• LOGIN
  • Votre panier est vide.

CONFIGURATION TUNNEL IPSEC SITE TO SITE VPN AVEC LES ROUTERS CISCO

Les tunnels VPN IPSec de site à site sont utilisés pour permettre la transmission sécurisée de données, de voix et de vidéo entre deux sites (par exemple des bureaux ou des succursales). Le tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité des données transmises entre les deux sites.

Cet article montre comment configurer deux routeurs Cisco pour créer un tunnel VPN permanent de site à site sécurisé sur Internet, en utilisant le protocole IP Security (IPSec). Dans cet article, nous supposons que les deux routeurs Cisco ont une adresse IP publique statique. Les lecteurs intéressés par la configuration de la prise en charge des routeurs d’adresse IP publics dynamiques peuvent consulter notre article Configurer le site sur le site VPN IPSec avec l’article sur les routeurs Cisco IP.

Les tunnels VPN IPSec peuvent également être configurés à l’aide de tunnels GRE (Generic Routing Encapsulation) avec IPsec. Les tunnels GRE simplifient considérablement la configuration et l’administration des tunnels VPN.

ISAKMP (Internet Security Association et Key Management Protocol) et IPSec sont essentiels à la construction et au chiffrement du tunnel VPN. ISAKMP, également appelé IKE (Internet Key Exchange), est le protocole de négociation qui permet à deux hôtes de s’accorder sur la manière de construire une association de sécurité IPsec. La négociation ISAKMP se compose de deux phases: Phase 1 et Phase 2.

La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP ultérieurs. La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour crypter les données en utilisant des algorithmes de cryptage et fournit des services d’authentification, de cryptage et d’anti-répétition.

EXIGENCES VPN IPSEC
Pour faciliter ce processus, nous l’avons divisé en deux étapes nécessaires pour que le tunnel VPN IPSec de site à site fonctionne.

Ces étapes sont:

(1) Configurer ISAKMP (ISAKMP Phase 1)

(2) Configurer IPSec (ISAKMP Phase 2, ACL, Crypto MAP)

Notre exemple de configuration se situe entre deux branches d’une petite entreprise, à savoir le site 1 et le site 2. Les deux routeurs se connectent à Internet et ont une adresse IP statique attribuée par leur FAI, comme indiqué sur le schéma:

cisco-routers-s2s-ipsec-vpn-1

Le site 1 est configuré avec un réseau interne de 10.10.10.0/24, tandis que le site 2 est configuré avec le réseau 20.20.20.0/24. L’objectif est de connecter en toute sécurité les deux réseaux LAN et permettre une communication complète entre eux, sans aucune restriction.

CONFIGURER ISAKMP (IKE) – (ISAKMP PHASE 1)
IKE n’existe que pour établir des SA (Security Association) pour IPsec. Avant cela, IKE doit négocier une relation SA (ISAKMP SA) avec le pair.

Pour commencer, nous allons commencer à travailler sur le routeur Site 1 (R1).

La première étape consiste à configurer une stratégie ISAKMP Phase 1

R1(config)#  crypto isakmp policy 1

R1(config-isakmp)# encr 3des

R1(config-isakmp)# hash md5

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 2

R1(config-isakmp)# lifetime 86400

Les commandes ci-dessus définissent les éléments suivants (dans l’ordre indiqué):

3DES – La méthode de cryptage à utiliser pour la Phase 1.
MD5 – L’algorithme de hachage
Pré-partage – Utiliser la clé pré-partagée comme méthode d’authentification
Groupe 2 – Groupe Diffie-Hellman à utiliser
86400 – Durée de vie de la clé de session. Exprimé en kilo-octets (après x-quantité de trafic, changer la clé) ou en secondes. La valeur définie est la valeur par défaut.
Nous devrions noter que la politique ISAKMP Phase 1 est définie globalement. Cela signifie que si nous avons cinq sites distants différents et configuré cinq politiques ISAKMP Phase 1 différentes (une pour chaque routeur distant), lorsque notre routeur tente de négocier un tunnel VPN avec chaque site, il enverra les cinq politiques et utilisera la première correspondance est accepté par les deux extrémités.

Ensuite, nous allons définir une clé pré-partagée pour l’authentification avec notre homologue (routeur R2) en utilisant la commande suivante:

R1(config)# crypto isakmp key firsttech address 1.1.1.2

La clé pré-partagée de l’homologue est définie sur firsttech et son adresse IP publique est 1.1.1.2. Chaque fois que R1 essaie d’établir un tunnel VPN avec R2 (1.1.1.2), cette clé pré-partagée sera utilisée.

CONFIGURE IPSEC
Pour configurer IPSec, nous devons configurer les éléments suivants dans l’ordre:

– Créer une liste de contrôle d’accès étendue
– Créer une transformation IPSec
– Créer un Crypto Map
– Appliquer la carte cryptographique à l’interface publique

Laissez-nous examiner chacune des étapes ci-dessus.

CRÉATION D’ACL ÉTENDUE
L’étape suivante consiste à créer une liste d’accès et à définir le trafic que nous aimerions que le routeur traverse le tunnel VPN. Dans cet exemple, il s’agirait du trafic d’un réseau à l’autre, 10.10.10.0/24 à 20.20.20.0/24. Les listes d’accès qui définissent le trafic VPN sont parfois appelées liste d’accès crypto ou liste d’accès au trafic intéressante.

