SlideShare une entreprise Scribd logo
VPN site à site avec des routeurs CISCO
juin. 28




                                                                                SOMMAIRE

       Introduction ............................................................................................................................................................ 2

       1.      Présentation Générale et Principe de la solution propose ............................................................................ 2

       1.1.        Présentation du réseau utilisé ................................................................................................................... 2

       1.2.        Schéma Idéalisé ......................................................................................................................................... 3

       1.3.        Schéma réel – Principe de mise en place ................................................................................................... 3

       2.      Configuration du premier routeur.................................................................................................................. 4

       2.1.        Mise en place du Tunnel ............................................................................................................................ 5

       2.2.        Cryptage du tunnel .................................................................................................................................... 6

       2.3.        Routage entre les 2 sites ............................................................................................................................ 8

       2.4.        Sécurité du routeur .................................................................................................................................... 8

       3.      Configuration du deuxième routeur ............................................................................................................... 9

       4.      Vérifier le bon fonctionnement du VPN ....................................................................................................... 12

       Conclusion ............................................................................................................................................................. 15




       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                                                                                                     1
VPN site à site avec des routeurs CISCO
juin. 28




       INTRODUCTION



       Avec la généralisation du dégroupage et de l'Adsl 2+, il est possible d'accéder à très bas coût
       à des connexions internet proposant des débits montants relativement honnêtes (1mb/s).
       Grâce à ces débits il devient tout a fait envisageable à de petites PME/PMI possédant
       plusieurs sites, d'interconnecter les réseaux via un VPN. Cette solution est d'ailleurs de plus
       en plus plébiscitée par les entreprises, principalement grâce à son coût très faible, et les
       débits « élevés », surtout vis à vis de solutions vieillissantes telles que RNIS (Numéris).



              1. PRESENTATION GENERALE ET PRINCIPE DE LA SOLUTION PROPOSE



              1.1.   PRÉSENTATION DU RÉSEAU UTILISÉ

       Pour la suite de l'article, nous utiliserons le réseau WAN ci-dessous, constitué de 2 sites
       distants, possédant chacun :

              un routeur Cisco, avec un IOS supportant les fonctions de cryptage (avec de
              préférence les modules d'accélération de cryptage matériel pour les « anciennes »
              séries)
              une connexion Internet (avec ip fixe)




       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                         2
VPN site à site avec des routeurs CISCO
juin. 28




       Site 1 : 172.16.1.0/24

              Interface/Ip locale du routeur : FastEthernet 0 / 172.16.1.254
              Interface/Ip internet du routeur : Ethernet 0 / 82.1.1.1

       Site 2 : 172.16.2.0/24

              Interface/Ip locale du routeur : Ethernet 0 / 172.16.2.254
              Interface/Ip internet du routeur : Ethernet 1 / 82.2.2.2



              1.2.   SCHÉMA IDÉALISÉ

       Le but du VPN est de faire en sorte que les 2 sites communiquent exactement comme s'ils
       étaient directement reliés entre eux, de manière à ce que les 2 réseaux puissent êtres
       directement routés (et non passer par du NAT).




       La liaison directe entre les 2 routeurs (172.16.254.0/30) symbolise le lien que l'on souhaite
       créer avec le VPN.



              1.3.   SCHEMA REEL – PRINCIPE DE MISE EN PLACE

       Dans la réalité il est évidement hors de question de connecter directement les 2 routeurs,
       puisque le but premier du VPN est justement de se passer d'une Ligne Spécialisée.

       Ce lien sera donc créé grâce à un tunnel crypté, qui permettra au 2 sites de communiquer
       entre eux de manière sécurisée. Pour cela, on créera des interfaces virtuelles, permettant de
       symboliser les 2 extrémités de ce tunnel.

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                       3
VPN site à site avec des routeurs CISCO
juin. 28




       La mise en place du VPN se fera en 3 phases:

              Mise en place d'un Tunnel (GRE) entre les 2 sites (définition des interfaces virtuelles)
              Cryptage de ce tunnel
              Mise en place du routage entre les 2 Réseaux locaux.



              2. CONFIGURATION DU PREMIER ROUTEUR

       Soit la configuration standard suivante, permettant l'accès à internet (web) pour le Site 1 :

       ip subnet-zéro

       !

       interface FastEthernet0

       ip address 172.16.1.254 255.255.255.0

       ip nat inside

       !

       interface Ethernet0

       ip address 82.1.1.1 255.255.255.0

       ip access-group netin in

       ip access-group netout out


       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                         4
VPN site à site avec des routeurs CISCO
juin. 28


       ip nat outside

       !

       ip classless

       ip route 0.0.0.0 0.0.0.0 Ethernet0 82.1.1.254

       !

       ip nat inside source list natlist interface Ethernet0 overload

       !

       ip access-list extended netin

       permit tcp any host 82.1.1.1 established

       permit udp any eq domain host 82.1.1.1

       permit tcp any eq www host 82.1.1.1

       permit tcp any eq 443 host 82.1.1.1

       !

