Projet fin formation

2020/2021

IP sec VPN
(Lan to Lan)

CREATED BY
MEHER ASKRI
IHEB SNOUSSI
 INTRODUCTION

VPN est un système permettant de créer une

connexion sécurisée et chiffrée entre deux
réseaux ou entre un utilisateur distant et un
réseau, il isole leurs échanges des données du
reste du trafic qui se déroulant sur des réseaux
de communication publics
 MAIS EN QUOI EST-IL
PRIVÉ ET VIRTUEL ?

 Il est privé, car il s'agit d'un LAN. D’un

réseau local donc. Les données ne sont
donc pas accessibles en dehors du VPN

 Il est virtuel, car physiquement, il s'agit en

fait de deux réseaux privés transitant par
Internet. Vous n'avez donc pas les câbles et
switches normalement utilisés pour un
LAN
 EN QUOI SERA-T-IL
UTILE ?

Un VPN vous est utile pour plusieurs

raisons :
 VPN Lan-to-Lan
La première utilisation d'un VPN est la
connexion entre deux LAN. On appelle cela
un VPN Lan-to-Lan. Imaginez deux
serveurs à deux endroits différents qui
doivent communiquer ensemble, mais ne le
peuvent pas au travers d'Internet.
L’installation d’un VPN va permettre de
relier les deux réseaux privés, comme s’ils
n’en formaient qu’un. 
 VPN Host-to-Lan
La deuxième utilisation est la connexion au
réseau local d'un télétravailleur. On appelle
cela un VPN host-to-Lan. L’installation d’un
VPN va permettre au télétravailleur de se
connecter au réseau privé de son entreprise
depuis n’importe quel endroit dans le
monde.
 COMMENT CELA
FONCTIONNE ?

Pour virtualiser un réseau privé au milieu

d'Internet, un VPN crée ce que l'on appelle un «
tunnel »
Pour créer un tunnel, on utilise plusieurs protocoles
de tunnellisation. Tout cela pour répondre à
plusieurs besoins :
 Un besoin d'authentification
 Un besoin d’intégrité
 Un besoin de confidentialité
 MAIS, C’EST QUOI ATH , INTÉGRITÉ
ET CONFIDENTIALITÉ ?

 Authentification : consiste à assurer l’identité

d’un utilisateur (C'est-à-dire que la personne
se connectant au VPN est la bonne)
 Intégrité : consiste à déterminer si les données
n’ont pas été altérées durant la
communication (les paquets transitant ne se
perdent pas et qu'ils arrivent entiers)
 Confidentialité : consiste à rendre
l’information inintelligible à d’autres
personnes (C’est-à-dire personne ne puisse
accéder au VPN ou ne puisse lire les paquets
sans autorisation)
 LES DIFFÉRENTS
PROTOCOLES DE VPN

Il existe de nombreux protocoles permettant la

tunnellisation des données (PPTP, L2TP,...)
l’un des protocoles de tunnellisation les plus
utilisés aujourd’hui est IPsec (Internet Protocoles
Security), standard de l’IETF. Grâce à lui les
données transitant d’une entreprise à une autre, le
feront en toute sécurité.
 COMMENT IPSEC
FONCTIONNE?

Le fonctionnement est simple. Le VPN IPsec est

configuré entre les deux routeurs (dans notre
scénario R1 ET R2)
 EXAMINONS LE
PLUS PROFOND

En faite, IPsec est donc l’association de plusieurs

protocoles permettant de répondre à ces besoins
d’intégrité , de confidentialité et
d’authentification
 Pour la sécurité les données et l’intégrité des
données, il utilise le protocole Encapsulating
Security Payload(ESP)

 Pour gérer la négociation entre les deux

routeurs ,IPsec utilise le protocole Internet
Key Exchange(ISAKMP ou IKEv1)
 POURQUOI ESP?

