VPN

Conguration VPN IPSec avec des routeurs CISCO | Lol...
http://www.lolokai.com/reseaux-2/conguration-dun-vpn-...
MES LIENS FAVORIS
FILTOKAI
CONTACT
AUTEURS
Rechercher
BASE DE DONNES
DVELOPPEMENT
MICROSOFT
LINUX
LIVRES
RSEAUX
SCURIT
SITE INTERNET
SUPERVISION
VIRTUALISATION
RSEAUX
Configuration dun VPN IPSec entre deux routeurs Cisco

Partager cet article
Said ASSOUMANI 27 mars 2012
Article crit en collaboration avec Loc FONTAINE
1 sur 17
26/02/2013 13:21
Introduction
Dfinition
VPN est lacronyme de Virtual Private Network soit un rseau priv virtuel.
Par exemple, cela va nous permettre depuis notre domicile, davoir accs au rseau local dun autre site distant (notre entreprise par exemple) travers une connexion internet scuris (IpSec). On parle alos de VPN Remote-Access.
Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situs deux endroits bien distinct, linstar des lignes ddies o lon devais passer par un oprateur ou encore au lieu de mettre en place des liens physique entre ces deux sites (fibre optique) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site.
Ainsi, on aura accs aux ressources de notre entreprise (fichiers partags, intranet, extranet) comme si on y tait.
Fonctionnement
VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux donnes de passer dune extrmit du VPN lautre de manire scuris en
2 sur 17
26/02/2013 13:21
utilisant des algorithmes de cryptographie.
Dans notre exemple, nous allons utilis le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialit, lintgrit et lauthentification des changes.
Configuration dun VPN IPSec

Il faut savoir quil y a deux types de VPN :
Site-to-Site : Liaison entre deux sites distants Remote-Access : Liaison entre une machine distance et un site Informations
Quelques informations pour notre topologie :
1. Nous allons utilis le protocole : esp 2. Pour la confidentialit nous utiliserons AES 128 bits 3. Pour lintgrit nous utiliserons le SHA-1 4. Pour lauthentification nous utiliserons la cl pr-partage 5. Et nous utiliserons le group 2 pour Diffie-Helman En ce qui concerne la cl pr partage (Pre-shared key) on va mettre une cl commune sur les deux routeurs pour quils puissent sauthentifier entre eux. Diffie-Helman est un protocole qui va permettre lchange de la cl de chiffrement de manire scurise (sans envoyer la cl explicitement sur le rseau). Nous allons au tout au long de la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2.
3 sur 17
26/02/2013 13:21
Pour faire simple dans lIKE de phase 1 nous allons configurer les politiques IKE (mthode de chiffrement, dure de vie, mthode dintgrit) ce qui va permettre de dfinir une IKE Security Association. Dans lIKE de phase 2 nous allons configurer les politique de scurit IPSec (protocole esp, vrifier le type de liaison) afin davoir un IPSec Security Association.
Les Routeurs doivent IMPERATIVEMENT avoir les mmes politiques IKE et IPSec configures.
Configuration dun VPN Site-to-site
Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre ltablissement dune liaison avec RouteurMaison.
Cration dun acl tendue permettant ltablissement dun tunnel VPN
Ici nous allons autoriser ltablissement dun tunnel IPSec entre les deux routeurs :
RouteurEntreprise(config)#ip access-list extended IPSECACL
4 sur 17
26/02/2013 13:21
RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp RouteurEntreprise(config-ext-nacl)#exit
Cration de notre politique IKE pour la phase 1
Nous dfinissons notre politique IKE.
RouteurEntreprise(config)#crypto isakmp policy 100 RouteurEntreprise(config-isakmp)#encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 RouteurEntreprise(config-isakmp)#hash sha RouteurEntreprise(config-isakmp)#lifetime 86400 RouteurEntreprise(config-isakmp)#exit
Cration de cl pr-partag
Nous dfinissons la cl pr-partage : VpnK3! ainsi que ladresse IP du routeur distant avec lequel on communique
RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2
Cration de notre politique IPSec pour la phase 2
5 sur 17
26/02/2013 13:21
Nous dfinissons notre transform-set pour ltablissement dune liaison IPSec SA
RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac
Cration de la crypto ACL
Nous crons la crypto ACL qui est une ACL qui va identifier le traffic interessant cest dire le traffic qui doit passer par le tunnel VPN (ici cest le traffic depuis le LAN Entreprise vers le LAN Maison)
RouteurEntreprise(config)#ip access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 RouteurEntreprise(config-ext-nacl)#exit
Cration de la crypto MAP
Nous crons la crypto map qui dfinit le chemin quemprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et ladresse IP du routeur distant avec lequel on veut communiquer.
RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsecisakmp RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address
6 sur 17
26/02/2013 13:21
CRYPTOACL RouteurEntreprise(config-crypto-map)#exit
Application de notre crypto map et de lacl pour autoriser le tunnel sur linterface de sortie s0/0/0
On application la crypto-map et lACL qui autorise ltablissement du VPN.
RouteurEntreprise(config)#interface s0/0/0 RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit
Configurer le RouteurMaison
La configuration est la mme que pour Routeurentreprise lexception de :
Dans lACL IPSECACL on doit inverser ladresse IP de lhte source et de lhte de destination Dans la dfinition du transform-set on doit changer ladresse du peer en mettant ladresse IP de RouteurEntreprise Dans lACL CRYPTOACL on doit inverser le rseau source et le rseau de destination Dans la crypto map on doit mettre comme adresse du peer ladresse IP de RouteurEntreprise
Conclusion:
Nous venons travers de ce billet voir le principe dun VPN et surtout comment
7 sur 17
26/02/2013 13:21
configurer un VPN de type Site-to-site sur un quipement Cisco.
Que penser vous de ce billet ? Utilisez-vous du VPN dans le cadre de votre travail ou dans dautres situation ? Vous est-il dj arriv de configurer un VPN ? Si oui, avec quels protocoles ?Said ASSOUMANI
Tagged with: ah, cisco, configuration, esp, ike, ipsec, remote access, site-to-site, virtual private network, vpn
Tweeter
Like
Mise en place dun serveur DNS sous Windows Server 2008 ou 2008 R2
Installation dun serveur OCS coupl avec GLPI sous Ubuntu 11.10
Articles lis
8 sur 17
26/02/2013 13:21
Cisco et le NTP : Synchronisez les horloges de vos quipements