       ip access-list extended netout

       permit udp host 82.1.1.1 any eq domain

       permit tcp host 82.1.1.1 any eq www

       permit tcp host 82.1.1.1 any eq 443

       !

       ip access-list extended natlist

       permit ip 172.16.1.0 0.0.0.255 any



               2.1.     MISE EN PLACE DU TUNNEL

       Pour mettre en place le tunnel, créez l'interface virtuelle, puis configurez-la en spécifiant :

               son adresse ip (ici 10.16.254.1)
               à quelle interface physique elle est rattachée


       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                         5
VPN site à site avec des routeurs CISCO
juin. 28


              vers quelle ip (internet) pointe l'autre bout du tunnel



       Note: toutes commandes suivantes se font en mode de configuration global.

       site1 (config)#interface tunnel 2

       site1 (config-if)# ip address 10.16.254.1 255.255.255.252

       site1 (config-if)# tunnel source Ethernet0

       site1 (config-if)# tunnel destination 82.2.2.2



           2.2.       CRYPTAGE DU TUNNEL

       Nous allons tout d'abord spécifier la manière d'authentification.

       Dans notre cas, nous utiliseront une clef pré partagé:

       Note: nous numéroterons cette méthode ‘‘2’’, puisque qu'il s'agira de la méthode utilisée
       pour authentifier le site 2.

       Note: l'option "lifetime" indique la durée de vie de l'authentification (en secondes).

       site1 (config) # crypto isakmp policy 2

       site1 (config-isakmp) # authentication pre-share

       site1(config-isakmp)# lifetime 3600



       Définition de clef pré-partagée (en spécifiant l'ip de l'hôte avec qui celle sera utilisée, c'est à
       dire l'ip internet du second routeur)

       site1(config)# crypto isakmp key ###MaClef### address 82.2.2.2



       Sélection de l'algorithme de cryptage (DES, 56bits). Nous appellerons cette méthode de
       cryptage "transfdes".




       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                             6
VPN site à site avec des routeurs CISCO
juin. 28


       Note: selon la puissance et les possibilités du routeur il est préférable de prendre des
       algorithmes de cryptage plus conséquents, tels de 3DES (esp-3des, 168bits) ou AES (esp-
       aes).

       site1 (config)# crypto ipsec transform-set transfdes esp-des



       Nous allons maintenant créer une Access List qui va sélectionner le trafic à crypter.

       Le tunnel IP encapsulant déjà tout le trafic dans des trames GRE, il suffit juste de
       sélectionner le trafic GRE entre les 2 routeurs.

       Nous appellerons cette Access List "cryptolist":

       site1(config)# ip access-list extended cryptolist

       site1(config-ext-nacl)# permit gre host 82.1.1.1 host 82.2.2.2



       Nous allons maintenant regrouper toutes ces informations dans une "carte de cryptage",
       que nous appellerons "cryptvpn".

       Note: les lignes "set security-association lifetime" définissent la durée de vie d'une session
       cryptée.

       site1(config)# crypto map cryptvpn 2 ipsec-isakmp

       site1(config-crypto-map)# set peer 82.2.2.2

       site1(config-crypto-map)# set security-association lifetime kilobytes 102400

       site1(config-crypto-map)# set security-association lifetime seconds 600

       site1(config-crypto-map)# set transform-set transfdes

       site1(config-crypto-map)# match address cryptolist

       Il ne reste plus qu'a appliquer cette "carte" sur l'interface internet du routeur :

       site1(config)# interface Ethernet0

       site1(config-if)# crypto map cryptvpn




       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                        7
VPN site à site avec des routeurs CISCO
juin. 28


            2.3.       ROUTAGE ENTRE LES 2 SITES

       ATTENTION !!!

       NAT et ROUTAGE peuvent ne pas faire bon ménage lorsqu'ils sont tout deux appliqués sur le
       même routeur, alors que l’on n’y prenne pas garde.

       IL est donc impératif de rejeter le trafic destiné au VPN dans les règles du NAT.

       Nous devrons donc insérer une règle rejetant ce trafic avant celle déjà existante, nous
       l'insérerons donc en 5° position (les autres règles commençant en standard à 10)

       site1(config)# ip access-list extended natlist

       site1(config-ext-nacl)# 5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255



       Au final, l'Access List ressemblera à :

       site1#sh access-lists natlist

       Extended IP access list natlist

           5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (5790 matches)

           10 permit ip 172.16.1.0 0.0.0.255 any (97034 matches)



       Afin que le routage puisse être effectué correctement, il est essentiel de rajouter une route
       statique vers le réseau distant.

       On notera au passage que l'on indique bien l'ip virtuelle du tunnel pour le second routeur, et
       non l'ip internet.

       site1(config)# ip route 172.16.2.0 255.255.255.0 Tunnel2 10.16.254.2




            2.4.       SÉCURITÉ DU ROUTEUR

       Si comme dans cet exemple, vous filtrez le trafic sur votre interface internet (Ce qui est
       vivement recommandé), il est essentiel de laisser passer les paquets d'authentification et le
       tunnel lui même.

