Si vous passez constamment de votre Wi-Fi domestique au réseau de votre bureau, au réseau de votre université ou à votre point d'accès mobile, modifier manuellement les paramètres réseau est un véritable calvaire. Heureusement, Windows et d'autres systèmes d'exploitation offrent des solutions pour créer des profils automatiques en fonction du réseau Wi-Fi auquel vous vous connectez, contrôler quelle interface est activée à un moment donné et appliquer des politiques de sécurité ou des pare-feu adaptés à chaque environnement.
Dans cet article, vous verrez en détail comment ils fonctionnent. profils de réseauCe qu'ils vous permettent de faire sous Windows, comment les intégrer à des outils comme Intune ou à des solutions de sécurité, quels programmes tiers vous devez utiliser pour aller plus loin, et comment tout cela s'articule avec des concepts tels que les emplacements, les groupes de priorité d'interface ou les profils IPsec dans les routeurs d'entreprise.
Qu’est-ce qu’un profil réseau et pourquoi serait-il intéressant de l’utiliser ?
Un profil réseau est essentiellement un ensemble de paramètres prédéfinis appliqués à une connexion (ou plusieurs) en fonction de certaines conditions : le réseau WiFi auquel vous vous connectez, l'interface active, l'emplacement, etc. Ces paramètres peuvent aller de l'adresse IP et du DNS aux règles de pare-feu, à l'utilisation du VPN, aux imprimantes, aux ressources partagées ou même aux scripts personnalisés.
Sous Windows, le système classe déjà les réseaux comme public ou privéLors de votre première connexion à un réseau Wi-Fi ou LAN, le système vous demande s'il s'agit d'un réseau de confiance. Si vous répondez par l'affirmative, il est considéré comme privé ; sinon, comme public. En fonction de cette décision, le système ajuste le pare-feu et la visibilité de votre appareil sur le réseau, en assouplissant la sécurité sur les réseaux domestiques ou de petits bureaux, et en la renforçant sur les réseaux d'hôtels, d'aéroports ou de cafés.
Dans une réseau privéWindows part du principe que vous contrôlez les connexions et que les appareils sont identifiés. Cela vous permet, par exemple, de découvrir d'autres ordinateurs sur le réseau, d'accéder à des dossiers partagés, d'envoyer des travaux d'impression vers des imprimantes réseau ou d'utiliser des fonctionnalités comme le Groupe résidentiel ou la diffusion en continu sur une Smart TV. Le système assouplit les restrictions car il considère que l'environnement est relativement sécurisé.
Dans une réseau publicWindows considère le réseau comme non fiable. Par conséquent, il désactive la détection des périphériques, le partage de fichiers et d'imprimantes, ainsi que d'autres services susceptibles de vous exposer à des attaques provenant d'autres appareils connectés. des vulnérabilités comme celles de WhatsAppVous pouvez toujours naviguer sur Internet, mais votre appareil est isolé du reste, ce qui est crucial lorsque vous vous connectez au Wi-Fi dans un centre commercial, un aéroport ou un réseau ouvert.
Le problème survient lorsque le même ordinateur portable est déplacé. plusieurs réseaux avec des exigences très différentesCertains nécessitent une adresse IP statique, d'autres utilisent le DHCP ; certains requièrent le passage par un proxy d'entreprise, d'autres l'activation d'un VPN, et d'autres encore non. Modifier ces paramètres manuellement à chaque fois est fastidieux et source d'erreurs. C'est là qu'interviennent les profils réseau avancés, disponibles sous Windows et via des logiciels spécialisés.
Automatiser les paramètres lors du changement de réseau Wi-Fi sous Windows
Windows vous permet de définir différents paramètres par profil réseau (public ou privé) et par connexion spécifique, mais la gestion intégrée est insuffisante si vous souhaitez Changez simultanément l'adresse IP, le DNS, le proxy, le VPN et le pare-feu. À chaque fois qu'un SSID différent est détecté, une procédure est mise en place. Pour cela, l'approche habituelle consiste à combiner les fonctionnalités du système avec des outils externes permettant de gérer des profils avancés.
