Vous êtes sur la page 1sur 21

Les réseaux privés virtuels :

Présentation, configuration et mise en exploitation

10/11/2007

TOPNET

I / Présentation générale des réseaux privées virtuels (VPN)

1- Présentation générale

Les réseaux privés virtuels, plus connus avec l’abréviation VPN (Virtual Private Networks) sont l’ensemble d’interconnexion de réseaux locaux privés via un réseau public (typiquement Internet) en exploitant des connexions sécurisées entre les différents sites distants. Le concept de base sur lequel repose les VPN est le protocole de TUNNELING ou encapsulation de paquets qui sont préalablement chiffrés par des algorithmes de cryptographie, dans un nouveau paquet afin de les transmettre via un réseau public.

Ainsi, lorsqu'un système extérieur à un réseau privé (client nomade, agence ou travailleur à domicile) souhaite se connecter au réseau de son entreprise :

- les paquets (qui contiennent les données) sont chiffrés par le client VPN (selon l'algorithme décidé par les deux interlocuteurs lors de l'établissement du tunnel VPN) puis ils seront

transmis par le biais du réseau transporteur (Internet en général), enfin ils seront reçus par le serveur VPN qui les décrypte .

- Le concept de VPN fait abstraction de la technologie exploité par le réseau de transmission de données on peut donc utiliser les VPN avec une liaison FR, MPLS, X.25 ADSL etc

2 - Les topologies des réseaux VPN

Il existe 2 implémentations standard de réseaux VPN : les Site-to-Site VPN (ou VPN LAN à LAN) et le Client-to-Site VPN (ou VPN Client Serveur).

2-1 Les Client-to-Site VPN

VPN (ou VPN Client Serveur). 2-1 Les Client-to-Site VPN Figure 1 : Architecture VPN Client-Serveur Le

Figure 1 : Architecture VPN Client-Serveur

Le VPN Client-Serveur est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas:

Département des systèmes d’information

2

10/11/2007

TOPNET

1. L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accès et c'est le NAS qui établit la connexion cryptée.

2. L'utilisateur possède son propre logiciel client pour le VPN dans ce cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise.

2-1 Les Site-to-Site VPN

le réseau de l'entreprise. 2-1 Les Site-to-Site VPN Figure 2 : Architecture VPN LAN à LAN

Figure 2 : Architecture VPN LAN à LAN

Le VPN LAN à LAN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le Vpn (base de données

clients, informations financières

Des techniques de cryptographie sont mises en oeuvre pour

vérifier que les données n'ont pas été altérées. La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de

cryptographie.

).

3- Les protocoles de tunneling

Les principaux protocoles de tunneling sont :

GRE (Generic Routing Encapsulation) développé par Cisco et actuellement remplacé par

L2TP.

L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

Département des systèmes d’information

3

10/11/2007

TOPNET

SSL/TLS offre une très bonne solution de Tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN.

4- Le protocole IPSec

IPSec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au niveau de la couche réseau. IPSec se base sur deux mécanismes :

1. AH, pour Authentification Header vise à assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune confidentialité : les données fournies et transmises par ce "protocole" ne sont pas cryptés.

2. ESP, pour Encapsulating Security Payload peut aussi permettre l'authentification des

données mais est principalement utilisé pour le cryptage des informations. Bien qu'indépendants ces deux mécanismes sont toujours utilisés conjointement. Enfin, le protocole Ike permet de gérer les échanges ou les associations entre protocoles de sécurité. Avant de décrire ces différents protocoles, nous allons exposer les différents éléments utilisés dans IPSec.

5- La gestion des clefs pour IPSec : Isakmp et IKE

Un des problèmes fondamentaux d'utilisation de la cryptographie dans tout protocole sécurisé est la gestion de ses clefs. Le terme "gestion" recouvre la génération, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un système développé spécifiquement pour IPSec qui vise à fournir des mécanismes d'authentification et d'échange de clefs adaptés à l'ensemble des situations qui peuvent se présenter sur l'Internet.

5-1 Isakmp (Internet Security Association and Key Management Protocol)

Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs et plus généralement des associations de sécurité (Security Association). L’ensemble de ces traitements se font en deux étapes appelées phase 1 et phase 2 : dans la première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin d'établir entre les deux tiers un canal protégé ; dans un second temps, ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que l'on souhaite utiliser (AH et ESP par exemple).