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                        8
VPN site à site avec des routeurs CISCO
juin. 28


       On notera au passage qu'à ce stade, on ne permet pas du tout le protocole GRE, puisque
       celui-ci vas être entièrement encapsulé dans les trames cryptées (ESP).

       site1(config)# ip access-list extended netin

       site1(config-ext-nacl)# permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp

       site1(config-ext-nacl)# permit esp host 82.2.2.2 host 82.1.1.1



       site1(config)# ip access-list extended netout

       site1(config-ext-nacl)# permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp

       site1(config-ext-nacl)# permit esp host 82.1.1.1 host 82.2.2.2



              3. CONFIGURATION DU DEUXIEME ROUTEUR

       La configuration étant strictement la même sur le deuxième routeur (sauf bien sur les
       adresses sources et de destination),



       voici donc la configuration complète pour le deuxième routeur :

       ip subnet-zero

       !

       crypto isakmp policy 1

       authentication pre-share

       lifetime 3600

       crypto isakmp key ###MaClef### address 82.1.1.1

       !

       crypto ipsec transform-set transfdes esp-des

       !

       crypto map cryptvpn 1 ipsec-isakmp



       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                9
VPN site à site avec des routeurs CISCO
juin. 28


       set peer 82.1.1.1

       set security-association lifetime kilobytes 102400

       set security-association lifetime seconds 600

       set transform-set transfdes

       match address cryptolist

       !

       interface Tunnel1

       ip address 10.16.254.2 255.255.255.252

       tunnel source Ethernet1

       tunnel destination 82.1.1.1

       !

       interface Ethernet0

       ip address 172.16.2.254 255.255.255.0

       ip nat inside

       !

       interface Ethernet1

       ip address 82.2.2.2 255.255.255.0

       ip access-group netin in

       ip access-group netout out

       ip nat outside

       crypto map cryptvpn

       !

       ip default-gateway 82.2.2.254

       ip classless

       ip route 0.0.0.0 0.0.0.0 Ethernet1 82.2.2.254

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                    10
VPN site à site avec des routeurs CISCO
juin. 28


       ip route 172.16.1.0 255.255.255.0 Tunnel1 10.16.254.1

       !

       ip nat inside source list listnat interface Ethernet1 overload

       !

       ip access-list extended cryptolist

       permit gre host 82.2.2.2 host 82.1.1.1

       !

       ip access-list extended netin

       permit tcp any host 82.2.2.2 established

       permit udp any eq domain host 82.2.2.2

       permit tcp any eq www host 82.2.2.2

       permit tcp any eq 443 host 82.2.2.2

       permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp

       permit esp host 82.1.1.1 host 82.2.2.2

       !

       ip access-list extended netout

       permit udp host 82.2.2.2 any eq domain

       permit tcp host 82.2.2.2 any eq www

       permit tcp host 82.2.2.2 any eq 443

       permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp

       permit esp host 82.2.2.2 host 82.1.1.1

       !

       ip access-list extended listnat

       deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

       permit ip 172.16.2.0 0.0.0.255 any

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                    11
VPN site à site avec des routeurs CISCO
juin. 28




                 4. VERIFIER LE BON FONCTIONNEMENT DU VPN

       Afin de vérifier le bon fonctionnement du VPN, plusieurs commandes sont à votre
       disposition :



       En mode privilégié :

       Show crypto engine connections active : vous permet de voir les connexions cryptées
       actives:

       site1#sh crypto engine connections active

           ID Interface        IP-Address   State Algorithm   Encrypt Decrypt

       2002 Ethernet0            82.1.1.1    set DES          527     0

       2005 Ethernet0            82.1.1.1    set DES          0     490



       show crypto ipsec transform-set : vous permet de voir les différents types d'encodage actifs.

       site1#sh crypto ipsec transform-set

       Transform set transfdes: { esp-des }

           will negotiate = {Tunnel,},



       show crypto ipsec transform-set : fourni une version plus détaillé que les 2 commandes
       citées plus haut.

       site1#sh crypto ipsec sa

       interface: Ethernet0

       (...)

            inbound esp sas:

             spi: 0x4A65829E(1248166558)

               transform: esp-des ,

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                       12
VPN site à site avec des routeurs CISCO
juin. 28


            in use settings ={Tunnel, }

            conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn

            sa timing: remaining key lifetime (k/sec): (99130/563)

            IV size: 8 bytes

            replay detection support: N

            Status: ACTIVE



           outbound esp sas:

           spi: 0x3481731A(880898842)

            transform: esp-des ,

            in use settings ={Tunnel, }

            conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn

            sa timing: remaining key lifetime (k/sec): (99129/556)

            IV size: 8 bytes

            replay detection support: N

            Status: ACTIVE



       show ip route : vous permet de vérifier les routes.

