Vous êtes sur la page 1sur 3

3ème LARI Faculté des Sciences de Sfax M.

Ghorbel

Module : Administration et sécurité des réseaux


TP 6 : VPN Durée : 1h30
Objectif :
Le but de ce TP est de comprendre et manipuler la configuration d’un VPN site-à-site basé sur
IPsec entre deux sites distants.

Logiciel/matériel utilisé : Un PC installé dessus le logiciel Cisco Packet Tracer


Montage : le montage suivant représente 2 sites (Site 1 et Site 2) d’une même entreprise qui sont
connecté entre eux à travers Internet. Les deux sites ont un adressage privé.

L’idée de ce TP est de configurer un canal VPN qui permettra de connecter les deux sites
ensemble d’une façon sécurisé.

Plan d’adressage:

Listes de machines
Nom du Adresse réseau/ Adresse IP (pour PC Passerelle par
et interface
Réseau Masque et interface routeur) défaut (pour PC)
routeur
PC1 192.168.1.11 192.168.1.1
Site 1 192.168.1.0/24
Routeur1 Fa0/0 192.168.1.1 -
PC3 192.168.2.11 192.168.2.1
Site 2 192.168.2.0/24
Routeur2 Fa0/0 192.168.2.1 -
PC2 50.1.1.11 50.1.1.1.1
Internet 50.1.1.0/24
Routeur3 Fa0/0 50.1.1.1
Routeur1- Routeur1 Se0/1/0 40.1.1.2 -
40.1.1.0/24
Routeur3 Routeur3 Se0/1/1 40.1.1.1 -
Routeur2- Routeur3 Se0/1/0 60.1.1.1 -
60.1.1.0/24
Routeur3 Routeur2 Se0/1/1 60.1.1.2 -
Tâches à réaliser:
Réalisez les taches suivantes:

1) Réalisez le montage de la figure ci-dessus. Ajoutez les composants et modules nécessaires


aux équipements présentés dans packet tracer pour réaliser l'architecture réseau.
2) Configurez les équipements avec le plan d’adressage proposé dans le tableau précédent.

Page 1
3ème LARI Faculté des Sciences de Sfax M. Ghorbel

 Routage
Tous les réseaux connectés directement aux routeurs sont déjà intégrés dans les tables de
routages, donc il n’est pas nécessaire de les ajouter. Les deux sites 1 et 2 ont un adressage privé,
donc on ne peut pas les router sur internet. La seule chose qu’il faut faire est d’indiquer sur chacun
des routeurs des sites 1 et 2 (routeur 1 et routeur 2) une route par défaut vers le routeur 3 qui
représente Internet.
3) Ajoutez une route par défaut pour chacun des routeurs 1 et 2 pointant vers le routeur 3.
4) Vérifiez que la connexion est impossible entre tous les sites. Expliquez pourquoi ?
 Configuration VPN site à site sur le routeur 1
La configuration du VPN sur le routeur 1 comporte deux phase : la première concerne la
configuration de la négociation des clés entre les 2 sites avec le protocole IKE et ISAKMP, et la
deuxième concerne la configuration de la méthode de chiffrement des données avec IPsec.
Phase 1 :
Les paramètres à configurer pour cette phase sont :1) l’algorithme de cryptage (AES), 2)
mode de clé (pré-partagé), 3) algorithme de hashage (valeur par défaut SHA-1), 4) méthode de
distribution de clé partagées Diffie-Helman (group 2) et finalement 5) durée de vie du canal VPN (par
défaut 86400 secondes). Les paramètres 3) et 5) ne seront pas configurés vu que nous avons choisis
leurs valeurs par défaut. La première commande sert à activer une politique ISAKMP identifié avec le
numéro 10.
Commandes à faire sur le routeur 1 :
Routeur1(config)# crypto isakmp policy 10
Routeur1(config-isakmp)# encryption aes
Routeur1(config-isakmp)# authentication pre-share
Routeur1(config-isakmp)# group 2
Routeur1(config-isakmp)# exit
Il reste maintenant à indiquer quelle est la clé (mot de passe) à partager avec le routeur
homologue avec qui on va établir le canal VPN ainsi que son adresse IP. Dans notre cas, le routeur
homologue est l’interface S0/1/1 du routeur 2 identifié par l’adresse 60.1.1.2 et on choisi la clé
« tp6vpn ».
Commande :
Routeur1(config)# crypto isakmp key tp6vpn address 60.1.1.2

Phase 2:
La phase 2 contient deux étapes. Au début il faut spécifier le flux de données qui doit être
concerné par le canal VPN. Le but est de lier le site 1 et le site 2 ensemble ; donc seuls les paquets
sortant du site 1 allant vers le site 2 sont concernés. Pour cela, ce flux doit être spécifié à l’aide d’une
ACL (identifiée par 110) comme suit :
Routeur1(config)# access-list 110 permit ip <@IP-site1> 0.0.0.255 <@IP-site2> 0.0.0.255

Ensuite, il faut configurer les paramètres de IPsec du canal VPN à créer. Pour cela, il faut
créer une méthode de cryptage (transform-set) appelé (par exemple) « cryptagevpn » avec les
paramètres « esp-3des » comme algorithme de cryptage et « esp-sha-hmac » comme méthode
d’authentification. Commande :
Routeur1(config)# crypto ipsec transform-set cryptagevpn esp-3des esp-sha-hmac

Finalement, il faut déclarer une carte de cryptage appelé (par exemple) « cartevpn » qui sert
à spécifier l’adresse du routeur distant (routeur 2), la méthode de cryptage (transform-set) et le flux
à crypter identifié par la liste d’accès 110 :
Routeur1(config)# crypto map cartevpn 10 ipsec-isakmp

Page 2
3ème LARI Faculté des Sciences de Sfax M. Ghorbel

Routeur1(config-crypto-map)# set peer 60.1.1.2


Routeur1(config-crypto-map)# set transform-set cryptagevpn
Routeur1(config-crypto-map)# match address 110
Routeur1(config-crypto-map)# exit

Il ne reste plus qu’à appliquer la carte de cryptage nommée « cartevpn » à l’interface série du
routeur 1 Se0/1/0 :
Routeur1(config)# interface Se0/1/0
Routeur1(config-if)# crypto map cartevpn

La configuration VPN au niveau du routeur 1 est terminée.

 Configuration VPN site à site sur le routeur 2


Au niveau du routeur 2, il faudra réaliser la même configuration (phase 1 et phase 2) avec
exactement les mêmes paramètres. Il faut juste faire attention à :
- modifier le flux de données concerné : cette fois ci le flux concerne les paquets sortant
du site 2 allant au site 1 (ACL à adapter)
- modifier l’adresse IP du routeur homologue : cette fois ci c’est le routeur 1 (40.1.1.2) et
non pas le routeur 2.
- garder le même mot de passe « tp6vpn ».

 Vérification
Vous pouvez vérifier la configuration réalisée avec la commande :
Routeur1# show crypto ipsec sa

Remarquer que le nombre de paquets concernés par le canal VPN est pour le moment = 0 :
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

Réalisez les tests de Ping suivants:


- Du PC1 vers le PC2 (ça ne doit toujours pas fonctionner)
- Du PC1 vers le PC3 (ça doit fonctionner). Expliquez

Refaites show crypto ipsec sa et vérifiez le nombre de paquet concernés par l’encapsulation
VPN.

Page 3