F.A.Q VPNs UP

VPNs de l'Université Paris Cité

Outil indispensable pour sécuriser votre connexion en télétravail

 

GlobalProtect (Palo Alto Networks) 
Disponible pour tous via son compte ENT

Cela permet d'avoir une connexion sécurisée et cryptée point à point ainsi qu'un accès à des ressources propres de l'établissement (outils métiers par exemple SIFAC UP ou APOGEE UP).

Sous Windows ou MacOS :

• Pour télécharger l'application GlobalProtect : https://vpn.universitedeparis.fr
• Identifiants d'accès : UID de votre ENT et votre mot de passe associé

 

Pour configurer l'application GlobalProtect (Palo Alto Networks):

• Adresse du serveur VPN : vpn.universitedeparis.fr
• Identifiants d'accès : UID de votre ENT et votre mot de passe associé

 

Sous Linux :

Palo Alto avec OpenConnect (client libre) 

Généralités
Le protocole Global Protect est intégré au projet à partir d'OpenConnect 8, qui est empaqueté pour Debian testing par exemple. Pas de backport pour l'instant, un build peut être fait comme indiqué ci-dessous, cf. installation depuis les sources.

Options pour GlobalProtect

• Ajouter l'option --usergroup=portal sinon on a une erreur Authentication failure: Invalid username or password
• Éventuellement si on sait déjà quelle gateway on va choisir, on peut la préciser avec le paramètre --authgroup= :
• $ sudo openconnect --protocol gp --usergroup=portal --authgroup=vpn-gw-0X.universitedeparis.fr zportal.universitedeparis.fr
• Ou se connecter directement dessus, en mode gateway (mot de passe à taper une seule fois) :
• $ sudo openconnect --protocol gp --usergroup=gateway vpn-gw-0X.universitedeparis.fr
   

VPN général, utilisateurs normaux

• 3 Ni P5, Ni P7 perte du réseau local
• 6 P5 on garde l'accès aux ressources du réseau P5
• 9 P7 on garde l'accès aux ressources du réseau P7

 

Exemple :
sudo ./openconnect --protocol gp --usergroup=portal --authgroup=vpn-gw-09.universitedeparis.fr -u lacaisse vpn.universitedeparis.fr

 

VPN Cisco AnyConnect
Disponible selon demande via son compte ENT

Cela permet aussi d'avoir une connexion sécurisée et cryptée pour le personnel ex-P7 en point à point ainsi qu'un accès à des ressources propres de l'établissement (outils métiers par exemple Apogée, Hélico, ressources bibliographiques, VLAN propres à votre service, ...).

Ce client marche pour Windows et MacOS sinon il faut utiliser OpenVPN ou OpenConnect pour Linux. 

Ne marche pas sur les clients mobiles (iOS ou Android)

 

Aide client VPN Cisco AnyConnect

Préalable, il faut que votre compte ENT soit autorisé à cet accès particulier via Cisco (accès limité car l'établissement n'a pas suffisamment de licences disponibles pour une utilisation en simultanée large!).

Pour télécharger l'application Cisco AnyConnect : https://acces.univ-paris-diderot.fr

Et pour configurer l'application Cisco AnyConnect Secure Mobility Client (Cisco Systems):

Adresse du serveur VPN : acces.univ-paris-diderot.fr
Identifiants d'accès : le login sera votre identifiant ENT court suivi du domaine (UID_ENT@univ-paris-diderot.fr) et votre mot de passe associé

 

Lancez une session client AnyConnect afin de fournir les applications client à votre poste de travail avec l’accès réseau via votre VPN en fonction de la configuration VPN de votre entreprise et de vos propres droits d’accès réseau.

Par exemple, une session AnyConnect pourrait être nécessaire pour utiliser Microsoft Outlook ou Microsoft Outlook Express pour transmettre ou recevoir des courriels.