Dans l'interface de gestion de réseau graphique de certains environnements (par exemple, les distributions qui utilisent des concepts similaires aux NCP de Solaris), une distinction est faite. profils de réseau réactifs et fixesLe profil réactif « Automatique » tente d'abord d'établir une connexion filaire et, en cas d'échec, utilise une connexion sans fil. Le profil fixe « Par défaut » définit un ensemble statique d'interfaces qui restent inchangées jusqu'à leur modification via les outils en ligne de commande.
Ces profils contrôlent quelles interfaces peuvent être utilisées. activer ou désactiver à tout momentSur un ordinateur portable classique équipé d'une connexion Ethernet et Wi-Fi, vous pouvez choisir d'utiliser uniquement l'Ethernet lorsqu'un câble est disponible et de désactiver le Wi-Fi pour des raisons de sécurité, ou inversement. L'interface graphique des préférences réseau propose généralement des vues affichant l'état de la connexion, le profil réseau et les propriétés de connexion. Vous pouvez ainsi consulter l'état actuel, le profil actif et les propriétés spécifiques (adresse IP, IPv4/IPv6, réseaux sans fil favoris, etc.).
De plus, vous pouvez définir lieux Ces paramètres regroupent des configurations telles que les services de noms, le pare-feu et IPsec, et sont activés manuellement ou de manière conditionnelle selon des règles (par exemple, un emplacement « Bureau » si vous obtenez une adresse IP d'une certaine plage, et un emplacement « Domicile » avec des règles différentes). Un seul emplacement peut être actif à la fois, et il est possible de le modifier depuis l'icône d'état du réseau ou à l'aide de commandes telles que netadm sur les systèmes de type Solaris.
Programmes permettant de créer des profils automatiques par réseau WiFi
Pour aller au-delà des fonctionnalités par défaut de Windows, il existe des outils spécifiques qui permettent créer et appliquer des profils de réseau complets Cela dépend du réseau (SSID) auquel vous vous connectez ou de la carte réseau active. La plupart sont compatibles avec Windows XP jusqu'à Windows 11.
Commutateur net facile
Commutateur net facile Il s'agit d'un logiciel payant pour Windows qui se distingue par le nombre impressionnant de paramètres réseau qu'il prend en charge. Bien que son interface rappelle celle de Windows XP, il reste compatible avec les versions ultérieures. Windows XP, 7, 8, 10 et 11, et comprend à la fois une interface graphique et un mode ligne de commande pour les utilisateurs avancés.
Avec Easy Net Switch, vous pouvez définir des profils qui contrôlent pratiquement tout : Adresse IP, masque de sous-réseau, passerelle, DNS, WINS, NetBIOS, usurpation d'adresse MAC, Wi-Fi, VPN, proxy, pare-feu, imprimante par défaut, lecteurs réseau, routes statiqueset même exécuter des scripts ou modifier le fichier hosts. Chaque paramètre est optionnel ; vous pouvez vous limiter à l’adresse IP et au DNS ou configurer un profil très complexe pour un environnement d’entreprise.
La création d'un profil s'effectue généralement en cliquant sur le bouton « Nouveau », à l'aide d'un assistant simple que vous pouvez ensuite personnaliser. Dans la section « Réseau », vous choisissez si l'adresse IP et le DNS sont obtenus via DHCP ou sont statiques. Dans la section « Avancé », vous pouvez modifier WINS, NetBIOS, changer l'adresse MAC, vider le cache DNS, et bien plus encore. Lors de l'application d'un profil, le programme affiche un Résumé des modifications et indication des éventuelles erreursce qui facilite le diagnostic en cas de dysfonctionnement.
Dans la section WiFi, Easy Net Switch vous permet de définir Profils sans fil associés à des SSID spécifiquesVous pouvez rechercher les réseaux disponibles ou saisir manuellement leur nom, et configurer l'authentification : des clés pré-partagées (PSK) à l'authentification forte avec RADIUS et divers protocoles EAP. Cela permet, par exemple, que le profil avec la clé appropriée, l'authentification EAP adéquate et, si nécessaire, le VPN soient automatiquement configurés à chaque fois que vous voyez le SSID de l'entreprise.