Département des systèmes d’information

4

10/11/2007

TOPNET

5-2 Ike (Internet Key Exchange)

IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes:

Le mode principal (Main mode). Le mode agressif (Aggressive Mode). Le mode rapide (Quick Mode). Le mode nouveau groupe (New Group Mode).

Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.

a) Phase 1 : Main Mode ou Aggressive Mode

Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour Diffie- Hellman . Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode d'authentification choisi. Les formules exactes sont décrites dans la Rfc 2409.

b) Phase 2 : Quick Mode

Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par l'ajout d'un bloc Hash après l'en-tête Isakmp et la confidentialité est assurée par le chiffrement de l'ensemble des blocs du message.

Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme IPSec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la communication. Plus précisément, les échanges composant Ce mode ont le rôle suivant :

Négocier un ensemble de paramètres IPSec (paquets de SA).

Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible d'avoir recours à un nouvel échange Diffie-Hellman, afin d'accéder à la propriété de Perfect Forward Secrecy, qui n'est pas fournie si on se contente de générer une nouvelle clef à partir de l'ancienne et des aléas.

Département des systèmes d’information

5

10/11/2007

TOPNET

Au final, le déroulement d'une négociation IKE suit le diagramme suivant :

d'une négociation IKE suit le diagramme suivant : Figure 3 : Les étapes d’établissement du tunnel

Figure 3 : Les étapes d’établissement du tunnel VPN

Département des systèmes d’information

6

10/11/2007

TOPNET

II / Etude de cas : Configuration d’un Tunnel VPN entre un routeur Cisco 837 et un routeur Thomson ST-608

Nous allons détailler dans ce volet les différentes étapes pour configurer et mettre en exploitation un VPN entre deux sites distants. La figure ci-dessous présente la topologie qu’on va étudier.

Figure 4 : Architecture du réseau étudié
Figure 4 : Architecture du réseau étudié

Il faut noter dans ce contexte, qu’on peut généraliser cette topologie qui ne présente que 2 vis-à-vis (à savoir le réseau LAN du siège et celui de l’Agence) à une architecture plus généralisé qui comporte n agences, donc n tunnel VPN. L’acheminement des paquets entre les différentes agences ce fait par simple paramétrage de routes dans le routeur du siège.

1 - Configuration du routeur Cisco 837

La configuration de l’accès ADSL pour le routeur Cisco 837 est détaillée dans l’annexe en fin de cette documentation. Il est impératif de configurer et de tester l’accès au réseau Internet avant de passer à la configuration et l’activation du protocole IPSec sur le routeur.

Etape 1 : Configuration de la règle pour IKE

le routeur . Etape 1 : Configuration de la règle pour IKE (config)#crypto isakmp policy 1

(config)#crypto isakmp policy 1 // configure la priorité de la règle pour le protocole IKE du VPN.

1 // configure la priorité de la règle pour le protocole IKE du VPN. Département des
1 // configure la priorité de la règle pour le protocole IKE du VPN. Département des

Département des systèmes d’information

1 // configure la priorité de la règle pour le protocole IKE du VPN. Département des
1 // configure la priorité de la règle pour le protocole IKE du VPN. Département des

7

10/11/2007

TOPNET

(config-isakmp)#encryption 3des // cette commande indique que l’algorithme de cryptage de paquets qu’on va utiliser est le Triple DES.

(config-isakmp)#hash md5

sera le MD5. (config-isakmp)#authentication pre-share // cette commande indique que la clef d’authentification initiale sera partagée et qu’on ne dispose pas d’autorité de certification CA. (config-isakmp)#group 2 // Le group 2 de Diffie Hellman. (config-isakmp)#lifetime 480 // Spécifie la durée de vie en seconde pour l’association de sécurité (SA) d’IKE. (config-isakmp)#end // fin de configuration de la règle.

// cette commande précise que l’algorithme de hachage

Etape 2 : L’authentification de la passerelle distante:

(config)#crypto isakmp identity address // Cette commande indique que l’hôte distant sera identifié par son adresse. (config)#crypto isakmp key topnet address 196.203.53.111 // Cette commande indique que la clé partagé est « topnet » et elle sera utilisé avec le client distant 196.203.53.111. Si on veux utiliser cette clé avec n’importe quel client distant on remplace cette @IP par 0.0.0.0

Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois la commande présentée ci-dessus avec une clé différente (ou la même clé) et en précisant à chaque fois l’adresse IP public du routeur distant. Exemple :

Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on ajoute la commande crypto isakmp key topnet address 196.203.44.109.

