SlideShare une entreprise Scribd logo

Configuration d'un VP IPSEC CISCO

S
saqrjareh

Configuration d'un VP IPSEC CISCO, cours et des exemples figurent clairement la bonne configuratrion d'un VPN ipsce sous CISCO

Technologie
1  sur  5
Télécharger pour lire hors ligne
Introduction Définition VPN est l’acronyme de « Virtual Private Network » soit un réseau privé virtuel. Par exemple, cela va nous permettre depuis notre domicile, d’avoir accès au réseau local d’un autre site distant (notre entreprise par exemple) à travers une connexion internet sécurisé (IpSec). On parle alos de VPN Remote-Access. Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits bien distinct, à l’instar des lignes dédiées où l’on devais passer par un opérateur ou encore au lieu de mettre en place des liens physique entre ces deux sites (fibre optique…) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site. Ainsi, on aura accès aux ressources de notre entreprise (fichiers partagés, intranet, extranet…) comme si on y était. Fonctionnement VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux données de passer d’une extrémité du VPN à l’autre de manière sécurisé en utilisant des algorithmes de cryptographie. Dans notre exemple, nous allons utilisé le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges. Configuration d’un VPN IPSec Il faut savoir qu’il y a deux types de VPN :  Site-to-Site : Liaison entre deux sites distants  Remote-Access : Liaison entre une machine distance et un site Informations Quelques informations pour notre topologie : 1. Nous allons utilisé le protocole : esp 2. Pour la confidentialité nous utiliserons AES 128 bits 3. Pour l’intégrité nous utiliserons le SHA-1 4. Pour l’authentification nous utiliserons la clé pré-partagée
5. Et nous utiliserons le group 2 pour Diffie-Helman En ce qui concerne la clé pré partagée (Pre-shared key) on va mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux. Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau). Nous allons au tout au long de la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2. Pour faire simple dans l’IKE de phase 1 nous allons configurer les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui va permettre de définir une IKE Security Association. Dans l’IKE de phase 2 nous allons configurer les politique de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association. Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées. Configuration d’un VPN Site-to-site Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre l’établissement d’une liaison avec RouteurMaison. Création d’un acl étendue permettant l’établissement d’un tunnel VPN Ici nous allons autoriser l’établissement d’un tunnel IPSec entre les deux routeurs : RouteurEntreprise(config)#ip access-list extended IPSECACL RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp RouteurEntreprise(config-ext-nacl)#exit
Création de notre politique IKE pour la phase 1 Nous définissons notre politique IKE. RouteurEntreprise(config)#crypto isakmp policy 100 RouteurEntreprise(config-isakmp)#encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 RouteurEntreprise(config-isakmp)#hash sha RouteurEntreprise(config-isakmp)#lifetime 86400 RouteurEntreprise(config-isakmp)#exit Création de clé pré-partagé Nous définissons la clé pré-partagée : VpnK3! ainsi que l’adresse IP du routeur distant avec lequel on communique RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2 Création de notre politique IPSec pour la phase 2 Nous définissons notre transform-set pour l’établissement d’une liaison IPSec SA RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp- sha-hmac Création de la crypto ACL Nous créons la crypto ACL qui est une ACL qui va identifier le traffic « interessant » c’est à dire le traffic qui doit passer par le tunnel VPN (ici c’est le traffic depuis le LAN Entreprise vers le LAN Maison) RouteurEntreprise(config)#ip access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 RouteurEntreprise(config-ext-nacl)#exit Création de la crypto MAP Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on veut communiquer. RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsec-isakmp RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address CRYPTOACL RouteurEntreprise(config-crypto-map)#exit
Application de notre crypto map et de l’acl pour autoriser le tunnel sur l’interface de sortie s0/0/0 On application la crypto-map et l’ACL qui autorise l’établissement du VPN. RouteurEntreprise(config)#interface s0/0/0 RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit Configurer le RouteurMaison La configuration est la même que pour Routeurentreprise à l’exception de :  Dans l’ACL IPSECACL on doit inverser l’adresse IP de l’hôte source et de l’hôte de destination  Dans la définition du transform-set on doit changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise  Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de destination  Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RouteurEntreprise

Recommandé

VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 

Recommandé

VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASA
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS CISCO ASAManassé Achim kpaya
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERHermann Gbilimako
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERHermann GBILIMAKO
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsecThomas Moegli
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpnImaneF1990
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueBenoît VAN DEN BULCKE
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final PresentationBedreddine Zarrouk
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Vpn
VpnVpn
Vpnmalekoff
 
