SlideShare une entreprise Scribd logo
I.    Partie I : Introduction




          Partie II : Architecture du réseau




          Partie III : Configurations de base
           Routeur R1
           Routeur R2
           Routeur R3

          Partie IV : Configuration du VPN

           Configuration du VPN sur le R1
           Configuration du VPN sur R3
           Vérifications


             Conclusion




Dimitri LEMBOKOLO                               1
I.     Introduction

Nous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté et
VPN d'accès distant (Remote Access). La première est largement utilisée pour connecter en toute
sécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou les
télétravailleurs d'accéder aux ressources sur un réseau site central. Dans ce post nous allons décrire
brièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avec
deux routeurs Cisco IOS utilisant IPSEC.
Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec le
cryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF.
Il s'agit essentiellement d'un costume de plusieurs protocoles qui offrent une communication
sécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toute
sécurité à distance sur Internet d'insécurité. Nous pourrions utiliser un réseau privé WAN avec Frame
Relay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela,
avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti par
IPSEC) pour la communication entre nos sites distants.

   II.    Architecture du réseau

Voici notre réseau :




Dimitri LEMBOKOLO                                                                                   2
III.   Configurations de base

Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne
configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :

    Routeur R1
On commence par :

R1>enable
R1#configure terminal

Nous configurons ensuite les adresses IP des deux interfaces :

R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.2.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise le
routage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous
préférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et qui
marche sans problème.

R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.2.0
R1(config-router)#network 10.1.1.0
R1(config-router)#exit

La configuration de base de notre routeur R1 est terminée.

    Routeur R2
Même procédure pour notre routeur R2 :

R2>enable
R2#configure terminal




Dimitri LEMBOKOLO                                                                                       3
Nous configurons ensuite les adresses IP des deux interfaces :

R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage.

R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.2.0
R2(config-router)#network 10.1.1.0
R2(config-router)#exit

La configuration de base de notre routeur R2 est terminée.

    Routeur R3
Même procédure pour notre routeur R3 :

Nous configurons ensuite les adresses IP des deux interfaces :

R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address 192.168.3.254 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

Les interfaces configurées, il ne reste plus qu’à configurer le routage.

R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-router)#network 10.2.2.0
R3(config-router)#network 192.168.3.0
R3(config-router)#exit

La configuration de base de notre routeur R3 est terminée.


Dimitri LEMBOKOLO                                                          4
IV.      Configuration du VPN

Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on
n’aura aucune modification à faire sur R2.

    Configuration VPN sur R1
Etape 1 :
Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN.
On active ensuite les fonctions crypto du routeur :

R1(config)#crypto isakmp enable

Cette fonction est activée par défaut sur les IOS avec les options cryptographiques.

Etape 2 :

Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle type
d’authentification, etc.

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

group 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexion
avant une nouvelle négociation des clefs.

Etape 3 :

On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout du
tunnel donc 10.2.2.1:

R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1

Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le
mot de passe doit être chiffré ou pas, tapez cette commande :

R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1

Exemple :

R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1



Dimitri LEMBOKOLO                                                                                    5
Etape 4 :

Configuration des options de transformations des données :

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

esp : Signifie Encapsulation Security Protocol
N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première
étape.
Dans notre cas :
Encryption : 3des, hash : md5
On fixe ensuite une valeur de Lifetime :

R1(config)#crypto ipsec security-association lifetime seconds 1800

Etape 5 :

L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé.

R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

Etape 6 :

Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, et
la destination :

R1(config)#crypto map nom_de_map 10 ipsec-isakmp

Ex.:
R1(config)#crypto map espmap 10 ipsec-isakmp

R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de
sorte :
Dans notre cas FastEthernet 0/0.

R1(config)#interface FastEthernet 0/0
R1(config-if)#crypto map nom_de_map
Ex.:
R1(config)crypto map espmap
*Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Un message vous indique que la crypto map fonctionne. Bravo

Dimitri LEMBOKOLO                                                                                       6
 Configuration VPN sur R3
On refait la même configuration que sur R1 :

Etape 1:

R3(config)#crypto isakmp enable
Etape 2:

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit

Etape 3:

R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1
Ou
R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1

Etape 4 :

R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800

Etape 5 :

R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255

Etape 6 :

R3(config)#crypto map nom_de_map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit


R3(config)#interface FastEthernet 0/0
R3(config-if)#crypto map nom_de_map
* Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON




Dimitri LEMBOKOLO                                                                  7
 Vérifications
On réalise un ping pour voir si la communication n’est pas coupée :
Sur les machines :

VBOX1




VBOX2




Dimitri LEMBOKOLO                                                     8
Vérification des informations retournées par le VPN sur R1 et R3 :

Vérification de la map :
Comme rappel j’ai nommé ma map "espmap".