(config)#end // fin de configuration.

Etape 3 : Configuration du tunnel IPSec (cela implique la création de l’access-list et d’une transform- set). a) Les access-list de contrôle de trafic (config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255 (config)# access-list 110 permit ip 192.168.231.0 0.0.0.255 192.168.1.0 0.0.0.255 La première access-list donne le droit aux utilisateurs du réseau LAN distant d’accéder au réseau local du siège. La deuxième access-list donne le droit aux utilisateurs du réseau LAN du siège d’accéder au réseau local de l’agence.

Département des systèmes d’information

8

10/11/2007

TOPNET

Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois les deux « access-list » présentées ci-dessus pour permettre l’acheminement du trafic dans le sens entrant et le sens sortant entre les deux réseaux reliés par le tunnel VPN.

Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute les « access-list » suivantes :

(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 (config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

b) Les access-list de contrôle du NAT

(config)# access-list 101 deny

(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any

ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255

Ces deux access-list seront utilisées pour désactiver le natting entre les deux réseaux LAN et le permettre ailleurs (vers le réseau Internet) . On applique l’access-list 101 avec le natting comme suit :

(config)# ip nat inside source list 101 interface Dialer0 overload

Rq : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois l’access-list qui désactive le NAT (la première access-list : celle du deny) présentées ci-dessus pour désactiver le NAT entre le réseau central et le nouveau site réseau distant.

Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute l’access-list suivante :

(config)# access-list 101 deny

ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Etape 4 : La Transform-Set

La transform-set permet de définir quels algorithmes de sécurité et quel mode (mode tunnel ou transport) le routeur doit utiliser pour initier le tunnel. Si aucun mode n’est spécifié‚ c’est le mode tunnel qui est utilisé par défaut. Au sein d’une transform-set ‚ il est possible d’utiliser plusieurs algorithmes que le routeur testera à tour de rôle.

(config)#crypto ipsec transform-set ts1 esp-md5-hmac esp-3des (cfg-crypto-trans)#mode tunnel (cfg-crypto-trans)#end

Département des systèmes d’information

9

10/11/2007

TOPNET

Remarques :

ts1 est le nom de la Transform-Set

AH (Authentification Header) : procédé qui garantit l'authenticité des trames IP par ajout vérifier l'intégrité des données contenues dans le paquet.

ESP (Encapsulating Security Payload) : procédé qui assure la confidentialité et l'authenticité en générant à partir de la trame d'origine des données chiffrées sur une nouvelle trame.

Etape 5 : La Crypto map

Les crypto map permettent d’associer un certain type de trafic à une certaine destination ainsi qu’à une ou des règles de sécurité IPSEC.

(config)# crypto map map_vpn 10 ipsec-isakmp //le nom de la crypto map est map_vpn (cfg-ctypto-map)#match address 110 // l’access-list 110 sera appliqué au tunnel VPN. (cfg-ctypto-map)#set peer 196.203.53.111 // spécifie l’adresse ip du routeur distant. (cfg-ctypto-map)#set transform-set ts1 // on applique la transform-set ts1 sur cette crypto map. (cfg-ctypto-map)#exit

Remarques :

map_vpn est le nom de la crypto map

si on dispose de ‘’n’’ site à interconnecter par des tunnels VPN on exécute ‘’n’’ fois la commande ‘’ set peer adresse_IP_publique_du_routeur_distant ‘’

Exemple :

Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on ajoute la commande set peer 196.203.44.109.

Etape 6 : Appliquer la Crypto Map sur une interface

Finalement on choisit l’interface à travers laquelle on veut établir un tunnel VPN. Dans notre cas on veut établir une connexion VPN via une connexion ADSL, donc on choisira L’interface Dialer0.

