Configuration d'un VPN IPSec sous cisco
- Détails
- Catégorie : Cisco
- Publié le mercredi 3 avril 2013 15:55
- Écrit par brahim AIT BENALI
- Affichages : 5015
Configuration d'un VPN IPSec
Définition :
VPN : Virtual Private Network, soit un réseau privé virtuel.
Ce réseau virtuel permet, depuis un réseau personnel, d'accéder à un réseau local d’un site distant (notre entreprise par exemple) à travers une connexion internet sécurisée (IPSec). On parle alors de VPN Remote-Access.
Le VPN permet également de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits distincts, à l’instar des lignes dédiées où l’on devait passer par un opérateur ou encore au lieu de mettre en place des liens physiques entre ces deux sites (fibre optique…), on passe par internet pour relier ces deux sites. On parle alors du VPN Site-To-Site.
VPN repose sur un protocole de tunnelisation (tunneling), permettant aux données de passer d’une extrémité du VPN à l’autre, de manière sécurisée en utilisant des algorithmes de cryptographie.
De ma part, dans cet exemple j’utilise le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges.
Quelques informations pour la topologie :
- Utilisation du protocole : ESP
- Pour la confidentialité : AES 128 bits
- Pour l’intégrité : SHA-1
- Pour l’authentification : une clé pré-partagée
- Et utilisation du group 2 pour Diffie-Helman
En ce qui concerne la clé pré partagée (Pre-shared key), il faut mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux.
Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau).
Tout au long de la configuration, on va passer par deux phases principales : IKE Phase 1 et IKE Phase 2, pour faire simple dans l’IKE Phase 1, on configure les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui permettra de définir une IKE Security Association.
Dans l’IKE de phase 2 on configure les politiques de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association.
Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées.
L’architecture :
|
Adresse réseau |
Masque sous réseau |
RouteurEntreprise (S0/0/0) |
170.30.1.0 |
255.255.255.0 |
RouteurMaison (S0/0/0) |
170.30.2.0 |
255.255.255.0 |
LAN Entreprise |
192.168.2.0 |
255.255.255.0 |
LAN Maison |
192.168.3.0 |
255.255.255.0 |
Création d’une acl étendue permettant l’établissement d’un tunnel VPN
Etablir un tunnel IPSec entre les deux routeurs :
RouteurEntreprise(config)#ip access-list extended IPSECACL |
Création de notre politique IKE pour la phase 1
Définir la politique IKE.
RouteurEntreprise(config)#crypto isakmp policy 100 |
Création de clé pré-partagée
Définir la clé pré-partagée : ''VpnK3!'', ainsi que l’adresse IP du routeur distant avec lequel on communique
RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2 |
Création de notre politique IPSec pour la phase 2
Définir le ‘’transform-set’’ pour l’établissement d’une liaison IPSec SA
RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac |
Création de la crypto ACL
Créer la crypto ACL qui est une ACL qui identifiera le trafic qui doit passer par le tunnel VPN.
RouteurEntreprise(config)#ip access-list extended CRYPTOACL |
Création de la crypto MAP
Créer la crypto map qui définit le chemin qu’emprunte le tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on souhaite communiquer.
RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsec-isakmp |
Autorisation du tunnel sur l’interface de sortie s0/0/0
Appliquer la crypto-map et l’ACL qui autorise l’établissement du VPN.
RouteurEntreprise(config)#interface s0/0/0 |
Configuration du RouteurMaison
La configuration est la même que pour RouteurEntreprise à l’exception de :
- Dans l’ACL IPSECACL, intervertir l’adresse source et destination.
- Dans le transform-set changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise.
- Dans l’ACL CRYPTOACL, intervertir le réseau source et le réseau de destination.
- Dans la crypto map, mettre l’adresse IP de RouteurEntreprise comme adresse du peer.