Scribd Logo
Importer

Bienvenue sur Scribd !

  • TP VPN Site À Site Bis

    Transféré par

    mbe steve
    19 vues6 pages

    Titre original

    TP VPN SITE À SITE BIS

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    19 vues6 pages

    TP VPN Site À Site Bis

    Transféré par

    mbe steve

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 6

    VPN SITE À SITE

    – Qu’est-ce qu’un VPN Site à Site ?

    C’est une communication entre 2 LAN distants via un tunnel sécurisé à travers internet.

    Exemple: nous avons un réseau LAN sur Lille et un réseau LAN sur Paris que nous devons
    interconnecter. A moins de tirer une fibre optique entre les 2 bâtiments (Lille à Paris) ce qui
    est impossible xD, le seul moyen de les raccorder est de passer par internet. Pour cela il nous
    faut créer un lien sécurisé qu’on appelle un VPN (Virtual Private Network)

    – Contexte de la maquette :
    Les routeurs LILLE et PARIS sont déjà configurés avec leurs IP. Le nat overload est opérationnel.
    Les postes clients peuvent accéder à internet sur l’ip 8.8.8.8

    ➢ Tester le ping vers 8.8.8.8 à partir d’un poste client

    Le problème que nous rencontrons est que les 2 sites LILLE et PARIS ne communiquent pas
    entre-eux. Ce qui est normal à la base. Personne ne peut entrer sur un réseau distant qui ne
    lui appartient pas. Le VPN permettra de répondre à ce besoin tout en sécurisant la
    communication.

    ➢ Tester le ping d’un PC de LILLE sur un PC de PARIS

    1
    – CONFIGURATION DU VPN DE LILLE
    Sous packet tracer, nous devons dans un premier temps activer le module sécurité securityk9
    sur le routeur 2911. Exécutez la commande show version pour vérifier que la licence du pack
    est activée.

    Si ce n’est pas le cas, activez le module avec la commande suivante, enregistrez votre
    configuration et redémarrez votre routeur.

    LILLE>enable
    LILLE#conf t
    LILLE(config)#license boot module c2900 technology-package securityk9
    LILLE(config)#exit
    LILLE#copy run start
    LILLE#reload

    Si vous refaites un show version, vous identifiez votre module activé en version d’évaluation.

    2
    Nous allons ensuite nous occuper des stratégies de chiffrement avec ISAKMP (Internet
    Security Association and Key Management Protocol). Cette Appliance fournis la sécurisation
    des paquets qui seront acheminés d’un bout à l’autre.

    LILLE(config)#crypto isakmp policy 10


    LILLE(config-isakmp)# encryption aes
    LILLE(config-isakmp)# authentication pre-share
    LILLE(config-isakmp)# group 5
    LILLE(config-isakmp)#exit

    Le cryptage AES est le chiffrement choisi pour l’échange. Les algorithmes DES et 3DES n’étant
    plus considérés comme sûres, il est recommandé d’utiliser AES.

    Cet algorithme nécessite une clé pré-partagée pour le chiffrement et le déchiffrement. C’est
    pourquoi nous choisissons l’authentification pre-share.

    Le group 5 représente l’algorythme DH (Diffie-Hellman) la manière selon laquelle une clé


    secrète partagée est établie entre les homologues

    Nous précisons ensuite la clé d’échange qui sera KEYVPN ainsi que la destination de l’hôte
    distant

    LILLE(config)#crypto isakmp key KEYVPN address 83.0.0.1

    Ensuite nous sélectionnons la méthode de cryptage que l’on appelle CRYPSET

    LILLE(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

    ESP-AES est l’algorythme de cryptage et esp-sha-hmac est la méthode d’authentification

    Passons à la configuration des ACL

    LILLE(config)#ip access-list extended LAN


    LILLE(config-ext-nacl)# no permit ip 192.168.20.0 0.0.0.255 any
    LILLE(config-ext-nacl)# deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

    3
    LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
    LILLE(config-ext-nacl)# exit

    WARNING : Nous éditons l’ACL du NAT déjà existante qui s’appelle LAN pour interdire la
    translation d’adresse vers le LAN distant. De cette façon aucune adresse IP source à
    destination de PARIS ne sera changée. Néanmoins si la destination est autre que PARIS, les
    adresses IP sources seront translatées.

    Par contre nous créons une autorisation du réseau d’ARRAS à communiquer avec le réseau de
    PARIS avec l’ACL que l’on appellera VPN

    LILLE(config)#ip access-list extended VPN


    LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

    Nous nous attaquons à présent à rassembler les différents éléments créés ci-dessus pour en
    faire une cryptomap que l’on positionnera sur l’interface outside serial 0/0/0

    LILLE(config)#crypto map VPNMAP 10 ipsec-isakmp


    LILLE(config-crypto-map)# set peer 83.0.0.1
    LILLE(config-crypto-map)# set transform-set CRYPSET
    LILLE(config-crypto-map)# match address VPN
    LILLE(config-crypto-map)#exit
    LILLE(config)#interface serial 0/0/0
    LILLE(config-if)#crypto map VPNMAP
    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

    – CONFIGURATION DU ROUTEUR DE PARIS


    Configuration d’ISAKMP

    PARIS(config)#crypto isakmp policy 10


    PARIS(config-isakmp)# encr aes
    PARIS(config-isakmp)# authentication pre-share
    PARIS(config-isakmp)# group 5
    PARIS(config-isakmp)#

    4
    Configuration de la clé d’échange entre les 2 hôtes

    PARIS(config)#crypto isakmp key KEYVPN address 80.0.0.1

    Configuration du cryptage et de la méthode d’authentification

    PARIS(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

    Configuration de l’ACL LAN (celle du NAT)

    PARIS(config)#ip access-list extended LAN


    PARIS(config-ext-nacl)# no permit ip 192.168.10.0 0.0.0.255 any
    PARIS(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
    PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any

    Création de l’ACL nommé VPN

    PARIS(config)#ip access-list extended VPN


    PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

    Création de la Cryptomap

    PARIS(config)#crypto map VPNMAP 10 ipsec-isakmp


    PARIS(config-crypto-map)# set peer 80.0.0.1
    PARIS(config-crypto-map)# set transform-set CRYPSET
    PARIS(config-crypto-map)# match address VPN

    Attribution de la cryptomap sur l’interface outside

    PARIS(config-ext-nacl)#interface serial 0/0/0


    PARIS(config-if)#crypto map VPNMAP
    *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
    PARIS(config-if)#

    – TESTS ET VERIFICATION

    5
    Si votre configuration fonctionne du premier coup vous devriez avoir ceci si vous pingez
    192.168.10.1à partir du 192.168.20.1

    Afin de vérifier si les paquets envoyés sont cryptés et que les paquets reçus sont bien
    décryptés, vous pouvez le vérifier avec la commande suivante :

    Router#sh crypto ipsec sa

    Les 2 sites sont fin prêt pour communiquer ensemble de façon sécurisée !!

    Source : https://ciscotracer.wordpress.com/2017/03/22/vpn-site-site/

    CONFIGURATION D’UNE INTERFACE WIFI SUR UN ROUTEUR 2811


    https://ciscotracer.wordpress.com/category/wifi/

    CONFIGURATION D’UN CALL MANAGER EXPRESS


    https://ciscotracer.wordpress.com/2015/02/26/configuration-dun-call-manager-
    express/

    VOIP AVANCÉ – INTERCONNECTER 2 CALL MANAGER EXPRESS (CME)


    https://ciscotracer.wordpress.com/2015/09/10/voip-avanc-interconnecter-2-call-
    manager-express-cme/

    Vous aimerez peut-être aussi