Vous êtes sur la page 1sur 29

Tutorial VPN et Routeurs Netgear

VPN et Routeurs Netgear par Magicsam

Brève présentation
Ce tutorial décrit la façon de configurer un réseau VPN (Virtual Private Networking) grâce à
votre routeur Netgear VPN (FVS318, FVS328, FVL328, FWG114P, FWAG114, etc ...).

Un tunnel VPN permet une connexion sécurisée et cryptée entre votre réseau local, et un
réseau local ou un ordinateur distant.

Ce Tutorial aborde :

● Configuration d'un tunnel VPN entre 2 Routeurs Netgear VPN


● Configuration d'un tunnel VPN entre 1 Routeur Netgear VPN et 1 PC distant via le
logiciel Client VPN Netgear

Egalement à venir :

● Configuration d'un Tunnel VPN entre 1 routeur Netgear VPN et 1 PC distant via
configuration Client VPN sous Windows XP

Utiliser les Poliques (Policies) pour gérer le trafic VPN

Un réseau VPN nécessite la création de politiques.


Il y a deux sortes de politiques :

● Politique IKE : définit la méthode d'authentification et génère automatiquement les clés


de cryptage.
● Politique VPN : applique la politique IKE lors de l'échange des communications du
tunnel VPN

La politique VPN utilisant la politique IKE, il faut toujours créer la politique IKE en
premier.
Tutorial VPN et Routeurs Netgear

Ce schéma de configuration (celui retenu dans le Tutorial) est utilisé dans la majorité des
configurations.
En faisant le choix d' utiliser une politique IKE, plusieurs paramètres pour établir le tunnel VPN
sont générés automatiquement.
Le protocole IKE assure les négociations entre les deux points VPN en générant
automatiquement les paramètres requis.
Tutorial VPN et Routeurs Netgear

Tunnel entre deux Routeurs VPN

Impératif : chaque routeur VPN doit être configuré avec un plan d'adressage IP différent.

Le premier routeur devant être configuré avec les adresses IP LAN et WAN du routeur
distant et inversement.

1) Se connecter au routeur :
Se connecter à l'interface de configuration de votre routeur en entrant l'adresse
http://192.168.0.1 depuis votre Navigateur Internet.
Nom d'utilisateur = admin
Mot de passe = password

Puis configurer les deux routeurs VPN devant être reliés par un tunnel VPN de façon identique.

Le premier routeur VPN ayant les adresses IP du routeur VPN distant et inversement.

2 Possibilités de configuration :
- à l'aide de l'assistant VPN (configuration automatisée de la majorité des paramètres)
- configuration manuelle des paramètres
Tutorial VPN et Routeurs Netgear

2) Configuration à l'aide de l'assistant VPN :

. VPN Wizard

VPN Wizard

The Wizard sets most parameters to defaults as proposed by the VPN Consortium (VPNC), and assumes a
pre-shared key, which greatly simplifies setup.

After creating the policies through the VPN Wizard, you can always update the parameters through the VPN
setting links on the left menu.

Next

Cliquer sur le bouton Next.

VPN Wizard

Step 1 of 3: Connection Name and Remote IP Type

What is the new Connection Name? Netgear

What is the pre-shared key? password

This VPN tunnel will connect to: A remote VPN Gateway


A remote VPN client

Back Next Cancel

Configurer un nom de connexion (Connection Name) et une clé (pre-shared key).

Choisir ensuite le type de périphérique distant avec lequel la connexion VPN sera établie, ici
VPN Gateway pour un autre routeur VPN.
Tutorial VPN et Routeurs Netgear

Puis cliquer sur le bouton Next.

VPN Wizard

Step 2 of 3: Remote IP address or the Internet name

What is the remote WAN's IP address or Internet name? netgear2.dyndns.org

Back Next Cancel

Configurer l'adresse IP ou le nom de domaine Internet du routeur distant.

Puis cliquer sur le bouton Next.

VPN Wizard

Step 3 of 3: Secure Connection Remote Accessibility

What is the remote LAN IP subnet ?


IP Address 192 . 168 .1 .1
IP Subnet Mask 255 . 255 . 255 . 0

Back Next Cancel

Configurer l'adresse IP et le masque de sous réseau du routeur distant qui utilisera le tunnel
VPN.

Puis cliquer sur le bouton Next.