Le programme gère également les paramètres de mandataire d'entreprise (Authentification incluse), accès commuté, VPN, et même des outils intégrés comme ping et traceroute, ainsi qu'un widget de bureau pour afficher l'adresse IP actuelle en permanence. Ses options incluent le démarrage sous Windows, la réduction dans la barre d'état système, la désactivation de la détection automatique du réseau Wi-Fi et la protection par mot de passe de l'accès au programme pour empêcher toute modification non autorisée.
Gestionnaire TCP/IP
Gestionnaire TCP/IP Il s'agit d'un projet libre et open source qui, bien qu'il n'ait pas été mis à jour depuis des années, fonctionne toujours parfaitement sur les versions récentes de Windows. Il permet de créer un nombre illimité de profils réseau qui changent rapidement de configuration. Configuration IP, masque de sous-réseau, passerelle, DNS, proxy, nom du groupe de travail et adresse MAC.
L'un de ses avantages est qu'il permet importer la configuration actuelle Le système vous permet de créer un profil à partir de vos paramètres existants sans avoir à tout saisir manuellement. Il offre également la possibilité d'associer des fichiers batch à chaque profil, de sorte que leur activation exécute automatiquement des commandes supplémentaires (par exemple, le montage de lecteurs réseau ou le lancement d'un VPN).
Le passage d'un profil à l'autre peut se faire directement depuis l'interface ou via touches de raccourciIdéal pour les utilisateurs qui doivent passer rapidement d'un environnement à l'autre (réseau d'entreprise, laboratoire, client, etc.). De plus, le programme se met à jour automatiquement via Internet dès qu'une nouvelle version est disponible, ce qui évite les téléchargements manuels.
Shifter IP
Shifter IP C'est une option légère et gratuite conçue pour ceux qui ont besoin de quelque chose de plus simple. Elle prend en charge Windows XP et les versions ultérieures, y compris Windows 10 et Windows 11et fonctionne avec différents adaptateurs, Ethernet et WiFi.
Sa fonction principale est de vous permettre de changer sans redémarrer le Configuration IP, masque de sous-réseau, passerelle et DNS Il gère également les configurations de proxy pour les navigateurs tels que Microsoft Edge ou Firefox, intègre une commande ping rapide et peut détecter les périphériques présents sur le réseau local, ainsi qu'afficher l'adresse IP publique visible sur Internet.
Il n'offre pas la même profondeur qu'Easy Net Switch ou NetSetMan, mais pour alterner entre deux ou trois environnements de base (Par exemple, une adresse IP statique dans un réseau industriel et le DHCP à domicile) est généralement suffisant.
NetSetMan
NetSetMan C'est probablement l'alternative gratuite la plus performante à Easy Net Switch. Elle propose une version gratuite avec jusqu'à huit profils et une version Pro payante. Profils illimités et options plus orientées vers les entreprisesLeur philosophie repose sur le principe qu'un seul clic permet d'activer un ensemble complet de paramètres réseau.
Parmi les configurations qu'il permet figurent les classiques (IP, masque, passerelle, DNS), groupe de travail, imprimante par défaut, lecteurs réseau, table de routage, serveur SMTP, nom du PC, adresse MAC, état de la carte réseau, vitesse de l'interface, MTU, VLAN Et bien plus encore. Vous pouvez également définir les paramètres du serveur VPN, lancer des scripts batch, VBScript ou JavaScript lors du changement de profil, exécuter d'autres programmes et même gérer les paramètres Wi-Fi en détail.
La version Pro ajoute des fonctionnalités telles que : Configurations de proxy avancées et domaines réseauCes outils sont très utiles pour l'intégration aux environnements de domaine d'entreprise et aux serveurs proxy centralisés. Cependant, la version gratuite n'est pas compatible avec Windows Server et limite le nombre de profils à huit ; un point important à prendre en compte si vous gérez plusieurs sites.
Les profils Wi-Fi sont gérés avec Microsoft Intune.