Comme nous l’avons dit , ce protocole assure

l’intégrité des données et assure l'authentification
de la source. C’est-à-dire qu’après être passé par
ce protocole, vous serez certain que les paquets
n’ont pas été modifiés et qu'ils proviennent bien
d’une source fiable. De plus, il les sécurise en les
cryptant(mode tunnel)
 Tout d’abord, il crypte le paquet.
 Puis il modifie l'en-tête IP pour l’intégrité.
Regardons comment ESP modifie un paquet:
 POURQUOI IKE?

C’est ce protocole qui gère la connexion entre

les deux routeurs. Cette connexion se fait en
deux phases :
 Lors de la phase 1 IKE établit une
connexion sécurisée en utilisant, soit les
certificats de chaque partie, soit un mot de
passe partagé ,Chaque partie s’échange ici
ses paramètres de connexion. Une fois
d’accord sur ce point, elles peuvent ouvrir
le tunnel lors de la phase 2.
 La phase 2 consiste donc à ouvrir ce
tunnel sécurisé.
 MISE EN PRATIQUE

Nous allons enfin mettre en pratique la théorie que

nous venons d’assimiler en créant un VPN sécurisé
entre deux sites. Ceci nous permettra de relier deux
réseaux comme s’ils n’en formaient qu’un.
Tout d’abord , on commence par présenter notre
Topologie, on a deux réseaux différents (LAN1 et
LAN2)
Chacun Réseau LAN contient un Routeur , un
Switch , un PC , un Serveur
Configuration de base de routeur1
Router>enable
Router# configure terminal
Router(config)# hostname R2
R1(config)# interface FastEthernet 0/0
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
R1(config)# interface Serial 1/0
R1(config-if)# ip address 10.0.0.1 255.255.255.0
R1(config-if)# no shutdown
R1(config-if)# exit
Configuration de base de routeur2
Router>enable
Router# configure terminal
Router(config)# hostname R2
R2(config)# interface FastEthernet 0/0
R2(config-if)# ip address 192.168.2.1 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# exit
R2(config)# interface Serial 1/1
R2(config-if)# ip address 11.0.0.1 255.255.255.0
R2(config-if)# no shutdown
R2(config-if)# exit
Configuration de base du routeur Internet
Router>enable
Router# configure terminal
Router(config)# hostname Internet
Internet (config)# interface Serial 1/0
Internet (config-if)# ip address 10.0.0.2 255.255.255.0
Internet (config-if)# no shutdown
Internet (config-if)# exit
Internet (config)# interface Serial 1/1
Internet (config-if)# ip address 11.0.0.2 255.255.255.0
Internet (config-if)# no shutdown
Internet (config-if)# exit
C’EST QUOI EIGRP ??

EIGRP est un protocole de routage dynamique propriétaire développé par CISCO

Configuration de routage EIGRP pour R1
R1(config)# router eigrp 100
R1(config-router)# network 192.168.1.0
R1(config-router)# network 10.0.0.0
R1(config-router)# no auto-summary
R1(config-router)# exit
configuration de routage EIGRP pour Routeur 2
R2(config)# router eigrp 100
R2(config-router)# network 192.168.2.0
R2(config-router)# network 11.0.0.0
R2(config-router)# no auto-summary
R2(config-router)# exit

Et bien on doit activer EIGRP sur Routeur 3 qui représente l'internet pour
que la communication s’établit entre R1 et R2
Internet(config)# router eigrp 100
Internet(config-router)# network 10.0.0.0
Internet(config-router)# network 11.0.0.0
Internet(config-router)# no auto-summary
 MISE EN PLACE DU
TUNNEL VPN IPSEC

Configuration de la négociation des clés (phase 1)

Détail de la configuration sur Routeur1:
L'objectif est d’activer le protocole 'IKE', configurer le protocole 'ISAKMP' qui
gère
l’échange des clés et établir une stratégie de négociation des clés et
d’établissement de la
liaison VPN.
La clé pré partagée (PSK) sera définie avec pour valeur ‘ cisco123 ’
On va ici utiliser les paramètres suivants :
 Encryptage AES
 Mode de secret partagé PSK
 Authentification par clé pré-partagées
 Algorithme de hachage SHA (valeur par défaut)
 Méthode de distribution des clés partagées DH-2 (clés Diffie-Hellman
groupe 5 - 1536bits)
 Durée de vie 86400 secondes (valeur par défaut)
 On spécifie le protocole de hash utilisé, le type et la durée de validité
des clés de sessions.

