Etude de cas:

Configuration d’un Tunnel

VPN entre un routeur Cisco 837
et un routeur Thomson ST-608

1
I. Introduction
Nous allons détailler dans ce volet les différentes étapes pour configurer et mettre en exploitation
un VPN entre deux sites distants. La figure ci-dessous présente la topologie qu’on va étudier:

2
Il faut noter dans ce contexte, qu’on peut généraliser cette topologie qui ne présente que 2 vis-à-
vis (à savoir le réseau LAN du siège et celui de l’Agence) à une architecture plus généralisé qui
comporte n agences, donc n tunnel VPN.
L’acheminement des paquets entre les différentes agences ce fait par simple paramétrage de
routes dans le routeur du siège.

II. Configuration du routeur Cisco 837

La configuration de l’accès ADSL pour le routeur Cisco 837 est détaillée dans l’annexe en fin
de cette documentation. Il est impératif de configurer et de tester l’accès au réseau Internet
avant de passer à la configuration e l’activation du protocole IPSec sur le routeur.

3
La configuration de l’accès ADSL pour le routeur Cisco 837 est détaillée dans l’annexe en fin de
cette documentation. Il est impératif de configurer et de tester l’accès au réseau Internet avant de
passer à la configuration e l’activation du protocole IPSec sur le routeur.

Etape 1 : Configuration de la règle pour IKE.

(config)#crypto isakmp policy 1 // configure la priorité de la règle pour le protocole IKE

(config-isakmp)#encryption 3des // cette commande indique que l’algorithme de cryptage

de paquets qu’on va utiliser est le Triple DES.
(config-isakmp)#hash md5 // cette commande précise que l’algorithme de hachage sera le MD5.

4
(config-isakmp)#authentication pre-share // cette commande indique que la clef
d’authentification initiale sera partagée et
qu’on ne dispose pas d’autorité de certification
CA.
(config-isakmp)#group 2 // Le group 2 de Diffie Hellman.
(config-isakmp)#lifetime 480 // Spécifie la durée de vie en seconde pour l’association de
sécurité (SA) d’IKE.
(config-isakmp)#end // fin de configuration de la règle.
Etape 2 : L’authentification de la passerelle distante:
(config)#crypto isakmp identity address // Cette commande indique que l’hôte distant sera
identifié par son adresse.
5
(config)#crypto isakmp key topnet address 196.203.53.111 // Cette commande indique que la
clé partagé est « topnet » et elle sera utilisé avec le client distant 196.203.53.111.
Si on veux utiliser cette clé avec n’importe quel client distant on remplace cette @IP par 0.0.0.0
Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois la commande
présentée ci-dessus avec une clé différente (ou la même clé) et en précisant à chaque fois
l’adresse IP public du routeur distant.
Exemple :
Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on
ajoute la commande crypto isakmp key topnet address 196.203.44.109.
(config)#end // fin de configuration.

6
Etape 3 : Configuration du tunnel IPSec (cela implique la création de l’access-list et d’une
transformset).

a) Les access-list de contrôle de trafic

(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255
(config)# access-list 110 permit ip 192.168.231.0 0.0.0.255 192.168.1.0 0.0.0.255
La première access-list donne le droit aux utilisateurs du réseau LAN distant d’accéder au
réseau local du siège.
La deuxième access-list donne le droit aux utilisateurs du réseau LAN du siège d’accéder au
réseau local de l’agence.

7
Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois les deux « access-list
» présentées ci-dessus pour permettre l’acheminement du trafic dans le sens entrant et le sens
sortant entre les deux réseaux reliés par le tunnel VPN.
Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute les
« access-list » suivantes :
(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
b) Les access-list de contrôle du NAT
(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255
(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any

8
Ces deux access-list seront utilisées pour désactiver le natting entre les deux réseaux LAN et le
permettre ailleurs (vers le réseau Internet) . On applique l’access-list 101 avec le natting comme
suit :
(config)# ip nat inside source list 101 interface Dialer0 overload
Rq : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois l’access-list qui désactive le
NAT (la première access-list : celle du deny) présentées ci-dessus pour désactiver le NAT entre le
réseau central et le nouveau site réseau distant.
Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute
l’access-list suivante :
(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

