▼
Scroll to page 2
of
125
Routeur Internet, point d’accès sans fil 802.11g – 54 Mbps, switch 4 ports et serveur VPN intégrés Manuel de l’utilisateur (Modèle WRB54+) 1 Copyright La reproduction, même en partie de ce manuel n’est pas autorisée. Son édition, son stockage, sa transcription, sa traduction est interdite sans autorisation préalable et écrite. Marques déposées Tous les produits, sociétés et marques déposées sont propriétés de leurs dépositaires respectifs. Elles ne sont présentes dans ce manuel que pour une meilleure compréhension. Les spécifications indiquées dans ce manuel sont susceptibles d’être modifiées à tout moment sans préavis. FCC Interference Statement This equipment has been tested and found to comply with the limits for a Class B digital device pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against radio interference in a commercial environment. This equipment can generate, use and radiate radio frequency energy and, if not installed and used in accordance with the instructions in this manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause interference, in which case the user, at his own expense, will be required to take whatever measures are necessary to correct the interference. Déclaration de conformité CE Cet équipement est conforme aux exigences relatives à la compatibilité électromagnétique définies par la norme EN 55022/A1 Classe B, et EN 50082-1. Ce produit a été testé avec succès et satisfait aux exigences de protection définies dans la directive européenne 89/336/EEC. 2 Sommaire Chapitre 1 Introduction..................................................................................................... 4 Caractéristiques et fonctionnalités ................................................4 Contenu de l’emballage....................................................................7 Installation Matériel.............................................................................................................. 8 2.1 Identification des éléments externes......................................8 2.2 Procédure d’installation du matériel .....................................10 Chapitre 2 Paramétrage réseau et Installation réseau............................................ 11 3.1 Configurez correctement vos paramètres réseau................11 Chapter 3 Configuration du routeur sans fil................................................................. 12 3.1 Démarrage...................................................................................13 3.2 Status.............................................................................................14 3.3 Wizard – Assistant de configuration........................................15 3.4 Basic Setting .................................................................................16 3.5 Forwarding Rules / Règles de filtrage....................................25 3.6 Security Settings: Paramètres de sécurité ............................28 3.7 Advanced Settings / Fonctions évoluées ............................................53 3.8 Toolbox / Utilitaires ..................................................................67 Annexe A Configuration TCP/IP sous Windows 95/98.............................................. 72 Annexe B Guide d’installation IPSec sous Win 2000/XP.......................................... 77 Annexe C Configurations PPTP et L2TP......................................................................... 112 Annexe D Paramètres 802.1x ....................................................................................... 119 Annexe E FAQ................................................................................................................... 125 Remise des paramètres à leurs valeurs par défaut..................125 Nous contacter ...............................................................................125 3 CChhaappiittrree 11 IInnttrroodduuccttiioonn Félicitations pour l’acquisition de ce modem/routeur ADSL sans fil Comet Labs. Ce produit est conçu pour les besoins des particuliers et des petites entreprises. Facile à installer et à configurer, même pour une personne non technique, il fournit une solution complète pour surfer sur internet. Toutes les instructions pour installer et configurer ce produit se trouvent sur ce manuel. Avant d’installer et d’utiliser ce produit, veuillez lire ce manuel attentivement pour pouvoir exploiter au maximum toutes les fonctionnalités de ce produit. Caractéristiques et fonctionnalités Fonctions de base du routeur l Switch Ethernet 10/100 Mbps à auto négociation 4 ports Ethernet switchés 10/100 à auto négociation. l Connexion WAN supportée Le routeur supporte: Ethernet Over ATM (RFC 1483 Bridged) sans le NAT, Ethernet Over ATM (RFC 1483 Bridged) avec le NAT, IP over ATM (RFC 1483 Routed), Classical IP over ATM (RFC 1577), PPP over ATM (RFC 2364), PPP over Ethernet (RFC 2516). l Firewall Tous paquets indésirables provenant d’intrus extérieur sont bloqués pour protéger votre réseau intranet. l Intègre un serveur DHCP Tous les ordinateurs du réseau peuvent obtenir automatiquement une adresse TCP/IP depuis ce produit. l Configuration par interface web Le routeur peut-être paramétré depuis n’importe quel ordinateur du réseau avec un navigateur web comme Netscape ou Internet Explorer. l Supporte les serveurs virtuels Permet aux utilisateurs d’Internet d’accéder à vos serveurs web, ftp et autres services de votre intranet . l Applications spéciales L’utilisateur peut définir des règles pour supporter des applications spéciales nécessitant de multiples connexions, comme les jeux en réseau, la visioconférence, la téléphonie par Internet, etc. Le routeur détecte automatiquement le type d’application puis ouvre les ports concernés . l DMZ Permet d’exposer un ordinateur directement sur Internet: cette fonction est utilisée quand les règles de Spécial Application sont insuffisantes pour permettre à 4 une application de fonctionner correctement . l Statistiques du port WAN Pertmet de visualiser les paquets entrant et sortant. Fonctions du mode sans fil l Connexion réseau sans fil haute vitesse Taux de transfert jusqu’à 54 Mbps incorporant une transmission de type OFDM (Orthogonal Frequency Division Multiplexing). l Roaming / Déplacement Permet la connexion automatique au point d’accès offrant la meilleure qualité de signal de communication en mode IEEE 802.11b (11M) et IEEE 802.11g (54M) WLAN. l Compatible IEEE 802.11b (11M) et IEEE 802.11b+ (22 Mbps) Permet de multiple connexion avec d’autres fabricants. l Compatible IEEE 802.11g (54M) Permet de multiple connexion avec d’autres fabricants. l Auto fallback / Repli automatique de la vitesse Le taux de transfert se replie automatiquement de 54M, 48M, 36M, 24M, 22M, 18M, 12M, 11M, 6M, 5.5M, 2M à 1Mbps en mode 802.11g suivant la qualité du signal. Le taux de transfert se réduit automatiquement de 11M, 5.5M, 2M, 1M en mode 802.11b suivant la qualité du signal. Fonctions de sécurité l Filtre par paquets Le Filtre par paquets vous permet de contrôler l’accès à un réseau en analysant les paquets entrants et sortant, les laisse passer ou les bloque suivant l’adresse IP de la source et du destinataire. l Filtre par Nom De Domaine Permet de contrôler l’accès à des adresses URL spécifiques. l Blocage d’adresse URL (Uniform Resource Locator) Permet de bloquer des centaines de sites web simplement à partir de mots clé. l Serveurs VPN Le routeur dispose de 3 serveurs VPN : IPSEC (Dynamic VPN), PPTP, et L2TP. l VPN Pass-through / Réseau privé virtuel traversant Le routeur supporte aussi le VPN pass-through. C’est à dire qu’il laisse passer les paquets encryptés générés par d’autres logiciels ou matériels qui existent au sein de votre réseau local. NOTE : Si vous utilisez les protocoles ESP pour établir la connexion VPN traversant, vous devez définir une règle de filtrage autorisant l’ouverture du 5 port 500. Pour d’autres protocoles tels que PPTP, vous devez également vous assurer que les ports nécessaires au Tunnel traversant sont également ouverts sur votre routeur Comet Labs. l 802.1X Quand cette fonction 802.1X est activée, l’utilisateur sans fil doit s’authentifier à ce routeur avant de pouvoir se connecter au réseau. l SPI Quand le mode SPI est activé, le routeur vérifiera tous les paquets entrant pour détecter si les paquets sont valides. l Détection des attaques DoS Quand cette fonction est activée, le routeur détectera et enregistrera toutes les attaques DoS provenant d’Internet. Fonctions avancées l Horloge Système Permet de synchroniser l’horloge système avec un serveur d’horloge réseau. l Envoi d’alertes par email Le router peut envoyer des informations (fichier de log, par exemple) par email. l Dynamic DNS (DynDNS) Pour le moment, le routeur dispose de 3 serveurs dyndns : DynDNS.org, TZO.com et dhs.org. l SNMP Supporte SNMP version V1 et V2c. l Table de Routage Le routeur supporte les routes statiques et 2 types de routes dynamiques: RIP1 et RIP2. l Règles programmées Les utilisateurs peuvent contrôler certaines fonctions, comme les Serveurs Virtuels ou le Filtrage par paquets: ils peuvent créer des plages horaires d’accès ou de blocage à ces services. Autres Fonctions l UPNP (Universal Plug and Play)Supported l UPNP (Universal Plug and Play) Le routeur supporte cette fonction. Les Applications: X-box, MSN Messenger. 