R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

REER IPSEC TRANSFORM (POLITIQUE ISAKMP PHASE 2)
La prochaine étape consiste à créer l’ensemble de transformation utilisé pour protéger nos données. Nous avons nommé ce TS:

R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

La commande ci-dessus définit les éléments suivants:

– ESP-3DES – Méthode de cryptage
– MD5 – Algorithme de hachage

CRÉER UN CRYPTO MAP
Le crypto MAP est la dernière étape de notre configuration et connecte la configuration ISAKMP et IPSec précédemment définie ensemble:

R1(config)# crypto map CMAP 10 ipsec-isakmp

R1(config-crypto-map)# set peer 1.1.1.2

R1(config-crypto-map)# set transform-set TS

R1(config-crypto-map)# match address VPN-TRAFFIC

 

Nous avons nommé notre crypto Map CMAP. La balise ipsec-isakmp indique au routeur que cette carte cryptographique est une carte crypto IPsec. Bien qu’il n’y ait qu’un seul pair déclaré dans cette carte de chiffrement (1.1.1.2), il est possible d’avoir plusieurs homologues dans une carte de chiffrement donnée.

 

APPLICATION DE CRYPTO MAP À L’INTERFACE PUBLIQUE
La dernière étape consiste à appliquer la carte de chiffrement à l’interface sortante du routeur. Ici, l’interface sortante est FastEthernet 0/1.

 

R1(config)# interface FastEthernet0/1
R1(config- if)# crypto map CMAP

 

Notez que vous ne pouvez affecter qu’un seul crypto map à une interface.

Dès que nous appliquons crypto map sur l’interface, nous recevons un message du routeur qui confirme que isakmp est activé: « ISAKMP is ON ».

À ce stade, nous avons terminé la configuration VPN IPSec sur le routeur Site 1.

Nous passons maintenant au routeur Site 2 pour compléter la configuration VPN. Les paramètres du routeur 2 sont identiques, la seule différence étant les adresses IP homologues et les listes d’accès:

R2(config)# crypto isakmp policy 1

R2(config-isakmp)# encr 3des

R2(config-isakmp)# hash md5

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)# group 2

R2(config-isakmp)# lifetime 86400

R2(config)# crypto isakmp key firsttech address 1.1.1.1

R2(config)# ip access-list extended VPN-TRAFFIC

R2(config-ext-nacl)# permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255

R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac

R2(config)# crypto map CMAP 10 ipsec-isakmp

R2(config-crypto-map)# set peer 1.1.1.1

R2(config-crypto-map)# set transform-set TS

R2(config-crypto-map)# match address VPN-TRAFFIC

R2(config)# interface FastEthernet0/1

R2(config- if)# crypto map CMAP

 

TRADUCTION D’ADRESSE DE RESEAU (NAT) ET TUNNELS VPN IPSEC
La traduction d’adresses réseau (NAT) est la plus susceptible d’être configurée pour fournir un accès Internet aux hôtes internes. Lors de la configuration d’un tunnel VPN de site à site, il est impératif de demander au routeur de ne pas effectuer de NAT (refus de NAT) sur les paquets destinés au (x) réseau (x) VPN distant (s).

Cela est facilement fait en insérant une instruction deny au début des listes d’accès NAT comme indiqué ci-dessous:

Pour le routeur du site 1:

R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R1(config)# /* access-list 100 [ A vous de définir le service dans le NAT ]=- * /

R1(config)# access-list 100 deny ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255

R1(config)# access-list 100 permit ip 10.10.10.0 0.0.0.255 any

R1(config)# access-list 100 remark

 

Et le routeur du site 2:

 

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R2(config)# /* access-list 100 [ A vous de définir le service dans le NAT ]=- * /

R2(config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 10.10.10.0  0.0.0.255

R2(config)# access-list 100 permit ip 20.20.20.0 0.0.0.255 any

R2(config)# access-list 100 remark

 

RÉALISER ET VÉRIFIER LE TUNNEL VPN
À ce stade, nous avons terminé notre configuration et le tunnel VPN est prêt à être mis en place. Pour lancer le tunnel VPN, nous devons forcer un paquet à traverser le VPN et cela peut être réalisé en envoyant un ping d’un routeur à un autre:

 

R1# ping 20.20.20.1 source fastethernet0/0

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.20.20.1, timeout is 2 seconds:

Packet sent with a source address of 10.10.10.1

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms

 

Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes, provoquant le premier ping à la temporisation.

Pour vérifier le tunnel VPN, utilisez la commande show crypto session:

R1# show crypto session

Crypto session current status

Interface: FastEthernet0/1

Session status: UP-ACTIVE

Peer: 1.1.1.2 port 500

IKE SA: local 1.1.1.1/500 remote 1.1.1.2/500 Active

IPSEC FLOW: permit ip 10.10.10.0/255.255.255.0 20.20.20.0/255.255.255.0

  Active SAs: 2, origin: crypto map

 
4 mai 2018

3 responses on "CONFIGURATION TUNNEL IPSEC SITE TO SITE VPN AVEC LES ROUTERS CISCO"

  1. Merci pour ce petit tutoriel, juste que la restriction de la traduction NaT ma Impe échapper merci

     
    • Salut Olivier,

      R1(config)# /* access-list 100 [ A vous de définir le service dans le NAT ]=- * /

      Cette première ligne c’est juste pour expliquer qu’on a pas explicité le service dans
      notre ACCESS-LIST

       
  2. Merci Firsttech pour cette nouvel leçon

     

Répondre à Olivier Annuler la réponse.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Design By © First Tech. All rights reserved.
X