(config)# interface Dialer 0 (config-if)# crypto map map_vpn (config-if)# exit

N.B : il ne faut pas oublier de configurer les routes statiques comme suit :

(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

Département des systèmes d’information

10

10/11/2007

TOPNET

(config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

Remarque :

Si on dispose de plus qu’un site distant il est recommandé de définir les routes de la manière suivantes :

‘’ Ip route réseau_LAN_distant masque_réseau_LAN_distant @IP_WAN_du_routeur_distant ‘’

Exemple :

Si on dispose de deux agences distantes possédant respectivement les adresse réseau LAN 192.168.231.0 /24 et 192.168.2.0/24 et les adresses IP publique 196.203.53.111 et 196.203.44.109 les routes seront définies comme suit :

(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 (config)# ip route 192.168.231.0 255.255.255.0 196.203.53.111 (config)# ip route 192.168.2.0 255.255.255.0 196.203.44.109 (config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

2 - Configuration du routeur Thomson SpeedTouch 608

La configuration du routeur Thomson ST-608 se fait à travers son interface graphique. Pour ce faire, suivez les étapes suivantes :

Etape 1 : Connecter vous à l’interface d’administration du routeur via un navigateur internet. ( @IP par défaut : 192.168.1.254)

Etape 2 : Parmi les rubriques qui apparaissent à gauche de l’interface d’administration choisir « Mode expert », puis choisir la rubrique « VPN », enfin choir l’option « LAN to LAN ».

Vous aurez une interface pareil à celle-ci :

Département des systèmes d’information

11

10/11/2007

TOPNET

10/11/2007 TOP NET Figure 5 : Interface de configuration des paramètres VPN Il faut préciser que

Figure 5 : Interface de configuration des paramètres VPN

Il faut préciser que pour un ST-608 il faut au premier lieu spécifier une « Remote Gateway » (une passerelle distante), ensuite on crée une nouvelle connexion à cette passerelle. Puisqu ‘on connaît déjà l’adresse IP du routeur distant on choisit l’onglet « Remote Gateway Address Known » (qui apparaît déjà par défaut), sinon on choisi l’autre onglet.

Etape 3 : On spécifie l’adresse IP public de la passerelle distante dans le champ « Address or FQDN ». Si notre passerelle distante dispose d’une liaison de Backup alors on mentionne cette adresse dans le champ « Backup Address or FQDN ».

Etape 4 : Puis qu’on ne dispose pas d’autorité de certification on clique sur le bouton «Use Preshared Key Authentication», la fenêtre s’enrichira par de nouveaux champs et apparaîtra comme suit ( voire figure 6).

Département des systèmes d’information

12

10/11/2007

TOPNET

10/11/2007 TOP NET Figure 6 : Interface de configuration des paramètres IKE • Dans le champ

Figure 6 : Interface de configuration des paramètres IKE

Dans le champ « Preshared Secret » on définie la clé partagé à utiliser avec la passerelle distante, dans notre cas on mentionne la clé qu’on a déjà inscrite dans le routeur Cisco 837 qui est « topnet ».

Dans le champ « Confirm Secret » on retape la même clé .

Dans le champ « Local ID Type » on définie le type d’identification du routeur distant, pour cela on choisi « addr » qui signifie : identification par adresse IP.

Dans le champ « Local ID » on définie l’adresse WAN du ST-608.

Dans le champ « Remote ID Type » on définie le type d’identification utilisé par le routeur distant, pour cela on choisi « addr » qui signifie : identification par adresse IP.

Dans le champ « Remote ID » on définie l’adresse WAN du Cisco 837.

Etape 5 : Choix du mode de connexion et des paramètres IKE

Dans le menu déroulant relatif au choix de l’interface de connexion « Primary Untrusted Physical Interface » on pourra choisir l’interface WAN1 ou la laisser à Any, dans ce cas le routeur vérifiera sur quel interface du routeur, l’adresse IP publique qu’on a spécifié est appliqué et paramétra automatiquement l’interface avec laquelle on utilisera un tunnel VPN.

Dans le menu déroulant « IKE Exchange Mode » on choisit le mode de connexion « main »

Département des systèmes d’information

13

10/11/2007

TOPNET

Dans le champ « Inactivity Timeout » on spécifie le temps de maintient du tunnel même s’il y

a aucun trafic véhiculé entre les deux réseaux.

