Hello !!
Ca fait un moment que je n’ai pas écrit d’article. Eh oui pas mal de préoccupations avec le boulot, et recherche d’appartements, mais je commence à voir le jour… 🙂
J’ai changé de téléphone lundi, un HTC One S, équipé de Android 4.0.3 « Ice Cream Sandwich ».
Et en fouillant dans les menus, je découvre quoi ??? Ah bah il y a le VPN IPSEC de supporté ! Enfin !
Du coup je me suis lancé dans de la recherche d’infos et un peu de troubleshooting, pour mettre au point une configuration d’interconnexion avec mon pare-feu Fortigate, et j’ai décidé de vous la faire partager 😉 Ca servira à quelques admins sécu ou a quelques geeks qui ont un Fortigate à titre perso chez eux… 😉
Le mode choisi est du VPN IPSEC XAuth PSK. C’est à dire qu’on fera de l’authentification login/mot de passe et qu’on aura une preshared key.
Je n’ai pas trouvé de doc mais en troubleshootant j’ai réussi à obtenir quelque chose qui marche, et a postériori je me suis apercu que ca reste très proche de ce qu’on peut trouver sur iPhone.
Comme la configuration nécessite mode-cfg pour pousser la configuration, ca se fera en CLI. J’ai choisi aussi de travailler en « interface mode », ca permet d’avoir un truc plus « sexy » pour les règles de firewall.
J’utiliserai ici un sous réseau en 192.168.15.0/25, pensez à créer la route statique adéquate !
config vpn ipsec phase1-interface edit "Users" set type dynamic set interface "wan1" set dhgrp 2 set xauthtype auto set mode-cfg enable set proposal aes128-sha1 set negotiate-timeout 15 set authusrgrp "mon groupe d'utilisateurs" #mettre ici le groupe d'utilisateurs à matcher set default-gw 0.0.0.0 set ipv4-start-ip 192.168.15.10 #range d'IP de départ set ipv4-end-ip 192.168.15.20 #range d'IP d'arrivée set ipv4-netmask 255.255.255.128 #netmask à utiliser set ipv4-dns-server1 192.168.12.8 #serveurs DNS set ipv4-dns-server2 192.168.16.8 set ipv4-dns-server3 192.168.26.2 set ipv4-split-include "STL-VPN-AllowedSubnets" #groupe d'adresses comportant les subnets à encapsuler dans le VPN set domain "galaxy.lan" #Domaine de recherche DNS set psksecret "maclepsk" next end config vpn ipsec phase2-interface edit "Users" set keepalive enable set pfs disable set phase1name "Users" set proposal aes128-sha1 set keylifeseconds 1800 next end
Ensuite sur Android il reste quoi à faire ? Et bien à renseigner la configuration (menu accessible via « Paramètres », puis « Plus » (dans Sans fil et réseaux), puis « VPN ».
Nom : ce que vous voulez
Type : IPSec Xauth PSK
Adresse du serveur : l’adresse IP publique utilisée
Identifiant IPSEC : laisser vide
Clé pré-partagée : mettre la clé partagée
Et ? C’est tout ! Le reste de la configuration sera poussée par le Fortigate !
Amusez vous bien !