Présentation de l’authentification à deux facteurs (2FA) sur les solutions VPN Vigor

L’authentification à deux facteurs (2FA) fait référence au processus de sécurité qui nécessite deux vérifications différentes pour prouver votre identité. Maintenant, nous pouvons activer 2FA sur les connexions VPN à Vigor Router, ce qui ajoute une authentification supplémentaire à notre VPN en activant l’une des options suivantes :

• Mot de passe à usage unique basé sur le temps
• Envoyer par SMS
• Envoyer par email

Veuillez noter que la méthode d’authentification d’origine ne sera pas modifiée, quel que soit le protocole VPN que vous utilisez, le mot de passe fixe ou dynamique. 2FA ajoutera une couche de sécurité supplémentaire pour renforcer votre connexion VPN en cas de vol des informations d’identification.

Ce document montrera comment activer l’authentification à deux facteurs sur votre connexion VPN à distance.
Note :

• Modèle de support : Vigor3910/2962 (firmware version 4.3.2 ou ultérieure)
• Client VPN intelligent : Windows version 5.6.0, iOS version 1.8.0, MacOS version 1.5.0
• Prise en charge des protocoles VPN : PPTP, SSL, IKEv2 EAP, IPsec XAuth, L2TP, OpenVPN, WireGuard

Mot de passe à usage unique basé sur le temps (TOTP)

1. 1. Allez dans VPN et accès à distance >> Utilisateur de accès à distance et modifiez un profil comme suit :
      1. Cochez Activer ce compte.
      2. Entrez le nom d’utilisateur et le mot de passe.
      3. Sélectionnez le protocole dans Type d’accès autorisé.
      4. Activer l’option Mot de passe unique basé sur le temps (TOTP).
      5. Cliquez sur OK.

1. 1. Ouvrez une application d’authentification. (par ex. Google Authenticator, Microsoft Authenticator, TOTP Authenticator)
      1. Entrez le secret ou scannez le code QR pour créer un compte.

1. 1. 1. Nous pourrons voir le code de vérification dans l’application.

1. 1. Ouvrez le client VPN intelligent, ajoutez pour créer un profil comme suit :
      1. Entrez le nom du profil.
      2. Choisissez un protocole dans Type.
      3. Entrez l’adresse IP WAN du routeur dans l’adresse IP ou le nom d’hôte.
      4. Entrez le nom d’utilisateur et le mot de passe.
      5. Cliquez sur OK.

1. 1. Sélectionnez le profil que vous venez de créer et connectez-vous rapidement. Confirmez le nom d’utilisateur et le mot de passe et cliquez sur OK pour composer la connexion VPN.

1. 1. Lorsque la boîte de dialogue d’authentification à deux facteurs apparaît, copiez le code de vérification à 6 chiffres affiché dans l’application. Entrez le code et cliquez sur OK pour procéder à l’authentification.

1. 1. Maintenant, le VPN est connecté.

Envoyer par email

1. 1. Allez dans Paramètres de l’objet >> Objet SMS/Mail Service, configurez un profil de serveur de messagerie.

1. 1. Allez dans VPN et accès à distance >> Utilisateur de accès à distance et modifiez un profil comme suit :
      1. Cochez Activer ce compte.
      2. Entrez le nom d’utilisateur et le mot de passe.
      3. Sélectionnez le protocole dans Type d’accès autorisé.
      4. Activez l’option Envoyer le code d’authentification par e-mail.
      5. Sélectionnez le profil du serveur de messagerie et saisissez l’adresse e-mail du destinataire de l’utilisateur VPN.
      6. Cliquez sur OK.

1. 1. Ouvrez le client VPN intelligent, ajoutez pour créer un profil comme suit :
      1. Entrez le nom du profil.
      2. Choisissez un protocole dans Type.
      3. Entrez l’adresse IP WAN du routeur dans l’adresse IP ou le nom d’hôte.
      4. Entrez le nom d’utilisateur et le mot de passe.
      5. Cliquez sur OK.