6 Contenu de l’emballage l Modem/Routeur ADSL sans fil l CD-ROM d’installation l Adaptateur secteur l Câble réseau Fast Ethernet catégorie 5 UTP l Câble ADSL 7 IInnssttaallllaattiioonn M Maattéérriieell 2.1 Identification des éléments externes 2.1.1. Face avant Figure 2-1 Face Avant LED: LED Function Color Status Description Témoin POWER d’alimentati Vert On Power is being applied to this product. on SYS WAN WLAN System status 1 WAN port activity Wireless activity Green Blinking On 1~4 Link status Green Blinking The WAN port is sending or receiving data. Blinking Sending or receiving data via wireless Data Rate An active station is connected to the corresponding LAN port. Green Blinking 10/100 The WAN port is linked. Green On Link/Act. This product is functioning properly. Green On 8 The corresponding LAN port is sending or receiving data. Data is transmitting in 100Mbps on the corresponding LAN port. 2.1.2. Face arrière Figure 2-2 Face arrière Ports: Port Description 5VDC Connecteur d’alimentation: DC 5V, 1.5A (minimum) WAN Connecteur pour brancher votre modem Ethernet ADSL ou câble Port 1-4 Connecteurs réseau (ordinateurs et autres périphériques réseau) 9 2.2 Procédure d’installation du matériel 1. Définissez l’endroit ou vous allez placer le modem/routeur ADSL sans fil Vous pouvez placer le routeur sur une table, une surface plane ou le fixer au mur. Pour une performance optimale, placez le routeur au centre de votre bureau (ou de votre maison), dans un endroit loin de toutes sources d’interférences, comme un mur en métal ou un four à micro-ondes. Cet endroit doit aussi être proche d’une source d’alimentation électrique et connexion réseau. 2. Paramétrage des connexions réseau a. Connexion réseau filaire: connectez un câble réseau depuis la carte réseau de votre ordinateur vers un des ports réseau du routeur b. Connexion réseau sans fil: placez-vous dans un endroit stratégique pour obtenir le meilleur gain de réception/transmission. Figure 2-3 Paramétrage des connexion LAN et WAN. 3. Paramétrage de la connexion WAN Branchez un câble Ethernet sur le port WAN puis l’autre extrémite à votre Modem ADSL/Câble. Figure 2-3 montre la connexion WAN. 4. Mise en route Branchez l’adaptateur secteur, le routeur se met en route tout seul, il n’existe pas d’interrupteur marche/arrêt. En fonctionnement normal, la LED SYS clignote par intervalle d’une seconde. 10 CChhaappiittrree 22 PPaarraam mééttrraaggee rréésseeaauu eett IInnssttaallllaattiioonn rréésseeaauu Pour utiliser ce produit de manière efficace, vous devez configurer correctement les paramètres réseau de votre ordinateur. 3.1 Configurez correctement vos paramètres réseau L’adresse IP par défaut du routeur est 192.168.0.1 et son masque de sous réseau est 255.255.255.0. Ces paramètres peuvent être modifiés à votre guise, mais ce sont les valeurs par défaut qui seront utilisées dans ce manuel. Si le protocole TCP/IP de votre ordinateur n’est pas encore configuré, veuillez vous référencer à l’Annexe A de ce manuel. Par exemple, 1. Configurez l’adresse IP comme 192.168.0.2, masque de sous réseau 255.255.255.0 puis la passerelle ou routeur comme 192.168.0.1, ou tout simplement, 2. Configurez votre ordinateur pour obtenir automatiquement une adresse IP, via DHCP. Après l’installation du protocole TCP/IP, vous pouvez utiliser la commande ping pour vérifier si votre ordinateur s’est connecté correctement au routeur. Voir exemple ci-dessous: ping 192.168.0.1 Si vous avez le message suivant: Envoi d’une requête ‘ping’ sur 192.168.0.1 avec 32 octets de données: Réponse de 192.168.0.1 : octets=32 temps<10 ms TTL=64 La communication entre votre ordinateur et le routeur es t correctement établie. Sinon vous obtenez ce genre de message : Envoi d’une requête ‘ping’ sur 192.168.0.1 avec 32 octets de données: Impossible de joindre l’hôte de destination. Dans ce cas, vous devez vérifier les points suivants : 1. Est-ce que le câble réseau est correctement connecté entre votre ordinateur et le routeur ? Note: La LED LAN du routeur et la LED Link de la carte réseau de votre ordinateur doivent être allumées. 2. Est-ce que le protocole TPC/IP de votre ordinateur est correctement configuré? Note: Si l’adresse IP du routeur est 192.168.0.1, alors l’adresse IP de votre ordinateur doit être 192.168.0.X (où X est différent de 1) et la passerelle par défaut (ou adresse du routeur) doit être 192.168.0.1. 11 C Chhaapptteerr 33 CCoonnffiigguurraattiioonn dduu rroouutteeuurr ssaannss ffiill La configuration de ce produit se fait par une interface web, telle que Netscape Navigator ou Microsoft Internet Explorer. Vous pouvez donc paramétrer le routeur à partir de n’importe quelle machine Windows, Unix ou Macintosh. 12 3.1 Démarrage Démarrez votre navigateur Internet, désactiver le Proxy si vous utilisez un serveur Proxy ou ajouter l’adresse IP du routeur dans la liste des exceptions. Avec certain navigateur web, tel qu’Internet Explorer, il suffit de cocher la case «Ne pas utiliser de serveur Proxy pour les adresses locales». Puis, tapez l’adresse IP du routeur dans la partie Adresse de votre navigateur web, par exemple : http://192.168.0.1. Dès que la connexion est effectuée, vous accédez à l’interface web utilisateur du routeur. Il existe 2 types d’interface web: pour l’utilisateur en général et pour l’administrateur. Système. Pour se connecter en tant qu’Administrateur, entrez le mot de passe système (le mot de passe par défaut est admin). Dans la zone System Password, puis cliquez sur le bouton Log in. Si le mot de passe est correct, la page web change d’apparence et passe mode Administrateur. 13 3.2 Status Cette option permet de vérifier l’état du routeur: A. Etat du port WAN : Si le port WAN est configuré pour obtenir une adresse IP dynamiquement, un bouton Renew ou Release apparaît dans la colonne Sidenote. Vous pouvez cliquer sur ce bouton pour libérer manuellement l’adresse IP ou pour obtenir une nouvelle adresse IP. B. Statistiques du port WAN: permet de voir le nombre de paquets entrant et sortant 14 3.3 Wizard – Assistant de configuration Le Setup Wizard vous guidera pas à pas dans la configuration basique du routeur. Cliquez sur le bouton ”Next >” Setup Wizard - Select WAN Type: Pour plus de détails, voir chapitre 3.4.1 primary setup. 15 3.4 Basic Setting 16 3.4.1 Primary Setup – WAN Type, Virtual Computers Cliquez sur le bouton “Change” La bonne configuration de cette page est primordiale pour le bon fonctionnement du routeur. Sélectionnez correctement l’option WAN Type avant de commencer. Référez-vous à l’Annexe E de ce manuel pour connaître le type d’encapsulation utilisé par chaque FAI 17 (Fournisseur d’Accès Internet) tel que : Wanadoo, Free, Liberty Surf, etc… 1. LAN IP Address: Adresse IP locale du routeur. Les ordinateurs de votre réseau doivent utiliser l’adresse IP LAN du routeur en tant que leur passerelle par défaut. Vous pouvez la modifier si besoin. 2. WAN Type: Type de protocole WAN utilisé par votre FAI (Fournisseur d’Accès Internet). Vous pouvez cliquer sur le bouton Change pour sélectionner le bon protocole parmi les 6 proposés. Pour connaître le type de protocole utilisé par votre FAI, référencez-vous à l’Annexe d de ce manuel : A. Ethernet Over ATM (RFC 1483 Bridged) without NAT B. Ethernet Over ATM (RFC 1483 Bridged) with NAT C. IP over ATM (RFC 1483 Routed). D. Classical IP over ATM (RFC 1577). E. PPP over ATM (RFC 2364). F. PPP over Ethernet (RFC 2516). 3.4.1.1 Static IP Address WAN IP Address, WAN Subnet Mask, WAN Gateway, et Primary/Secondary DNS Votre FAI vous fournit ces informations 3.4.1.2 Dynamic IP Address 1. Host Name: option. Peut être demandé par certain FAI, par exemple @domicile. 2. Renew IP Forever: Cette fonction permet au routeur d’obtenir une adresse IP automatiquement si la connexion ADSL est perdue. 3.4.1.3 Dynamic IP Address with Road Runner Session Management.(e.g. Telstra BigPond) 1. LAN IP Address : est l’adresse IP de ce produit. Il doit être la passerelle par défaut de votre ordinateur. 2. WAN Type: est une adresse IP dynamique. Si le WAN Type n’est pas correct, changez le. 3. Host Name: option: Peut-être demandé par certain FAI, par exemple @domicile. 4. Renew IP Forever: cette fonction permet au produit de renouveller automatiquement son adresse IP qaund le temps alloué est expiré. 