Dans les environnements d'entreprise où vous gérez des centaines, voire des milliers d'appareils, vous ne pouvez pas compter sur chaque utilisateur pour configurer correctement son réseau Wi-Fi. C'est là qu'intervient Microsoft Intune, qui vous permet de Créez des profils WiFi et distribuez-les aux appareils Windows, Android, iOS et macOS. et d'autres, de manière centralisée.
Un Profil Wi-Fi Intune Il s'agit d'un ensemble de paramètres de connexion (SSID, type de sécurité, méthode d'authentification, mot de passe, certificats, etc.) attribués à des groupes d'utilisateurs ou d'appareils. Une fois le profil reçu, le réseau apparaît dans la liste des réseaux connus et, s'il est à portée, l'appareil peut s'y connecter automatiquement sans que l'utilisateur ait à modifier les paramètres.
Pour créer un profil Wi-Fi standard dans Intune, vous suivez une procédure similaire à celle des autres stratégies : vous accédez au Centre d'administration Microsoft IntuneAccédez à Appareils, Paramètres, créez une nouvelle stratégie, choisissez la plateforme (Android, iOS, macOS, Windows 10/11, etc.) et sélectionnez « Wi-Fi » ou le modèle correspondant comme type de profil. Définissez ensuite le nom du profil, une description et configurez les options spécifiques à la plateforme : SSID, type d’authentification (WPA2, WPA3, EAP-TLS, etc.), utilisation du certificat, paramètres avancés, puis attribuez le profil aux groupes appropriés.
L'allocation peut être filtrée avec étiquettes de portéeCes profils sont utiles pour répartir les responsabilités entre différentes équipes informatiques (par exemple, une équipe de support locale gérant un seul pays). Une fois distribué, le profil apparaît dans la liste des profils Intune et est appliqué automatiquement lors de la synchronisation des appareils.
Profils Wi-Fi avec configuration PSK et XML utilisant Intune
En plus des profils Wi-Fi standard, Intune vous permet de définir Profils WiFi basés sur une clé pré-partagée (PSK) et EAP L'utilisation de directives personnalisées et du protocole CSP Wi-Fi est mise en œuvre via des fichiers XML décrivant le profil sans fil et envoyés aux appareils via OMA-URI.
Les clés pré-partagées sont couramment utilisées pour authentifier les utilisateurs sur les réseaux Wi-Fi domestiques ou les petits réseaux locaux sans filAvec Intune, vous pouvez créer une stratégie de configuration personnalisée pour les appareils, contenant le profil Wi-Fi au format XML et une configuration OMA-URI qui le transmet au système d'exploitation. Cette option est disponible pour Android (y compris les modes de profil Entreprise et Professionnel), Windows et les réseaux EAP.
Pour que cela fonctionne, vous devez préparer un fichier XML qui décrit le profil, incluant Nom du profil, SSID (en texte et en hexadécimal), type d'authentification, type de chiffrement, clé, mode de connexion, réseau masqué ou nonetc. Vous pouvez également extraire ce fichier XML d'un ordinateur Windows dont le réseau est déjà configuré à l'aide des commandes netsh.
Pour créer une stratégie personnalisée dans Intune, il faut retourner dans Appareils, Paramètres, créer une nouvelle stratégie, choisir la plateforme et sélectionner « Personnalisée » comme type. options de configuration Ajouter une nouvelle entrée OMA-URI indiquant :
- Nom et description de la configuration.
- El OMA-URI convenable, par exemple :
- Sur Android : ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
- Sous Windows : ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
- Type de données « Chaîne de caractères ».
- Dans « Valeur », le XML complet du profil WiFi.
Il est important que la valeur de {SSID} dans l'OMA-URI corresponde à Nom descriptif du réseau dans le profil XMLSi le nom contient des espaces, ceux-ci doivent être encodés en %20 dans l'OMA-URI. De plus, dans le XML, le champ Cette valeur doit rester fausse afin que la clé soit envoyée en clair (chiffrée par le canal de gestion, mais non obscurcie dans le XML). Si elle est définie sur vrai, l'appareil risque d'attendre un mot de passe chiffré et de ne pas pouvoir se connecter.
