Support informatique ENAC-IT
  Accès réseau - Installation, configuration et usage du VPN EPFL
french only EPFL > ENAC > ENAC-IT > Accès réseau > Page courante

Installation, configuration et usage du VPN EPFL

1. Introduction

Pour des explications préliminaires sur la notion de "logiciel VPN", voir notre page FAQ réseau. Voir aussi article FI 3/09 décrivant la nouvelle infrastructure VPN EPFL, ainsi que FI 6/10.

Les logiciels clients VPN sont utilisés par les personnes accréditées à l'EPFL (collaborateurs, étudiants, hôtes accrédités c'est-à-dire disposant d'un compte GASPAR valide) dans les situations suivantes :

RAPPEL : pour les visiteurs non accrédités (ne disposant pas de compte GASPAR) désirant accéder à Internet avec leur portable depuis le réseau de l'EPFL (modes Wi-Fi ou "prise jaune" Ethernet), il existe encore les alternatives suivantes ne donnant cependant pas accès à l'intranet EPFL :
• le logiciel client VPN de leur institution, s'ils sont affiliés à une institution participant aux projets SWITCHconnect (Suisse) ou eduroam (mondial) ; voir aussi cette page
• le mode "ARH-EnClair" (séjour de moins d'un mois)

Les machines dotées d'une adresse IP EPFL fixe (machines appartenant à l'EPFL, ou machines privées ayant une adresse de type "laboprivnuméro") disposent de facto d'un accès intranet et Internet (pour autant qu'elles soient raccordées à une prise Ethernet dont le subnet est correct) et n'ont donc bien entendu pas besoin d'utiliser de logiciel VPN EPFL.

2. Choix et installation d'un logiciel client VPN

Différentes solutions VPN sont utilisables dans le contexte EPFL (voir http://network.epfl.ch/vpn/) dont l'infrastructure VPN est constituée, depuis mars 2009, d'un cluster VPN ASA Cisco avec load-balancing :
  1. logiciel client léger Cisco AnyConnect (basé TCP/SSL) : solution recommandée sous Windows, MacOS X et Linux ; décrite plus bas
  2. logiciel VPN OpenConnect (clone open-source de AnyConnect) : à utiliser sous Linux lorsque AnyConnect ne fonctionne pas ; aussi décrit plus bas
  3. logiciels clients natifs en mode L2TP/IPSec (avec clé partagée) : disponible sous Windows, MacOS X, iPhone, Windows Mobile... : conseillé pour les équipements où AnyConnect/OpenConnect ne sont pas disponibles (smartphones, PDAs)
  4. sous Linux, on peut encore envisager VPNC (clone open-source du client VPN Cisco), qui n'est cependant pas supporté par l'EPFL
En raison de l'évolution de l'infrastructure VPN de l'EPFL, les anciennes solutions suivantes ne seront plus utilisables après le 30 juin 2010 :
• logiciel client "lourd" VPN Cisco
• clients VPN natifs utilisés en mode PPTP (p.ex. MacOS X , PDA et parfois Windows)

3. Logiciel Cisco AnyConnect VPN Client

3.1 Installation et mise à jour du logiciel AnyConnect

Installation du client Cisco AnyConnect VPN (si nécessaire, voir la procédure détaillée d'installation et utilisation sous http://network.epfl.ch/vpn/) :
  1. vous pouvez choisir entre les 2 mécanismes d'installation suivants (si vous n'avez pas Java, la méthode a) sera la plus rapide) :
    1. sous Windows en procédant à l'installation avec Internet Explorer : ActiveX sera invoqué
    2. sous Linux ou MacOS X, ou sous Windows avec un navigateur web autre que Internet Explorer : il est nécessaire de disposer de l'environnement Sun Java JRE (ou JDK complet) pour procéder à l'installation ; le cas échéant, installer donc préalablement Java -> télécharger Java
  2. dans le navigateur web choisi, lancez le processus de téléchargement/installation en allant sur https://vpn.epfl.ch
  3. puis authentifiez-vous (par votre username/password Gaspar, ou votre "compte ARH-VPN de type hôte" si vous êtes visiteur)
  4. et suivez les instructions interactives (acceptez les notifications...)
  5. une fois l'installation terminée, la connexion VPN est automatiquement établie (il n'est pas nécessaire de redémarrer la machine !)
Si une nouvelle version est disponible, le client Cisco AnyConnect VPN se mettra automatiquement à jour lors de la prochaine connexion !

Il se peut que le procédé d'installation automatique sous certains Linux ou architectures 64bits pose des problèmes : utilisez alors le lien qui sera indiqué pour télécharger le fichier vpnsetup.sh, puis exécutez ce script/programme en mode root (p.ex. sous Ubuntu en exécutant la commande sudo sh vpnsetup.sh depuis le répertoire dans lequel vous avez téléchargé ce script).

