Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.

net

Page 1 sur 11

Mise en place dun VPN IPSec avec un Netasq U70

Publi le 16/04/2012
Cet article a pour but dexpliquer comment configurer le routeur Netasq U70 (configuration de lautorit de certification, mise en place du tunnel et configuration du parefeu) et le client IPSec gratuit Shrew Soft afin dtablir un tunnel scuris entre ces deux lments.

I.Configuration du routeur Netasq U70 :

I.1 Configuration de lautorit de certification (PKI) :
Il convient dans un premier temps de crer notre PKI interne qui servira fournir les certificats aux diffrents utilisateurs du VPN. Pour cela nous allons dans le menu de
gauche : PKI > Gnral

Nous utiliserons lassistant de cration de PKI en cliquant sur le bouton du mme nom.

Nous allons ensuite dtailler les diffrentes informations de notre PKI :

Une fois la page remplie, nous pouvons passer ltape 2 en cliquant sur Suivant. Nous allons ensuite dfinir un mot de passe associ la CA. Celui-ci est important car
il vous sera demand chaque cration de certificat.

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 2 sur 11

Nous allons personnaliser la validit de notre autorit de certification CA et des certificats utilisateurs ainsi que la complexit de leurs cls. Jai choisis de laisser les
valeurs par dfaut.

Aucun outil particulier na besoin daccder la CRL, nous ne dfinirons donc aucun lien vers celle-ci. En effet, lors de lchange de certificat la CRL est consult de
manire locale sur le routeur, afin de vrifier si le certificat est bloqu ou non.

Enfin nous pouvons spcifier ltape 5 si nous permettons aux utilisateurs deffectuer eux-mmes la demande de certificat. Dans notre cas de figure ce paramtre est
inutile, nous ne le cochons donc pas.

Notre PKI est maintenant fonctionnelle et peux dlivrer des certificats aux utilisateurs.
I.2 Cration de lutilisateur LDAP :
Nous allons crer lutilisateur dans lannuaire LDAP du routeur Netasq et lui associer un certificat. Cela nous permettra dexporter le certificat sur la machine cliente et
davoir dans le rapport syslog un nom de connexion VPN plus prcis sur lutilisateur connect.
Cliquons dans le bandeau de gauche sur le menu Objets. Une nouvelle fentre souvre. Cliquons sur le bouton Nouveau et choisissons Utilisateur :

Dans cette fentre remplissez le nom, lidentifiant (pour Florent Fragnol -> ffragnol par exemple) le prnom ainsi que lemail et plus si vous le dsirez. Ensuite cliquons
sur Terminer .

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 3 sur 11

Une fentre rcapitulant les informations saisies souvre. Allons dans longlet accs et cochons comme VPN autoris le VPN IPSec sans modifier la cl.

Plaons nous dans longlet certificat puis cliquons sur Crer le certificat .

Une fentre apparait nous demandant le mot de passe de la CA prcdemment dfinit, et nous demande de choisir un mot de passe associ au certificat de lutilisateur.
Il est fortement conseill de choisir un mot de passe complexe. Ce mot de passe sera demand lutilisateur ds quil tablira une connexion avec le rseau distant.

Un message nous avertira que la cration du certificat a t effectue. Il ne nous reste plus qu exporter le certificat en cliquant sur le bouton Exporter le certificat .
Puis nous choisirons le format dexport PKCS12.

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 4 sur 11

Nous disposons donc dun certificat PrenomNom.p12 qui contient les informations telles que le certificat X509 didentification de lutilisateur, une cl publique et une
cl priv. Ce fichier sera transfrer manuellement sur le poste de lutilisateur vers cet emplacement : C:\Program Files\ShrewSoft\VPN Client\certificates .

I.3 Cration du tunnel IPSEC :

Nous allons maintenant crer notre tunnel IPSec nous permettant de connecter un ordinateur nomade au rseau de lentreprise. Naviguons dans le bandeau de gauche
pour aller sur le menu VPN > Tunnels IPSec :

tape 1 = Une fentre souvre nous proposant de slectionner un slot VPN. Nous slectionnerons un slot vide et diterons celui-ci avec le bouton Editer .
Un assistant souvre nous guidant dans le processus de cration de tunnel IPSec. Nous donnerons dans un premier temps un nom notre tunnel IPSec puis nous
choisirons un modle de protection. Par dfaut Netasq propose le modle Good Encryption qui daprs eux est le meilleur rapport scurit/rapidit, nous choisirons
celui-ci :

tape 2 = cette deuxime tape nous propose de choisir le type de tunnel. Nous avons le choix entre deux tunnels dynamique (le modle statique tant obsolte). Ces
deux types de tunnels sont bass sur une ngociation dynamique des paramtres des tunnels VPN grce au protocole IKE. Nous choisirons le second mode Dynamique
qui consiste en un change de certificats, plus scuris que le premier.
Nous noublierons pas de cocher la case Mode avance qui va nous permettre de spcifier en extrmit Any , nos clients tant des nomades avec une IP
dynamique.