3.4.1.4 PPP over Ethernet 1. PPPoE Account/Password: Identifiant de connexion et mot de passe de connexion fournis par votre FAI. Pour une question de sécurité, ce champ apparaît vide. Si vous ne désirez pas changez le mot de passe, laissez ce champ vide. 2. PPPoE Service Name: Option. Saisissez le nom du service si votre FAI le demande. 18 3. Maximum Idle Time: Période d’inactivité avant déconnexion de votre session PPPoE. Vous pouvez saisir la valeur zéro ou cocher Auto-reconnect pour désactiver cette fonction. Si la case Auto-reconnect est cochée, le routeur se reconnectera automatiquement à votre FAI après un redémarrage système ou après une perte de connexion. 4. Maximum Transmission Unit (MTU): En général, cette valeur est de 1492. 3.4.1.5 PPTP 1. My IP Address and My Subnet Mask: Adresse IP et masque de sous réseau privé communiquées par votre FAI. 2. Server IP Address: Adresse IP du serveur PPTP. 3. PPTP Account and Password: Identifiant de connexion et mot de passe de connexion fournis par votre FAI. Pour une question de sécur ité, ce champ apparaît vide. Si vous ne désirez pas changez le mot de passe, laissez ce champ vide. 4. Connection ID: option. Saisissez l’ID de connexion si votre fAI vous le demande. 5. Maximum Idle Time: Période d’inactivité avant déconnexion de votre session PPPoE. Vous pouvez saisir la valeur zéro ou cocher Auto-reconnect pour désactiver cette fonction. Si la case Auto-reconnect est cochée, le routeur se reconnectera automatiquement à votre FAI après un redémarrage système ou après une perte de connexion. 19 3.4.1.6 Virtual Computers La fonction Virtual Computers vous permet d’utiliser la fonction NAT du produit. Cela vous permet de faire de la translation d’adresses IP publiques vers des adresses IP de votre réseau local. • Global IP: Entrez l’adresse IP publique fournit par votre FAI. • Local IP: Entrez l’adresse IP LAN de votre ordinateur. • Enable: Cochez cette case pour activer la fonction Virtual Computers. 20 3.4.2 DHCP Server Cliquez sur le bouton “More>>” Les paramètres d’un environnement TCP/IP inclus la configuration de l’adresse IP de l’hôte, son masque de sous réseau, l’adresse de la passerelle et le DNS. C’est assez difficile et surtout assez long pour configurer manuellement tous les ordinateurs du réseau. Heureusement que le serveur DHCP permet de configurer automatiquement les ordinateurs du réseau. Si vous activez le serveur DHCP du routeur, paramétrez vos ordinateurs pour que ces derniers obtiennent une adresse IP automatiquement via un serveur DHCP, alors tous les ordinateurs de votre réseau, au démarrage du système, chargeront automatiquement les bons paramètres TCP/IP. En général, par défaut, les paramètres TCP/IP de chaque ordinateur sont déjà configurés de cette manière. Les paramètres du serveur DHCP inclus les points suivants : 1. DHCP Server: Sélectionnez “Disable”(désactiver) ou “Enable”(activer). 2. Lease Time: durée de vie du bail (le même ordinateur gardera la même adresse IP durant cette période) 3. IP Pool Starting Address/ IP Pool Ending Address: Quand une requête d’obtention d’adresse IP est demandée par un ordinateur, le serveur DHCP envoi une adresse IP libre compris entre la valeur saisie dans IP Pool Starting Address et la valeur saisie dans IP Pool Ending Address. 4. Domain Name: valeur optionnelle, sera transférer au poste client. 5. Primary DNS/Secondary DNS: Adresses IP DNS fournies par votre FAI. 6. Primary WINS/Secondary WINS: Adresses IP de serveurs WINS (si vous en avez). 21 7. Gateway: L’adresse de passerelle devrait être l’adresse de IP d’une autre passerelle. A utiliser seulement si ce routeur sert de passerelle, et n’est pas le routeur principal pour se connecter à internet. 3.4.3 Paramètres sans fil et 802.1X Les paramètres sans fil vous permettent de configurer les points suivants: 1. Network ID (SSID): Le nom de réseau es t utilisé pour identifier votre réseau sans fil (WLAN). Les stations clients peuvent se connecter librement à ce produit ou un à autre point d’accès ayant le même Network ID. (par défaut, ce Network ID est default). 2. Channel: numéro du canal radio. Le numér o de canal par défaut est 11. 3. WEP Security: Sélectionnez le type d’algorithme désiré. Activer la sécurité permet de protéger vos données quand ils sont transférés d’une machine vers une autre. Le standard IEEE 802.11 WEP (256, 128 ou 64 bits) est utilisé. 4. WEP Key 1, 2, 3 & 4: Quand vous activez une clé de sécurité 64, 128 ou 256 bits, sélectionnez une clé WEP à utiliser puis entrez 58, 26 ou 10 digits au format hexadécimal (0, 1, 2…8,9, A, B, …F). 5. Pass-phrase Generator: Etant donné qu’une suite de caractères en hexadécimal est 22 difficilement mémorisable, le routeur propose un outil pour convertir un mot ou une phrase en valeur hexadécimal. 6. 802.1X Setting 802.1X: Cliquez sur la case Enable pour activer cette fonction. Quand cette fonction est activée, l’utilisateur sans fil doit s’authentifier en premier avant de pouvoir utiliser les services du réseau RADIUS Server: Adresse IP du serveur 82.1X ou nom de domaine RADIUS Shared Key: valeur de la clé partagée par le serveur Radius et ce routeur. 23 3.4.4 Change Password: Changement du mot de passe Le mot de passe peut être modifié à cet endroit. Nous vous recommandons de changer le mot de passe pour des raisons de sécurité. 24 3.5 Forwarding Rules / Règles de filtrage 4.5.1 Virtual Server: Serveur Virtuel 25 Le firewall de ce produit filtre tous les paquets inconnus pour protéger votre réseau Intranet. Comme cela les machines de votre réseau local sont inaccessibles depuis internet. Si vous le désirez, vous pouvez rendre accessible une de vos machines en activant la fonction Virtual Server. Un serveur virtuel est défini par un numéro de port (Service port). Toutes requêtes vers ce port seront redirigées vers l’ordinateur spécifié par son adresse IP (Server IP). Le serveur virtuel peut fonctionner avec les règles de plages de connexions (Scheduling Rules), donnant ainsi une flexibilité au niveau du contrôle d’accès. Pour plus de d détails, voir Scheduling Rules. Par exemple, si vous avez un serveur FTP (port 21 par défaut) dont l’adresse IP est 192.168.0.10, un serveur web (port 80 par défaut) à l’adresse 192.168.0.20, et un serveur VPN (port 1723 par défaut) à l’adresse 192.168.0.60, alors vous devez définir vos serveurs virtuels de la manière suivante : Service Port Server IP Enable 21 192.168.0.2 V 80 192.168.0.2 V 1723 192.168.0.6 V 26 3.5.2 Special AP: Applications spéciales Certaines applications nécessitent de multiple connexions, comme les jeux en lignes, la visioconférence, la téléphonie par Internet, etc.…à cause de la fonction Firewall, ces applications ne peuvent fonctionner avec un routeur qui fait du pure NAT. La fonction Special Applications permet à ces applications de fonctionner avec ce produit. Si malgré cela, vos applications ne fonctionnent toujours pas, alors il faut utiliser la fonction DMZ. 1. Trigger: numéro du port sortant utilisé par l’application. 2. Incoming Ports: quand le paquet défini par le Trigger est détecté, alors les paquets entrant envoyés vers les ports spécifiés sont autorisés à passer à travers le firewall. Certaines applications sont déjà prédéfinis, sélectionnez votre application, cliquez sur le bouton Copy to, ajoute l’application prédéfini à la liste. Note! Une seule machine à la fois peut utiliser l’application spéciale. 27 3.5.3 Miscellaneous Items: Divers IP Address of DMZ Host Une machine DMZ (DeMilitarized Zone), est une machine qui n’est pas protégée par le firewall. Permet à une machine d’être exposée à Internet pour les jeux en réseau, la visioconférence, de la téléphonie par Internet et d’autres applications spéciales. NOTE: Cette fonction est à utiliser seulement en cas de besoin. Non-standard FTP port Configurez ce paramètre, si vous désirez accéder à un serveur FTP dont le port est différent de 21. Cette valeur ser a perdue au redémarrage du routeur. 3.6 Security Settings: Paramètres de sécurité 28 29 3.6.1 Packet Filter: Filtrage par paquets Le filtrage de paquets vous permet de définir quels paquets sont autorisés à passer à travers le routeur. Outbound filter ne s’applique qu’aux paquets sortants. Cependant, Inbound Filter, ne s’applique seulement qu’aux paquets en destination des serveurs virtuels ou des machines en DMZ. Vous pouvez sélectionner une des deux règles de filtrage suivantes : 1. Allow all to pass except those match the specified rules (autorise tout le monde sauf les machines correspondant aux règles spécifiées) 2. Deny all to pass except those match the specified rules (bloque tout le monde sauf les machines correspondant aux règles spécifiées) Vous pouvez spécifier jusqu’à 8 règles pour chaque direction: sortante ou entrante. Pour chaque règle, vous devez spécifier les points suivants: • Source IP: l’adresse IP source • Source port: le numéro du port source • Destination IP: l’adresse IP de destination • Destination port : le numéro du port de destination • Protocol: protocole à utiliser - TCP, UDP ou les deux en même temps. 