Vous êtes sur la page 1sur 17

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

MES LIENS FAVORIS

FILTOKAI

CONTACT

AUTEURS

Rechercher

MES LIENS FAVORIS FILTOKAI CONTACT AUTEURS Rechercher BASE DE DONNÉES RÉSEAUX DÉVELOPPEMENT LINUX LIVRES
MES LIENS FAVORIS FILTOKAI CONTACT AUTEURS Rechercher BASE DE DONNÉES RÉSEAUX DÉVELOPPEMENT LINUX LIVRES

BASE DE DONNÉES

RÉSEAUX

DÉVELOPPEMENT

LINUX

LIVRES

MICROSOFT

SÉCURITÉ

SITE INTERNET

SUPERVISION

VIRTUALISATION

SÉCURITÉ SITE INTERNET SUPERVISION VIRTUALISATION Partager cet article RÉSEAUXRÉSEAUX 5 Configuration d’un

Partager cet article

RÉSEAUXRÉSEAUX

5

Configuration d’un VPN IPSec entre deux routeurs Cisco

Said ASSOUMANI

27 mars 2012

Article écrit en collaboration avec Loïc FONTAINE

Configuration VPN IPSec avec des routeurs CISCO | Lol

Introduction

Définition

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

VPN est l’acronyme de « Virtual Private Network » soit un réseau privé virtuel.

Par exemple, cela va nous permettre depuis notre domicile, d’avoir accès au réseau local d’un autre site distant (notre entreprise par exemple) à travers une connexion internet sécurisé (IpSec). On parle alos de VPN Remote-Access.

Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits bien distinct, à l’instar des lignes dédiées où l’on devais passer par un opérateur ou encore au lieu de mettre en place des liens physique entre ces deux sites (fibre optique…) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site.

Ainsi, on aura accès aux ressources de notre entreprise (fichiers partagés, intranet, extranet…) comme si on y était.

Fonctionnement

intranet, extranet…) comme si on y était. Fonctionnement VPN repose sur un protocole de tunnelisation (tunneling),

VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux données de passer d’une extrémité du VPN à l’autre de manière sécurisé en

Configuration VPN IPSec avec des routeurs CISCO | Lol

utilisant des algorithmes de cryptographie.

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Dans notre exemple, nous allons utilisé le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges.

Configuration d’un VPN IPSec

Il faut savoir qu’il y a deux types de VPN :

Site-to-Site : Liaison entre deux sites distants

Remote-Access : Liaison entre une machine distance et un site

Informations

Quelques informations pour notre topologie :

1. Nous allons utilisé le protocole : esp

2. Pour la confidentialité nous utiliserons AES 128 bits

3. Pour l’intégrité nous utiliserons le SHA-1

4. Pour l’authentification nous utiliserons la clé pré-partagée

5. Et nous utiliserons le group 2 pour Diffie-Helman

En ce qui concerne la clé pré partagée (Pre-shared key) on va mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux. Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau). Nous allons au tout au long de la configuration passer par deux phases principales :

IKE Phase 1 et IKE phase 2.

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Pour faire simple dans l’IKE de phase 1 nous allons configurer les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui va permettre de définir une IKE Security Association. Dans l’IKE de phase 2 nous allons configurer les politique de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association.

Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées.

Configuration d’un VPN Site-to-site

et IPSec configurées. Configuration d’un VPN Site-to-site Nous allons configurer le VPN sur le routeur

Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre l’établissement d’une liaison avec RouteurMaison.

Création d’un acl étendue permettant l’établissement d’un tunnel VPN

Ici nous allons autoriser l’établissement d’un tunnel IPSec entre les deux routeurs :

RouteurEntreprise(config)#ip access-list extended IPSECACL

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp RouteurEntreprise(config-ext-nacl)#exit

Création de notre politique IKE pour la phase 1

Nous définissons notre politique IKE.

RouteurEntreprise(config)#crypto isakmp policy 100 RouteurEntreprise(config-isakmp)#encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 RouteurEntreprise(config-isakmp)#hash sha RouteurEntreprise(config-isakmp)#lifetime 86400 RouteurEntreprise(config-isakmp)#exit

Création de clé pré-partagé

Nous définissons la clé pré-partagée : VpnK3! ainsi que l’adresse IP du routeur distant avec lequel on communique

RouteurEntreprise(config)#crypto isakmp key VpnK3! address

170.30.2.2

Création de notre politique IPSec pour la phase 2

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Nous définissons notre transform-set pour l’établissement d’une liaison IPSec SA

RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac

Création de la crypto ACL

Nous créons la crypto ACL qui est une ACL qui va identifier le traffic « interessant » c’est à dire le traffic qui doit passer par le tunnel VPN (ici c’est le traffic depuis le LAN Entreprise vers le LAN Maison)

RouteurEntreprise(config)#ip access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 RouteurEntreprise(config-ext-nacl)#exit

Création de la crypto MAP

Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on veut communiquer.

RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsec- isakmp RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

CRYPTOACL

RouteurEntreprise(config-crypto-map)#exit

Application de notre crypto map et de l’acl pour autoriser le tunnel sur l’interface de sortie s0/0/0

On application la crypto-map et l’ACL qui autorise l’établissement du VPN.

RouteurEntreprise(config)#interface s0/0/0 RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit

Configurer le RouteurMaison

La configuration est la même que pour Routeurentreprise à l’exception de :

Dans l’ACL IPSECACL on doit inverser l’adresse IP de l’hôte source et de l’hôte de destination

Dans la définition du transform-set on doit changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise

Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de destination

Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RouteurEntreprise

Conclusion:

Nous venons à travers de ce billet voir le principe d’un VPN et surtout comment

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

configurer un VPN de type Site-to-site sur un équipement Cisco.

Que penser vous de ce billet ? Utilisez-vous du VPN dans le cadre de votre travail ou dans d’autres situation ? Vous est-il déjà arrivé de configurer un VPN ? Si oui, avec quels protocoles ?Said ASSOUMANI

Tagged with: ah, cisco, configuration, esp, ike, ipsec, remote access, site-to-site, virtual private network, vpn

TweeterTweeter

0 Like 2
0
Like
2

Mise en place d’un serveur DNS sous Windows Server 2008 ou 2008 R2

Installation d’un serveur OCS couplé avec GLPI sous Ubuntu 11.10

Articles liés

Configuration VPN IPSec avec des routeurs CISCO | Lol

0
0

Cisco et le NTP : Synchronisez

les horloges de vos

équipements

Loic FONTAINE

novembre 2011

17

0
0

Une bonne politique de mot de

passe sur votre équipement

Cisco

Loic FONTAINE

décembre 2011

7

0
0

Les ACLs sur les équipements

Cisco

cedric.robert

2012

26 mars

Comments (5)

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

2(5) http://www.lolokai.com/reseaux-2/configuration-dun-vpn- J’ai oublié le mot de passe de mon équipement Cisco : La

J’ai oublié le mot de passe de

mon équipement Cisco : La

solution

Loic FONTAINE

septembre 2011

21

7Cisco : La solution Loic FONTAINE septembre 2011 21 Sécuriser l’administration distante de son équipement

Sécuriser l’administration

distante de son équipement

Cisco

Loic FONTAINE

2011

30 mai

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Lol http://www.lolokai.com/reseaux-2/configuration-dun-vpn- F 7 juin 2012 at 11 h 00 min Merci beaucoup pour cette

F 7 juin 2012 at 11 h 00 min

Merci beaucoup pour cette explication.

J’étais en train de chercher comment relier deux sites et j’avais prévu des modems/routeurs Cisco qui gèrent les tunnels VPN IPSec 50 et le protocole réseau IPSec.

Ton article est bien clair, merci du partage de connaissance dans le world wide web !

Répondre

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Lol http://www.lolokai.com/reseaux-2/configuration-dun-vpn- Roland 17 juillet 2012 at 13 h 06 min Bonjour,c’est une

Roland

17 juillet 2012 at 13 h 06 min

Bonjour,c’est une très bonne pratique, est-il possible de le faire avec le stimulateur tels que pachet tracer version 5.3?

Répondre

le stimulateur tels que pachet tracer version 5.3? Répondre 7 juillet 2012 at 13 h 11

7 juillet 2012 at 13 h 11 min

sible d’utiliser Packet Tracer 5.3 pour mettre en place un VPN

d’utiliser Packet Tracer 5.3 pour mettre en place un VPN décembre 2012 at 3 h 59

décembre 2012 at 3 h 59 min

pour ce « guide ». si ce n’est pas trop vous erche un article clair comme le votre pour la un Remote Access VPN ( IPSEC).