Le menu déroulant « IKE Security Descriptor » permet de choisir les algorithmes de cryptographie et de hachage à utiliser, dans notre cas on va choisir « 3DES_MD5 »

Etape 6 : Validation et création de la passerelle

Après avoir validé les étapes décrites précédemment on les valides en cliquant sur le bouton

« Apply » on remarquera qu’un bouton « New connection to this gateway » apparaît et que

l’adresse de notre passerelle s’ajoute dans la colonne « Gateway Address » en haut de la page. On obtient une configuration similaire à celle décrite par la figure suivante :

similaire à celle décrite par la figure suivante : Figure 7 : Création d’une nouvelle Gateway

Figure 7 : Création d’une nouvelle Gateway

Département des systèmes d’information

14

10/11/2007

TOPNET

Etape 7 : Création d’une nouvelle connexion à la passerelle

Après avoir crée la passerelle on clique sur le bouton « New connection to this gateway » on obtient une page similaire à celle-ci :

gateway » on obtient une page similaire à celle-ci : Figure 8 : Création d’une nouvelle

Figure 8 : Création d’une nouvelle connexion

Dans le champ « Local Trusted Network Type » on définie si on veut autoriser à une seule machine ou à un sous réseau ou à une plage d’adresse IP d’accéder au réseau distant. Ceci est similaire au access-list pour un routeur Cisco. Donc, comme précisé dans la figure 8, on va choisir un « subnet » (sous réseau).

Dans le champ « Local Trusted Network IP » on mentionne l’adresse du sous réseau suivie de son masque sous la forme x.x.x.x / 24.

Dans le champ « Remote Trusted Network Type » on met la même valeur que pour le premier champ.

Dans le champ « Remote Trusted Network IP » on va mentionner l’adresse du réseau LAN distant.

Pour le descripteur du tunnel IPSec on choisit « 3DES_MD5_TUN ».

On valide la création de la nouvelle connexion par clique sur le bouton Add (voire figure 8). On aura une interface similaire à celle de la figure 9 :

Département des systèmes d’information

15

10/11/2007

TOPNET

10/11/2007 TOP NET Figure 9 : Paramètres de la nouvelle connexion • On remarque bien que

Figure 9 : Paramètres de la nouvelle connexion

On remarque bien que des nouveaux boutons sont ajoutés à l’interface d’administration et une deuxième ligne relative à la nouvelle connexion s’ajoute en dessous de celle relative à la passerelle. Dans cette deuxième ligne apparaît l’état de la connexion : si l’état est « enabled » alors l’interface est prête mais la connexion n’est pas encore établie.

Les boutons « Start » et « Stop » permettent respectivement d’établir et de stopper une connexion VPN à la passerelle distante. Si on clique sur le bouton « Start » et que les paramètres de connexion sont symétriques de part et d’autre du tunnel, alors le Label «enabled » passe à « running ». Si malgré tout l’état de la connexion reste à «enabled » alors le tunnel ne s’est pas établi et on en déduit qu’il y a une erreur de paramétrage dans l’un des routeurs.

Le bouton « Status » donne un aperçu sur l’état des deux phases d’établissement de connexion VPN. Si la connexion s’est bien établie, le clique sur le bouton « Status » nous fournira un résultat pareil :

Département des systèmes d’information

16

10/11/2007

TOPNET

STATUS:

session id [10] local ID : ipv4/196.203.53.111 remote ID : ipv4/196.203.17.157 name : AUTOL_to_196.203.53.135_#1 last role : initiator role changes : 0 lastseen : 1 seconds ago nat status : port swapped, keepalive sa count : 2 p1 exchanged : 1 p2 exchanged : 1

negotiated phase 1 SA's :

-> peer AUTOL_to_196.203.53.135_#1 index : 12 state : READY ALWAYS_ON icookie : 0xFB00CC08F7723908 rcookie : 0x1FF0557421F701CF lifetime : 466 s enc algo : 3DES hash algo: MD5 group : MODP1024 ike in pkts : 5 ike in bytes : 736 ike in drop pkts : 0 ike out pkts : 5 ike out bytes : 815 ike out drop pkts : 1 ike in QM exchanges : 0 ike invalid in QM exchanges : 0 ike rejected in QM exchanges : 0 ike in QM delete requests : 0 ike out QM exchanges : 1 ike invalid out QM exchanges : 0 ike rejected out QM exchanges : 0 ike out QM delete requests : 0 ike in mode-cfg requests : 0 ike in rejected mode-cfg requests : 0 ike out mode-cfg requests : 0 ike out rejected mode-cfg requests : 0