30 • Use Rule#: le numéro de la règle Pour l’adresse IP source ou de destination, vous pouvez spécifier une adresse IP unique (4.3.2.1), ou un bloc d’adresse IP (4.3.2.1-4.3.2.254). Une entrée vide, signifie toutes adresses IP. Pour le numéro de port source ou de destination, vous pouvez définir un port unique (80) ou un bloc de ports (1000-1999). Ajoutez le préfixe "T" ou " U" pour spécifier le type de protocole TCP ou UDP. Par exemple, T80, U53, U2000-2999. Si aucun préfixe n’est défini, cela signifie les 2 protocoles TCP et UDP en même temps. Une entrée vide, signifie tous les ports. Le filtrage de paquets Packet Filter peut fonctionner avec les règles de connexions Scheduling Rules, rendant ainsi le contrôle d’accès plus flexible. Pour plus de détails, voir le chapitre Scheduling Rule. Chaque règle peut-être activée ou désactivée individuellement. Inbound Filter: Pour activer le filtre de paquets entrant, Inbound Packet Filter , cliquez sur le bouton Inbound Filter. Puis cochez la case Enable. En supposant que vous avez un serveur SMTP (25), un serveur POP (110), un serveur web (110) un serveur FTP (21) et un serveur de news (119), définis comme serveur virtuel ou en DMZ. Example 1: 31 • (1.2.3.100-1.2.3.149) Il s sont autorisés à envoyer des mail (25), recevoir des mails (110) et à accéder au serveur web (80). • (1.2.3.10-1.2.3.20) Ils ont tous les droits d’accès (rien ne les bloque). • Le reste est bloqué Example 2: 32 • (1.2.3.100-1.2.3.119) Ils peuvent tout faire sauf lire les news (port 119) et envoyer des fichiers par FTP (port 21). • Le reste est autorisé. Cliquez sur le bouton Save à la fin de la configuration. Outbound Filter: Pour activer le filtrage de paquets sortant Outbound Packet Filter, cliquez sur le bouton Outbound Filter puis cocher la case Enable. 33 Example 1: • (192.168.0.100-192.168.0.149) Ils sont autorisés à envoyer des mail (port 25), recevoir des mails (port 110), surfer sur Internet (port 80). Le port 53 (DNS) est aussi nécessaire pour résoudre les noms de domaine. • (192.168.0.10-192.168.0.20) Ils peuvent tout faire (rien n’est bloqué pour eux. • Le reste est bloqué. 34 Example 2: • (192.168.0.100-192.168.0.119) Ils peuvent tout faire sauf lire les news (port 119) et effectuer des transferts de fichiers en FTP (port 21). • Le reste est autorisé. Cliquez sur le bouton Save à la fin de la configuration. 35 3.6.2 Domain Filter: Filtrage par nom de domaine • Domain Filter Le filtrage par domaine permet de bloquer des sites web spécifiques. • Domain Filter Enable Cochez la case Enable pour activer le filtrage par domaine. • Log DNS Query Cochez la case Enable si vous désirez créer un historique quand une personne accède à cette adresse web spécifique. • Privilège IP Addresses Range Permet de créer un groupe d’adresse IP qui peut accéder au réseau sans restriction. • Domain Suffix Suffixe ou adresse web à surveiller. Par exemple ".com", "xxx.com". • Action Quand une personne accède au site web correspondant, vous pouvez définir une action à apporter. Cliquez sur Drop pour bloquer l’accès. Cliquez sur Log pour enregistrer cet accès dans un fichier journal, mais l’accès n’est pas bloqué. • Enable 36 Cochez cette case pour activer la règle correspondante. Example: Dans cet exemple: 1. L’adresse URL “www.msn.com” sera bloquée, puis l’action sera enregistrée dans un fichier journal. 2. L’adresse URL “www.sina.com” ne sera pas bloquée, mais l’action sera enregistrée dans un fichier journal. 3. L’adresse URL “www.google.com” sera bloquée, mais l’action ne sera pas enregistrée dans un fichier journal. 4. Les adresses IP X.X.X.1 à X.X.X.20 ne sont pas concernées par ces règles de filtrage, donc ils peuvent surfer sur n’importe quel site web. 37 3.6.3 URL Blocking – Blocage URL URL Blocking bloque les ordinateurs du réseau qui dsésirent se connecter à des sites web prédéfinis. La différence majeure entre “Domain Filter” et “URL Blocking”, c’est que “Domain Filter” oblige l’utilisateur à saisir un suffixe (comme .com , .fr ou .org …), tandis que « URL blocking » nécessite seulement un mot clé. En d’autres termes, « Domain Filter » bloque un site web spécifique, tandis que « URL Blocking » peut bloquer des centaines de sites web avec seulement un mot clé. URL Blocking Enable Cochez cette case pour activer la fonction. URL Si l’adresse web contient le mot clé pré-défini, alors la connection sera bloquée. Par exemple, vous pouvez définir le mot « jeux » pour bloquer tous les sites webs dont l’adresse contiendraient le mot « jeux ». Enable Cochez pour activer chaque règle. 38 Exemple: 1. Les adresse web contenant le mot “msn” seront bloquées, l’action sera écrit dans un fichier journal. 2. Les adresse web contenant le mot “ sina ” seront bloquées, l’action sera écrit dans un fichier journal. 3. Les adresse web contenant le mot “ cnnsi ” seront bloquées, l’action sera écrit dans un fichier journal. 4. Les adresse web contenant le mot “ espn ” seront bloquées, l’action sera écrit dans un fichier journal. 39 3.6.4 MAC Address Control: Contrôle par adresse MAC Le contrôle par adresse MAC permet de définir plusieurs droits d’accès pour les différents utilisateurs et d’attribuer une adresse IP à certaines adresses MAC. MAC Address Control Cochez la case Enable pour activer le contrôle par adresse MAC. Les paramètres définis ici ne prennent effet que lorsque la case Enable est cochée. Connection control Cochez la case Connection Control pour activer cette règle. Cette règle définit qui a le droit de se connecter à ce routeur. Cela concerne autant les ordinateurs sans fil que les ordinateurs connecté avec un câble réseau. Si un client n’a pas l’autorisation de se connecter, alors il ne pourra pas se connecter au routeur, donc ne pourra pas aller sur internet. Sélectionnez Allow (autorisé) ou Deny (interdit) pour autoriser ou interdire les machines dont l’adresse MAC se ne trouve pas dans ce tableau. Assosiation control Sélectionnez Associate control pour activer les règles entre les machines sans fil et les autres machines du réseau LAN. Si on interdit une machine du réseau LAN de s’associer avec une machine sans fil, alors tout échange entre ces 2 machines sera bloqués. Sélectionnez Allow (autorisé) ou Deny (interdit) pour autoriser ou interdire les machines dont l’adresse MAC ne se trouve pas dans ce tableau. 40 Control table La table de contrôle Control Table est ce tableau se trouvant en bas de la page MAC Address Control. Chaque rangée de cette table indique l’adresse MAC et l’adresse IP correspondant à la machine. Vous pouvez distinguer 4 colonnes : MAC Address IP Address Adresse MAC de la machine L’adresse IP de la machine. Laissez en blanc si vous ne tenez pas compte de son adresse IP. C Quand Connection Control est activé, cochez la case C permet à la machine spécifiée de se connecter à ce routeur. A Quand Associate control est activé, cochez la case A permet d’associer la machine spécifiée avec les machines sans fil. Sur cette page, cette petite fenêtre vous aide à saisir les adresses MAC. Vous pouvez sélectionner une machine spécifique dans la zone DHCP clients, sélectionnez un numéro ID dans la partie ID, puis cliquez sur le bouton Copy to pour ajouter l’adresse MAC de cette machine. Previous page and Next Page Boutons Previous page (page précédente) et Next Page (page suivante). Pour simplifier cette page de configuration, cette fenêtre Control Page est divisée en plusieurs pages. Vous pouvez utiliser ces boutons pour passer d’une page à une autre. 41 3.6.5 VPN setting: Paramètres VPN Permet de créer un réseau virtuel privé (Virtual Private Network) à travers la connexion internet. Cette technologie est très sécurisée, supporte la confidentialité des données, en utilisant des protocoles d’encapsulation, des algorithmes d’encryptions et de brouillage. • VPN enable L’activation du VPN permet de créer un tunnel sécurisé à travers Internet, mais dégrade les performances de votre réseau. Donc activez le VPN si vous avez réellement besoin d’une connexion VPN. Par défaut le VPN est désactivé. • Max. number of tunnels Comme le VPN dégrade les performances du réseau, le nombre de tunnel VPN est donc limité. Définissez soigneusement le nombre de tunnel que le routeur doit créer. Cette valeur va de 1 à 5. • Tunnel name Le nom de votre tunnel VPN. • Method VPN IPSEc supporte deux types de méthodes pour obtenir des clés: clé manuelle ou échange de clé automatique. Avec une clé manuelle, l’administrateur système saisi manuellement une clé d’encryption et d’authentification à chaque extrémité du 42 tunnel VPN. Cependant avec la méthode IKE (Internet Key Exchange), les clés d’échange par Internet sont créées automatiquement. Il suffit donc de saisir juste une clé partagée prédéfinie (pre-shared key) à chaque bout du tunnel. • Fonctions des boutons Pour afficher la configuration détaillée de votre tunnel IKE ou Manual, cliquez sur le bouton More. 3.6.5.1 VPN Settings – IPSEC VPN Settings - IKE Le tunnel VPN se crée en 3 temps (3 parties séparées): la partie basique (adresse IP, etc.