Académique Documents
Professionnel Documents
Culture Documents
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
FILTOKAI
CONTACT
AUTEURS
Rechercher
BASE DE DONNES
DVELOPPEMENT
MICROSOFT
LINUX
LIVRES
RSEAUX
SCURIT
SITE INTERNET
SUPERVISION
VIRTUALISATION
RSEAUX
1 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Introduction
Dfinition
VPN est lacronyme de Virtual Private Network soit un rseau priv virtuel.
Par exemple, cela va nous permettre depuis notre domicile, davoir accs au rseau local dun autre site distant (notre entreprise par exemple) travers une connexion internet scuris (IpSec). On parle alos de VPN Remote-Access.
Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situs deux endroits bien distinct, linstar des lignes ddies o lon devais passer par un oprateur ou encore au lieu de mettre en place des liens physique entre ces deux sites (fibre optique) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site.
Ainsi, on aura accs aux ressources de notre entreprise (fichiers partags, intranet, extranet) comme si on y tait.
Fonctionnement
VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux donnes de passer dune extrmit du VPN lautre de manire scuris en
2 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Dans notre exemple, nous allons utilis le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialit, lintgrit et lauthentification des changes.
Site-to-Site : Liaison entre deux sites distants Remote-Access : Liaison entre une machine distance et un site Informations
1. Nous allons utilis le protocole : esp 2. Pour la confidentialit nous utiliserons AES 128 bits 3. Pour lintgrit nous utiliserons le SHA-1 4. Pour lauthentification nous utiliserons la cl pr-partage 5. Et nous utiliserons le group 2 pour Diffie-Helman En ce qui concerne la cl pr partage (Pre-shared key) on va mettre une cl commune sur les deux routeurs pour quils puissent sauthentifier entre eux. Diffie-Helman est un protocole qui va permettre lchange de la cl de chiffrement de manire scurise (sans envoyer la cl explicitement sur le rseau). Nous allons au tout au long de la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2.
3 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Pour faire simple dans lIKE de phase 1 nous allons configurer les politiques IKE (mthode de chiffrement, dure de vie, mthode dintgrit) ce qui va permettre de dfinir une IKE Security Association. Dans lIKE de phase 2 nous allons configurer les politique de scurit IPSec (protocole esp, vrifier le type de liaison) afin davoir un IPSec Security Association.
Les Routeurs doivent IMPERATIVEMENT avoir les mmes politiques IKE et IPSec configures.
Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre ltablissement dune liaison avec RouteurMaison.
Ici nous allons autoriser ltablissement dun tunnel IPSec entre les deux routeurs :
4 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp RouteurEntreprise(config-ext-nacl)#exit
RouteurEntreprise(config)#crypto isakmp policy 100 RouteurEntreprise(config-isakmp)#encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 RouteurEntreprise(config-isakmp)#hash sha RouteurEntreprise(config-isakmp)#lifetime 86400 RouteurEntreprise(config-isakmp)#exit
Cration de cl pr-partag
Nous dfinissons la cl pr-partage : VpnK3! ainsi que ladresse IP du routeur distant avec lequel on communique
5 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Nous crons la crypto ACL qui est une ACL qui va identifier le traffic interessant cest dire le traffic qui doit passer par le tunnel VPN (ici cest le traffic depuis le LAN Entreprise vers le LAN Maison)
RouteurEntreprise(config)#ip access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 RouteurEntreprise(config-ext-nacl)#exit
Nous crons la crypto map qui dfinit le chemin quemprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et ladresse IP du routeur distant avec lequel on veut communiquer.
RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsecisakmp RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address
6 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
CRYPTOACL RouteurEntreprise(config-crypto-map)#exit
Application de notre crypto map et de lacl pour autoriser le tunnel sur linterface de sortie s0/0/0
RouteurEntreprise(config)#interface s0/0/0 RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit
Configurer le RouteurMaison
Dans lACL IPSECACL on doit inverser ladresse IP de lhte source et de lhte de destination Dans la dfinition du transform-set on doit changer ladresse du peer en mettant ladresse IP de RouteurEntreprise Dans lACL CRYPTOACL on doit inverser le rseau source et le rseau de destination Dans la crypto map on doit mettre comme adresse du peer ladresse IP de RouteurEntreprise
Conclusion:
Nous venons travers de ce billet voir le principe dun VPN et surtout comment
7 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Que penser vous de ce billet ? Utilisez-vous du VPN dans le cadre de votre travail ou dans dautres situation ? Vous est-il dj arriv de configurer un VPN ? Si oui, avec quels protocoles ?Said ASSOUMANI
Tagged with: ah, cisco, configuration, esp, ike, ipsec, remote access, site-to-site, virtual private network, vpn
Tweeter
Like
Mise en place dun serveur DNS sous Windows Server 2008 ou 2008 R2
Installation dun serveur OCS coupl avec GLPI sous Ubuntu 11.10
Articles lis
8 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Comments (5)
9 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Jtais en train de chercher comment relier deux sites et javais prvu des modems/routeurs Cisco qui grent les tunnels VPN IPSec 50 et le protocole rseau IPSec.
Ton article est bien clair, merci du partage de connaissance dans le world wide web !
Rpondre
10 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Roland
Bonjour,cest une trs bonne pratique, est-il possible de le faire avec le stimulateur tels que pachet tracer version 5.3?
Rpondre
Oui il est possible dutiliser Packet Tracer 5.3 pour mettre en place un VPN
Merci beaucoup pour ce guide . si ce nest pas trop vous demander je cherche un article clair comme le votre pour la configuration dun Remote Access VPN ( IPSEC).
11 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Nicolas
Je ne sais pas ce que je fait de mal. Jai crer un petit rseau avec packet tracer avec 2 pc et 3 routeurs dont un des routeurs reprsente internet. Le pc 1 est connecter sur le routeur 1 sur linterface fa0/0. Le routeur 1 est connecter sur le routeur 2 de linterface fa0/1 vers linterface fa0/0. Le routeur 2 est connecter au routeur 3 de linterface fa0/1 vers linterface fa0/1. Le routeur 3 est connecter sur le pc 2.
PC 1 ip 172.16.1.1/24 gw 172.16.1.254
Routeur 2 ip (fa0/0) 82.1.1.1/24 ip (fa0/1) 82.2.2.1/24 route 172.16.1.0 255.255.255.0 82.1.1.2 route 172.16.2.0 255.255.255.0 82.2.2.2
PC 2 ip 172.16.2.1 gw 172.16.2.254
12 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
une fois la procdure appliqu, le routeur 1 est capable de faire un ping Laisser un commentaire vers ladresse 172.16.2.254 mais pas vers 172.16.2.1. Le routeur 3 est capable de fair un pigne vers ladresse 172.16.1.254 mais pas vers 172.16.1.1 et pour finir les pc ne peuvent pas faire de ping au dela de your name leur gateway. Est-ce que quelquun aurait une ide sur la cause du probme
email@address.co.uk www
Rpondre
Votre commentaire
COMMENTER
462
428
13 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
blog :
Renseignez votre adresse email afin de pouvoir vous inscrire la newsletter du site et recevoir tous les articles de chaque semaine dans votre boite mail. Notez bien que je ne diffuse pas votre adresse mail des tiers. Email
14 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
OK
Se dsabonner de la liste
Quel est la catgorie que vous lisez le plus ? Base de donnes Linux Scurit Supervision Microsoft Rseaux Autre
VOTE
Publicit
15 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
Liens
Centreon Mon Curriculum Vitae HORUS Ocan Indien Mvbelectronic
Ici on parle de
16 sur 17
26/02/2013 13:21
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
c#
gestion google
installation
esx
esxi
fonctionnement
nagios nagvis network oracle plugins protection prsentation rseau rseaux sauvegarde securite
securit server serveur SQL
web
Windows wordpress
Le fondateur
Passionn de supervision, virtualisation et rseaux, Loc FONTAINE exerce en tant que consultant en supervision chez HORUS OI. Sa passion l'a conduit naturellement fonder un blog afin de prsenter son travail en collaboration avec diffrents rdacteurs. Il est galement l'auteur d'un ouvrage sur Centreon publi aux ditions ENI.
17 sur 17
26/02/2013 13:21