RADIUS sur EAP_TLS. 4. Désactivez la connexion sans fil puis réactivez-la. 5.
Page 109
Figure 6: Authentification avec succès 4.2 DUT authentifie PC2 en utilisant le PEAP_TLS. 1. PC2 choisit le SSID du DUT comme Point d’accès. 2. Configurez le type d’authentification des clients sans fil et du serveur RADIUS sur: PEAP_TLS. 3. Désactivez la connexion sans fil puis réactivez-la. 4.
Remise des paramètres à leurs valeurs par défaut A l’aide d’une pointe fine, appuyez sur le bouton RESET jusqu’à ce que la LED SYS clignote très rapidement. Il faut compter 6 à 7 secondes avant que la LED SYS ne clignote rapidement Le routeur a de nouveau ses paramètres d’usine.