…), IKE proposal, et IPSec proposal. La partie basique est défini par: le Local Subnet (sous-réseau local), le Local Netmask (masque de sous réseau local), le Remote Subnet (le sous -réseau distant), le Remote Netmask (le masque de sous réseau distant), la Remote Gateway (la passerelle distante) et enfin la Preshared Key ( la clé partagée prédéfinie). Tunnel Name: Le nom du tunnel que vous avez nommé. Paramètres de base: • Local subnet: Adresse du réseau local, peut-être l’adresse d’une machine, une partie du réseau ou le réseau entier. • Local netmask : 43 Masque de sous réseau du réseau local. • Remote subnet Adresse du réseau à distance, peut-être l’adresse d’une machine, une partie du réseau ou le réseau entier. • Remote netmask Masque de sous réseau du réseau à distance. • Remote gateway L’adresse IP de la passerelle VPN distante. • Pre-shared key La première clé partagée et prédéfinie qui démarre le mécanisme IKE des deux passerelles VPN pour négocier une clé sécurisée. La Pre-shared key doit être la même de chaque côté du tunnel VPN. Fonctions des boutons: • Select IKE proposal: Cliquez sur ce bouton pour paramétrer les valeurs IKE les plus fréquemment utilisées. • Select IPSec proposal: Cliquez sur ce bouton pour paramétrer les valeurs IPSec les plus fréquemment utilisées. VPN Settings - Set IKE Proposal 44 • IKE Proposal index : Une liste de proposition est indexée depuis la liste de proposition IKE ci-dessous. Sélectionnez un numéro d’ID depuis Proposal ID, puis cliquez sur le bouton Add to, ajoute cette proposition à la liste. Vous ne pouvez choisir que 4 propositions par mis la liste pour le tunnel dédié. Le bouton Remove se trouvant à côté de la liste IKE Proposal index, permet d’enlever une proposition de l’index. • Proposal name: Nom de la proposition IKE, donnez un nom explicite. • DH group: Vous pouvez sélectionner jusqu’à 3 groupes: groupe 1 (MODP768), group 2 (MODP1024), group 5 (MODP1536). • Encryption algorithm: Vous pouvez sélectionner 2 algorithmes différents d’encryption: 3DES (Codage 168 bits) ou DES (56 bits). • Authentication algorithm: Vous pouvez sélectionner jusqu’à 2 algorithmes d’authentification: SHA1 ou MD5. • Life time: L’unité du Life Time (temps de vie) dépend de la valeur Life Time Unit. Si la valeur de l’unité est la seconde, la durée de vie du tunnel doit être choisi entre 300 et 172 800 secondes. Si la valeur de l’unité est en KB (Kilo-octets), la durée de vie du tunnel est calculée par rapport au nombre de KB maximum transmis dans le tunnel. Cette valeur va de 20 480 KBs à 2 147 483 647 KBs. • Life time unit Unité de mesure du temps de vie: en secondes ou en KB. • Proposal ID L’identifiant IKE proposal peut être sélectionné pour ajouter la proposition correspondante au tunnel dédié. Vous pouvez, au total avoir 10 propositions IKE. Au plus, seulement 4 propositions peuvent être appliquées à un tunnel dédié. Fonctions des boutons: • Add to : Cliquez sur ce bouton pour ajouter la proposition sélectionnée à la liste IKE • Proposal index. Les propositions de la liste d’index seront utilisées en mode phase 1 pour la négociation IKE pour obtenir la valeur IKSAMP SA pour le tunnel dédié. 45 VPN Settings -Set IPSec Proposal • IPSec Proposal index: Une liste de proposition est indexée depuis la liste de proposition IPSec ci-dessous. Sélectionnez un numéro d’ID depuis Proposal ID, puis cliquez sur le bouton Add to, ajoute cette proposition à la liste. Vous ne pouvez choisir que 4 propositions par mis la liste pour le tunnel dédié. Le bouton Remove se trouvant à côté de la liste IPSec Proposal index, permet d’enlever une proposition de l’index. • Proposal name: Nom de la proposition IPSec, donnez un nom explicite. • DH group: Vous pouvez sélectionner jusqu’à 3 groupes: groupe 1 (MODP768), group 2 (MODP1024), group 5 (MODP1536). • Encapsulation protocol: Vous pouvez sélectionner jusqu’à 2 protocoles d’encapsulation: ESP ou AH. • Encryption algorithm: Vous pouvez sélectionner jusqu’à 2 algorithmes d’encryption: 3DES ou DES. Mais si le protocole d’encapsulation est AH, alors l’algorithme d’encryption est inutile. • Authentication algorithm: Vous pouvez sélectionner jusqu’à 2 algorithmes d’authentification: SHA1 ou MD5. 46 Mais vous pouvez sélectionner None (aucun) pour la proposition IPSec. • Life time: L’unité du Life Time (temps de vie) dépend de la valeur Life Time Unit. Si la valeur de l’unité est la seconde, la durée de vie du tunnel doit être choisi entre 300 et 172 800 secondes. Si la valeur de l’unité est en KB, la durée de vie du tunnel est calculée par rapport au nombre de KB maximum transmis dans le tunnel. Cette valeur va de 20 480 KBs à 2 147 483 647 KBs. • Life time unit: Unité de mesure du temps de vie: en secondes ou en KB. • Proposal ID: L’identifiant IPSec proposal peut être sélectionné pour ajouter la proposition correspondante au tunnel dédié. Vous pouvez, au total avoir 10 propositions IKE. Au plus, seulement 4 propositions peuvent être appliquées au tunnel dédié. Fonction des boutons: • Add to : Cliquez sur ce bouton pour ajouter la proposition sélectionnée à la liste • IPSec Proposal index. Les propositions de la liste d’index seront utilisées en mode phase 2 pour la négociation IKE pour obtenir la valeur IPSec SA pour le tunnel dédié. 47 3.6.5.2 VPN Settings - Dynamic VPN Tunnel Quand vous utilisez le VPN Dynamic IP Settings, le routeur fonctionnera en tant que serveur VPN dynamique. Le serveur VPN dynamique ne vérifiera pas les informations IP du client. Dans ce cas, les utilisateurs peuvent construire un tunnel VPN avec la passerelle VPN depuis n’importe quelle machine distante sans se soucier de son adresse IP. 48 3.6.5.3 VPN Settings – L2TP Server L2TP (Layer2 Tunneling protocol) combine les fonctions de Point-to-Point Tunneling Protocol (PPTP) et Layer 2 Forwarding (L2F). L2TP fournit une sécurité pour une connection VPN (Vi rtual Private Network) depuis un poste distant vers le réseau d’entreprise. L’utilisateur peut créer jusqu’à 5 tunnels L2TP. Chaque tunnel peut accepter plus d’un client. L’utilisateur doit paramétrer : Virtual IP of L2TP Server, Authentication Protocol, L2TP Tunnel Name et User Account, Password. • Virtual IP of L2TP Server: Adresse IP virtuelle du serveur L2TP. L’utilisateur doit donner une adresse IP au serveur. • Authentication Protocol: Protocoles utilisés par le client pour s’authentifier au serveur.. • L2TP Tunnel, Username and Password: Chaque tunnel définie un nom d’utilisateur et un mot de passe que les clients peuvent utiliser pour se connecter au serveur L2TP. 49 3.6.5.4 VPN Settings – PPTP Server PPTP (Point-to-Point Tunneling Protocol) est un tunnel. PPTP peut-être utilisé pour créer un tunnel VPN entre un utilisateur distant et le réseau d’entreprise. L’utilisateur peut créer jusqu’à 5 tunnels PPTP. Cahque tunnel peut accepter plus d’un client. L’utilisateur doit paramétrer : Virtual IP of PPTP Server, Authentication Protocol, L2TP Tunnel Name et User Account, Password. • Virtual IP of PPTP Server: Adresse IP virtuelle du serveur L2TP. L’utilisateur doit donner une adresse IP au serveur. • Authentication Protocol: Protocoles utilisés par le client pour s’authentifier au serveur.. • PPTP Tunnel, Username and Password: Chaque tunnel définie un nom d’utilisateur et un mot de passe que les clients peuvent utiliser pour se connecter au serveur L2TP. 50 3.6.6 Miscellaneous Items / Autres fonctionnalités Remote Administrator Host/Port: En général, il n’y a que les utilisateurs locaux qui peuvent accéder au routeur pour exécuter les tâches administratives. Cette fonction vous permet d’exécuter les tâches administratives depuis des machines distantes. Si cette fonction est activée, seule l’adresse IP spécifiée peut exécuter les tâches administratives à distance. Si l’adresse IP est 0.0.0.0, n’importe quelle machine peut exécuter les tâches administratives à distance. Vous pouvez utiliser le masque de sous r éseau pour spécifier un groupe d’adresse IP avec l’annotation «/nn». Par exemple: "10.1.2.0/24". NOTE: Quand l’administration à distance est activée, le port du serveur web d’administration à utiliser est le 88 par défaut. Vous pouvez changer ce numéro de port si vous le désirez. Administrator Time-out Temps d’inactivité avant la déconnexion automatique. Mettez la valeur zéro pour désactiver cette fonction. Discard PING from WAN side Quand cette fonction est activée, aucune réponse à une commande PING ne sera renvoyée par le routeur SPI Mode 51 Quand cette fonction est activée, le routeur enregistre toutes les informations concernant les paquets qui le traversent, comme l’adresse IP, l’adrese du port, l’ACK, etc Puis le routeur vérifie que tous les paquets entrant sont valides. DoS Attack Detection Quand cette fonction est activée, le routeur détectera et enregistrera toues les attaques DoS (Deny Of Services) qui proviennent d’internet. Actuellment le routeur est capable de détecté les attaques DoS suivantes : SYN Attack, WinNuke, Port Scan, Ping of Death, Land Attack etc. VPN PPTP/IPSec Pass-Through Veuillez activer cette fonction si vous avez besoin d’établir des connections PPTP ou IPSec à travers ce routeur. 