Académique Documents
Professionnel Documents
Culture Documents
article214
Description :
Cet article vous explique comment raliser un VPN IPsec entre deux routeurs Cisco. Le but d'un VPN est d'authentifier et de chiffrer les donnes transmises o seul le routeur final pourra lire les donnes. Je dtaillerai dans un premier temps la configuration de base que l'on doit faire sur les diffrents quipements avant de configurer le VPN.
Idum
Copyright Idum
Page 1/12
Sommaire :
I) Explications II) Schma rseau III) Configurations de base 1) Routeur R1 2) Routeur R2 3) Routeur R3 4) Test de fonctionnement IV) Configuration du VPN 1) Configuration VPN sur R1 2) Configuration VPN sur R3 3) Vrifications
I) Explications
Un VPN (Virtual Private Network) est un rseau virtuel s'appuyant sur un autre rseau comme Internet. Il permet de faire transiter des informations, entre les diffrents membres de ce VPN, le tout de manire scurise. On peut considrer qu'une connexion VPN revient se connecter en rseau local mais en utilisant Internet. On peut ainsi communiquer avec les machines de ce rseau en prenant comme adresse de destination, l'adresse IP local de la machine que l'on veut atteindre.
Il existe plusieurs types de VPN fonctionnant sur diffrentes couches rseau, voici les VPN que nous pouvons mettre en place sur un serveur ddi ou la maison :
PPTP : Facile mettre en place, mais beaucoup d'inconvnients lis la lourdeur du protocole de transport GRE, le matriel rseau (routeur ADSL, wifi, doit tre compatible avec le PPTP) Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi trs contraignant au niveau de la mise en place OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tte sur la mise en place, mais son utilisation est trs souple.
Copyright Idum
Page 2/12
Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne configuration rseau. Nous attaquerons ensuite la configuration du routeur R1 :
1) Routeur R1
On commence par le Hostname :
Router#configure terminal Router(config)#hostname R1
Copyright Idum
Page 3/12
Nos interfaces sont maintenant configures, il nous reste configurer le routage. J'ai choisi de faire du routage RIP, c'est un choix qui n'engage que moi et qui ne vous empche pas de faire un routage OSPF ou routage statique si vous prfrez.
R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.1.0 R1(config-router)#network 10.1.1.0 R1(config-router)#exit
2) Routeur R2
Mme procdure pour notre routeur R2 :
Copyright Idum
Page 4/12
3) Routeur R3
Mme procdure pour notre routeur R3 :
4) Test de fonctionnement
Copyright Idum
Page 5/12
Voici le fichier Packet tracert reprsentant la configuration de base de notre rseau : <a href="http://idum.fr/Telechargements/Fichiers%20packet%20tracert/article214/config_de_base.pkt" class="spip_out" title='PNG - 12.3 ko'>
Il faut savoir que le VPN se configure juste sur les Routeurs d'extrmits dans notre cas R1 et R3 on n'aura aucune modification faire sur R2.
Premire tape :
Commenons par notre routeur R1, vous devez vrifier que l'IOS de vos routeurs supporte le VPN. On active ensuite les fonctions crypto du routeur :
R1(config)#crypto isakmp enable
Cette fonction est active par dfaut sur les IOS avec les options cryptographiques.
Copyright Idum
Page 6/12
Deuxime tape :
Nous allons configurer la police qui dtermine quelle encryptions on utilise, quelle Hash quelle type d'authentification, etc.
R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 5 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit
group 5 : Spcifie l'identifiant Diffie-Hellman lifetime : Spcifie le temps de validit de la connexion avant une nouvelle ngociation des clefs.
Troisime tape :
Ensuite nous devons configurer la clef :
R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1
Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit tre chiffr ou pas, tapez cette commande :
R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1
Quatrime tape :
Configurons les options de transformations des donnes :
R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
N'oubliez pas d'utiliser les mmes protocoles d'encryptions et de Hash utiliss dans la premire tape.
Copyright Idum
Page 7/12
Cinquime tape :
La 5me tape consiste crer une ACL qui va dterminer le trafic autoris.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
La configuration de R1 est presque termine nous devons appliquer la crypto map sur l'interface de sortie :
Premire tape :
R3(config)#crypto isakmp enable
Deuxime tape :
R3(config)#crypto isakmp policy 10 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#encryption 3des
Copyright Idum
Page 8/12
Troisime tape :
R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1
ou
R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1
Quatrime tape :
R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R3(config)#crypto ipsec security-association lifetime seconds 1800
Cinquime tape :
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
Voici le fichier Packet tracert reprsentant la configuration avec le VPN IPsec : <a href="http://idum.fr/Telechargements/Fichiers%20packet%20tracert/article214/VPN_IPsec_site_to_site.pkt" class="spip_out" title='PNG - 12.3 ko'>
3) Vrifications
Copyright Idum
Page 9/12
Copyright Idum
Page 10/12
Copyright Idum
Page 11/12
Copyright Idum
Page 12/12