Loic FONTAINE novembre 2011 17
Jai oubli le mot de passe de mon quipement Cisco : La solution

Loic FONTAINE septembre 2011 21
Une bonne politique de mot de passe sur votre quipement Cisco

Loic FONTAINE dcembre 2011 7
Scuriser ladministration distante de son quipement Cisco

Loic FONTAINE 2011 30 mai
Les ACLs sur les quipements Cisco

cedric.robert 2012 26 mars
Comments (5)
9 sur 17
26/02/2013 13:21
7 juin 2012 at 11 h 00 min
Merci beaucoup pour cette explication.
Jtais en train de chercher comment relier deux sites et javais prvu des modems/routeurs Cisco qui grent les tunnels VPN IPSec 50 et le protocole rseau IPSec.
Ton article est bien clair, merci du partage de connaissance dans le world wide web !
Rpondre
10 sur 17
26/02/2013 13:21
Roland
17 juillet 2012 at 13 h 06 min
Bonjour,cest une trs bonne pratique, est-il possible de le faire avec le stimulateur tels que pachet tracer version 5.3?
Rpondre
17 juillet 2012 at 13 h 11 min
Oui il est possible dutiliser Packet Tracer 5.3 pour mettre en place un VPN
23 dcembre 2012 at 3 h 59 min
Merci beaucoup pour ce guide . si ce nest pas trop vous demander je cherche un article clair comme le votre pour la configuration dun Remote Access VPN ( IPSEC).
11 sur 17
26/02/2013 13:21
Nicolas
25 novembre 2012 at 2 h 00 min
Je ne sais pas ce que je fait de mal. Jai crer un petit rseau avec packet tracer avec 2 pc et 3 routeurs dont un des routeurs reprsente internet. Le pc 1 est connecter sur le routeur 1 sur linterface fa0/0. Le routeur 1 est connecter sur le routeur 2 de linterface fa0/1 vers linterface fa0/0. Le routeur 2 est connecter au routeur 3 de linterface fa0/1 vers linterface fa0/1. Le routeur 3 est connecter sur le pc 2.
PC 1 ip 172.16.1.1/24 gw 172.16.1.254
Routeur 2 ip (fa0/0) 172.16.1.254/24 ip (fa0/1) 82.1.1.2/24 route 0.0.0.0 0.0.0.0 82.1.1.1
Routeur 2 ip (fa0/0) 82.1.1.1/24 ip (fa0/1) 82.2.2.1/24 route 172.16.1.0 255.255.255.0 82.1.1.2 route 172.16.2.0 255.255.255.0 82.2.2.2
Routeur 3 ip (fa0/1) 82.2.2.2/24 ip (fa0/0) 172.16.2.254/24 route 0.0.0.0 0.0.0.0 82.2.2.1
PC 2 ip 172.16.2.1 gw 172.16.2.254
avant la procdure dcrite mon pc 1 ping mon pc 2 sans problme mais
12 sur 17
26/02/2013 13:21
une fois la procdure appliqu, le routeur 1 est capable de faire un ping Laisser un commentaire vers ladresse 172.16.2.254 mais pas vers 172.16.2.1. Le routeur 3 est capable de fair un pigne vers ladresse 172.16.1.254 mais pas vers 172.16.1.1 et pour finir les pc ne peuvent pas faire de ping au dela de your name leur gateway. Est-ce que quelquun aurait une ide sur la cause du probme
email@address.co.uk www
Rpondre
Votre commentaire
COMMENTER
462
428
Premier livre sur Centreon
Dcouvrez le premier livre franais sur Centreon co-rdig par le fondateur de ce
13 sur 17
26/02/2013 13:21
blog :
Le blog dans votre boite mail ;)
Renseignez votre adresse email afin de pouvoir vous inscrire la newsletter du site et recevoir tous les articles de chaque semaine dans votre boite mail. Notez bien que je ne diffuse pas votre adresse mail des tiers. Email
14 sur 17
26/02/2013 13:21
OK
Se dsabonner de la liste
Quel est la catgorie que vous lisez le plus ? Base de donnes Linux Scurit Supervision Microsoft Rseaux Autre
VOTE
Voir les rsultats
Publicit
15 sur 17
26/02/2013 13:21
Liens
Centreon Mon Curriculum Vitae HORUS Ocan Indien Mvbelectronic
Ici on parle de
16 sur 17
26/02/2013 13:21
c#
centos centreon cisco
gestion google
installation
configuration developpement dns