52 3.7 Advanced Settings / Fonctions évoluées 53 3.7.1 System Time • Get Date and Time by NTP Protocol: Sélectionnez, si vous désirez obtenir la date et l’heure via le protocole NTP. Le routeur va se connecter à un serveur de temps sur Internet pour synchroniser son horloge. • Time Server: Sélectionnez un serveur de temps. • Time Zone: Sélectionnez votre fuseau horaire. • Set Date and Time using PC’s Date and Time: Sélectionnez si vous désirez utiliser la date et l’heure de votre ordinateur comme horloge du routeur. • Set Date and Time manually: Sélectionnez si vous désirez saisir la date et l’heure manuellement. • Fonctions des boutons: Sync Now: Synchronise l’horloge système avec un serveur de temps réseau 54 3.7.2 System Log Vous avez 2 méthodes pour exporter le journal système: via un serveur Syslog (UDP) ou via un envoie d’email par le protocole SMTP (TCP). • IP Address for Syslog Adresse IP de votre serveur Syslog. Cochez la case Enable pour activer cette fonction. • E-mail Alert Enable Cochez la case Enable pour activer les alertes par email (envoie du syslog par email). • SMTP Server IP and Port Saisissez l’adresse IP et le port du serveur SMTP à contacter. Si vous ne spécifiez pas de numéro de port, par défaut le port est le 25. Par exemple, "mail.masociete.com" ou "1 92.168.1.100:26". • Send E-mail alert to L’adresse email qui va recevoir le message. Vous pouvez spécifier plusieurs adresses email en les séparant par un point virgule ou une virgule ( ';' ou ','). • E-mail Subject Le sujet de votre message. Ce paramètre est optionnel. • Username and Password 55 Certains servcuers SMTP nécessitent une authentification. Contactez votre FAI si c’est le cas. • Log type Sélectionnez ce que vous désirez enregistrer dans le journal d’évènements. 56 3.7.3 Dynamic DNS Pour accéder à votre serveur intranet avec une adresse IP dynamique, vous devez utiliser un service de nom de domaine dynamique (DDNS). Dans ce cas, les utilisateurs qui veulent se connecter à votre serveur, n’ont besoin de connaître que votre nom de serveur . Le Dynamic DNS va automatiquement lier le nom de votre machine à votre adresse IP courante, qui change à chaque fois que vous vous connectez à votre FAI (Fournisseur d’Accès Internet). Avant d’activer le Dynamic DNS, vous devez créer un compte sur un des serveurs DNS Dynamique listé dans la zone Provider. Pour activer le Dynamic DNS, cliquez sur la case à cocher Enable se trouvant en face du champ DDNS. Puis vous devez saisir les informations appropriées concernant votre serveur DNS Dynamique. Vous devez définir les points suivants: - Provider - Host Name - Username/E-mail - Password/Key Ces informations vous sont communiquées à l’enregistrement de votre nom de domaine auprès d’un des serveurs DNS Dynamique que vous avez choisi. 57 Exemple: Cliquez sur le bouton Save dès que la configuration du DynDNS est finie. 58 3.7.4 SNMP Setting / Paramétrage SNMP En bref, SNMP - Simple Network Management Protocol - est un protocole conçu pour donner à un utilisateur la capacité de gérer à distance un ordinateur du réseau en surveillant les évènements du réseau. • Enable SNMP Vous devez cocher la case Local ou Remote ou les deux, pour activer la fonction SNMP. Si la case Local est cochée, ce périphérique va répondre à toutes requêtes du réseau LAN. Si la case Remote est cochée, ce périphérique va répondre à toutes requêtes en provenance du port WAN. • Get Community Saisissez la communauté GetRequest à laquelle le routeur doit répondre. • Set Community Saisissez la communauté SetRequest qui sera acceptée par le routeur. IP 1,IP 2,IP 3,IP 4 Entrez l’adresse IP du PC gérant les évnènements SMTP. • SNMP Version Sélectionnez la version SMTP supportée par votre logiciel de gestion SMTP. 59 Exemple: 1. Ce périphérique va répondre à tous clients SNMP dont la valeur GetCommunity est paramétrée comme “public”. 2. Ce périphérique va répondre à tous clients SNMP dont la valeur SetCommunity est paramétrée comme «private». 3. Ce périphérique répondra à toutes requêtes provenant du port LAN et du port WAN. 4. Ce périphérique transmettra les messages SMTP à l’ordinateur dont l’adresse IP est 192.168.0.23 (SMTP version V2c). 60 3.7.5 Routing Table / Table de routage Les tables de routages vous permettent d'établir des chemins de transferts des paquets entre les interfaces physiques des routeurs. Si vous avez plus d’un routeur et plus d’un réseau, vous devez activer la table de routage pour permettre aux paquets de trouver leur chemin et permettre aux différents sous réseau de communiquer ensemble. Routing Table: pour paramétrer les tables de routages Statiques et Dynamiques. • Dynamic Routing: RIP - Routing Information Protocol - échange les informations de routes pour les ordinateurs du réseau entre routeurs. Sélectionnez RIPv2 si vous avez plusieurs sous réseau dans votre réseau local. Sinon sélectionnez RIPv1 si vous avez besoin de ce protocole. • Static Routing: Vous pouvez créer jusqu’à 8 routes statiques. Vous pouvez entrer l’adresse IP de destination, le masque de sous réseau, la passerelle, le nombre de saut puis activer ou désactiver la règle en cochant ou décochant la case Enable. 61 Example: Configuration du routeur qui fait office de NAT: Destination Subnet Mask Gateway Hop Enabled 192.168.1.0 255.255.255.0 192.168.0.216 1 ? 192.168.10.0 255.255.255.0 192.168.0.103 1 ? Si par exemple, Client3 (192.168.12.22) veut envoyer un paquet vers Client2 (192.168.0.2), il va utiliser la table de routage pour déterminer son chemin, il passera donc par l’adresse IP 192.168.0.103 (Router2). Et s’il veut communiquer avec Client1 (192.168.1.11), il passera par Router1 qui est en 192.168.0.216. Chaque règle peut-être activée ou désactivée individuellement. A la fin de la configuration, cliquez sur le bouton Save pour sauvegarder les changements. 62 3.7.6 Schedule Rule / Règles horaires Vous pouvez paramétrer des règles pour activer ou désactiver certains services à des heures spécifiques. Pour cela, cochez la case Enable se trouvant en face de Schedule. Puis cliquez sur le bouton “Add New Rule” Vous pouvez définir une règle puis paramétrer la date et l’heure de connexion et de déconnexion du service. L’exemple ci-dessous montre que le service ftp-time s’active tous les jours à 14h10 puis s’arrête à 16h20. Donc chaque jour en dehors de cette plage le serveur ftp ne sera pas disponible. 63 Après la configuration de la règle1 (Rule1): 64 Schedule Enable Sélectionnez la case Enable si vous voulez activer les règles de programmation. Edit Pour éditer les règles de programmation. Delete Pour supprimer les règles programmées. Vous pouvez associer ces règles avec les fonctions Virtual Server et Packets Filter, par exemple: Exanple1: Virtual Server – Apply Rule#1 (ftp time: everyday 14:10 to 16:20) 65 Exanple2: Packet Filter – Apply Rule#1 (ftp time: everyday 14:10 to 16:20). 66 3.8 Toolbox / Utilitaires 67 3.8.1 View Log (System Log) Vous pouvez visualiser le journal des évènements – Log – en cliquant sur le bouton View Log. 68 3.8.2 Firmware Upgrade / Mise à jour firmware Vous pouvez mettre à jour le firmware du routeur en cliquant sur le bouton Firmware Upgrade. Cliquez sur le bouton Parcourir, sélectionnez le fichier firmware puis cliquez sur le bouton Upgrade. La procédure de mise à jour prend à peu près 20 secondes. Pendant cette période, ne pas éteindre le routeur. Quand la mise à jour est terminée, le routeur redémarrera tout seul. 69 3.8.3 Backup Setting / Sauvegarde des paramètres Vous pouvez sauvegarder les paramètres du routeur vers un fichier binaire en cliquant sur Backup Setting. Quand vous voulez restaurer vos paramètres, il suffit de cliquer sur Firmware Upgrade puis sélectionnez votre fichier. 3.8.4 Reset to default / Réinitialisation des paramètres à leurs valeurs par défaut Vous pouvez effacer tous les paramètres pour que le routeur reprenne ses valeurs d’usine en cliquant sur Reset default. 3.8.5 Reboot / Redémarrer Vous pouvez redémarrer le routeur en cliquant sur Reboot. 