Configuration d'un VPN IPSec sous cisco

 

Configuration d'un VPN IPSec

Définition :

VPN : Virtual Private Network, soit un réseau privé virtuel.

Ce réseau virtuel permet, depuis un réseau personnel, d'accéder à un réseau local d’un site distant (notre entreprise par exemple) à travers une connexion internet sécurisée (IPSec). On parle alors de VPN Remote-Access.

Le VPN permet également de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits distincts, à l’instar des lignes dédiées où l’on devait passer par un opérateur ou encore au lieu de mettre en place des liens physiques entre ces deux sites (fibre optique…), on passe par internet pour relier ces deux sites. On parle alors du VPN Site-To-Site.

 

 

VPN repose sur un protocole de tunnelisation (tunneling), permettant aux données de passer d’une extrémité du VPN à l’autre, de manière sécurisée en utilisant des algorithmes de cryptographie.

De ma part, dans cet exemple j’utilise le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges.

Quelques informations pour la topologie :

  1. Utilisation du protocole : ESP
  2. Pour la confidentialité : AES 128 bits
  3. Pour l’intégrité : SHA-1
  4. Pour l’authentification : une clé pré-partagée
  5. Et utilisation du group 2 pour Diffie-Helman

En ce qui concerne la clé pré partagée (Pre-shared key), il faut mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux.
Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau).

Tout au long de la configuration, on va passer par deux phases principales : IKE Phase 1 et IKE Phase 2, pour faire simple dans l’IKE Phase 1, on configure les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui permettra de définir une IKE Security Association.
Dans l’IKE de phase 2 on configure les politiques de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association.

 

Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées.

L’architecture :

 

 

 

Adresse réseau

Masque sous réseau

RouteurEntreprise (S0/0/0)

170.30.1.0

255.255.255.0

RouteurMaison (S0/0/0)

170.30.2.0

255.255.255.0

LAN Entreprise

192.168.2.0

255.255.255.0

LAN Maison

192.168.3.0

255.255.255.0

Création d’une acl étendue permettant l’établissement d’un tunnel VPN

Etablir un tunnel IPSec entre les deux routeurs :

RouteurEntreprise(config)#ip access-list extended IPSECACL
RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2
RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2
RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp
RouteurEntreprise(config-ext-nacl)#exit

 

Création de notre politique IKE pour la phase 1

Définir la politique IKE.

RouteurEntreprise(config)#crypto isakmp policy 100
RouteurEntreprise(config-isakmp)#encryption aes 128
RouteurEntreprise(config-isakmp)#group 2
RouteurEntreprise(config-isakmp)#hash sha
RouteurEntreprise(config-isakmp)#lifetime 86400
RouteurEntreprise(config-isakmp)#exit

Création de clé pré-partagée

Définir la clé pré-partagée : ''VpnK3!'', ainsi que l’adresse IP du routeur distant avec lequel on communique

RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2

Création de notre politique IPSec pour la phase 2

Définir le ‘’transform-set’’ pour l’établissement d’une liaison IPSec SA

RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac

Création de la crypto ACL

Créer la crypto ACL qui est une ACL qui identifiera le trafic qui doit passer par le tunnel VPN.

RouteurEntreprise(config)#ip access-list extended CRYPTOACL
RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
RouteurEntreprise(config-ext-nacl)#exit

Création de la crypto MAP

Créer la crypto map qui définit le chemin qu’emprunte le tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on souhaite communiquer.

RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsec-isakmp
RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2
RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET
RouteurEntreprise(config-crypto-map)#match address CRYPTOACL
RouteurEntreprise(config-crypto-map)#exit

 

Autorisation du tunnel sur l’interface de sortie s0/0/0

Appliquer la crypto-map et l’ACL qui autorise l’établissement du VPN.

RouteurEntreprise(config)#interface s0/0/0
RouteurEntreprise(config-if)#crypto map IPSECMAP
RouteurEntreprise(config-if)# ip access-group IPSECACL out
RouteurEntreprise(config-if)#exit

Configuration du RouteurMaison

La configuration est la même que pour RouteurEntreprise à l’exception de :

  • Dans l’ACL IPSECACL, intervertir l’adresse source et destination.
  • Dans le transform-set changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise.
  • Dans l’ACL CRYPTOACL, intervertir le réseau source et le réseau de destination.
  • Dans la crypto map, mettre l’adresse IP de RouteurEntreprise comme adresse du peer.

Informations supplémentaires