Hello !!
Ca fait un moment que je n’ai pas écrit d’article. Eh oui pas mal de préoccupations avec le boulot, et recherche d’appartements, mais je commence à voir le jour… 🙂
J’ai changé de téléphone lundi, un HTC One S, équipé de Android 4.0.3 « Ice Cream Sandwich ».
Et en fouillant dans les menus, je découvre quoi ??? Ah bah il y a le VPN IPSEC de supporté ! Enfin !
Du coup je me suis lancé dans de la recherche d’infos et un peu de troubleshooting, pour mettre au point une configuration d’interconnexion avec mon pare-feu Fortigate, et j’ai décidé de vous la faire partager 😉 Ca servira à quelques admins sécu ou a quelques geeks qui ont un Fortigate à titre perso chez eux… 😉
Le mode choisi est du VPN IPSEC XAuth PSK. C’est à dire qu’on fera de l’authentification login/mot de passe et qu’on aura une preshared key.
Je n’ai pas trouvé de doc mais en troubleshootant j’ai réussi à obtenir quelque chose qui marche, et a postériori je me suis apercu que ca reste très proche de ce qu’on peut trouver sur iPhone.
Comme la configuration nécessite mode-cfg pour pousser la configuration, ca se fera en CLI. J’ai choisi aussi de travailler en « interface mode », ca permet d’avoir un truc plus « sexy » pour les règles de firewall.
J’utiliserai ici un sous réseau en 192.168.15.0/25, pensez à créer la route statique adéquate !
config vpn ipsec phase1-interface
edit "Users"
set type dynamic
set interface "wan1"
set dhgrp 2
set xauthtype auto
set mode-cfg enable
set proposal aes128-sha1
set negotiate-timeout 15
set authusrgrp "mon groupe d'utilisateurs" #mettre ici le groupe d'utilisateurs à matcher
set default-gw 0.0.0.0
set ipv4-start-ip 192.168.15.10 #range d'IP de départ
set ipv4-end-ip 192.168.15.20 #range d'IP d'arrivée
set ipv4-netmask 255.255.255.128 #netmask à utiliser
set ipv4-dns-server1 192.168.12.8 #serveurs DNS
set ipv4-dns-server2 192.168.16.8
set ipv4-dns-server3 192.168.26.2
set ipv4-split-include "STL-VPN-AllowedSubnets" #groupe d'adresses comportant les subnets à encapsuler dans le VPN
set domain "galaxy.lan" #Domaine de recherche DNS
set psksecret "maclepsk"
next
end
config vpn ipsec phase2-interface
edit "Users"
set keepalive enable
set pfs disable
set phase1name "Users"
set proposal aes128-sha1
set keylifeseconds 1800
next
end
Ensuite sur Android il reste quoi à faire ? Et bien à renseigner la configuration (menu accessible via « Paramètres », puis « Plus » (dans Sans fil et réseaux), puis « VPN ».
Nom : ce que vous voulez
Type : IPSec Xauth PSK
Adresse du serveur : l’adresse IP publique utilisée
Identifiant IPSEC : laisser vide
Clé pré-partagée : mettre la clé partagée
Et ? C’est tout ! Le reste de la configuration sera poussée par le Fortigate !
Amusez vous bien !