Un exemple générique de profil WiFi avec PSK inclurait un bloc avec le nom, le SSID en hexadécimal et en texte, ESS , voiture , un bloc avec le type d'authentification (par exemple, WPA2PSK) et le chiffrement (AES), et un bloc avec phrase de passe , FAUX et mot de passe , où « mot de passe » est la clé en clair.
Pour les réseaux basés sur EAP, le XML est beaucoup plus complexe car il inclut des configurations de EapHostConfig, certificats, validation du serveur, listes de hachage d'autorités de certification, EKU, etc.Des paramètres tels que le type EAP (par exemple, 13 pour EAP-TLS), la source d'informations d'identification (magasin de certificats), si la validation du serveur est autorisée ou non, et les filtres de certificats possibles utilisant des EKU d'authentification client sont définis.
Une fois la stratégie personnalisée créée, elle est attribuée aux mêmes groupes qu'un profil Wi-Fi standard. Lors de l'enregistrement ou de la synchronisation, l'appareil reçoit le fichier XML, l'importe comme profil sans fil et est prêt à se connecter automatiquement à ce réseau.
Créez le fichier XML à partir d'une connexion WiFi existante.
Dans de nombreux cas, il est plus pratique de laisser Windows générer le fichier XML à partir d'une connexion existante et fonctionnelle. Pour ce faire sur un ordinateur Windows, suivez ces étapes simples : exporter le profil WiFi:
- Créez un dossier local, par exemple, c:\WiFi.
- Ouvrez une invite de commandes en tant qu'administrateur.
- course profils wlan show netsh pour voir les noms des profils existants.
- Exportez le profil souhaité avec
netsh wlan export profile name="ProfileName" folder="c:\WiFi.
Si le profil inclut une clé pré-partagée et que vous souhaitez que le XML contienne le mot de passe en clair (nécessaire pour qu'Intune puisse l'utiliser correctement), le paramètre est ajouté. clé = effacer à la commande d'exportation. Le fichier XML généré (dont le nom est similaire à Wi-Fi-ProfileName.xml) peut être ouvert avec un éditeur de texte, vérifié, puis copié directement dans la valeur de configuration OMA-URI d'Intune.
Certains détails doivent être surveillés, tels que l'élément Le profil exporté n'inclut pas les espaces susceptibles de provoquer des erreurs d'allocation lors de l'utilisation d'Intune, ni la valeur Le réseau doit correspondre au SSID spécifié. De plus, les caractères spéciaux XML (comme l'esperluette &) doivent être correctement échappés afin d'éviter les erreurs de traitement.
Bonnes pratiques lors de l'utilisation du PSK et de la rotation des touches
Lors de la gestion de réseaux WiFi avec PSK en environnement d'entreprise, il est essentiel de planifier rotation des mots de passeModifier brusquement le mot de passe sans planification peut déconnecter de nombreux appareils qui dépendent de ce réseau pour communiquer avec Intune et recevoir les nouveaux paramètres.
Il est conseillé de vérifier au préalable que les appareils peuvent se connecter directement au point d'accès Dans la configuration prévue, concevez le changement de clé de manière à ce qu'une connexion Internet alternative soit disponible : un réseau invité, un réseau Wi-Fi parallèle temporaire ou des données mobiles. Ainsi, même si le réseau Wi-Fi d'entreprise modifie sa clé pré-partagée (PSK), les appareils pourront utiliser la connexion secondaire pour recevoir le nouveau profil.
Il est également conseillé de planifier le déploiement des nouveaux profils dans heures creuses et avertir les utilisateurs que la connectivité peut être interrompue temporairement. Cela réduit l'impact sur la productivité et facilite la surveillance des erreurs ou anomalies pendant le processus.
Profils de connexion réseau et règles de pare-feu
Certaines solutions de sécurité, telles que les suites de protection des terminaux (Hexlock), permettent de définir profils de connexion réseau personnalisés Ces profils sont appliqués à des connexions spécifiques en fonction de déclencheurs ou de conditions. Ils ajoutent une couche supplémentaire à la configuration Windows, en ajustant le pare-feu, la visibilité des périphériques et d'autres protections selon le réseau.