Sur le routeur R1




Sur le routeur R3




Dimitri LEMBOKOLO                                                    9
On vérifie les opérations d’IPsec :

Sur le routeur R1




Dimitri LEMBOKOLO                     10
Sur le routeur R3




Pour finir on vérifie les opérations d’Isakmp :
Sur le routeur R1 :




Sur le routeur R3 :




Dimitri LEMBOKOLO                                 11
Conclusion

Que ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votre
entreprise sécurisés besoins d'accès distant:
VPN IPSec est conçue pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de
bien-contrôlées actifs de l'entreprise. Si ce sont les besoins primaires de votre entreprise, IPSec
effectue ces fonctions tout à fait bien.




Pour les configurations de VPN IPSEC R.A (Remote Access)




                                                                                    To be continued…
Dimitri LEMBOKOLO                                                                                  12

Contenu connexe

Tendances

Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
Laouali Ibrahim bassirou Been Makao
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securise
JUNIOR SORO
 
DMVPN
DMVPNDMVPN
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
 
présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
Dimitri LEMBOKOLO
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
Georges Amichia
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Bamoussa Bamba
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Manassé Achim kpaya
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
marwenbencheikhali
 

Tendances (20)

Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Vpn
VpnVpn
Vpn
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securise
 
DMVPN
DMVPNDMVPN
DMVPN
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
 
Vpn
VpnVpn
Vpn
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 

En vedette

VPNIPSec site to site
VPNIPSec site to siteVPNIPSec site to site
VPNIPSec site to site
Dimitri LEMBOKOLO
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
Camara Assane
 
Messagerie
MessagerieMessagerie
Messagerie
Dimitri LEMBOKOLO
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
Dimitri LEMBOKOLO
 
Openfire + Active Directory sur Windows 2008 R2
Openfire + Active Directory sur  Windows 2008 R2Openfire + Active Directory sur  Windows 2008 R2
Openfire + Active Directory sur Windows 2008 R2
Dimitri LEMBOKOLO
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif  (SVI ou IVR)Tuto Serveur Vocal Interactif  (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
Dimitri LEMBOKOLO
 
Installation cisco call manager 6.0
Installation cisco call manager 6.0Installation cisco call manager 6.0
Installation cisco call manager 6.0
Dimitri LEMBOKOLO
 
Comment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logicielComment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logiciel
Dimitri LEMBOKOLO
 
Installation et configuration de openfire
Installation et configuration de openfireInstallation et configuration de openfire
Installation et configuration de openfire
Dimitri LEMBOKOLO
 
Rapport bluetooth
Rapport bluetooth Rapport bluetooth
Rapport bluetooth
Dimitri LEMBOKOLO
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
Installation de wink sous fedora
Installation de wink sous fedoraInstallation de wink sous fedora
Installation de wink sous fedora
Dimitri LEMBOKOLO
 
Installation de fedora 11
Installation de fedora 11Installation de fedora 11
Installation de fedora 11
Dimitri LEMBOKOLO
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003
Dimitri LEMBOKOLO
 
Installation de windows 2003serveur
Installation de windows 2003serveurInstallation de windows 2003serveur
Installation de windows 2003serveur
Dimitri LEMBOKOLO
 
Lightweight directory access protocol
Lightweight directory access protocolLightweight directory access protocol
Lightweight directory access protocol
Dimitri LEMBOKOLO
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
Dimitri LEMBOKOLO
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
Hermann Gbilimako
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
Alphorm
 
Li-Fi
Li-FiLi-Fi

En vedette (20)

VPNIPSec site to site
VPNIPSec site to siteVPNIPSec site to site
VPNIPSec site to site
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Messagerie
MessagerieMessagerie
Messagerie
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
 