Tutorial VPN et Routeurs Netgear

VPN Wizard

Summary

Please verify your inputs:


Connection Name: Netgear
Exchange Type: Main Mode
ID Type: IP ADDRESS
Remote WAN ID: Unresolved
Remote VPN Endpoint: netgear2.dyndns.org
Remote Client Access: By Subnet
Remote IP: 192.168.1.1/0.0.0.0
Local WAN ID: 192.168.0.44
Local Client Access: By Subnet
Local IP: 192.168.0.0/255.255.255.0

You can click here to view the VPNC-recommended parameters.

Please click "Done" to apply the changes.

Back Done Cancel

Un écran récapitulatif apparaît.

Cliquer sur le bouton Done pour valider la configuration du tunnel VPN.

La page IKE Policies apparaît, il est alors possible de modifier certains paramètres
manuellement, si nécessaire, à l'aide du bouton Edit.
Tutorial VPN et Routeurs Netgear

3) Configuration manuelle :

a) Configurer une politique IKE :


. VPN
. IKE Policies

IKE Policies

Policy Table
# Name Mode Local ID Remote ID Encr Auth DH
1 Netgear Main 3DES SHA1 Group 2 (1024 Bit)

Add Edit Move Delete

Cliquer sur le bouton Add.


Tutorial VPN et Routeurs Netgear

IKE Policy Configuration

General
Policy Name Tunnel1

Direction/Type Both Directions


Exchange Mode Main Mode

Local
Local Identity Type Fully Qualified Domain Name
Local Identity Data
netgear1.dyndns.org

Remote
Remote Identity Type Fully Qualified Domain Name
Remote Identity Data
netgear2.dyndns.org

IKE SA Parameters
Encryption Algorithm 3DES

Authentication Algorithm SHA-1


Authentication Method Pre-shared Key

RSA Signature (requires Certificate)

Diffie-Hellman (DH) Group Group 2 (1024 Bit)

SA Life Time 28800 (secs)

Back Apply Cancel

Définir un nom de politique IKE (Policy Name).


Chaque nom de politique IKE doit être différent.

Configurer Direction/Type sur Both Directions (communications sortantes et entrantes


autorisées).
Tutorial VPN et Routeurs Netgear

A noter :
. Initiator = seules les communications sortantes sont autorisées
. Responder = seules les communications entrantes sont autorisées
. Remote Access = autorise uniquement les communications entrantes lorsque l'adresse IP
des clients distants est inconnue

Configurer Exchange Mode sur Main Mode.

Configurer Local Identity Type sur WAN IP Address (adresse IP Internet du routeur) ou Fully
Qualified Domain Name (nom de domaine Internet du routeur).

Configurer Remote Identity Type sur Remote WAN IP (adresse IP Internet du routeur distant)
ou Fully Qualified Domain Name (nom de domaine Internet du routeur distant).

Configurer les paramètres de sécurité IKE :


. Encryption Algorithm = 3DES (niveau de cryptage le plus sécurisé)
. Authentication Algorithm = SHA-1 (algorithme d'authentification le plus sécurisé)
. Authentication Method = cocher le bouton radio Pre-shared Key (clé partagée) et configurer
une clé
. Diffie-Hellman (DH) Group = Group 2 (1024 Bit)
. SA Life Time = 28800 (temps en secondes au bout duquel la connexion sécurisée expire)

Puis cliquer sur le bouton Apply pour valider les paramètres de configuration.

b) Configurer une politique VPN :


. VPN
. VPN Policies

VPN Policies

Policy Table
# Enable Name Type Local Remote AH ESP
1 Yes Tunnel1 Auto 192.168.0.0/255.255.255.0 192.168.1.0/255.255.255.0 Disabled ESP

Edit Move Delete

Apply Cancel

Add Auto Policy Add Manual Policy


Tutorial VPN et Routeurs Netgear

Cliquer sur le bouton Add Auto Policy.

VPN - Auto Policy

General
Policy Name Tunnel1

IKE policy Tunnel1

IKE Keep Alive Ping IP Address: 0 .0 .0 .0


Remote VPN Endpoint Address Type: Fully Qualified Domain Name

Address Data: netgear2.dyndns.org


SA Life Time 86400 (Seconds)
0 (Kybtes)
✔ IPSec PFS PFS Key Group: Group 2 (1024 Bit)
✔ NetBIOS Enable

Traffic Selector
Local IP Subnet address
Start IP address: 192 . 168 .0 .0
Finish IP address: 0 .0 .0 .0
Subnet Mask: 255 . 255 . 255 .0
Remote IP Subnet address
Start IP address: 192 . 168 .1 .0
Finish IP address: 0 .0 .0 .0
Subnet Mask: 255 . 255 . 255 .0

AH Configuration
Enable Authentication Authentication Algorithm: MD5

ESP Configuration
✔ Enable Encryption Encryption Algorithm: 3DES
Tutorial VPN et Routeurs Netgear

✔ Enable Authentication Authentication Algorithm: SHA-1

Back Apply Cancel

Définir un nom de politique VPN (Policy Name).