On indique ensuite si le routeur peer(R2) est identifié par un nom ou son

adresse.
R1(config)#crypto isakmp enable → active IKE
R1(config)#crypto isakmp policy 10 → active une politique IKE
R1(config-isakmp)# encryption aes → fixe l'algorithme de cryptage
R1(config-isakmp)# authentication pre-share → fixe la méthode d'authentification
R1(config-isakmp)# hash sha → fixe l'algorithme de hachage
R1(config-isakmp)# group 5 → définit le groupe Diffie Hellman
R1(config-isakmp)# lifetime 3600 → fixe la durée de vie de la SA
R1(config-isakmp)#exit

R1(config)# crypto isakmp key Cisco123 address 11.0.0.1 → indique la clé partagée et
l'adresse du routeur pair R2
Configuration de la méthode de chiffrage des données (phase 2)
Il faut établir l'opération en trois phases :
1) Créer la méthode de cryptage (transform-set) que je nomme  « MYTS » , avec
‘’esp-aes‘’ comme méthode de cryptage et ''esp-sha-hmac'' comme méthode
d’authentification On définit la durée de vie de la clé soit en durée (secondes)

2) Je créé ensuite une liste de contrôle d'accés (access-list 101), servant à

identifier le trafic à traiter par le tunnel VPN

3) Je déclare finalement une carte de cryptage (crypto-map) que j'appelle

« CMAP  » , servant à spécifier le pair distant, le 'transform set' et l'access list
Voici le détail de la configuration sur Routeur1
R1(config)# crypto ipsec transform-set MYTS esp-aes 256 esp-sha-hmac
R1(config)# crypto ipsec security-association lifetime seconds 86400
R1 (cfg-crypto-trans)# mode tunnel
R1 (cfg-crypto-trans)# exit
R1(config)# access-list 101 permit ip 192,168,1,0 0,0,0,255 192,168,2,0 0,0,0,255
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# match address 101
R1(config-crypto-map)# set peer 11.0.0.1
R1(config-crypto-map)# set pfs group5
R1(config-crypto-map)# set transform-set MYTS
R1(config-crypto-map)# exit
Voici le détail de la configuration sur Routeur2
La configuration est très similaire, il suffit d'adapter les adresses des réseaux à filtrer et
préciser l'adresse du routeur pair
R2(config)# crypto ipsec transform-set MYTS esp-aes esp-sha-hmac
R2(config)# crypto ipsec security-association lifetime seconds 86400
R2 (cfg-crypto-trans)# mode tunnel
R2(cfg-crypto-trans)# exit
R2(config)# access-list 101 permit ip 192,168,2,0 0,0,0,255 192,168,1,0 0,0,0,255
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# match address 101
R2(config-crypto-map)# set peer 10,0,0,1
R2(config-crypto-map)# set pfs group5
R2(config-crypto-map)#set transform-set MYTS
R2(config-crypto-map)#exit
 Il faut maintenant appliquer la crypto-map à l’interface WAN de Routeur1 :
R1(config)# interface serial 1/0
R1(config-if)# crypto map CMAP
R1(config-if)# exit

 Et de même il faut appliquer la crypto-map à l’interface WAN de Routeur2 :

R2(config)# interface serial 1/1
R2(config-if)# crypto map CMAP
R2(config-if)# exit
 CE QU'IL FAUT
RETENIR

 Pour créer un VPN, les deux réseaux WAN doivent être

joignables.

 IPsec se construit en deux phases

 Les paramètres des phases doivent être exactement les

mêmes entre les deux routeurs (sauf les adresses WAN et
LAN).