Openfire + Active Directory sur Windows 2008 R2
Openfire + Active Directory sur  Windows 2008 R2Openfire + Active Directory sur  Windows 2008 R2
Openfire + Active Directory sur Windows 2008 R2
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif  (SVI ou IVR)Tuto Serveur Vocal Interactif  (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
 
Installation cisco call manager 6.0
Installation cisco call manager 6.0Installation cisco call manager 6.0
Installation cisco call manager 6.0
 
Comment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logicielComment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logiciel
 
Installation et configuration de openfire
Installation et configuration de openfireInstallation et configuration de openfire
Installation et configuration de openfire
 
Rapport bluetooth
Rapport bluetooth Rapport bluetooth
Rapport bluetooth
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
 
Installation de wink sous fedora
Installation de wink sous fedoraInstallation de wink sous fedora
Installation de wink sous fedora
 
Installation de fedora 11
Installation de fedora 11Installation de fedora 11
Installation de fedora 11
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003
 
Installation de windows 2003serveur
Installation de windows 2003serveurInstallation de windows 2003serveur
Installation de windows 2003serveur
 
Lightweight directory access protocol
Lightweight directory access protocolLightweight directory access protocol
Lightweight directory access protocol
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
 
Li-Fi
Li-FiLi-Fi
Li-Fi
 

Similaire à Tuto VP IPSEC Site-to-site

configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
JULIOR MIKALA
 
EIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relayEIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relay
mdyabi
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
Nabil EL KASSOUMI
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
saqrjareh
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
CONNECT Tunisia
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
CONNECT Tunisia
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
Siham Tatiggit
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
SergeAKUE
 
réseaux
réseauxréseaux
réseaux
SaraElMendili
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
ThamerMahersi1
 
EIGRP - Authentification
EIGRP - Authentification EIGRP - Authentification
EIGRP - Authentification
mdyabi
 
EIGRP - Configuration
EIGRP - ConfigurationEIGRP - Configuration
EIGRP - Configuration
mdyabi
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
Joeongala
 

Similaire à Tuto VP IPSEC Site-to-site (20)

configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
EIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relayEIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relay
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Vpn
VpnVpn
Vpn
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Tout atm
Tout atmTout atm
Tout atm
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
réseaux
réseauxréseaux
réseaux
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
vpn
vpnvpn
vpn
 
EIGRP - Authentification
EIGRP - Authentification EIGRP - Authentification
EIGRP - Authentification
 
EIGRP - Configuration
EIGRP - ConfigurationEIGRP - Configuration
EIGRP - Configuration
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
 