Chaque nom de politique VPN doit être différent.

Sélectionner la politique IKE correspondante (configurée plus haut).

En Remote VPN Endpoint configurer l'adresse IP Internet (IP Address) ou le nom de domaine
Internet (Fully Qualified Domain Name) du routeur distant.

Configurer la valeur SA Life Time sur 86400 (temps en secondes au bout duquel la connexion
sécurisée expire.

Cocher l'option IPSec PFS et la paramétrer sur Group 2 (1024 Bit) (optimise la sécurité en
changeant la clé à intervalles réguliers).

En Traffic Selector, configurer les adresses IP local et masques de sous réseau des deux
routeurs VPN à relier afin d'établir le tunnel VPN.

Local IP = votre routeur VPN


Remote IP = le routeur VPN distant

Possible de relier une seule adresse IP (Single Address), une plage d'adresses (Range
Address) IP ou le réseau local complet (Subnet Address).

Configurer les paramètres de sécurité ESP :


. Enable Encryption = 3DES
. Enable Authentication = SHA-1

Puis cliquer sur le bouton Apply pour valider les paramètres de configuration.
Tutorial VPN et Routeurs Netgear

4) Etablir la connexion VPN :

Pour accéder à l'interface de configuration du routeur VPN distant, simplement ouvrir votre
Navigateur Internet et entrer l'adresse IP local du routeur de la forme http:\\192.168.x.x.

Pour accéder aux ressources partagées d'un PC distant, simplement ouvrir l'Explorateur
Windows et accéder au PC par son adresse IP local de la forme \\192.168.x.x.

Afin de vérifier l'établissement du Tunnel VPN depuis votre routeur :


. VPN
. VPN Status

Cette page permet de visualiser l'état de la connexion VPN, ainsi qu'un journal système.
Tutorial VPN et Routeurs Netgear

Tunnel entre un Routeur VPN et un PC distant


équipé du logiciel Client VPN Netgear

Impératif : le routeur VPN et le PC distant équipé du logiciel Client VPN doivent être
configurés avec un plan d'adressage IP différent.

I. Configuration du Routeur VPN Netgear

1) Se connecter au routeur :
Se connecter à l'interface de configuration de votre routeur en entrant l'adresse
http://192.168.0.1 depuis votre Navigateur Internet.
Nom d'utilisateur = admin
Mot de passe = password
Tutorial VPN et Routeurs Netgear

2) Configuration à l'aide de l'assistant VPN :


. VPN Wizard

VPN Wizard

The Wizard sets most parameters to defaults as proposed by the VPN Consortium (VPNC), and assumes a
pre-shared key, which greatly simplifies setup.

After creating the policies through the VPN Wizard, you can always update the parameters through the VPN
setting links on the left menu.

Next

Cliquer sur le bouton Next.

VPN Wizard

Step 1 of 3: Connection Name and Remote IP Type

What is the new Connection Name? VPNClient

What is the pre-shared key? password

This VPN tunnel will connect to: A remote VPN Gateway


A remote VPN client

Back Next Cancel

Configurer un nom de connexion (Connection Name) et une clé (pre-shared key).

Choisir ensuite le type de périphérique distant avec lequel la connexion VPN sera établie, ici
VPN Client.

Puis cliquer sur le bouton Next.


Tutorial VPN et Routeurs Netgear

VPN Wizard

Summary

Please verify your inputs:


Connection Name: VPNClient
Exchange Type: Aggressive Mode
ID Type: FQDN
Remote WAN ID: fvl_remote
Remote VPN Endpoint: 0.0.0.0
Remote Client Access: By Single
Remote IP: 0.0.0.0
Local WAN ID: fvl_local
Local Client Access: By Subnet
Local IP: 192.168.0.0/255.255.255.0

You can click here to view the VPNC-recommended parameters.

Please click "Done" to apply the changes.

Back Done Cancel

Un écran récapitulatif apparaît.

Cliquer sur le bouton Done pour valider la configuration du tunnel VPN.

La page IKE Policies apparaît, il est alors possible de modifier certains paramètres
manuellement, si nécessaire, à l'aide du bouton Edit.
Tutorial VPN et Routeurs Netgear

3) Configuration manuelle :

a) Configurer une politique IKE :


. VPN
. IKE Policies

IKE Policies

Policy Table
# Name Mode Local ID Remote ID Encr Auth DH
1 VPNclient Aggressive fvl_local fvl_remote 3DES SHA1 Group 2 (1024 Bit)

Add Edit Move Delete

Cliquer sur le bouton Add.