Vpn
VpnVpn
Vpnmalekoff
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESManassé Achim kpaya
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1Al Ousseynou Gueye
 
Présentation maas
Présentation maasPrésentation maas
Présentation maasKhalil Zaidoun
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Activer les connexions à distance my sql
Activer les connexions à distance my sqlActiver les connexions à distance my sql
Activer les connexions à distance my sqlEnnakhli Said
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Vpn
VpnVpn
VpnZakaria Loubeidi
 
IPsec
IPsecIPsec
IPsecIvandro Ismael
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
Vpn
VpnVpn
Vpnkwabo
 

Contenu connexe

Tendances

Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueBenoît VAN DEN BULCKE
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOManassé Achim kpaya
 
Activer les connexions à distance my sql
Activer les connexions à distance my sqlActiver les connexions à distance my sql
Activer les connexions à distance my sqlEnnakhli Said
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 

Tendances (16)

Les Vpn
Les VpnLes Vpn
Les Vpn
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsec
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotique
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 
SERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCESSERVICES RESEAUX AVANCES
SERVICES RESEAUX AVANCES
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
 
Présentation maas
Présentation maasPrésentation maas
Présentation maas
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Activer les connexions à distance my sql
Activer les connexions à distance my sqlActiver les connexions à distance my sql
Activer les connexions à distance my sql
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 

Similaire à Configuration d'un VP IPSEC CISCO

configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxWiemAssadi
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Networkmia884611
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
openssh
opensshopenssh
opensshiferis
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 

Similaire à Configuration d'un VP IPSEC CISCO (20)

configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Vpn
VpnVpn
Vpn
 
IPsec
IPsecIPsec
IPsec
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Vpn
VpnVpn
Vpn
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Pfsense
PfsensePfsense
Pfsense
 
réseaux
réseauxréseaux
réseaux
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
openssh
opensshopenssh
openssh
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
8-socket.pdf
8-socket.pdf8-socket.pdf
8-socket.pdf
 
Rapport des travaux
Rapport des travauxRapport des travaux
Rapport des travaux
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
voip
voipvoip
voip
 

Plus de saqrjareh

Cours cisco icnd1
Cours cisco icnd1Cours cisco icnd1
Cours cisco icnd1saqrjareh
 
Adressage ip stl-cours
Adressage ip stl-coursAdressage ip stl-cours
Adressage ip stl-courssaqrjareh
 
Ccna icnd2-labs exercices
Ccna icnd2-labs exercicesCcna icnd2-labs exercices
Ccna icnd2-labs exercicessaqrjareh
 
Ccna icnd1-labs - exercices
Ccna icnd1-labs - exercicesCcna icnd1-labs - exercices
Ccna icnd1-labs - exercicessaqrjareh
 
Glossaire des propriétés CSS
Glossaire des propriétés CSSGlossaire des propriétés CSS
Glossaire des propriétés CSSsaqrjareh
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 

Plus de saqrjareh (7)

Cours cisco icnd1
Cours cisco icnd1Cours cisco icnd1
Cours cisco icnd1
 
Adressage ip stl-cours
Adressage ip stl-coursAdressage ip stl-cours
Adressage ip stl-cours
 
Tp sgbd gsi
Tp sgbd gsiTp sgbd gsi
Tp sgbd gsi
 
Ccna icnd2-labs exercices
Ccna icnd2-labs exercicesCcna icnd2-labs exercices
Ccna icnd2-labs exercices
 
Ccna icnd1-labs - exercices
Ccna icnd1-labs - exercicesCcna icnd1-labs - exercices
Ccna icnd1-labs - exercices
 
Glossaire des propriétés CSS
Glossaire des propriétés CSSGlossaire des propriétés CSS
Glossaire des propriétés CSS
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 

