Configuration d'un VPN IPSec sous cisco

Détails

Catégorie : Cisco

Publié le mercredi 3 avril 2013 15:55

Écrit par brahim AIT BENALI

Affichages : 5015

Configuration d'un VPN IPSec

Définition :

VPN : Virtual Private Network, soit un réseau privé virtuel.

Ce réseau virtuel permet, depuis un réseau personnel, d'accéder à un réseau local d’un site distant (notre entreprise par exemple) à travers une connexion internet sécurisée (IPSec). On parle alors de VPN Remote-Access.

Le VPN permet également de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits distincts, à l’instar des lignes dédiées où l’on devait passer par un opérateur ou encore au lieu de mettre en place des liens physiques entre ces deux sites (fibre optique…), on passe par internet pour relier ces deux sites. On parle alors du VPN Site-To-Site.

VPN repose sur un protocole de tunnelisation (tunneling), permettant aux données de passer d’une extrémité du VPN à l’autre, de manière sécurisée en utilisant des algorithmes de cryptographie.

De ma part, dans cet exemple j’utilise le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges.

Quelques informations pour la topologie :

1. Utilisation du protocole : ESP
2. Pour la confidentialité : AES 128 bits
3. Pour l’intégrité : SHA-1
4. Pour l’authentification : une clé pré-partagée
5. Et utilisation du group 2 pour Diffie-Helman

En ce qui concerne la clé pré partagée (Pre-shared key), il faut mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux.
Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau).

Tout au long de la configuration, on va passer par deux phases principales : IKE Phase 1 et IKE Phase 2, pour faire simple dans l’IKE Phase 1, on configure les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui permettra de définir une IKE Security Association.
Dans l’IKE de phase 2 on configure les politiques de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association.

Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées.

L’architecture :

Création d’une acl étendue permettant l’établissement d’un tunnel VPN

Etablir un tunnel IPSec entre les deux routeurs :

Création de notre politique IKE pour la phase 1

Définir la politique IKE.

Création de clé pré-partagée

Définir la clé pré-partagée : ''VpnK3!'', ainsi que l’adresse IP du routeur distant avec lequel on communique

Création de notre politique IPSec pour la phase 2

Définir le ‘’transform-set’’ pour l’établissement d’une liaison IPSec SA

Création de la crypto ACL

Créer la crypto ACL qui est une ACL qui identifiera le trafic qui doit passer par le tunnel VPN.

Création de la crypto MAP

Créer la crypto map qui définit le chemin qu’emprunte le tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on souhaite communiquer.

Autorisation du tunnel sur l’interface de sortie s0/0/0

Appliquer la crypto-map et l’ACL qui autorise l’établissement du VPN.

Configuration du RouteurMaison

La configuration est la même que pour RouteurEntreprise à l’exception de :

• Dans l’ACL IPSECACL, intervertir l’adresse source et destination.
• Dans le transform-set changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise.
• Dans l’ACL CRYPTOACL, intervertir le réseau source et le réseau de destination.
• Dans la crypto map, mettre l’adresse IP de RouteurEntreprise comme adresse du peer.

• < Précédent
• Suivant >