Tutorial VPN et Routeurs Netgear

IKE Policy Configuration

General
Policy Name VPNClient

Direction/Type Remote Access


Exchange Mode Aggressive Mode

Local
Local Identity Type Fully Qualified Domain Name
Local Identity Data
fvl_local

Remote
Remote Identity Type Fully Qualified Domain Name
Remote Identity Data
fvl_remote

IKE SA Parameters
Encryption Algorithm 3DES

Authentication Algorithm SHA-1


Authentication Method Pre-shared Key

RSA Signature (requires Certificate)

Diffie-Hellman (DH) Group Group 2 (1024 Bit)

SA Life Time 28800 (secs)

Back Apply Cancel

Définir un nom de politique IKE (Policy Name).


Chaque nom de politique doit être différent.

Configurer Direction/Type sur Remote Access.

A noter :
. Initiator = seules les communications sortantes sont autorisées
Tutorial VPN et Routeurs Netgear

. Responder = seules les communications entrantes sont autorisées


. Remote Access = autorise uniquement les communications entrantes lorsque l'adresse IP
des clients distants est inconnue

Configurer Exchange Mode sur Aggressive Mode.

Configurer Local Identity Type sur Fully Qualified User Name et entrer fvl_local.

Configurer Remote Identity Type sur Fully Qualified User Name et entrer fvl_remote.

Configurer les paramètres de sécurité IKE :


. Encryption Algorithm = 3DES (niveau de cryptage le plus sécurisé)
. Authentication Algorithm = SHA-1 (algorithme d'authentification le plus sécurisé)
. Authentication Method = cocher le bouton radio Pre-shared Key (clé partagée) et configurer
une clé
. Diffie-Hellman (DH) Group = Group 2 (1024 Bit)
. SA Life Time = 28800 (temps en secondes au bout duquel la connexion sécurisée expire)

Cliquer sur le bouton Apply pour valider les paramètres de configuration.

b) Configurer une politique VPN :


. VPN
. VPN Policies

VPN Policies

Policy Table
# Enable Name Type Local Remote AH ESP
1 Yes VPNclient Auto 192.168.0.0/255.255.255.0 Any Disabled ESP

Edit Move Delete

Apply Cancel

Add Auto Policy Add Manual Policy

Cliquer sur le bouton Add Auto Policy.


Tutorial VPN et Routeurs Netgear

VPN - Auto Policy

General
Policy Name VPNClient

IKE policy VPNClient

IKE Keep Alive Ping IP Address: 0 .0 .0 .0


Remote VPN Endpoint Address Type: IP Address

Address Data: 0.0.0.0


SA Life Time 86400 (Seconds)
0 (Kybtes)
✔ IPSec PFS PFS Key Group: Group 2 (1024 Bit)
✔ NetBIOS Enable

Traffic Selector
Local IP Subnet address
Start IP address: 192 . 168 .0 .0
Finish IP address: 0 .0 .0 .0
Subnet Mask: 255 . 255 . 255 .0
Remote IP Any
Start IP address: 0 .0 .0 .0
Finish IP address: 0 .0 .0 .0
Subnet Mask: 0 .0 .0 .0

AH Configuration
Enable Authentication Authentication Algorithm: MD5

ESP Configuration
✔ Enable Encryption Encryption Algorithm: 3DES
✔ Enable Authentication Authentication Algorithm: SHA-1
Tutorial VPN et Routeurs Netgear

Back Apply Cancel

Définir un nom de politique VPN (Policy Name).


Ce nom doit être différent de celui de la politique IKE.

Sélectionner la politique IKE correspondante (configurée plus haut).

Configurer Remote VPN Endpoint sur IP Address et rentrer 0.0.0.0.

Configurer la valeur SA Life Time sur 86400 (temps en secondes au bout duquel la connexion
sécurisée expire.

Cocher l'option IPSec PFS et la paramétrer sur Group 2 (1024 Bit) (optimise la sécurité en
changeant la clé à intervalles réguliers).