tape 3 = cette tape va nous permettre de dfinir les extrmits de notre tunnel. Nous choisirons au niveau de notre interface locale, linterface qui communique avec
lextrieur (internet, le rseau dit non-sur ) cest--dire linterface Firewall_Internet_Neuf qui a t configur au pralable avec les paramtres PPOE (notre
Neufbox tant en mode bridge).
Le correspondant lautre bout de lextrmit tant un nomade, avec une adresse IP dynamique nous prciserons un objet de type Any :

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 5 sur 11

tape 4 = a partir de cette tape, nous allons devoir dfinir les extrmits du trafic. Nous allons donc spcifier le rseau que nous voulons atteindre savoir le rseau
172.16.0.0, qui est dfinit sur linterface Network_IN. Nous aurions pu tre plus restrictif en spcifiant galement une seule machine.
Lautre extrmit sera encore une fois rgler sur Any , notre poste nomade ayant une adresse IP dynamique.

Cliquez ensuite sur suivant puis sur Terminer . Une nouvelle fentre souvre rcapitulant les informations dj entres ainsi que dautres dfinir. Nous devons
maintenant gnrer la cl prive du Netasq. Cliquons sur Choisissez un certificat :

Dans la fentre qui souvre nous allons cliquer sur le bouton Certificat interne afin de gnrer une cl prive propre au Netasq.

Dans la fentre qui vient de souvrir cliquons sur le bouton Crer un certificat VPN . Le mot de passe de la CA nous sera demand. Une fois la cration effectue, un
message nous avertira du bon droulement de lopration.

Nous pouvons apercevoir la cl associe cette extrmit du tunnel :

Nous validons cet cran en cliquant sur le bouton OK . Nous allons ensuite diter quelques options afin que notre tunnel puisse stablir correctement. Pour cela nous
allons cliquer sur le bouton Configuation avance .

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 6 sur 11

Il suffit de cocher loption Envoi du certificat de manire ce que les deux interlocuteurs puissent schanger leur cl publique. Sans cette option coche, le tunnel ne
peut stablir.

Ensuite, nous cliquons sur le bouton Paramtres avancs en bas de cette fentre. Une nouvelle fentre apparait o il faudra cocher Faire confiance la PKI interne
, puis cliquez sur OK.

Il le nous reste plus qu valider le paramtrage de notre tunnel en cliquant sur Envoyer puis confirmer en cliquant sur Oui . Noublions pas dactiver votre slot VPN
en cliquant sur Activer :

Notre tunnel est maintenant configurer, ainsi nos utilisateurs pourront sy connecter. Cependant, notre pare-feu bloque par dfaut les ports ncessaires la ngociation
des lments de scurit ainsi que le trafic des donnes via notre tunnel VPN.
Pour un tunnel de Passerelle Passerelle ces rgles peuvent tre configures de manire implicite par notre routeur (page 280 sur la documentation du Netasq), mais
notre tunnel pointe vers un objet Any, nous allons donc devoir crer des rgles manuellement.
I.4 Dfinition des rgles du pare-feu Netasq :

Nous allons dans un premier temps devoir autoriser le trafic provenant de notre machine nomade, soit Any vers notre port recevant le flux internet savoir
Firewall_Internet_Neuf.
Les premiers changes ayant lieu sont les phases de ngociation des paramtres de scurit, nous autorisons les rgles suivantes :

Le protocole de transport utilis est UDP pour lisakmp.

Notre rseau se trouvant derrire un routeur nous allons devoir utilis le NAT Transversal qui consiste rendre compatible IPSec derrire un NAT. Un premier change
est envoy avec le protocole ISAKMP sur le port 500, lors du retour du paquet en question notre client compare un hash de ladresse IP et des ports afin de voir sils sont