Tuto VP IPSEC Site-to-site

  • 1. I. Partie I : Introduction Partie II : Architecture du réseau Partie III : Configurations de base  Routeur R1  Routeur R2  Routeur R3 Partie IV : Configuration du VPN  Configuration du VPN sur le R1  Configuration du VPN sur R3  Vérifications Conclusion Dimitri LEMBOKOLO 1
  • 2. I. Introduction Nous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté et VPN d'accès distant (Remote Access). La première est largement utilisée pour connecter en toute sécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou les télétravailleurs d'accéder aux ressources sur un réseau site central. Dans ce post nous allons décrire brièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avec deux routeurs Cisco IOS utilisant IPSEC. Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec le cryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF. Il s'agit essentiellement d'un costume de plusieurs protocoles qui offrent une communication sécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toute sécurité à distance sur Internet d'insécurité. Nous pourrions utiliser un réseau privé WAN avec Frame Relay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela, avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti par IPSEC) pour la communication entre nos sites distants. II. Architecture du réseau Voici notre réseau : Dimitri LEMBOKOLO 2
  • 3. III. Configurations de base Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :  Routeur R1 On commence par : R1>enable R1#configure terminal Nous configurons ensuite les adresses IP des deux interfaces : R1(config)#interface FastEthernet 0/1 R1(config-if)#ip address 192.168.2.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise le routage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous préférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et qui marche sans problème. R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.2.0 R1(config-router)#network 10.1.1.0 R1(config-router)#exit La configuration de base de notre routeur R1 est terminée.  Routeur R2 Même procédure pour notre routeur R2 : R2>enable R2#configure terminal Dimitri LEMBOKOLO 3
  • 4. Nous configurons ensuite les adresses IP des deux interfaces : R2(config)#interface FastEthernet 0/1 R2(config-if)#ip address 10.2.2.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface FastEthernet 0/0 R2(config-if)#ip address 10.1.1.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 10.2.2.0 R2(config-router)#network 10.1.1.0 R2(config-router)#exit La configuration de base de notre routeur R2 est terminée.  Routeur R3 Même procédure pour notre routeur R3 : Nous configurons ensuite les adresses IP des deux interfaces : R3(config)#interface FastEthernet 0/1 R3(config-if)#ip address 192.168.3.254 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#ip address 10.2.2.1 255.255.255.252 R3(config-if)#no shutdown R3(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network 10.2.2.0 R3(config-router)#network 192.168.3.0 R3(config-router)#exit La configuration de base de notre routeur R3 est terminée. Dimitri LEMBOKOLO 4
  • 5. IV. Configuration du VPN Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on n’aura aucune modification à faire sur R2.  Configuration VPN sur R1 Etape 1 : Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN. On active ensuite les fonctions crypto du routeur : R1(config)#crypto isakmp enable Cette fonction est activée par défaut sur les IOS avec les options cryptographiques. Etape 2 : Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle type d’authentification, etc. R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 5 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit group 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs. Etape 3 : On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout du tunnel donc 10.2.2.1: R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1 Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit être chiffré ou pas, tapez cette commande : R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1 Exemple : R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1 Dimitri LEMBOKOLO 5
  • 6. Etape 4 : Configuration des options de transformations des données : R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac esp : Signifie Encapsulation Security Protocol N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première étape. Dans notre cas : Encryption : 3des, hash : md5 On fixe ensuite une valeur de Lifetime : R1(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé. R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Etape 6 : Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, et la destination : R1(config)#crypto map nom_de_map 10 ipsec-isakmp Ex.: R1(config)#crypto map espmap 10 ipsec-isakmp R1(config-crypto-map)#set peer 10.2.2.1 R1(config-crypto-map)#set transform-set 50 R1(config-crypto-map)#set security-association lifetime seconds 900 R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de sorte : Dans notre cas FastEthernet 0/0. R1(config)#interface FastEthernet 0/0 R1(config-if)#crypto map nom_de_map Ex.: R1(config)crypto map espmap *Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Un message vous indique que la crypto map fonctionne. Bravo Dimitri LEMBOKOLO 6
  • 7.  Configuration VPN sur R3 On refait la même configuration que sur R1 : Etape 1: R3(config)#crypto isakmp enable Etape 2: R3(config)#crypto isakmp policy 10 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 5 R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#exit Etape 3: R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1 Ou R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1 Etape 4 : R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R3(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Etape 6 : R3(config)#crypto map nom_de_map 10 ipsec-isakmp R3(config-crypto-map)#set peer 10.1.1.1 R3(config-crypto-map)#set transform-set 50 R3(config-crypto-map)#set security-association lifetime seconds 900 R3(config-crypto-map)#match address 101 R3(config-crypto-map)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#crypto map nom_de_map * Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Dimitri LEMBOKOLO 7
  • 8.  Vérifications On réalise un ping pour voir si la communication n’est pas coupée : Sur les machines : VBOX1 VBOX2 Dimitri LEMBOKOLO 8
  • 9. Vérification des informations retournées par le VPN sur R1 et R3 : Vérification de la map : Comme rappel j’ai nommé ma map "espmap". Sur le routeur R1 Sur le routeur R3 Dimitri LEMBOKOLO 9
  • 10. On vérifie les opérations d’IPsec : Sur le routeur R1 Dimitri LEMBOKOLO 10
  • 11. Sur le routeur R3 Pour finir on vérifie les opérations d’Isakmp : Sur le routeur R1 : Sur le routeur R3 : Dimitri LEMBOKOLO 11
  • 12. Conclusion Que ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votre entreprise sécurisés besoins d'accès distant: VPN IPSec est conçue pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de bien-contrôlées actifs de l'entreprise. Si ce sont les besoins primaires de votre entreprise, IPSec effectue ces fonctions tout à fait bien. Pour les configurations de VPN IPSEC R.A (Remote Access) To be continued… Dimitri LEMBOKOLO 12