Dans la console de configuration avancée, on trouve généralement une section « Profils de connexion réseau » avec des profils prédéfinis tels que : privé y Public Ces profils ne peuvent être ni modifiés ni supprimés. Le profil Privé est destiné aux réseaux de confiance (domicile ou bureau), où l'accès aux fichiers partagés, aux imprimantes, aux communications RPC entrantes et au bureau à distance est autorisé. Le profil Public, quant à lui, bloque le partage de fichiers et de ressources et est destiné aux réseaux non fiables.
En plus de ces profils, vous pouvez créer profils personnalisés et ajuster des paramètres tels que le nom, la description, les adresses de confiance supplémentaires, si la connexion est considérée comme fiable (ajout de sous-réseaux entiers à la zone sécurisée), et activer des fonctionnalités telles que « Rapport de chiffrement WiFi faible », qui vous alerte lorsque vous vous connectez à des réseaux ouverts ou mal protégés.
Chaque profil peut avoir activateursAutrement dit, les conditions à remplir pour qu'un profil soit appliqué à une connexion sont les suivantes : adresse IP de la passerelle, SSID du réseau Wi-Fi, type de réseau, etc. Les profils sont évalués par ordre de priorité, et le premier qui remplit les conditions est appliqué. Cela permet, par exemple, d'avoir un profil spécifique pour le Wi-Fi de l'entreprise, un profil générique pour les réseaux domestiques et un profil très restrictif pour tout réseau public inconnu.
Gestion des profils et des emplacements dans des environnements avancés
Dans les systèmes plus avancés ou dans les réseaux d'entreprise utilisant Solaris ou d'autres plateformes, le concept de profil réseau est combiné avec Unités de configuration réseau (NCU), groupes prioritaires et emplacementsVia une interface graphique de préférences réseau ou des commandes telles que ipadm, dladm, netcfg et netadm, vous pouvez créer des profils réactifs et fixes, grouper les interfaces et définir des règles d'activation.
La vue Profil réseau de l'interface graphique affiche un liste des profils disponiblesDes indicateurs permettent de distinguer les profils actifs. Les profils système, tels que « Automatique » et « Par défaut », ne peuvent être ni modifiés ni supprimés, mais vous pouvez créer plusieurs profils réactifs personnalisés. Chaque profil comprend un ensemble de connexions (NCU) qui sont activées ou désactivées lors de son application.
Pour organiser les interfaces, on utilise les éléments suivants : groupes prioritaires avec trois types principaux :
- Exclusif : une seule connexion du groupe peut être active, et tant qu'une connexion est active, les groupes de priorité inférieure ne sont pas affectés.
- Partagé : toutes les connexions possibles du groupe sont activées, et tant qu'au moins une est active, les groupes inférieurs ne sont pas utilisés.
- Tous : tous doivent être actifs ; si l'un d'eux tombe en panne, tous sont désactivés, sans tentative avec les groupes de priorité inférieure.
Le profil « Automatique », par exemple, comprend généralement les éléments suivants dans son groupe de priorité la plus élevée : interfaces câbléesLes connexions sans fil sont moins prioritaires. Par conséquent, si un câble est disponible, l'Ethernet est toujours privilégié et le Wi-Fi est évité sauf en cas d'absolue nécessité.
Quant à la emplacements réseauCes paramètres regroupent les configurations des services de noms (DNS, LDAP, etc.) et de sécurité (fichiers de configuration des pare-feu IP et IPsec). Il est possible de définir des emplacements système (Automatique, Non réseau, Valeur par défaut fixe), des emplacements manuels ou des emplacements conditionnels. Les emplacements manuels sont activés manuellement via la boîte de dialogue Emplacements, tandis que les emplacements conditionnels sont activés selon des règles (par exemple, le type de réseau, l'adresse IP obtenue, etc.).