9
Etape 4 : La Transform-Set
La transform-set permet de définir quels algorithmes de sécurité et quel mode (mode tunnel ou
transport) le routeur doit utiliser pour initier le tunnel. Si aucun mode n’est spécifié‚ c’est le
mode tunnel qui est utilisé par défaut.
Au sein d’une transform-set ‚ il est possible d’utiliser plusieurs algorithmes que le routeur testera
à tour de rôle.
(config)#crypto ipsec transform-set ts1 esp-md5-hmac esp-3des
(cfg-crypto-trans)#mode tunnel
(cfg-crypto-trans)#end

10
Remarques :
• ts1 est le nom de la Transform-Set
• AH (Authentification Header) : procédé qui garantit l'authenticité des trames IP par ajout
vérifier l'intégrité des données contenues dans le paquet.
• ESP (Encapsulating Security Payload) : procédé qui assure la confidentialité et
l'authenticité en générant à partir de la trame d'origine des données chiffrées sur une nouvelle
trame.
Etape 5 : La Crypto map
Les crypto map permettent d’associer un certain type de trafic à une certaine destination ainsi
qu’à une ou des règles de sécurité IPSEC.
(config)# crypto map map_vpn 10 ipsec-isakmp //le nom de la crypto map est map_vpn
11
(cfg-ctypto-map)#match address 110 // l’access-list 110 sera appliqué au tunnel VPN.
(cfg-ctypto-map)#set peer 196.203.53.111 // spécifie l’adresse ip du routeur distant.
(cfg-ctypto-map)#set transform-set ts1 // on applique la transform-set ts1 sur cette crypto map.
(cfg-ctypto-map)#exit

Remarques :
• map_vpn est le nom de la crypto map
• si on dispose de ‘’n’’ site à interconnecter par des tunnels VPN on exécute ‘’n’’ fois la
commande ‘’ set peer adresse_IP_publique_du_routeur_distant ‘’
Exemple :
Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on
ajoute la commande set peer 196.203.44.109.

12
Etape 6 : Appliquer la Crypto Map sur une interface
Finalement on choisit l’interface à travers laquelle on veut établir un tunnel VPN. Dans notre cas
on veut établir une connexion VPN via une connexion ADSL, donc on choisira L’interface
Dialer0.
(config)# interface Dialer 0
(config-if)# crypto map map_vpn
(config-if)# exit
N.B : il ne faut pas oublier de configurer les routes statiques comme suit :
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
(config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

13
Remarque :
Si on dispose qu’un site distant il est recommandé de définir les routes de la manière suivantes :
Ip route réseau_LAN_distant masque_réseau_LAN_distant @IP_WAN_du_routeur_distant
Exemple :
Si on dispose de deux agences distantes possédant respectivement les adresse réseau LAN
192.168.231.0 /24 et 192.168.2.0/24 et les adresses IP publique 196.203.53.111 et 196.203.44.109
les routes seront définies comme suit :
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0
(config)# ip route 192.168.231.0 255.255.255.0 196.203.53.111
(config)# ip route 192.168.2.0 255.255.255.0 196.203.44.109
(config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

14
Remarque:
La configuration de l’accès Internet via ADSL sur le routeur Cisco 837 est définie comme suit :
Etape 1 : Configuration de l’interface Ethernet0
Router#configure terminal
Router(config)#interface ethernet0
Router(config-if)#ip address @IP_choisie masque_sous_reseau
Router(config-if)#ip nat inside
Router(config-if)#ip virtual-reassembly
Router(config-if)#ip tcp adjust-mss 1412
Router(config-if)#hold-queue 100 out
Router(config-if)#exit
15
Etape 2 : Configuration de l’interface ATM0
Router#configure terminal
Router(config)#interface ATM0
Router(config-if)#ip dhcp client client-id dialer0
Router(config-if)#pvc 0/35
Router(config-if-atm-vc)#pppoe-client dial-pool-number 1
Router(config-if-atm-vc)#exit
Router(config-if)#exit

16
Etape 3 : Configuration de l’interface Dialer0
Router#configure terminal
Router(config)#interface dialer0
Router(config-if)#ip address negotiated
Router(config-if)#ip mtu 1442
Router(config-if)#ip nat outside
Router(config-if)#encapsulation ppp
Router(config-if)#ip tcp adjust-mss 1452
Router(config-if)#dialer pool 1
Router(config-if)#dialer-group 1
Router(config-if)#ppp authentication chap callin
17
Router(config-if)#ppp chap hostname login_FAI
Router(config-if)#ppp chap password 0 password_FAI
Router(config-if)#ppp ipcp dns request
Router(config-if)#exit
A ce stade il ne faut pas oublier de configurer les routes statiques suivantes :
Router(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
Router(config)# ip route adresse_sous_reseau masque_sous_reseau Ethernet0
Une fois que la configuration présentée dans ce volet est appliquée on peut tester l’état de la
connexion à Internet.