Les instructions suivantes décrivent comment utiliser votre navigateur pour obtenir l’accès à distance aux services Microsoft Terminal Services exploités sur les ordinateurs de votre réseau  :

 

Les précautions et exigences d'utilisation :

Pour accéder aux services à distance d’une session client AnyConnect, votre système doit être configuré de la façon suivante :

Votre site VPN doit faire partie de la liste des sites de confiance, tel que décrit ci-dessous. (Nécessaire pour Windows Vista, hautement recommandé pour tous les sites.)
Les applications client doivent être installées localement sur votre système.
Le système d’exploitation doit être Microsoft Windows Vista, Windows XP SP1 ou SP2, Windows 2000 SP4, Linux (RedHat Linux 9, RedHat Enterprise Linux 3, SUSE Linux 10, Slackware 11.0, or Fedora 4 or 6), ou Mac OS X 10.4.
 

- Avant d’ouvrir une session – Ajouter aux sites de confiance

Il est nécessaire d’ajouter un appareil de sécurité à la liste des sites de confiance pour Internet Explorer 7.0 ou toute version ultérieure sur Windows Vista.

Nous recommandons aussi cette procédure pour les autres navigateurs afin d’éliminer certains messages contextuels de sécurité lors de la connexion.

Le « mode protégé » de Internet Explorer est activé par défaut sur sur Vista. L’ajout de l’appareil de sécurité aux sites de confiance permet des communications avec un appareil de sécurité même lorsque le mode protégé est activé.

Pour ajouter l’appareil de sécurité à la liste des sites de confiance :

• Choisissez les options Internet. Pour ce faire, utilisez l’une des méthodes suivantes :
  • Choisissez Démarrer > (Paramètres >) Panneau de configuration > Options Internet.
  • Ouvrez Internet Explorer et choisissez Outils > Options Internet.
• Faire ensuite la séquence suivante :

1. Cliquez sur l’onglet Sécurité.
2. Cliquez sur l’icône Sites de confiance puis sur le bouton Sites.
3. En utilisant le préfixe http:// ou https://, tapez le nom de l’hôte ou l’adresse IP de l’appareil de sécurité dans la fenêtre des sites de confiance.
   Pour maximiser la connectivité, utilisez un caractère de remplacement (wildcard) tel que https://*.yourcompany.com
4. Cliquez sur Ajouter.
5. Cliquez OK.
6. Cliquez OK sur l'onglet de sécurité.

 

- Comment ouvrir une session

Pour se relier en utilisant le client VPN Cisco AnyConnect :

1. Cliquez sur le lien Start AnyConnect. Si ce lien ne s’affiche pas dans la fenêtre AnyConnect, votre compte n’est pas configuré pour utiliser cette fonction.
2. Si une fenêtre contextuelle vous dirige vers un site Web pour télécharger Sun Microsystems Java Runtime Environment, vous n’avez pas la bonne version de Java Runtime Environment installée sur votre système. Si la fenêtre contextuelle s’affiche, téléchargez Sun Java version 1.4 ou ultérieure.
3. Si un message guide s’affiche pour accepter le certificat de sécurité, déterminez s’il provient de ASA. Si c’est le cas, acceptez-le.
4. Si une notification d’installation ou de mise à niveau s’affiche, attendez la fin de l’installation ou de la mise à niveau.
5. Si un message texte s’affiche, cliquez sur Accepter pour continuer.
6. Une icône s’affichera dans la barre d’outils du bas indiquant que la connexion est établie.

Maintenant, vous pouvez accéder à toutes les applications de la même façon que si vous étiez dans un environnement de réseau local.

 

- Fermer sa session pour libérer sa connexion VPN Cisco

Toujours fermer la session lorsque vous avez terminé votre session VPN d’accès à distance. Si vous ne le faites pas, une autre personne peut utiliser votre compte pour obtenir un accès non autorisé à votre réseau!

Et cela libère aussi un jeton VPN CISCO pour d'autre client potentiel.