       site1#sh ip route

       Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

            D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

            N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

            E1 - OSPF external type 1, E2 - OSPF external type 2

            i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

            ia - IS-IS inter area, * - candidate default, U - per-user static route

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                      13
VPN site à site avec des routeurs CISCO
juin. 28


            o - ODR, P - periodic downloaded static route



       Gateway of last resort is 82.1.1.254 to network 0.0.0.0

           172.16.0.0/24 is subnetted, 3 subnets

       S     172.16.2.0 [1/0] via 10.16.254.2, Tunnel2

       C     172.16.1.0 is directly connected, FastEthernet0

           82.0.0.0/24 is subnetted, 1 subnets

       C     82.1.1.0 is directly connected, Ethernet0

           10.0.0.0/30 is subnetted, 1 subnets

       C     10.16.2.0 is directly connected, Tunnel2

       S* 0.0.0.0/0 [1/0] via 82.1.1.254, Ethernet0



       show ip access-lists : vous permet de vérifier le fonctionnement des différents Access Lists.

       site1#sh ip access-lists

       Extended IP access list cryptolist

           10 permit gre host 82.1.1.1 host 82.2.2.2

       Extended IP access list netin

           10 permit tcp any host 82.1.1.1 established

           20 permit udp any eq domain host 82.1.1.1 (xxx matches)

           30 permit tcp any eq www host 82.1.1.1 (xxx matches)

           40 permit tcp any eq 443 host 82.1.1.1 (xxx matches)

           50 permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp (18 matches)

           60 permit esp host 82.2.2.2 host 82.1.1.1 (573 matches)

       Extended IP access list netout

           10 permit udp host 82.1.1.1 any eq domain (xxx matches)

       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                       14
VPN site à site avec des routeurs CISCO
juin. 28


           20 permit tcp host 82.1.1.1 any eq www (xxx matches)

           30 permit tcp host 82.1.1.1 any eq 443 (xxx matches)

           40 permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp (16 matches)

           50 permit esp host 82.1.1.1 host 82.2.2.2 (461 matches)

       Extended IP access list natlist

           5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (461 matches)

           10 permit ip 172.16.1.0 0.0.0.255 any (xxx matches)



       CONCLUSION

       Grâce aux connexions internet d'aujourd'hui, la solution VPN est plus que viable, et permet à
       des entreprises de taille relativement petites d'accéder à des fonctionnalités avancées.

       La mise en place du VPN demande de la rigueur, car il s'agit en fait de la combinaison de 3
       technologies (cryptage, routage, firewalling). Si l’on n’y prête pas attention, on peut
       rapidement laisser de grosses failles de sécurités.




       Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007

                                                                                                       15

Contenu connexe

Tendances

Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
Ccna 4 configuration-de_frame_ relay_hub_and_spokeCcna 4 configuration-de_frame_ relay_hub_and_spoke
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
Touré Kunda
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
CONNECT Tunisia
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
Thomas Moegli
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1
Simo Alaoui
 
Composants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur CiscoComposants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur Cisco
DJENNA AMIR
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
Boubaker KHERFALLAH
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
Wissam Bencold
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
Mohammed Zaoui
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
Dimitri LEMBOKOLO
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Tp
TpTp
VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)
Sirine Ibrahim
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Mohamed Keita
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7
basschuck2411
 

Tendances (20)

Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
Ccna 4 configuration-de_frame_ relay_hub_and_spokeCcna 4 configuration-de_frame_ relay_hub_and_spoke
Ccna 4 configuration-de_frame_ relay_hub_and_spoke
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
E4 pt act_7_5_1
E4 pt act_7_5_1E4 pt act_7_5_1
E4 pt act_7_5_1
 
vpn
vpnvpn
vpn
 
Composants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur CiscoComposants et fonctionnement d'un Routeur Cisco
Composants et fonctionnement d'un Routeur Cisco
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
 
Ccna4
Ccna4Ccna4
Ccna4
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Tp
TpTp
Tp
 
VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)VTP(Virtual Trunking Protocol)
VTP(Virtual Trunking Protocol)
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Travaux pratiques configuration du routage entre réseaux locaux virtuels
Travaux pratiques   configuration du routage entre réseaux locaux virtuelsTravaux pratiques   configuration du routage entre réseaux locaux virtuels
Travaux pratiques configuration du routage entre réseaux locaux virtuels
 
Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7Routeurs cisco-parametres-de-base-17126-l0xxp7
Routeurs cisco-parametres-de-base-17126-l0xxp7
 

En vedette

القرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
القرآن الكريم برواية قالون ملون طبعة دار المعرفة سوريةالقرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
القرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
سمير بسيوني
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
Microsoft Technet France
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
Noël
 
Porque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPNPorque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPN
aloscocco
 
Vpn
VpnVpn
Vpn
kwabo
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
Ismail Rachdaoui
 
Transport Layer Security
Transport Layer SecurityTransport Layer Security
Transport Layer Security
n|u - The Open Security Community
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Transport Layer Security (TLS)
Transport Layer Security (TLS)Transport Layer Security (TLS)
Transport Layer Security (TLS)
Arun Shukla
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsec
Thomas Moegli
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
Thomas Moegli
 
VPN (virtual Private Network)
VPN (virtual Private Network)VPN (virtual Private Network)
VPN (virtual Private Network)
Chandan Jha
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket Layer
Naveen Kumar
 
Nlle présentation
Nlle présentationNlle présentation
Nlle présentation
Chris Hns-Somerhalder
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
Al Ousseynou Gueye
 