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Lol http://www.lolokai.com/reseaux-2/configuration-dun-vpn- Nicolas 25 novembre 2012 at 2 h 00 min Je ne sais pas ce

Nicolas

25 novembre 2012 at 2 h 00 min

Je ne sais pas ce que je fait de mal. J’ai créer un petit réseau avec packet tracer avec 2 pc et 3 routeurs dont un des routeurs représente internet. Le pc 1 est connecter sur le routeur 1 sur l’interface fa0/0. Le routeur 1 est connecter sur le routeur 2 de l’interface fa0/1 vers l’interface fa0/0. Le routeur 2 est connecter au routeur 3 de l’interface fa0/1 vers l’interface fa0/1. Le routeur 3 est connecter sur le pc 2.

PC 1 ip 172.16.1.1/24 gw 172.16.1.254

Routeur 2 ip (fa0/0) 172.16.1.254/24 ip (fa0/1) 82.1.1.2/24 route 0.0.0.0 0.0.0.0 82.1.1.1

Routeur 2 ip (fa0/0) 82.1.1.1/24 ip (fa0/1) 82.2.2.1/24 route 172.16.1.0 255.255.255.0 82.1.1.2 route 172.16.2.0 255.255.255.0 82.2.2.2

Routeur 3 ip (fa0/1) 82.2.2.2/24 ip (fa0/0) 172.16.2.254/24 route 0.0.0.0 0.0.0.0 82.2.2.1

PC 2 ip 172.16.2.1 gw 172.16.2.254

avant la procédure décrite mon pc 1 ping mon pc 2 sans problème mais

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Laisser un commentaire

une fois la procédure appliqué, le routeur 1 est capable de faire un ping

vers l’adresse 172.16.2.254 mais pas vers 172.16.2.1. Le routeur 3 est capable de fair un pigne vers l’adresse 172.16.1.254 mais pas vers

your name

172.16.1.1 et pour finir les pc ne peuvent pas faire de ping au dela de

leur gateway. Est-ce que quelqu’un aurait une idée sur la cause du

email@address.co.uk

www

Votre commentaire

cause du email@address.co.uk www Votre commentaire COMMENTER 462 462 428 428 Premier livre sur Centreon
cause du email@address.co.uk www Votre commentaire COMMENTER 462 462 428 428 Premier livre sur Centreon
cause du email@address.co.uk www Votre commentaire COMMENTER 462 462 428 428 Premier livre sur Centreon

COMMENTER

462462

428428

Premier livre sur Centreon

Découvrez le premier livre français sur Centreon co-rédigé par le fondateur de ce

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

blog :

blog :

Le blog dans votre boite mail ;)

Renseignez votre adresse email afin de pouvoir vous inscrire à la newsletter du site et recevoir tous les articles de chaque semaine dans votre boite mail. Notez bien que je ne diffuse pas votre adresse mail à des tiers. Email

articles de chaque semaine dans votre boite mail. Notez bien que je ne diffuse pas votre

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

OK
OK

Se désabonner de la liste

Quel est la catégorie que vous lisez le plus ? Base de Supervision données Microsoft
Quel est la catégorie que vous lisez le
plus ?
Base de
Supervision
données
Microsoft
Linux
Réseaux
Sécurité
Autre
VOTE
Voir les résultats

Publicité

Publicité

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

Lol http://www.lolokai.com/reseaux-2/configuration-dun-vpn- Liens Centreon Mon Curriculum Vitae HORUS Océan Indien

Liens

Centreon

Mon Curriculum Vitae

HORUS Océan Indien

Mvbelectronic

Ici on parle de …

Configuration VPN IPSec avec des routeurs CISCO | Lol

http://www.lolokai.com/reseaux-2/configuration-dun-vpn-

c# centos centreon cisco configuration developpement dns esx esxi fonctionnement

gestion google installation ios iphone linux microsoft mise en place mise à jour mysql

nagios nagvis network oracle plugins protection présentation réseau réseaux sauvegarde securite

securité server serveur SQL supervision sécurité ubuntu vcenter virtualisation vmware vsphere

web Windows wordpress

Le fondateur

Passionné de supervision, virtualisation et réseaux, Loïc FONTAINE exerce en tant que consultant en supervision chez HORUS OI. Sa passion l'a conduit naturellement à fonder un blog afin de présenter son travail en collaboration avec différents rédacteurs. Il est également l'auteur d'un ouvrage sur Centreon publié aux éditions ENI.

Lolokai - Informatique depuis 2011

d'un ouvrage sur Centreon publié aux éditions ENI. Lolokai - Informatique depuis 2011 17 sur 17
d'un ouvrage sur Centreon publié aux éditions ENI. Lolokai - Informatique depuis 2011 17 sur 17