Depuis l'interface graphique, vous pouvez modifier le mode d'activation d'un emplacement, le définir sur « manuel uniquement » ou « déclenché par des règles », et modifier ces règles pour définir précisément son activation. Dans quelles situations chaque ensemble de politiques est-il utilisé ?L'activation d'un nouvel emplacement désactive systématiquement le précédent, garantissant ainsi qu'un seul est actif à un moment donné.
Profils IPsec sur les routeurs pour des connexions sécurisées
Ce système de profilage ne se limite pas aux appareils des utilisateurs finaux. Il s'applique également aux routeurs professionnels, tels que ceux de la série [nom de la série manquante]. Cisco RV160 et RV260Des profils IPsec sont utilisés pour définir comment le trafic entre les sites est protégé à l'aide d'un VPN.
Un Profil IPsec Il regroupe les algorithmes et les paramètres utilisés lors de la négociation des clés (phase I et IKE) et du chiffrement des données (phase II). Cela inclut des aspects tels que l'algorithme de chiffrement (3DES, AES-128, AES-192, AES-256), la méthode d'authentification (MD5, SHA1, SHA2-256), le groupe Diffie-Hellman (par exemple, le groupe 2 de 1024 bits ou le groupe 5 de 1536 bits), la durée des associations de sécurité (SA) et le mode de génération de clés (automatique [IKEv1] ou [IKEv2] ou manuel).
La phase I Elle établit une communication sécurisée et authentifiée entre les deux points d'extrémité VPN, en négociant les clés et en authentifiant les pairs. Durant cette phase, le protocole IKEv1 ou IKEv2 est choisi, ainsi que le groupe DH, l'algorithme de chiffrement, le hachage d'authentification et la durée de vie de l'association de sécurité (par exemple, 28 800 secondes). IKEv2 est généralement privilégié car il est plus efficace, nécessite moins d'échanges de paquets et prend en charge davantage d'options d'authentification.
La Phase II Il gère le chiffrement du trafic. Vous définissez si vous souhaitez utiliser ESP (pour le chiffrement et, éventuellement, l'authentification) ou AH (authentification uniquement, sans confidentialité), vous sélectionnez à nouveau les algorithmes de chiffrement et de hachage, vous cochez la case si la confidentialité persistante (PFS) est souhaitée et vous ajustez la durée de vie de l'association de sécurité IPsec (par exemple, 3 600 secondes). Il est généralement recommandé que la durée de vie de la phase I soit de 3 600 secondes. supérieure à celle de la phase IIafin que les clés de données soient renouvelées plus fréquemment que les clés de canal.
Dans la configuration d'un RV160/RV260, accédez au menu VPN > VPN IPSec > Profils IPSec, ajoutez un nouveau profil, nommez-le (par exemple, « HomeOffice »), choisissez le mode de création de clé (Automatique), la version IKE (idéalement IKEv2 si les deux extrémités la prennent en charge), les paramètres des phases I et II, activez PFS si possible et sélectionnez à nouveau le groupe DH pour la phase II. Enfin, appliquez et enregistrez la configuration afin qu'elle soit conservée après un redémarrage en copiant le fichier de configuration. configuration exécutée au démarrage.
Il est crucial que les deux extrémités d'un tunnel reliant deux sites soient équipées de canalisations. les mêmes paramètres de profil (mêmes algorithmes, durées de vie, version IKE, PSK ou certificats, etc.). Dans le cas contraire, la négociation échouera et le tunnel ne sera pas établi.
L'ensemble de ces profils WiFi, profils réseau, emplacements, configuration Intune et profils IPsec sur les routeurs vous permet de créer des environnements où votre ordinateur, votre ordinateur portable ou votre appareil mobile s'adapte presque automatiquement au réseau sur lequel il se trouve : Choisissez la bonne interface, appliquez la sécurité appropriée, connectez-vous au Wi-Fi sans intervention de l'utilisateur, activez le VPN en cas de besoin et adaptez le pare-feu au contexte.C’est donc, au final, la méthode la plus pratique et la plus sûre pour créer des profils automatiques en fonction du réseau Wi-Fi que vous utilisez. Partagez ces informations afin que davantage d’utilisateurs connaissent le sujet..