Vers une nouvelle période de l'accès public
Vers une nouvelle période de l'accès publicVers une nouvelle période de l'accès public
Vers une nouvelle période de l'accès public
Jezabel Roullee
 

En vedette (20)

VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Vpn
VpnVpn
Vpn
 
القرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
القرآن الكريم برواية قالون ملون طبعة دار المعرفة سوريةالقرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
القرآن الكريم برواية قالون ملون طبعة دار المعرفة سورية
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
Porque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPNPorque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPN
 
Vpn
VpnVpn
Vpn
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Transport Layer Security
Transport Layer SecurityTransport Layer Security
Transport Layer Security
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Transport Layer Security (TLS)
Transport Layer Security (TLS)Transport Layer Security (TLS)
Transport Layer Security (TLS)
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsec
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
VPN (virtual Private Network)
VPN (virtual Private Network)VPN (virtual Private Network)
VPN (virtual Private Network)
 
Secure Socket Layer
Secure Socket LayerSecure Socket Layer
Secure Socket Layer
 
Nlle présentation
Nlle présentationNlle présentation
Nlle présentation
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
 
Vers une nouvelle période de l'accès public
Vers une nouvelle période de l'accès publicVers une nouvelle période de l'accès public
Vers une nouvelle période de l'accès public
 

Similaire à Vpn

configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
JULIOR MIKALA
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
mia884611
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
mia884611
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
saqrjareh
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
SbastienGuritey
 
Chapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdfChapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdf
BARKAAMINEAHAMAT
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
ThamerMahersi1
 
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
mia884611
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
Siham Tatiggit
 
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdfresume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
FootballLovers9
 
we config - procédure configuration rapide réseau Ethernet
we config - procédure configuration rapide réseau Ethernetwe config - procédure configuration rapide réseau Ethernet
we config - procédure configuration rapide réseau Ethernet
Olivier Bughin
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
mouad Lousimi
 
Redondance
RedondanceRedondance
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41a
Julien Genon
 
resume-theorique-m201-v1-0-62f6e7977fea0.pdf
resume-theorique-m201-v1-0-62f6e7977fea0.pdfresume-theorique-m201-v1-0-62f6e7977fea0.pdf
resume-theorique-m201-v1-0-62f6e7977fea0.pdf
MarshalElMaghribi
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
MamadouHadyBah
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
Julien SIMON
 

Similaire à Vpn (20)

configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Presentation DMZ - GUERITEY
Presentation DMZ - GUERITEYPresentation DMZ - GUERITEY
Presentation DMZ - GUERITEY
 
Chapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdfChapter2_ScalingNetworks.pdf
Chapter2_ScalingNetworks.pdf
 
presentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptxpresentation_corrige_rapidertgrthtrr.pptx
presentation_corrige_rapidertgrthtrr.pptx
 
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
 
Pfsense
PfsensePfsense
Pfsense
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
 
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdfresume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
 
we config - procédure configuration rapide réseau Ethernet
we config - procédure configuration rapide réseau Ethernetwe config - procédure configuration rapide réseau Ethernet
we config - procédure configuration rapide réseau Ethernet
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
 
Redondance
RedondanceRedondance
Redondance
 
Case Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41aCase Cloud-Windows -ver 41a
Case Cloud-Windows -ver 41a
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
resume-theorique-m201-v1-0-62f6e7977fea0.pdf
resume-theorique-m201-v1-0-62f6e7977fea0.pdfresume-theorique-m201-v1-0-62f6e7977fea0.pdf
resume-theorique-m201-v1-0-62f6e7977fea0.pdf
 
Bah mamadou hady
Bah mamadou hadyBah mamadou hady
Bah mamadou hady
 
Deep Dive: Virtual Private Cloud
Deep Dive: Virtual Private CloudDeep Dive: Virtual Private Cloud
Deep Dive: Virtual Private Cloud
 

