Vous êtes sur la page 1sur 14

19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Accueil CCNP Route CCNP Switch CCNP Tshoot CCNA Voice Asterisk Sécurité

Guides de Configuration À Propos

Accueil › Guides de Configuration › Cisco › Firewall ASA › Cisco ASA – Site-to-Site VPN

Cisco ASA – Site-to-Site VPN


Posté le 26 novembre 2016 par Valentin Weber — Aucun commentaire ↓

La création de tunnels VPN est l’une des fonctionnalités principales de l’ASA Cisco. Il est possible de réaliser des
VPN site à site, mais aussi des VPN pour un accès distant. Dans cet article nous verrons comment configurer un
VPN site à site entre deux ASA.

Etant donné la quantité de paramètre pour la mise en place d’un VPN, la configuration n’est pas toujours aisée.
Heureusement, l’ASA propose un Wizard facilitant grandement le paramétrage.

Infrastructure de test

Pour cet exemple, deux ASAs sont utilisés. Ils possèdent un paramétrage basique : un réseau local, un accès
internet, du Dynamique PAT vers internet et du filtrage (firewall) sur le trafic venant de l’extérieur.

Voici un schéma de l’installation.

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 1/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Sur les captures ci-dessous, vous verrez apparaitre un réseau 10.0.1.0 /24 présent sur les deux ASA. Il s’agit du
réseau utilisé pour le management. Il n’entre pas en compte pour la configuration du VPN.

Configuration de l’ASA No 1

La configuration des deux ASA sera relativement similaire. Le Wizard sera utilisé pour réaliser une première
configuration. Il sera toujours possible de modifier cette dernière par la suite.

Configuration des Objets


Il convient ici de créer deux objets. Un qui représente le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24) et un
autre qui représente le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0 /24).

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 2/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Configuration du VPN de l’ASA 1 vers l’ASA 2


Nous pouvons à présent commencer la configuration du VPN sur l’ASA 1. Pour cela, lancer le Wizard pour le
VPN Site-to-Site.

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 3/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 4/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Dans l’écran suivant, vous avez le choix entre la configuration rapide ou la configuration avancée. Pour monter
un VPN entre deux ASAs, la configuration rapide peut être suffisante. Les paramètres peuvent être édités par la
suite, même si cela peut entrainer des erreurs de configuration.

La configuration rapide propose une authentification par clé partagée et accepte de nombreuses méthodes de
sécurité.

La configuration avancée permet l’authentification par certificat et permet de choisir les méthodes de sécurité
autorisées ainsi que l’activation du PFS – Perfect Forward Secrecy (nouvel échange Diffie Hellman à chaque
négociation de phase 2).

L’option suivante correspond au NAT Exempt. Cela permet d’éviter que le trafic venant du réseau choisi ne soit
NATé lors de son passage dans le VPN. Il est donc important d’activer cette option pour tous les réseaux locaux
concernés par le VPN (ici seulement le Vlan 10).

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 5/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Le Wizard est terminé. Vous pouvez voir que par défaut l’ASA accepte de très nombreux paramètres pour le
VPN.

Configuration de l’ASA No 2

Configuration des objets


Comme pour l’ASA 1, il convient de créer deux objets. L’un pour le réseau local de l’ASA 2 (Vlan 20 : 10.0.20.0
/24) l’autre pour le réseau local de l’ASA 1 (Vlan 10 : 10.0.10.0 /24).

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 6/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Configuration du VPN de l’ASA 2 vers l’ASA 1

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 7/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 8/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 9/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Initialisation, Test, Troubleshooting et


personnalisation du VPN

A présent, vous pouvez envoyer du trafic dans le VPN pour l’initier. Un Ping d’un client du côté A vers un client du
côté B fera l’affaire.

Attention tout de même, selon comment votre ASA est paramétré, les Ping peuvent ne pas passer. D’autres tests
peuvent être plus révélateurs. Par exemple, il est possible de lancer un mini serveur Web sur un client et de
tenter de s’y connecter à l’aide d’un navigateur WEB (attention au FW des postes).

Une fois l’initialisation faite, il est possible de consulter l’état du VPN et le protocole de chiffrement utilisé. Le
bouton Details permet d’obtenir plus d’information.

Si la session n’est pas montée, la première chose à faire est de consulter les logs depuis la page home.

Si la session n’est pas montée, une nouvelle tentative sera réalisée de manière régulière.

Vous pourrez alors voir si un message d’erreur apparait.

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 10/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Si le tunnel est monté, mais qu’un test de connexion de bout en bout (entre deux clients) ne donne rien, c’est
qu’il faut chercher dans les paramétrages des ASA.

Il convient de vérifier la configuration NAT de chaque ASA. En effet, dans un scénario classique, les deux
réseaux locaux sont placés derrière un NAT. Si la fonction NAT Exempt a été activée durant le Wizard, la
configuration devrait être de ce type.

Vous constaterez que la règle NAT Exempt du VPN est placée en première. La deuxième règle est la règle de
Dynamic PAT pour internet. Si cette dernière était placée avant la règle NAT Exempt du VPN, le trafic à
destination du VPN serait NATé.

Il convient ensuite de vérifier que la règle Policy Rule autorise le trafic voulu à passer (ICMP, http, etc…).

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 11/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Ensuite, il est possible de vérifier l’ACL créée par le Wizard. Celle-ci doit autoriser le réseau local à joindre le
réseau distant.

Sinon, il est possible de consulter les écrans de configuration du VPN en lui-même.

Cela peut aussi être l’occasion de modifier certains paramètres (clé partagée, sous-réseaux concernés,
paramètres IKE et IPsec, PFS, NAT Exempt, etc…).

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 12/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Le menu Advenced propose des écrans de configuration importants.

‹ Cisco ASA – Authentification LDAP et RADIUS Cisco ASA – VPN AnyConnect ›

Tagués avec : Cisco ASA, Guide de configuration ASA Cisco, VPN Site-to-Site
Publié dans Firewall ASA

Laisser un commentaire
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 13/14
19/04/2018 Cisco ASA – Site-to-Site VPN | Networklab

Nom *

Courriel *

Site Web

8 + = quinze 

Laisser un commentaire

Prévenez-moi de tous les nouveaux commentaires par e-mail.

Prévenez-moi de tous les nouveaux articles par email.

© 2018 Networklab ↑

https://www.networklab.fr/cisco-asa-site-to-site-vpn/ 14/14