Afin d'établir le Tunnel VPN, en Traffic Selector :


- configurer l'adresse IP local du routeur (Local IP) sur Subnet address et entrer 192.168.0.0 /
255.255.255.0
- configurer l'adresse IP du PC distant (Remote IP) sur Any.
Configurer les paramètres de sécurité ESP :
. Enable Encryption = 3DES
. Enable Authentication = SHA-1

Puis cliquer sur le bouton Apply pour valider les paramètres de configuration.
Tutorial VPN et Routeurs Netgear

II. Configuration du Client VPN Netgear

1) Installer le logiciel Client VPN Netgear depuis le CD :

Vous devrez insérer le CD d'installation de Windows pour terminer l'installation du Client VPN
Netgear.

Un redémarrage du PC sera également nécessaire une fois l'installation effectuée.

2) Configurer une connexion réseau :

Dans la Barre des tâches de Windows, cliquer avec le bouton droit de la souris sur l'icône
NETGEAR ProSafe VPN Client.
Cliquer sur Security Policy Editor dans le menu déroulant.

Puis créer une nouvelle connexion (Add Connection).


Tutorial VPN et Routeurs Netgear

Configurer cette connexion.

Configurer Connection Security sur Secure.

Configurer ID Type sur IP Subnet et entrer 192.168.0.0 / 255.255.255.0 en Subnet et Mask.

Configurer Protocol sur All.

Cocher l'option Connect Using Secure et la paramétrer sur Secure Gateway Tunnel.

Configurer ID Type sur Domain Name et saisir le même nom de domaine que sur votre routeur
VPN (configuré dans le menu IKE Policy Configuration en Local Identity Data), ici fvl_local.

Configurer ensuite l'adresse IP (Gateway IP address) ou le nom de domaine (Gateway


Hostname) du routeur VPN distant.
Tutorial VPN et Routeurs Netgear

3) Configurer les paramètres de politique :

Sélectionner Aggressive Mode.

Cocher l'option Enable Perfect Forward Secrecy (PFS) et la paramétrer en Diffie-Hellman


Group 2.

Cocher l'option Enable Replay Detection.


Tutorial VPN et Routeurs Netgear

4) Configurer les paramètres d'identification :

Configurer Select Certificate sur None.

Configurer ID Type sur Domain Name et saisir et saisir le même nom de domaine que sur
votre routeur VPN (configuré dans le menu IKE Policy Configuration en Remote Identity Data),
ici fvl_remote.

En Internet Interface sélectionner votre carte réseau Ethernet à l'aide du champ Name.

Puis cliquer sur le bouton Pre-Shared Key.


Tutorial VPN et Routeurs Netgear

Saisir la clé partagée (la même que celle configurée sur le routeur VPN distant) et cliquer sur
le bouton OK.
Tutorial VPN et Routeurs Netgear

5) Configurer les paramètres de cryptage :

- Authentication (phase 1) :

Configurer Authentication Method sur Pre-Shared Key.

Puis configurer les paramètres de cryptage :


. Encrypt Alg = Triple DES
. Hash Alg = SHA-1
. SA Life = Unspecified
. Key Group = Diffie-Hellman Group 2
Tutorial VPN et Routeurs Netgear

- Key Exchange (phase 2) :

Configurer SA Life sur Unspecified et Compression sur None.

Puis Configurer les paramètres ESP :


. Encrypt Alg = 3DES
. Hash Alg = SHA-1
. Encapsulation = Tunnel
Tutorial VPN et Routeurs Netgear

6) Configurer les paramètres généraux de politique :

Menu Options puis cliquer sur Global Policy Settings.

Configurer Retransmist Interval sur 45 secondes.

Cocher les options Send Status notifications to peer hosts et Allow to Specify Internal Network
Address.
Tutorial VPN et Routeurs Netgear

7) Sauvegarder les paramètres de configuration du Client VPN :

Menu File puis cliquer sur Save ou bien cliquer sur la petite icone en forme de disquette.

8) Etablir la connexion VPN :

Dans la Barre des tâches de Windows, cliquer avec le bouton droit de la souris sur l'icône
NETGEAR ProSafe VPN Client.
Se déplacer sur Connect... dans le menu déroulant.

Puis cliquer sur la connexion correspondant au Tunnel VPN que vous souhaitez établir : My
Connections\Nom de connexion.

Sur le même principe Disconnect... permet de déconnecter manuellement le Tunnel VPN.

Les options Log Viewer... et Connection Monitor... sont également utiles pour vérifier que le
Tunnel VPN est bien établit.

Pour accéder à l'interface de configuration du routeur VPN distant, simplement ouvrir votre
Navigateur Internet et entrer l'adresse IP local du routeur de la forme http:\\192.168.x.x.

Pour accéder aux ressources partagées d'un PC distant, simplement ouvrir l'Explorateur
Windows et accéder au PC par son adresse IP local de la forme \\192.168.x.x.