70 3.8.6 Miscellaneous Items MAC Address for Wake-on-LAN Wake-on-LAN est une technologie permettant de démarrer une machine du réseau à distance. Pour utiliser cette fonction, la machine cible doit supportée le Wake-On-Lan, cette fonction doit être activée et vous devez connaître la MAC adresse de cette dernière. Saisissez sa MAC adresse puis cliquez sur le bouton Wake up, fera démarrer immédiatement la machine cible. Domain Name or IP address for Ping Test Vous permet de spécifier une adresse IP puis d'exécuter la commande PING (ECHO) à destination du périphérique. Vous pouvez pinguer une adresse IP spécifique pour vérifier si elle est fonctionnelle. 71 AAnnnneexxee AA CCoonnffiigguurraattiioonn TTCCPP//IIPP ssoouuss W Wiinnddoow wss 9955//9988 Cette section vous montre comment installer le protocole TCP/IP sur votre ordinateur. Bien sur, votre carte réseau est sensée être correctement installée dans votre ordinateur. Si ce n’est pas le cas, veuillez faire référence au manuel d’installation de votre carte avant de continuer. D’ailleurs, la section B2 vous explique comment paramétrer les valeurs TCP/IP pour fonctionner correctement avec le routeur. A.1 Installation du protocole TCP/IP: 1. Cliquez sur le bouton Démarrer, sélectionnez Paramètres puis cliquez sur Panneau de Configuration. 2. Double cliquez sur l’icône Réseau puis sélectionnez l’onglet Configuration. 3. Cliquez sur le bouton Ajouter. 4. Double cliquez sur Protocole pour ajouter le protocole TCP/IP. 5. Sélectionnez Microsoft dans la partie Constructeurs. Sélectionnez TCP/IP dans la zone Protocoles réseau. Puis cliquez sur le bouton OK. 72 6. Le système vous demandera sûrement le CDROM système de Windows. Insérerez le CDROM dès qu’il vous le demande puis suivez les instructions jusqu’au redémarrage de votre ordinateur. A.2 Paramétrage du protocole TCP/IP pour fonctionner avec le routeur: 1. Cliquez sur le bouton Démarrer, sélectionnez Paramètres puis cliquez sur Panneau de Configuration 2. Double cliquez sur l’icône Réseau puis sélectionnez l’onglet Configuration. Sélectionnez le protocole TCP/IP qui est affecté à votre carte réseau. 3. Cliquez sur le bouton Propriétés pour paramétrer le protocole TCP/IP. 4. Vous avez 2 méthodes de paramétrage: a. Sélectionnez Obtenir automatiquement une adresse IP depuis l’onglet Adresse IP. 73 b. Ne rien saisir dans l’onglet Passerelle. 74 c. Dans l’onglet Configuration DNS, sélectionnez Désactiver DNS. B. Configuration de l’adresse IP manuellement. a. Sélectionnez Spécifier une adresse IP. L’adresse IP du routeur étant 192.168.0.1, choisissez donc une adresse IP du même genre, comme par exemple 192.168.0.xxx (xxx compris entre 2 et 254). Ici nous allons choisir 192.168.0.2, puis l’adresse de sous réseau sera 255.255.255.0. b. Sélectionnez l’onglet Passerelle, saisissez l’adresse IP du routeur, dans notre exemple ce sera 192.168.0.1, car l’adresse du routeur est 192.168.0.1, puis cliquez sur le bouton Ajouter. 75 c. Sélectionnez l’onglet Configuration DNS, cochez le bouton Activer DNS, saisissez un nom dans la zone Hôte, saisissez l’adresse IP DNS que votre FA I vous a communiquée puis cliquez sur le bouton Ajouter. Dans notre exemple, nous avons saisi les 2 adresses IP DNS de Wanadoo. 76 AAnnnneexxee BB GGuuiiddee dd’’iinnssttaallllaattiioonn IIPPSSeecc ssoouuss W Wiinn 22000000//XXPP Exemple: Connexion d’un client Win XP/2000 vers le Routeur VPN (La configuration sous Windows 2000 est similaire que sous Windows XP) 1. Sur Windows 2000/XP, cliquez sur Démarrer, Exécuter. Dans la zone Ouvrir, tapez secpol.msc puis cliquez sur le bouton OK. Sélectionnez le dossier Stratégies locales. 2. Ou sous Windows XP, cliquez sur Démarrer, Paramètres, Panneau de configuration Double cliquez sur l’icône Performances et maintenance. 77 Double cliquez sur l’icône Outils d’administration. 78 Paramètres de sécurité locaux Double cliquez sur l’icône Paramètres de sécurité locaux. Effectuez un click droit sur Stratégies de sécurité IP sur Ordinateur local puis sélectionnez 79 Créer une stratégie de sécurité IP. La fenêtre de l’assistant s’ouvre, cliquez sur le bouton Suivant, entrez un nom pour cette connexion (vers_routeur_vpn par exemple), puis cliquez sur le bouton Suivant. Décochez la case Activer la règle de réponse par défaut puis cliquez sur le bouton Suivant. Vérifiez que la case Modifier les propriétés est cochée puis cliquez sur le bouton Terminer. Créez 2 listes de filtre: “xpàrouter” et “routeràxp” par exemple. Liste de filtre 1: xpàrouteur Depuis la fenêtre Propriétés de nouvelles règles, sélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter pour créer une nouvelle règle. 80 Cliquez sur le bouton Ajouter. 81 Entrez un nom, par exemple: xpàrouter puis désélectionnez la case Utiliser l’assistant Ajout. Cliquez sur le bouton Ajouter. 82 Dans le champ Adresse source, sélectionnez Une adresse IP spécifique puis saisissez l’adresse 192.168.1.1. Dans le champ Adresse de destination, sélectionnez Un sous réseau IP spécifique, saisissez l’adresse IP: 192.168.0.0 et un masque de sous réseau: 255.255.255.0 Si vous désirez un protocole pour votre filtre, cliquez sur l’onglet Protocole. 83 Cliquez sur le bouton OK. Puis cliquez sur le bouton OK de la fenêtre Liste de filtre IP 84 Sélectionnez l’onglet Action de filtrage, cochez le bouton Exiger la sécurité puis cliquez sur le bouton Modifier. 85 Cochez le bouton Négocier la sécurité, cochez la case Session clé Secret de transfert parfait puis cliquez sur le bouton Modifier. 86 Cochez le bouton Personnalisée (pour les utilisateurs expérimentés) puis cliquez sur le bouton Paramètres. Sélectionnez Cryptage et intégrité des données (ESP) Configurez l’Algorithme d’intégrité sur MD5 Configurez l’Algorithme de cryptage sur DES Configurez Générer une nouvelle clé tous les: sur 10000 secondes Cliquez sur le bouton OK jusqu’à revenir sur la fenêtre Propriétés de nouvelle règle. 87 Sélectionnez Méthodes d’authentification, cliquez sur le bouton Ajouter. 88 Sélectionnez le bouton Utiliser cette chaîne pour protéger l’échange de clés (clé partagée prédéfinie), puis saisissez votre clé partagée comme par exemple mypresharedkey, puis cliquez sur le bouton OK. Cliquez sur le bouton OK depuis l’onglet Méthodes d’authentification. Sélectionnez l’onglet Paramètres du tunnel. 89 Configurez Le point d’arrêt du tunnel est spécifié par cette adresse IP sur 192.168.1.254. Sélectionnez l’onglet Type de connexion. 90 Sélectionnez Toutes les connexions réseau. Tunnel 2: router->xp Depuis la fenêtre Propriétés de nouvelles règles, sélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter pour créer une nouvelle règle. 91 Cliquez sur le bouton Ajouter 92 Entrez un nom dans la zone Nom, par exemple routeuràxp. Désélectionnez la case Utiliser l’Assistant Ajout puis cliquez sur le bouton Ajouter. 93 Dans la zone Adresse source, sélectionnez Un sous réseau IP spécifique, saisir dans Adresse IP 192.168.0.0 et dans masque de sous réseau 255.255.255.0 Dans la zone Adresse de destination, sélectionnez Une adresse IP spécifique, saisir dans Adresse IP 192.168.1.1. Si vous désirez sélectionner un protocole, cliquez sur l’onglet Protocole. 94 Cliquez sur le bouton OK, puis de nouveau sur le bouton OK de la fenêtre Liste de filtres IP. 95 Sélectionnez l’onglet Action de filtrage, sélectionnez le bouton Exiger la sécurité puis cliquez sur le bouton Modifier. 96 Sélectionnez Negociate security, Sélectionnez Session Clé Secret de transfert parfait puis cliquez sur le bouton Modifier. 97 Sélectionnez Personnalisée (pour les utilisateurs expérimentés) Cliquez sur le bouton Paramètres. 98 Sélectionnez Cryptage et intégrité des données (ESP) Configurez l’Algorithme d’intégrité sur MD5 Configurez l’Algorithme de cryptage sur DES Configurez Générer une nouvelle clé tous les: sur 10000 secondes Cliquez sur le bouton OK jusqu’à revenir sur la fenêtre Propriétés de nouvelle règle. 99 Sélectionnez l’onglet Méthodes d’authentification puis cliquez sur le bouton Modifier. 100 Sélectionnez le bouton Utiliser cette chaîne pour protéger l’échange de clés (clé partagée prédéfinie), puis saisissez votre clé pré-chargée comme par exemple mypresharedkey, puis cliquez sur le bouton OK. Cliquez sur le bouton OK depuis l’onglet Méthodes d’authentification. Sélectionnez l’onglet Paramètres du tunnel. 101 Sélectionnez Le point d’arrêt du tunnel est spécifiée par cette adresse IP, puis saisir l’adresse IP: 192.168.1.1. Sélectionnez l’onglet Type de connexion. 102 Sélectionnez Toutes les connexions réseau. 103 Configurez les propriétés IKE Sélectionnez l’onglet Général Cliquez sur le bouton Avancé. 104 Activer la case Clé principale Confidentialité de transmission parfaite. Configurez Authentifier et générer une nouvelle clé tous les en mettant 10000 secondes, ce qui fait 167 minutes. Cliquez sur le bouton Méthodes. Cliquez sur le bouton Ajouter. 