Configuration d'un VP IPSEC CISCO

  • 1.
  • 2. Introduction Définition VPN est l’acronyme de « Virtual Private Network » soit un réseau privé virtuel. Par exemple, cela va nous permettre depuis notre domicile, d’avoir accès au réseau local d’un autre site distant (notre entreprise par exemple) à travers une connexion internet sécurisé (IpSec). On parle alos de VPN Remote-Access. Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits bien distinct, à l’instar des lignes dédiées où l’on devais passer par un opérateur ou encore au lieu de mettre en place des liens physique entre ces deux sites (fibre optique…) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site. Ainsi, on aura accès aux ressources de notre entreprise (fichiers partagés, intranet, extranet…) comme si on y était. Fonctionnement VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux données de passer d’une extrémité du VPN à l’autre de manière sécurisé en utilisant des algorithmes de cryptographie. Dans notre exemple, nous allons utilisé le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges. Configuration d’un VPN IPSec Il faut savoir qu’il y a deux types de VPN :  Site-to-Site : Liaison entre deux sites distants  Remote-Access : Liaison entre une machine distance et un site Informations Quelques informations pour notre topologie : 1. Nous allons utilisé le protocole : esp 2. Pour la confidentialité nous utiliserons AES 128 bits 3. Pour l’intégrité nous utiliserons le SHA-1 4. Pour l’authentification nous utiliserons la clé pré-partagée
  • 3. 5. Et nous utiliserons le group 2 pour Diffie-Helman En ce qui concerne la clé pré partagée (Pre-shared key) on va mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux. Diffie-Helman est un protocole qui va permettre l’échange de la clé de chiffrement de manière sécurisée (sans envoyer la clé explicitement sur le réseau). Nous allons au tout au long de la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2. Pour faire simple dans l’IKE de phase 1 nous allons configurer les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui va permettre de définir une IKE Security Association. Dans l’IKE de phase 2 nous allons configurer les politique de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association. Les Routeurs doivent IMPERATIVEMENT avoir les mêmes politiques IKE et IPSec configurées. Configuration d’un VPN Site-to-site Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre l’établissement d’une liaison avec RouteurMaison. Création d’un acl étendue permettant l’établissement d’un tunnel VPN Ici nous allons autoriser l’établissement d’un tunnel IPSec entre les deux routeurs : RouteurEntreprise(config)#ip access-list extended IPSECACL RouteurEntreprise(config-ext-nacl)#permit ahp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit esp host 170.30.1.2 host 172.30.2.2 RouteurEntreprise(config-ext-nacl)#permit udp host 170.30.1.2 host 172.30.2.2 eq isakmp RouteurEntreprise(config-ext-nacl)#exit
  • 4. Création de notre politique IKE pour la phase 1 Nous définissons notre politique IKE. RouteurEntreprise(config)#crypto isakmp policy 100 RouteurEntreprise(config-isakmp)#encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 RouteurEntreprise(config-isakmp)#hash sha RouteurEntreprise(config-isakmp)#lifetime 86400 RouteurEntreprise(config-isakmp)#exit Création de clé pré-partagé Nous définissons la clé pré-partagée : VpnK3! ainsi que l’adresse IP du routeur distant avec lequel on communique RouteurEntreprise(config)#crypto isakmp key VpnK3! address 170.30.2.2 Création de notre politique IPSec pour la phase 2 Nous définissons notre transform-set pour l’établissement d’une liaison IPSec SA RouteurEntreprise(config)#crypto ipsec transform-set IPSECSET esp-aes 128 esp- sha-hmac Création de la crypto ACL Nous créons la crypto ACL qui est une ACL qui va identifier le traffic « interessant » c’est à dire le traffic qui doit passer par le tunnel VPN (ici c’est le traffic depuis le LAN Entreprise vers le LAN Maison) RouteurEntreprise(config)#ip access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 RouteurEntreprise(config-ext-nacl)#exit Création de la crypto MAP Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform-set pour la politique IPSec et l’adresse IP du routeur distant avec lequel on veut communiquer. RouteurEntreprise(config)#crypto map IPSECMAP 100 ipsec-isakmp RouteurEntreprise(config-crypto-map)#set peer 170.30.2.2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address CRYPTOACL RouteurEntreprise(config-crypto-map)#exit
  • 5. Application de notre crypto map et de l’acl pour autoriser le tunnel sur l’interface de sortie s0/0/0 On application la crypto-map et l’ACL qui autorise l’établissement du VPN. RouteurEntreprise(config)#interface s0/0/0 RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit Configurer le RouteurMaison La configuration est la même que pour Routeurentreprise à l’exception de :  Dans l’ACL IPSECACL on doit inverser l’adresse IP de l’hôte source et de l’hôte de destination  Dans la définition du transform-set on doit changer l’adresse du peer en mettant l’adresse IP de RouteurEntreprise  Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de destination  Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RouteurEntreprise