Dimitri LEMBOKOLO

2

I. Introduction

Nous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté et

VPN d'accès distant (Remote Access). La première est largement utilisée pour connecter en toute

sécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou les

télétravailleurs d'accéder aux ressources sur un réseau site central. Dans ce post nous allons décrire

brièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avec

deux routeurs Cisco IOS utilisant IPSEC.

Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec le

cryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF.

Il s'agit essentiellement d'un costume de plusieurs protocoles qui offrent une communication

sécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toute

sécurité à distance sur Internet d'insécurité. Nous pourrions utiliser un réseau privé WAN avec Frame

Relay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela,

avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti par

IPSEC) pour la communication entre nos sites distants.

II. Architecture du réseau

Voici notre réseau :

Dimitri LEMBOKOLO

3

III. Configurations de base

Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne

configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :

Routeur R1

On commence par :

R1>enable

R1#configure terminal

Nous configurons ensuite les adresses IP des deux interfaces :

R1(config)#interface FastEthernet 0/1

R1(config-if)#ip address 192.168.2.254 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit




R1(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise le

routage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous

préférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et qui

marche sans problème.

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 192.168.2.0


R1(config-router)#exit

La configuration de base de notre routeur R1 est terminée.

Routeur R2

Même procédure pour notre routeur R2 :

R2>enable

R2#configure terminal

Dimitri LEMBOKOLO

4





R2(config-if)#exit




R2(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage.








Routeur R3

Même procédure pour notre routeur R3 :





R3(config-if)#exit




R3(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage.








Dimitri LEMBOKOLO

5

IV. Configuration du VPN

Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on

n’aura aucune modification à faire sur R2.

Configuration VPN sur R1

Etape 1 :

Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN.

On active ensuite les fonctions crypto du routeur :

R1(config)#crypto isakmp enable

Cette fonction est activée par défaut sur les IOS avec les options cryptographiques.

Etape 2 :

Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle type

d’authentification, etc.

R1(config)#crypto isakmp policy 10

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash md5

R1(config-isakmp)#group 5

R1(config-isakmp)#lifetime 3600

R1(config-isakmp)#exit

group 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexion

avant une nouvelle négociation des clefs.

Etape 3 :

On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout du

tunnel donc 10.2.2.1:

R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1

Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le

mot de passe doit être chiffré ou pas, tapez cette commande :

R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1

Exemple :

R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1

Dimitri LEMBOKOLO

6

Etape 4 :

Configuration des options de transformations des données :

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

esp : Signifie Encapsulation Security Protocol

N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première

étape.

Dans notre cas :

Encryption : 3des, hash : md5

On fixe ensuite une valeur de Lifetime :

R1(config)#crypto ipsec security-association lifetime seconds 1800

Etape 5 :

L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé.

R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

Etape 6 :

Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, et

la destination :

R1(config)#crypto map nom_de_map 10 ipsec-isakmp

Ex.:

R1(config)#crypto map espmap 10 ipsec-isakmp

R1(config-crypto-map)#set peer 10.2.2.1

R1(config-crypto-map)#set transform-set 50

R1(config-crypto-map)#set security-association lifetime seconds 900

R1(config-crypto-map)#match address 101

R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de

sorte :

Dans notre cas FastEthernet 0/0.


R1(config-if)#crypto map nom_de_map

Ex.:

R1(config)crypto map espmap

*Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Un message vous indique que la crypto map fonctionne. Bravo

Dimitri LEMBOKOLO

7

Configuration VPN sur R3

On refait la même configuration que sur R1 :

Etape 1:

R3(config)#crypto isakmp enable

Etape 2:

R3(config)#crypto isakmp policy 10

R3(config-isakmp)#authentication pre-share

R3(config-isakmp)#encryption 3des

R3(config-isakmp)#hash md5

R3(config-isakmp)#group 5

R3(config-isakmp)#lifetime 3600

R3(config-isakmp)#exit

Etape 3:

R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1

Ou

R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1

Etape 4 :

R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

R3(config)#crypto ipsec security-association lifetime seconds 1800

Etape 5 :

R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

Etape 6 :

R3(config)#crypto map nom_de_map 10 ipsec-isakmp

R3(config-crypto-map)#set peer 10.1.1.1

R3(config-crypto-map)#set transform-set 50

R3(config-crypto-map)#set security-association lifetime seconds 900

R3(config-crypto-map)#match address 101

R3(config-crypto-map)#exit


R3(config-if)#crypto map nom_de_map

* Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Dimitri LEMBOKOLO

8

Vérifications

On réalise un ping pour voir si la communication n’est pas coupée :

Sur les machines :

VBOX1

VBOX2

Dimitri LEMBOKOLO

9

Vérification des informations retournées par le VPN sur R1 et R3 :

Vérification de la map :

Comme rappel j’ai nommé ma map "espmap".

Sur le routeur R1

Sur le routeur R3

Dimitri LEMBOKOLO

10

On vérifie les opérations d’IPsec :

Sur le routeur R1

Dimitri LEMBOKOLO

11

Sur le routeur R3

Pour finir on vérifie les opérations d’Isakmp :

Sur le routeur R1 :

Sur le routeur R3 :

Dimitri LEMBOKOLO

12

Conclusion

Que ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votre

entreprise sécurisés besoins d'accès distant:

VPN IPSec est conçue pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de

bien-contrôlées actifs de l'entreprise. Si ce sont les besoins primaires de votre entreprise, IPSec

effectue ces fonctions tout à fait bien.

Pour les configurations de VPN IPSEC R.A (Remote Access)

To be continued…

tuto vp ipsec site-to-site

Technology

router ripr1configrouter

router ripr2configrouter

router ripr3configrouter

vpn configuration

configuration vpn sur

avec vpn ipsec

avec ipsec vpn

r1 configuration