ios iphone
esx
esxi
fonctionnement
linux microsoft mise en place mise jour mysql
nagios nagvis network oracle plugins protection prsentation rseau rseaux sauvegarde securite
securit server serveur SQL
web
supervision scurit ubuntu vcenter virtualisation vmware vsphere
Windows wordpress
Le fondateur
Passionn de supervision, virtualisation et rseaux, Loc FONTAINE exerce en tant que consultant en supervision chez HORUS OI. Sa passion l'a conduit naturellement fonder un blog afin de prsenter son travail en collaboration avec diffrents rdacteurs. Il est galement l'auteur d'un ouvrage sur Centreon publi aux ditions ENI.
Lolokai - Informatique depuis 2011
17 sur 17
26/02/2013 13:21

VPN

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

VPN

Transféré par

Droits d'auteur :

Formats disponibles

Conguration VPN IPSec avec des routeurs CISCO | Lol...

MES LIENS FAVORIS

Configuration dun VPN IPSec entre deux routeurs Cisco

Article crit en collaboration avec Loc FONTAINE

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Conguration VPN IPSec avec des routeurs CISCO | Lol...

utilisant des algorithmes de cryptographie.

Configuration dun VPN IPSec

Quelques informations pour notre topologie :

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Configuration dun VPN Site-to-site

Cration dun acl tendue permettant ltablissement dun tunnel VPN

RouteurEntreprise(config)#ip access-list extended IPSECACL

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Cration de notre politique IKE pour la phase 1

Nous dfinissons notre politique IKE.

RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2

Cration de notre politique IPSec pour la phase 2

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Nous dfinissons notre transform-set pour ltablissement dune liaison IPSec SA

RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac

Cration de la crypto ACL

Cration de la crypto MAP

Conguration VPN IPSec avec des routeurs CISCO | Lol...

On application la crypto-map et lACL qui autorise ltablissement du VPN.

La configuration est la mme que pour Routeurentreprise lexception de :

Conguration VPN IPSec avec des routeurs CISCO | Lol...

configurer un VPN de type Site-to-site sur un quipement Cisco.

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Cisco et le NTP : Synchronisez les horloges de vos quipements

Jai oubli le mot de passe de mon quipement Cisco : La solution

Une bonne politique de mot de passe sur votre quipement Cisco

Scuriser ladministration distante de son quipement Cisco

Les ACLs sur les quipements Cisco

Conguration VPN IPSec avec des routeurs CISCO | Lol...

7 juin 2012 at 11 h 00 min

Merci beaucoup pour cette explication.

Conguration VPN IPSec avec des routeurs CISCO | Lol...

17 juillet 2012 at 13 h 06 min

17 juillet 2012 at 13 h 11 min

23 dcembre 2012 at 3 h 59 min

Conguration VPN IPSec avec des routeurs CISCO | Lol...

25 novembre 2012 at 2 h 00 min

Routeur 2 ip (fa0/0) 172.16.1.254/24 ip (fa0/1) 82.1.1.2/24 route 0.0.0.0 0.0.0.0 82.1.1.1

Routeur 3 ip (fa0/1) 82.2.2.2/24 ip (fa0/0) 172.16.2.254/24 route 0.0.0.0 0.0.0.0 82.2.2.1

avant la procdure dcrite mon pc 1 ping mon pc 2 sans problme mais

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Premier livre sur Centreon

Dcouvrez le premier livre franais sur Centreon co-rdig par le fondateur de ce

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Le blog dans votre boite mail ;)

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Voir les rsultats

Conguration VPN IPSec avec des routeurs CISCO | Lol...

Conguration VPN IPSec avec des routeurs CISCO | Lol...

centos centreon cisco

configuration developpement dns

linux microsoft mise en place mise jour mysql

supervision scurit ubuntu vcenter virtualisation vmware vsphere

Lolokai - Informatique depuis 2011

Vous aimerez peut-être aussi