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 7 sur 11

identiques. Sils sont diffrents cest que ladresse ou le port a t translat. Dans ce cas de figure lchange se fera en utilisant le NAT-T sur le port 4500 do lutilit
douvrir le port 500 (isakmp, Rgle 2) et 4500 (isakmp_natt, Rgle 3).
Enfin il faut galement veillez autoriser nos trames crypts ESP. Nous autoriserons donc le protocole vpn-esp en provenance dAny vers Firewall_Internet_Neuf (Rgle
4) et galement linverse du Firewall_Internet_Neuf vers Any (rgle dfini implicitement par la Rgle 10).
A ce stade les phases de ngociations les scurits et les changes avec le protocle ESP sont maintenant autoriss, cependant aucun trafic nest autoris sur notre
interface IPSec. Nous allons donc autoris le trafic via notre interface logique IPSec venant de la source Any vers la destination de notre rseau internet soit
Network_IN (Rgle 1). Le trafic devrait galement tre possible du rseau interne vers Any via linterface IPSec, rgle autorise de manire implicite par la Rgle 10.
A ce stade la configuration du cot de notre routeur est effective et fonctionnelle. Nous allons maintenant pouvoir entamer la configuration cot client.
II.Configuration du client Shrew Soft :
Procurez vous dans un premier temps le client Shrew soft cette adresse : http://www.shrew.net/download/vpn (les diffrentes versions du client sont en
bas de page). Aprs avoir install le logiciel nous allons lancer Access Manager qui permet comme son nom lindique, de configurer notre (ou nos)
connexion VPN IPSec.
Nous allons maintenant cliquer sur le bouton ADD afin dajouter une nouvelle connexion :

Une nouvelle fentre souvre :

Nous allons y remplir ladresse publique de notre routeur (en ce qui nous concerne notre nom de domaine DynDNS) ainsi que le port par dfaut 500 (ISAKMP). Nous
dsactiverons lauto-configuration et nous utiliserons notre carte rseau (et non une virtuelle) pour tablir la connexion.
Ensuite allez dans longlet Client :

Nous activons le NAT Transversal en laissant le port par dfaut, puis nous dsactiverons la fragmentation IKE dispensable dans notre cas. Enfin, nous laisserons les
autres paramtres par dfaut.
Allez ensuite dans le Name Rsolution :

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 8 sur 11

Afin davoir une rsolution des noms de machines du rseau local nous activerons le DNS en prcisant le suffixe dns : etudarmor.lan. Ceci nous permettra dutiliser les
mmes scripts dj tablis, nous vitant de les refaire avec les @ IP des machines.
Passons maintenant a ltape Authentification en cliquant sur longet du mme nom :

La mthode dauthentification est Mutual RSA (change de certificats).

Ici nous allons dterminer lidentification locale, qui identifie le nomade. Cette identification doit correspondre une entre dans lannuaire LDAP prcdemment dfini.
Nous choisirons donc le type didentification ASN.1 Destinguished Name et cochons loption Use the subject in the client certificate .
Ensuite nous allons configurer lidentit distante en cliquant sur Remote Identity :

Nous allons dfinir la mme identit que nous avons dfini plus haut lors de la configuration du tunnel, savoir ASN.1.
Passons maintenant longlet Credentials :

Nous allons slectionner trois fois notre certificat P12 se trouvant dans C:\Program Files\ShrewSoft\VPN Client\certificates\. En effet, ces trois informations se trouvent
toutes dans le mme fichier p12.

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 9 sur 11

Paramtrons ensuite les lments de scurit de la phase 1 pour quils correspondent ceux du tunnel VPN (nous avons gard ceux par dfaut, mais il est tout fait
possible de changer ceux-ci, tant quils correspondent avec la configuration sur le Netasq) :

Dans longlet de la phase 2 nous procdons de la mme manire que la phase 1 :

Enfin, allons dans longlet Policy :

Nous dsactivons la case Obtain Topology Automatically or Tunnel All et spcifions le rseau atteindre : 172.16.0.0/16
Puis nous choisirons une niveau de politique unique pour la SA.
Notre client est maintenant configur, il ne nous reste plus qu sauvegarder les diffrents paramtres renseigns en cliquant sur Save.
La connexion est maintenant cre :

Il ne nous reste plus qu la slectionner et cliquer sur Connect , une fentre souvre alors :

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 10 sur 11

Cliquons sur Connect pour tablir la liaison avec le rseau distant. Le mot de passe du certificat nous sera demand, assurant une scurit supplmentaire.

Si tout se droule bien il apparaitra ceci dans le log de la fentre :

Si la ngociation est effective nous verrons dans longlet Network ceci :

Une SA est bien tablie et notre statut est connect. Il ne vous reste plus qu nous connecter au rseau local.

Ce contenu a t publi dans Rseau par Florent. Mettez-le en favori avec son permalien [http://www.fragnol.net/?p=24] .
UNE RFLEXION AU SUJET DE MISE EN PLACE DUN VPN IPSEC AVEC UN NETASQ U70

http://www.fragnol.net/?p=24

14/12/2014

Mise en place dun VPN IPSec avec un Netasq U70 | fragnol.net

Page 11 sur 11

Le 22/04/2014 22:01,
vpn
a dit :

Merci, la mise en place dun VPN IPSec avec un Netasq U70 est complique.

http://www.fragnol.net/?p=24

14/12/2014