Vpn

  • 1. VPN site à site avec des routeurs CISCO juin. 28 SOMMAIRE Introduction ............................................................................................................................................................ 2 1. Présentation Générale et Principe de la solution propose ............................................................................ 2 1.1. Présentation du réseau utilisé ................................................................................................................... 2 1.2. Schéma Idéalisé ......................................................................................................................................... 3 1.3. Schéma réel – Principe de mise en place ................................................................................................... 3 2. Configuration du premier routeur.................................................................................................................. 4 2.1. Mise en place du Tunnel ............................................................................................................................ 5 2.2. Cryptage du tunnel .................................................................................................................................... 6 2.3. Routage entre les 2 sites ............................................................................................................................ 8 2.4. Sécurité du routeur .................................................................................................................................... 8 3. Configuration du deuxième routeur ............................................................................................................... 9 4. Vérifier le bon fonctionnement du VPN ....................................................................................................... 12 Conclusion ............................................................................................................................................................. 15 Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 1
  • 2. VPN site à site avec des routeurs CISCO juin. 28 INTRODUCTION Avec la généralisation du dégroupage et de l'Adsl 2+, il est possible d'accéder à très bas coût à des connexions internet proposant des débits montants relativement honnêtes (1mb/s). Grâce à ces débits il devient tout a fait envisageable à de petites PME/PMI possédant plusieurs sites, d'interconnecter les réseaux via un VPN. Cette solution est d'ailleurs de plus en plus plébiscitée par les entreprises, principalement grâce à son coût très faible, et les débits « élevés », surtout vis à vis de solutions vieillissantes telles que RNIS (Numéris). 1. PRESENTATION GENERALE ET PRINCIPE DE LA SOLUTION PROPOSE 1.1. PRÉSENTATION DU RÉSEAU UTILISÉ Pour la suite de l'article, nous utiliserons le réseau WAN ci-dessous, constitué de 2 sites distants, possédant chacun : un routeur Cisco, avec un IOS supportant les fonctions de cryptage (avec de préférence les modules d'accélération de cryptage matériel pour les « anciennes » séries) une connexion Internet (avec ip fixe) Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 2
  • 3. VPN site à site avec des routeurs CISCO juin. 28 Site 1 : 172.16.1.0/24 Interface/Ip locale du routeur : FastEthernet 0 / 172.16.1.254 Interface/Ip internet du routeur : Ethernet 0 / 82.1.1.1 Site 2 : 172.16.2.0/24 Interface/Ip locale du routeur : Ethernet 0 / 172.16.2.254 Interface/Ip internet du routeur : Ethernet 1 / 82.2.2.2 1.2. SCHÉMA IDÉALISÉ Le but du VPN est de faire en sorte que les 2 sites communiquent exactement comme s'ils étaient directement reliés entre eux, de manière à ce que les 2 réseaux puissent êtres directement routés (et non passer par du NAT). La liaison directe entre les 2 routeurs (172.16.254.0/30) symbolise le lien que l'on souhaite créer avec le VPN. 1.3. SCHEMA REEL – PRINCIPE DE MISE EN PLACE Dans la réalité il est évidement hors de question de connecter directement les 2 routeurs, puisque le but premier du VPN est justement de se passer d'une Ligne Spécialisée. Ce lien sera donc créé grâce à un tunnel crypté, qui permettra au 2 sites de communiquer entre eux de manière sécurisée. Pour cela, on créera des interfaces virtuelles, permettant de symboliser les 2 extrémités de ce tunnel. Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 3
  • 4. VPN site à site avec des routeurs CISCO juin. 28 La mise en place du VPN se fera en 3 phases: Mise en place d'un Tunnel (GRE) entre les 2 sites (définition des interfaces virtuelles) Cryptage de ce tunnel Mise en place du routage entre les 2 Réseaux locaux. 2. CONFIGURATION DU PREMIER ROUTEUR Soit la configuration standard suivante, permettant l'accès à internet (web) pour le Site 1 : ip subnet-zéro ! interface FastEthernet0 ip address 172.16.1.254 255.255.255.0 ip nat inside ! interface Ethernet0 ip address 82.1.1.1 255.255.255.0 ip access-group netin in ip access-group netout out Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 4