Département des systèmes d’information

17

10/11/2007

TOPNET

negotiated phase 2 SA pairs :

-> connection AUTOL_196.203.53.111_to_196.203.53.135_#1 index : 11 state : READY ALWAYS_ON spi's : in(0x525DA1B6) out(0x85EE4812) lifetime : 3456 s protocol : ESP enc algo : 3DES auth algo : HMAC-MD5 pfs : no ipsec in bytes : 6384 ipsec in packets : 57 ipsec in decrypt packets : 57 ipsec in auth packets : 57 ipsec out bytes : 6840 ipsec out packets : 57 ipsec out crypt packets : 57 ipsec out auth packets : 57 ipsec in drops : 0 ipsec in replay drops : 0 ipsec in auth failed drops : 0 ipsec in decrypt failed drops : 0 ipsec out drops : 0 ipsec out auth failed drops : 0 ipsec out crypt failed drops : 0

On remarque bien que les deux phases de connexion se sont bien déroulées.

Le bouton « Statistics » fournit des informations sur le nombre de paquets reçus, le nombre de paquets cryptés et décryptés etc

Département des systèmes d’information

18

10/11/2007

TOPNET

3 – Astuces et erreurs usuelles

Pour vérifier le bon établissement du tunnel VPN du côté routeur ST-608 on clique sur le bouton « Status » on devrai avoir un output analogue à celui cité ci-dessus.

Du côté du routeur Cisco 837, la commande : show crypto isakmp sa et show crypto ipsec sa

fournissent respectivement un aperçu sur l’état de la connexion VPN.

Rq : Une fois le timeout de la connexion VPN est expiré le tunnel VPN est automatiquement désactivé. Toute réutilisation ultérieure de la connexion réactivera automatiquement le tunnel VPN sans intervention manuelle (ceci après un bref délai de négociation des associations de sécurité).

Parmi les erreurs usuelles pouvant empêcher un tunnel VPN de s’établir on peut citer :

Configuration d’une clé pré-partagée différente de part et d’autre des routeurs.

Choix d’un algorithme de cryptage ou de hachage différents de part et d’autre des routeurs.

Mauvais paramétrage des access-list du routeur Cisco ou des Adresses IP locales et distantes autorisées, pour le routeur ST-608.

des Adresses IP locales et distantes autorisées, pour le routeur ST-608. Département des systèmes d’information 1

Département des systèmes d’information

19

10/11/2007

TOPNET

Annexe

La configuration de l’accès Internet via ADSL sur le routeur Cisco 837 est définie comme suit :

Etape 1 : Configuration de l’interface Ethernet0

Router#configure terminal Router(config)#interface ethernet0 Router(config-if)#ip address @IP_choisie masque_sous_reseau Router(config-if)#ip nat inside Router(config-if)#ip virtual-reassembly Router(config-if)#ip tcp adjust-mss 1412 Router(config-if)#hold-queue 100 out Router(config-if)#exit

Etape 2 : Configuration de l’interface ATM0

Router#configure terminal Router(config)#interface ATM0 Router(config-if)#ip dhcp client client-id dialer0 Router(config-if)#pvc 0/35 Router(config-if-atm-vc)#pppoe-client dial-pool-number 1 Router(config-if-atm-vc)#exit Router(config-if)#exit

Etape 3 : Configuration de l’interface Dialer0

Router#configure terminal Router(config)#interface dialer0 Router(config-if)#ip address negotiated Router(config-if)#ip mtu 1442 Router(config-if)#ip nat outside Router(config-if)#encapsulation ppp Router(config-if)#ip tcp adjust-mss 1452 Router(config-if)#dialer pool 1

Département des systèmes d’information

20

10/11/2007

TOPNET

Router(config-if)#dialer-group 1 Router(config-if)#ppp authentication chap callin Router(config-if)#ppp chap hostname login_FAI Router(config-if)#ppp chap password 0 password_FAI Router(config-if)#ppp ipcp dns request Router(config-if)#exit

A ce stade il ne faut pas oublier de configurer les routes statiques suivantes :

Router(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent Router(config)# ip route adresse_sous_reseau masque_sous_reseau Ethernet0

Une fois que la configuration présentée dans ce volet est appliquée on peut tester l’état de la connexion à Internet.

Département des systèmes d’information

21