18
III. Configuration du routeur Thomson Speed Touch 608
La configuration du routeur Thomson ST-608 se fait à travers son interface graphique. Pour ce
faire, suivez les étapes suivantes :
Etape 1 : Connecter vous à l’interface d’administration du routeur via un navigateur internet.
( @IP par défaut : 192.168.1.254)
Etape 2 : Parmi les rubriques qui apparaissent à gauche de l’interface d’administration
choisir « Mode expert », puis choisir la rubrique « VPN », enfin choir l’option « LAN to LAN».
Vous aurez une interface pareil à celle-ci :

19
20
Remarque:
Il faut préciser que pour un ST-608 il faut au premier lieu spécifier une « Remote Gateway »
(une passerelle distante), ensuite on crée une nouvelle connexion à cette passerelle.
Puisqu ‘on connaît déjà l’adresse IP du routeur distant on choisit l’onglet « Remote Gateway
Address Known » (qui apparaît déjà par défaut), sinon on choisi l’autre onglet.
Etape 3 : On spécifie l’adresse IP public de la passerelle distante dans le champ « Address or
FQDN ». Si notre passerelle distante dispose d’une liaison de Backup alors on mentionne cette
adresse dans le champ « Backup Address or FQDN ».
Etape 4 : Puis qu’on ne dispose pas d’autorité de certification on clique sur le bouton «Use
Preshared Key Authentication», la fenêtre s’enrichira par de nouveaux champs.

21
- Dans le champ « Preshared Secret » on définie la clé partagé à utiliser avec la passerelle
distante,dans notre cas on mentionne la clé qu’on a déjà inscrite dans le routeur Cisco 837 qui
est «topnet».

- Dans le champ « Confirm Secret » on retape la même clé .

- Dans le champ « Local ID Type » on définie le type d’identification du routeur distant, pour
cela on choisi « addr » qui signifie : identification par adresse IP.

- Dans le champ « Local ID » on définie l’adresse WAN du ST-608.

- Dans le champ « Remote ID Type » on définie le type d’identification utilisé par le routeur
distant, pour cela on choisi « addr » qui signifie : identification par adresse IP.

- Dans le champ « Remote ID » on définie l’adresse WAN du Cisco 837.

22
23
Etape 5 : Choix du mode de connexion et des paramètres IKE
- Dans le menu déroulant relatif au choix de l’interface de connexion « Primary Untrusted
Physical Interface » on pourra choisir l’interface WAN1 ou la laisser à Any, dans ce cas le
routeur vérifiera sur quel interface du routeur, l’adresse IP publique qu’on a spécifié est
appliqué et paramétra automatiquement l’interface avec laquelle on utilisera un tunnel VPN.
- Dans le menu déroulant « IKE Exchange Mode » on choisit le mode de connexion « main »
- Dans le champ « Inactivity Timeout » on spécifie le temps de maintient du tunnel même s’il y a
aucun trafic véhiculé entre les deux réseaux.
- Le menu déroulant « IKE Security Descriptor » permet de choisir les algorithmes de
cryptographie et de hachage à utiliser, dans notre cas on va choisir « 3DES_MD5 »

24
Etape 6 : Validation et création de la passerelle
- Après avoir validé les étapes décrites précédemment on les valides en cliquant sur le bouton «
Apply » on remarquera qu’un bouton « New connection to this gateway » apparaît et que
l’adresse de notre passerelle s’ajoute dans la colonne « Gateway Address » en haut de la page.
On obtient une configuration similaire à celle décrite par la figure suivante :

25
Etape 7 : Création d’une nouvelle connexion à la passerelle • Après avoir crée la passerelle on
clique sur le bouton « New connection to this gateway » on obtient une page similaire à celle-ci :