3.2 Utilisation du logiciel AnyConnect via l'interface graphique

  1. en premier lieu, s'assurer d'être bien raccordé au réseau (Ethernet ou Wi-Fi)
  2. puis démarrer le logiciel VPN à partir du raccourcis mis en place lors de l'installation, par exemple :
    - sous Windows: Démarrer> Programmes> Cisco> Cisco AnyConnect VPN CLient
    - sous Mac OS X : Applications > Cisco AnyConnect (ou utiliser Spollight et rechercher "Cisco")
    - sous Linux (Ubuntu/Gnome): Applications> Internet> Cisco> Cisco AnyConnect VPN CLient
    (et non pas en retournant avec votre navigateur sur https://vpn.epfl.ch, car cela ouvrirait une session supplémentaire et décompterait 1 client de plus coté serveur VPN)
  3. une icône apparaît alors dans le "system tray" Windows (à droite de la barre de tâches) ou dans le panel supérieur Linux/GNOME, icône à partir de laquelle vous pouvez arrêter/redémarrer le logiciel VPN et le configurer ; notez qu'il n'est plus possible de faire mémoriser le mot de passe comme dans l'ancien client lourd Cisco
  4. après une durée de 18 heures, la connexion VPN sera automatiquement interrompue
ATTENTION IMPORTANT : pour accéder à des imprimantes ou des serveurs de fichiers EPFL en mode CIFS, il faut activer le mode "Enable local LAN access" dans les préférences du client Cisco AnyConnect VPN (fenêtre "Cisco AnyConnect VPN Client", onglet "Connection", bouton [Preferences]...)

3.3 Utilisation du logiciel AnyConnect en mode commande

  1. en premier lieu, s'assurer d'être bien raccordé au réseau (Ethernet ou Wi-Fi)
  2. depuis une fenêtre de commande, établissement de la connexion VPN avec :
    • sous Windows: "C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpncli" connect vpn.epfl.ch
    • sour Mac OS X : /opt/cisco/anyconnect/bin/vpn connect vpn.epfl.ch
    • sous Linux: /opt/cisco/vpn/bin/vpn connect vpn.epfl.ch
    puis saisir interactivement username et password
  3. pour se déconnecter :
    • sous Windows : "C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpncli" disconnect
    • sous Mac OS X : /opt/cisco/anyconnect/bin/vnp disconnect
    • sous Linux : /opt/cisco/vpn/bin/vpn disconnect
  4. en outre, les commandes suivantes sont disponibles :
    • ... state : état de la connexion (connecté, déconnecté)
    • ... stats : détails sur la connexion (adresse IP, durée de la connexion, données envoyées/reçues, etc...)
Notez qu'en établissant la connexion VPN en mode commande, vous ne verrez pas apparaître d'icône AnyConnect dans le "system tray" Windows ou dans le panel supérieur Linux/GNOME.

4. Logiciel open-source OpenConnect

On utilisera ce logiciel VPN dans les situations où le client Cisco AnyConnect ne fonctionne pas, c'est-à-dire essentiellement (en date de ce document) sur les Linux 64bits.

Depuis Ubuntu 9.10, OpenConnect est directement disponible à travers le dépôt Universe Canonical. L'installation s'effectue en ligne de commande avec : sudo apt-get install openconnect network-manager-openconnect. Il est important de rebooter la machine une fois le logiciel installé pour que cela fonctionne correctement.

Pour davantage de détails (configuration...), voyez cette page.

5. Autres indications et conseils (pour collaborateurs et étudiants)

  1. Nous vous rappelons l'importance de sécuriser proprement votre machine (p.ex. pour Windows en suivant les consignes données à cette page)

  2. Si vous désirez monter l'un de vos dossiers se trouvant sur un serveur ENAC-IT ou EPFL, utilisez les scripts proposés via notre page de scripts

  3. Si vous êtes à l'extérieur de l'EPFL : lorsque le logiciel client VPN n'est pas activé, votre passerelle SMTP de messagerie doit être celle de votre fournisseur d'accès Internet (p.ex. mail.bluewin.ch pour BlueWin...) ; mais lorsque le logiciel client VPN tourne, il faut utiliser la passerelle SMTP mail.epfl.ch

6. Besoin d'aide ?

Si vous avez besoin d'aide, contactez en premier lieu le responsable informatique de votre unité. Si celui-ci n'est pas en mesure de vous aider ou que vous êtes étudiant ENAC, adressez-vous alors au service ENAC-IT.


[Network]    Rédacteur: JDB    Mise à jour: 23-07-2015    ©2003-2012 ENAC-IT, EPFL