105 Configurez Algorithme d’intégrité sur SHA1 Configurez Algorithme de cryptage sur 3DES Configurez Groupe Diffie-Helman sur Moyenne (2) Cliquez sur le bouton OK. Paramétrage du routeur Routeur VPN: Adresse IP WAN:192.168.1.254 Adresse IP LAN:192.168.0.1 PC: 192.168.0.123 106 VPN Settings: Cochez la case Enable en face de VPN Max. number of tunnels: 2 ID: 1 Tunnel Name: 1 Method: IKE Cliquez sur le bouton More.à 107 VPN Settings - Tunnel 1 – IKE Tunnel:1 Local Subnet:192.168.0.0 Local Netmask:255.255.255.0 Remote Subnet:192.168.1.1 Remote Netmask:255.255.255.255 Remote Gateway:192.168.1.1 Pre-shared Key: mypresharekey Cliquez sur le bouton Select IKE Proposal. 108 VPN Settings - Tunnel 1 - Set IKE Proposal ID: 1 Proposal Name: 1 DH Group: Group2 Encrypt. Algorithm: 3DES Auth. Algorithm: SHA1 Life Time: 10000 Life Time Unit: Sec. Dans Proposal ID, sélectionnez 1 puis cliquez sur le bouton Add to Cliquez sur le bouton Save. 109 VPN Settings - Tunnel 1 - Set IPSec Proposal ID: 1 Proposal Name: proposal1 DH Group: Group2 Encaps. Protocol: ESP Encrypt. Algorithm: DES Auth. Algorithm:MD5 Life Time: 10000 Life Time Unit: Sec. Dans Proposal ID, sélectionnez 1 puis cliquez sur le bouton Add to Cliquez sur le bouton Save. Vous pouvez visualiser votre connexion VPN depuis la page System Log, et corriger les paramètres si nécessaire. Phase1 est lié aux paramètres IKE, et Phase2 est lié aux paramètres IPSEC. 110 User can view VPN connection process in “System Log” page, and correct their settings. Phase1 is related to IKE settings, Phase2 is related to IPSEC settings. 111 A Annnneexxee C C C Coonnffiigguurraattiioonnss PPPPTTPP eett LL22TTPP 1. Cliquez sur Démarrer, Paramètres, Panneau de Configuration, Connexion réseau et Internet, Connexion réseau puis cliquez ssur Créer une nouvelle connexion. 2. L’assistant de Nouvelle connexion s’affiche, cliquez le bouton Suivant. Sélectionnez Connexion au réseau d’entreprise puis cliquezs sur le bouton Suivant. 112 3. Sélectionnez Connexion réseau privé virtuel puis cliquez sur le bouton Suivant, donnez un nom à votre connection puis cliquez sur le bouton Suivant. 4. Sélectionnez Ne pas établir la connexion initiale 113 5. Entrez l’adresse IP WAN du routeur 6. Cliquez sur le bouton OK. Entrez le Nom d’utilisateur et le Mot de Passe que vous avez défini sur 114 le routeur. 7. Cliquez sur le bouton Propriétés, sléectionnez l’onglet Gestion de réseau, puis dans Type de réseau VPN, sélectionnez PPTP VPN. Enfincliquez sur le bouton OK. 115 116 Cliquez sur l’o,glet Sécurité, Avancées (paramètres personnalisés), Paramètres, puis autoriser CHAP, MS-CHAP.et PAP. Si votre tunnel est correctement installé, votre devrez pouvoir faire un ping des machines à distantes. L2TP Le routeur est aussi un serveur vpn-l2tp et supporte les protocoles d’authentification PAP, CHAP et MSCHAP. Le paramétrage se fait de la même manière qu’avec le serveur PPTP mais les systèmes comme Windows 2000 et Windows XP ne trouveront pas le type « L2TP ». Vous pouvez utiliser le fichier (disabledipsec.zip) pour l’activer. And the settings are similar with PPTP. But MS-operating systems, like winxp win2000 will not find The type of vpn “L2tp”.We can use this files(disableipsec.zip) to enable it. Ce soft est disponible à cette adresse: http://support.iglou.com/fom-serve/cache/473.html Ainsi, vous verrez L2TP IPSEC VPN. 117 118 AAnnnneexxee DD PPaarraam mèèttrreess 880022..11xx Figure 1: Environnement de test (Serveur Radius sous Windows 2000) 1 Détails des équipements PC1: Microsoft Windows XP Professionnel sans le Service Pack 1. Comet Labs WN561 : adaptateur sans fil PC2: Microsoft Windows XP Professionnel avec le Service Pack 1a. Comet Labs WN591 : adaptateur sans fil USB. Serveur d’authentification: Serveur RADIUS Windows 2000 avec Service Pack 3 et Hot Fix Q313664 installés. Note. Le serveur Radius sous Windows 2000 ne supporte que PEAP après la mise à jour Service Pack 3 et Hot Fix Q313664. (Plus de détails:http://support.microsoft.com/default.aspx?scid=kb; en-us;313664) 2 DUT Configuration: 1.Serveur DHCP activé. 2.Adresse IP WAN statique. 3.Adresse IP LAN: 192.168.0.254/24. 4.Adresse IP du serveur RADIUS à saisir. 5.Clé partagée du serveur RADIUS à saisir. 119 6.Clé WEP et paramètres 802.1X à configurer. Le test suivant utilise les méthodes d’authentification intégrées telles que: EAP_TLS, PEAP_CHAPv2 (Windows XP avec SP1 seulement), et PEAP_TLS (Windows XP avec SP1 seulement) utilisant la Smart Card ou un autre Certificat de Windows XP Professionnel. 3. Paramètres du DUT et du Serveur Radius Windows 2000 3-1-1. Paramétrage du serveur RADIUS Windows 2000 Nous avons du changer la méthode d’authentification sur MD5_Challenge, utiliser une Smart Card ou un autre certificat sur le serveur RADIUS par rapport aux conditions de test 3-1-2. Paramétrage du DUT 1.Activer 802.1X (cochez la case Enable de la section 802.1X) 2.Saisissez l’adresse IP du serveur RADIUS. 3.Saisissez la clé partagée (clé partagée par le DUT et le serveur RADIUS). 4.Nous serons amené à changer la longueur de la clé d’encryption pour être confirme avec les conditions de test. 3-1-3. Paramétrage des cartes réseaux sur les PCs 1.Choose the IEEE802.1X as the authentication method. (Fig 2) Note. La figure 2 montre une capture d’écran d’un système Windows XP sans le Service Pack 1 installé. Si l’utilisateur a installé le Service Pack 1, alors il ne verra pas l’option MD5-Challenge de la fenêtre EAP Type, mais il aura une nouvelle option PEAP (Protected EAP) 2. Sélectionnez MD5-Challenge, Smart Card ou un autre Certificat type. 3.Dans cet exemple, nous allons choisir d’utiliser un Certificat (voir fig.3). 4. Nous changerons le type EAP si besoin. 120 Figure 2: Activé le contrôle d’accès IEEE802.1X 121 Figure 3: Smart card or certificate properties 4. Test de l’authentification du serveur RADIUS Windows 2000: 4. DUT authentifie PC1 à l’aide d’un certificat (PC2 fonctionne de la même manière). 1. Téléchargez puis installez le certificat sur PC1 (Fig.4). 2. PC1 choisit le SSID du DUT comme Point d’accès. 3. Configurez le type d’authentification des clients sans fil et du serveur RADIUS sur EAP_TLS. 4. Désactivez la connexion sans fil puis réactivez-la. 5. Le DUT va envoyer le certificat de l’utilisateur au serveur RADIUS qui renvoie le résultat du message d’authentification vers PC1 (Fig.5). 6. Windows XP vous dira si l’authentification a réussi ou a échoué, puis finit la procédure d’authentification (Fig.6). 7. Terminez le test dès que PC1 obtient une adresse IP dynamique et peut pinguer une autre machine avec succès. 122 Figure 4: Information de Certificat sur PC1 Figure 5: Authentification en cours 123 Figure 6: Authentification avec succès 4.2 DUT authentifie PC2 en utilisant le PEAP_TLS. 1. PC2 choisit le SSID du DUT comme Point d’accès. 2. Configurez le type d’authentification des clients sans fil et du serveur RADIUS sur: PEAP_TLS. 3. Désactivez la connexion sans fil puis réactivez-la. 4. Le DUT va envoyer le certificat de l’utilisateur au serveur RADIUS qui renvoie le résultat du message d’authentification vers PC2. 5. Windows XP vous dira si l’authentification a réussi ou a échoué, puis finit la procédure d’authentification 6. Terminez le test dès que PC2 obtient une adresse IP dynamique et peut pinguer une autre machine avec succès. Type Supporté : Comet Labs supporte le type d’authentification 802.1X suivant: PEAP-CHAPv2 et PEAP-TLS. Note. 1.PC1 fonctionne sous Windows XP Service Pack 1. 2.PC2 fonctionne sous Windows XP Service Pack 1a. 3.PEAP n’est supporté que sous Windows XP Service Pack 1a. seulement. • Windows XP Service Pack1 autorise l’authentification 802.1X seulement si les fonctions d’encryptions de données sont activées. 124 AAnnnneexxee EE FFAAQ Q Remise des paramètres à leurs valeurs par défaut A l’aide d’une pointe fine, appuyez sur le bouton RESET jusqu’à ce que la LED SYS clignote très rapidement. Il faut compter 6 à 7 secondes avant que la LED SYS ne clignote rapidement Le routeur a de nouveau ses paramètres d’usine. Paramètres de connexion des quelques Fournisseurs d’accès Internet français: La plupart des Fournisseurs d’Accès à Internet utilisent les mêmes paramètres que Wanadoo. • Wanadoo, 9Online, Club-Internet, Free non dégroupé, Télé2, Tiscali… WAN Type: PPP over Ethernet (RFC 2516) Data Encapsulation: LLC VPI Number: 8 VCI Number: 35 Schedule type: UBR • Free dégroupé: WAN Type: IP over ATM (RFC 1483 Routed) Static IP ou Dynamic IP. Généralement Dynamic IP est utilsé Data Encapsulation: VC-Mux VPI Number: 8 VCI Number: 36 Schedule type: UBR Nous contacter Adresse de la société Comet Labs: http://www.cometlabs.com et http://france.cometlabs.com FAQ support: [email protected] Assistance téléphonique en France : 0826 880 880 125