26
- Dans le champ « Local Trusted Network Type » on définie si on veut autoriser à une seule
machine ou à un sous réseau ou à une plage d’adresse IP d’accéder au réseau distant. Ceci est
similaire au access-list pour un routeur Cisco.
Donc, comme précisé dans la figure 8, on va choisir un « subnet » (sous réseau).
- Dans le champ « Local Trusted Network IP » on mentionne l’adresse du sous réseau suivie de
son masque sous la forme x.x.x.x / 24.
- Dans le champ « Remote Trusted Network Type » on met la même valeur que pour le premier
champ.
- Dans le champ « Remote Trusted Network IP » on va mentionner l’adresse du réseau LAN
distant.
- Pour le descripteur du tunnel IPSec on choisit « 3DES_MD5_TUN ».

27
On valide la création de la nouvelle connexion par clique sur le bouton Add . On aura une
interface similaire à celle de la figure suivante :

28
On remarque bien que des nouveaux boutons sont ajoutés à l’interface d’administration et une
deuxième ligne relative à la nouvelle connexion s’ajoute en dessous de celle relative à la passerelle:
- Dans cette deuxième ligne apparaît l’état de la connexion : si l’état est « enabled » alors
l’interface est prête mais la connexion n’est pas encore établie.
- Les boutons « Start » et « Stop » permettent respectivement d’établir et de stopper une
connexion VPN à la passerelle distante.
- Si on clique sur le bouton « Start » et que les paramètres de connexion sont symétriques de part
et d’autre du tunnel, alors le Label «enabled » passe à « running ».
- Si malgré tout l’état de la connexion reste à «enabled » alors le tunnel ne s’est pas établi et on
en déduit qu’il y a une erreur de paramétrage dans l’un des routeurs.

29
Le bouton « Status » donne un aperçu sur l’état des deux phases d’établissement de connexion
VPN.
Si la connexion s’est bien établie, le clique sur le bouton « Status » nous fournira un résultat pareil :

STATUS:
session id [10]
local ID : ipv4/196.203.53.111
remote ID : ipv4/196.203.17.157
name : AUTOL_to_196.203.53.135_#1
last role : initiator
role changes : 0
lastseen : 1 seconds ago
nat status : port swapped, keepalive
sa count : 2
p1 exchanged : 1
p2 exchanged : 1
30
negotiated phase 1 SA's :
-> peer AUTOL_to_196.203.53.135_#1
index : 12
state : READY ALWAYS_ON
icookie : 0xFB00CC08F7723908
rcookie : 0x1FF0557421F701CF
lifetime : 466 s
enc algo : 3DES
hash algo: MD5
group : MODP1024
ike in pkts : 5
ike in bytes : 736
ike in drop pkts : 0
ike out pkts : 5
ike out bytes : 815
ike out drop pkts : 1
ike in QM exchanges : 0
ike invalid in QM exchanges : 0
ike rejected in QM exchanges : 0
31
ike in QM delete requests : 0
ike out QM exchanges : 1
ike invalid out QM exchanges : 0
ike rejected out QM exchanges : 0
ike out QM delete requests : 0
ike in mode-cfg requests : 0
ike in rejected mode-cfg requests : 0
ike out mode-cfg requests : 0
ike out rejected mode-cfg requests : 0
negotiated phase 2 SA pairs :
-> connection
AUTOL_196.203.53.111_to_196.203.53.135_#1
index : 11
state : READY ALWAYS_ON
spi's : in(0x525DA1B6) out(0x85EE4812)
lifetime : 3456 s
protocol : ESP
enc algo : 3DES

32
auth algo : HMAC-MD5
pfs : no
ipsec in bytes : 6384
ipsec in packets : 57
ipsec in decrypt packets : 57
ipsec in auth packets : 57
ipsec out bytes : 6840
ipsec out packets : 57
ipsec out crypt packets : 57
ipsec out auth packets : 57
ipsec in drops : 0
ipsec in replay drops : 0
ipsec in auth failed drops : 0
ipsec in decrypt failed drops : 0
ipsec out drops : 0
ipsec out auth failed drops : 0
ipsec out crypt failed drops : 0

33
On remarque bien que les deux phases de connexion se sont bien déroulées.
• Le bouton « Statistics » fournit des informations sur le nombre de paquets reçus, le nombre
de paquets cryptés et décryptés etc..

34