  • 5. VPN site à site avec des routeurs CISCO juin. 28 ip nat outside ! ip classless ip route 0.0.0.0 0.0.0.0 Ethernet0 82.1.1.254 ! ip nat inside source list natlist interface Ethernet0 overload ! ip access-list extended netin permit tcp any host 82.1.1.1 established permit udp any eq domain host 82.1.1.1 permit tcp any eq www host 82.1.1.1 permit tcp any eq 443 host 82.1.1.1 ! ip access-list extended netout permit udp host 82.1.1.1 any eq domain permit tcp host 82.1.1.1 any eq www permit tcp host 82.1.1.1 any eq 443 ! ip access-list extended natlist permit ip 172.16.1.0 0.0.0.255 any 2.1. MISE EN PLACE DU TUNNEL Pour mettre en place le tunnel, créez l'interface virtuelle, puis configurez-la en spécifiant : son adresse ip (ici 10.16.254.1) à quelle interface physique elle est rattachée Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 5
  • 6. VPN site à site avec des routeurs CISCO juin. 28 vers quelle ip (internet) pointe l'autre bout du tunnel Note: toutes commandes suivantes se font en mode de configuration global. site1 (config)#interface tunnel 2 site1 (config-if)# ip address 10.16.254.1 255.255.255.252 site1 (config-if)# tunnel source Ethernet0 site1 (config-if)# tunnel destination 82.2.2.2 2.2. CRYPTAGE DU TUNNEL Nous allons tout d'abord spécifier la manière d'authentification. Dans notre cas, nous utiliseront une clef pré partagé: Note: nous numéroterons cette méthode ‘‘2’’, puisque qu'il s'agira de la méthode utilisée pour authentifier le site 2. Note: l'option "lifetime" indique la durée de vie de l'authentification (en secondes). site1 (config) # crypto isakmp policy 2 site1 (config-isakmp) # authentication pre-share site1(config-isakmp)# lifetime 3600 Définition de clef pré-partagée (en spécifiant l'ip de l'hôte avec qui celle sera utilisée, c'est à dire l'ip internet du second routeur) site1(config)# crypto isakmp key ###MaClef### address 82.2.2.2 Sélection de l'algorithme de cryptage (DES, 56bits). Nous appellerons cette méthode de cryptage "transfdes". Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 6
  • 7. VPN site à site avec des routeurs CISCO juin. 28 Note: selon la puissance et les possibilités du routeur il est préférable de prendre des algorithmes de cryptage plus conséquents, tels de 3DES (esp-3des, 168bits) ou AES (esp- aes). site1 (config)# crypto ipsec transform-set transfdes esp-des Nous allons maintenant créer une Access List qui va sélectionner le trafic à crypter. Le tunnel IP encapsulant déjà tout le trafic dans des trames GRE, il suffit juste de sélectionner le trafic GRE entre les 2 routeurs. Nous appellerons cette Access List "cryptolist": site1(config)# ip access-list extended cryptolist site1(config-ext-nacl)# permit gre host 82.1.1.1 host 82.2.2.2 Nous allons maintenant regrouper toutes ces informations dans une "carte de cryptage", que nous appellerons "cryptvpn". Note: les lignes "set security-association lifetime" définissent la durée de vie d'une session cryptée. site1(config)# crypto map cryptvpn 2 ipsec-isakmp site1(config-crypto-map)# set peer 82.2.2.2 site1(config-crypto-map)# set security-association lifetime kilobytes 102400 site1(config-crypto-map)# set security-association lifetime seconds 600 site1(config-crypto-map)# set transform-set transfdes site1(config-crypto-map)# match address cryptolist Il ne reste plus qu'a appliquer cette "carte" sur l'interface internet du routeur : site1(config)# interface Ethernet0 site1(config-if)# crypto map cryptvpn Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 7
  • 8. VPN site à site avec des routeurs CISCO juin. 28 2.3. ROUTAGE ENTRE LES 2 SITES ATTENTION !!! NAT et ROUTAGE peuvent ne pas faire bon ménage lorsqu'ils sont tout deux appliqués sur le même routeur, alors que l’on n’y prenne pas garde. IL est donc impératif de rejeter le trafic destiné au VPN dans les règles du NAT. Nous devrons donc insérer une règle rejetant ce trafic avant celle déjà existante, nous l'insérerons donc en 5° position (les autres règles commençant en standard à 10) site1(config)# ip access-list extended natlist site1(config-ext-nacl)# 5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 Au final, l'Access List ressemblera à : site1#sh access-lists natlist Extended IP access list natlist 5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (5790 matches) 10 permit ip 172.16.1.0 0.0.0.255 any (97034 matches) Afin que le routage puisse être effectué correctement, il est essentiel de rajouter une route statique vers le réseau distant. On notera au passage que l'on indique bien l'ip virtuelle du tunnel pour le second routeur, et non l'ip internet. site1(config)# ip route 172.16.2.0 255.255.255.0 Tunnel2 10.16.254.2 2.4. SÉCURITÉ DU ROUTEUR Si comme dans cet exemple, vous filtrez le trafic sur votre interface internet (Ce qui est vivement recommandé), il est essentiel de laisser passer les paquets d'authentification et le tunnel lui même. Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 8
  • 9. VPN site à site avec des routeurs CISCO juin. 28 On notera au passage qu'à ce stade, on ne permet pas du tout le protocole GRE, puisque celui-ci vas être entièrement encapsulé dans les trames cryptées (ESP). site1(config)# ip access-list extended netin site1(config-ext-nacl)# permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp site1(config-ext-nacl)# permit esp host 82.2.2.2 host 82.1.1.1 site1(config)# ip access-list extended netout site1(config-ext-nacl)# permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp site1(config-ext-nacl)# permit esp host 82.1.1.1 host 82.2.2.2 3. CONFIGURATION DU DEUXIEME ROUTEUR La configuration étant strictement la même sur le deuxième routeur (sauf bien sur les adresses sources et de destination), voici donc la configuration complète pour le deuxième routeur : ip subnet-zero ! crypto isakmp policy 1 authentication pre-share lifetime 3600 crypto isakmp key ###MaClef### address 82.1.1.1 ! crypto ipsec transform-set transfdes esp-des ! crypto map cryptvpn 1 ipsec-isakmp Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 9