1. 1. Sélectionnez le profil que vous venez de créer et connectez-vous rapidement. Confirmez le nom d’utilisateur et le mot de passe et cliquez sur OK pour composer la connexion VPN.

1. 1. Lorsque la boîte de dialogue d’authentification à deux facteurs apparaît, allez dans votre boîte de réception et copiez le code de vérification à 6 chiffres reçu de l’itinéraire. Saisissez le code et cliquez sur OK pour procéder à l’authentification.

1. 1. Maintenant, le VPN est connecté.

1. Note :
   TOTP est recommandé au lieu de l’e-mail lorsque le client VPN a activé “Utiliser la passerelle par défaut sur le réseau distant” dans le profil VPN et ne peut pas recevoir d’e-mails d’authentification 2FA à partir d’autres appareils. Veuillez vous référer à : Configurer un VPN avec une authentification à deux facteurs (TOTP) sur Smart VPN Client

Envoyer par SMS

1. 1. Allez dans Paramètres des objets >> Objet de service SMS/Mail, configurez un profil de fournisseur de SMS.

1. 1. Allez dans VPN et accès à distance >> Utilisateur de accès à distance et modifiez un profil comme suit :
      1. Cochez Activer ce compte.
      2. Entrez le nom d’utilisateur et le mot de passe.
      3. Sélectionnez le protocole dans Type d’accès autorisé.
      4. Activez l’option Envoyer le code d’authentification par SMS.
      5. Sélectionnez le profil du fournisseur SMS et entrez le numéro de téléphone du destinataire de l’utilisateur VPN.
      6. Cliquez sur OK.

1. 1. Ouvrez le client VPN intelligent, ajoutez pour créer un profil comme suit :
      1. Entrez le nom du profil.
      2. Choisissez un protocole dans Type.
      3. Entrez l’adresse IP WAN du routeur dans l’adresse IP ou le nom d’hôte.
      4. Entrez le nom d’utilisateur et le mot de passe.
      5. Cliquez sur OK.

1. 1. Sélectionnez le profil que vous venez de créer et connectez-vous rapidement. Confirmez le nom d’utilisateur et le mot de passe et cliquez sur OK pour composer la connexion VPN.

1. 1. Lorsque la boîte de dialogue d’authentification à deux facteurs apparaît, allez dans votre boîte de réception SMS et copiez le code de vérification à 6 chiffres reçu de l’itinéraire. Saisissez le code et cliquez sur OK pour procéder à l’authentification.

1. 1. Maintenant, le VPN est connecté.

Composez le VPN à partir d’autres appareils.

Si l’appareil utilisateur VPN à distance n’est pas Windows ou n’utilise pas Smart VPN Client (Windows), nous pouvons toujours activer 2-FA et entrer le code de vérification avec une méthode alternative.

1. 1. Accédez à la page WebUI de Router.
      1. Ouvrez votre navigateur, entrez l’adresse IP LAN du routeur pour accéder à la page WebUI http du routeur.
      2. Saisissez le code de vérification à 6 chiffres et cliquez sur Vérifier.

1. 1. 1. Maintenant, le VPN est connecté.

1. 1. Accédez au lien URL à partir de la notification.
      1. Cliquez sur le lien URL fourni dans le message de notification envoyé à votre boîte de réception e-mail ou SMS. L’URL vous aidera à compléter l’authentification automatiquement.

1. 1. 1. Maintenant, le VPN est connecté.

Note :

1. 1. Si le client VPN a essayé 2FA, chaque code TOTP est valide pendant 30 secondes et l’authentification TOTP doit être terminée en 180 secondes.
      L’e-mail / SMS devra être terminé dans 300 secondes.
   2. Si le client VPN n’a jamais essayé 2FA, le routeur abandonnera le VPN après 1 heure et imprimera le message suivant dans le Syslog.