  • 10. VPN site à site avec des routeurs CISCO juin. 28 set peer 82.1.1.1 set security-association lifetime kilobytes 102400 set security-association lifetime seconds 600 set transform-set transfdes match address cryptolist ! interface Tunnel1 ip address 10.16.254.2 255.255.255.252 tunnel source Ethernet1 tunnel destination 82.1.1.1 ! interface Ethernet0 ip address 172.16.2.254 255.255.255.0 ip nat inside ! interface Ethernet1 ip address 82.2.2.2 255.255.255.0 ip access-group netin in ip access-group netout out ip nat outside crypto map cryptvpn ! ip default-gateway 82.2.2.254 ip classless ip route 0.0.0.0 0.0.0.0 Ethernet1 82.2.2.254 Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 10
  • 11. VPN site à site avec des routeurs CISCO juin. 28 ip route 172.16.1.0 255.255.255.0 Tunnel1 10.16.254.1 ! ip nat inside source list listnat interface Ethernet1 overload ! ip access-list extended cryptolist permit gre host 82.2.2.2 host 82.1.1.1 ! ip access-list extended netin permit tcp any host 82.2.2.2 established permit udp any eq domain host 82.2.2.2 permit tcp any eq www host 82.2.2.2 permit tcp any eq 443 host 82.2.2.2 permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp permit esp host 82.1.1.1 host 82.2.2.2 ! ip access-list extended netout permit udp host 82.2.2.2 any eq domain permit tcp host 82.2.2.2 any eq www permit tcp host 82.2.2.2 any eq 443 permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp permit esp host 82.2.2.2 host 82.1.1.1 ! ip access-list extended listnat deny ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255 permit ip 172.16.2.0 0.0.0.255 any Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 11
  • 12. VPN site à site avec des routeurs CISCO juin. 28 4. VERIFIER LE BON FONCTIONNEMENT DU VPN Afin de vérifier le bon fonctionnement du VPN, plusieurs commandes sont à votre disposition : En mode privilégié : Show crypto engine connections active : vous permet de voir les connexions cryptées actives: site1#sh crypto engine connections active ID Interface IP-Address State Algorithm Encrypt Decrypt 2002 Ethernet0 82.1.1.1 set DES 527 0 2005 Ethernet0 82.1.1.1 set DES 0 490 show crypto ipsec transform-set : vous permet de voir les différents types d'encodage actifs. site1#sh crypto ipsec transform-set Transform set transfdes: { esp-des } will negotiate = {Tunnel,}, show crypto ipsec transform-set : fourni une version plus détaillé que les 2 commandes citées plus haut. site1#sh crypto ipsec sa interface: Ethernet0 (...) inbound esp sas: spi: 0x4A65829E(1248166558) transform: esp-des , Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 12
  • 13. VPN site à site avec des routeurs CISCO juin. 28 in use settings ={Tunnel, } conn id: 2005, flow_id: C1700_EM:5, crypto map: cryptvpn sa timing: remaining key lifetime (k/sec): (99130/563) IV size: 8 bytes replay detection support: N Status: ACTIVE outbound esp sas: spi: 0x3481731A(880898842) transform: esp-des , in use settings ={Tunnel, } conn id: 2002, flow_id: C1700_EM:2, crypto map: cryptvpn sa timing: remaining key lifetime (k/sec): (99129/556) IV size: 8 bytes replay detection support: N Status: ACTIVE show ip route : vous permet de vérifier les routes. site1#sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 13
  • 14. VPN site à site avec des routeurs CISCO juin. 28 o - ODR, P - periodic downloaded static route Gateway of last resort is 82.1.1.254 to network 0.0.0.0 172.16.0.0/24 is subnetted, 3 subnets S 172.16.2.0 [1/0] via 10.16.254.2, Tunnel2 C 172.16.1.0 is directly connected, FastEthernet0 82.0.0.0/24 is subnetted, 1 subnets C 82.1.1.0 is directly connected, Ethernet0 10.0.0.0/30 is subnetted, 1 subnets C 10.16.2.0 is directly connected, Tunnel2 S* 0.0.0.0/0 [1/0] via 82.1.1.254, Ethernet0 show ip access-lists : vous permet de vérifier le fonctionnement des différents Access Lists. site1#sh ip access-lists Extended IP access list cryptolist 10 permit gre host 82.1.1.1 host 82.2.2.2 Extended IP access list netin 10 permit tcp any host 82.1.1.1 established 20 permit udp any eq domain host 82.1.1.1 (xxx matches) 30 permit tcp any eq www host 82.1.1.1 (xxx matches) 40 permit tcp any eq 443 host 82.1.1.1 (xxx matches) 50 permit udp host 82.2.2.2 eq isakmp host 82.1.1.1 eq isakmp (18 matches) 60 permit esp host 82.2.2.2 host 82.1.1.1 (573 matches) Extended IP access list netout 10 permit udp host 82.1.1.1 any eq domain (xxx matches) Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 14
  • 15. VPN site à site avec des routeurs CISCO juin. 28 20 permit tcp host 82.1.1.1 any eq www (xxx matches) 30 permit tcp host 82.1.1.1 any eq 443 (xxx matches) 40 permit udp host 82.1.1.1 eq isakmp host 82.2.2.2 eq isakmp (16 matches) 50 permit esp host 82.1.1.1 host 82.2.2.2 (461 matches) Extended IP access list natlist 5 deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255 (461 matches) 10 permit ip 172.16.1.0 0.0.0.255 any (xxx matches) CONCLUSION Grâce aux connexions internet d'aujourd'hui, la solution VPN est plus que viable, et permet à des entreprises de taille relativement petites d'accéder à des fonctionnalités avancées. La mise en place du VPN demande de la rigueur, car il s'agit en fait de la combinaison de 3 technologies (cryptage, routage, firewalling). Si l’on n’y prête pas attention, on peut rapidement laisser de grosses failles de sécurités. Antonio ROSSETTI Elève-Ingénieur - Supinfo Alsace - Promotion SUPINFO 2007 15