Introduction Définition VPN est l’acronyme de « Virtual Private Network » soit un réseau privé virtuel. Par exemple, cela va nous permettre depuis notre domicile, d’avoi accès au réseau local d’un autre site distant (notre entreprise par exemple) à travers une connexion internet sécurisé (IpSec). On parle alos de VPN Remote-Access.
Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise a deux locaux situés à deux endroits bien distinct, à l’instar des lignes dédiées où l’on devais passer par n opérateur au encore au lieu de mettre en place des liens physique entre ces d internet pour relier Site. Ainsi, on aura accès a partagés, intranet, ex Fonctionnement or 4 Sni* to View r) on va passer par lors de VPN Site-To- entreprise (fichiers était.
VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux données de passer d’une extrémité du VPN à l’autre de manière sécurisé en utilisant des algorithmes de cryptographie. Dans notre exemple, nous allons utilisé le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet e garantir la confidentialité, fintégrité et l’authentification des échanges.
Configuration d’un VPN IPSec Il faut savoir qu’il y a deux types de VPN
Diffie-HeIman est un protocole qui va permettre Péchange de la clé de chiffrement de maniere sécurisée (sans envoyer la clé explicitement sur le réseau). Nous allons au tout au long de la configuration passer par deux phases principales : IKE Phase 1 et IKE phase 2. Pour faire simple dans l’IKE de phase 1 nous allons configurer les politiques IKE (méthode de chiffrement, durée de vie, méthode d’intégrité) ce qui va permettre de définir une IKE Security Association Dans l’IKE de phase 2 nous allons configurer les politique de sécurité IPSec (protocole esp, vérifier le type de liaison) afin d’avoir un IPSec Security Association.
Les Routeurs doivent IMPERATIVEMENT avoir les mêmes polltiques IKE et IPSec configurées. Configuration d’un VPN Site-to-site Nous allons configurer le VPN sur le routeur RouteurEntreprise afin de permettre l’établissement d’une liaison avec RouteurMaison. Création d’un acl étendue permettant l’établissement d’un tunnel VPN Ici nous allons autoriser l’établissement d’un tunnel IPSec entre les deux routeurs : ccess-list extended IPSECACL RouteurEntreprise(config-ext-nacl)#permit ahp host 170. 30. 1. 2 host 172. 30. 2. 2 RouteurEntrepri PAG » OF d RouteurEntreprise(config-ext-nacl)#permit esp host 170. 0. 1. 2 RouteurEntreprise(config-ext-nacl)#permit udp host 170. 30. 1. 2 host 172. 30. 2. 2 eq isakmp Création de notre politique IKE pour la phase 1 Nous définissons notre politique IKE. RouteurEntreprise(config)#crypto isakmp Policy 100 RouteurEntreprise(config-isakmp)4encryption aes 128 RouteurEntreprise(config-isakmp)#group 2 sha RouteurEntreprise(config-isakmp)#lifetime 86400 Création de clé pré-partagé Nous définissons la clé pré-partagée : VpnK3! ainsi que l’adresse IP du routeur distant avec lequel on communique RouteurEntreprise(config)#crypto isakmp key VpnK3! ddress 170. 30. 2. 2 Création de notre politique IPSec pour la phase 2 Nous définissons notre transform-set pour l’établissement dune liaison IPSec SA ipsec transform-set IPSECSET esp-aes 128 esp-sha-hmac Création de la crypto ACL Nous créons la crypto ACL qui est une ACL qui va identifier le trafic « interessant » c’est à dire le trafic qui doit passer par le unnel VPN (ici c’est le traffic depuis le LAN Entreprise vers le LAN Maison) access-list extended CRYPTOACL RouteurEntreprise(config-ext-nacl)#permit ip 192. 68. 2. 0 0. 0. 0. 255 192. 168. 3. 0 0. 0. 0. 255 Création de la crypto MAP Nous créons la crypto map chemin qu’emprunte paGF3œFd MAP Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : la politique IPSec, la crypto ACL, le transform- set pour la polltlque IPSec et l’adresse IP du routeur distant avec lequel on veut communiquer.
RouteurEntrep map IPSECMAP 100 ipsec- isakmp Peer 170. 30. . 2 RouteurEntreprise(config-crypto-map)#set transform-set IPSECSET RouteurEntreprise(config-crypto-map)#match address CRYPTOACL Application de notre crypto map et de l’acl pour autoriser le tunnel sur l’interface de sortie SO/O/O On application la crypto-map et l’ACL qui autorise l’établissement du VPN.
RouteurEntreprise(config)#interface sO/O/O RouteurEntreprise(config-if)#crypto map IPSECMAP RouteurEntreprise(config-if)# ip access-group IPSECACL out RouteurEntreprise(config-if)#exit Configurer le RouteurMaison La configuration est la même que pour Routeurentreprise ? ‘exception de • Dans l’ACC IPSECACL on doit inverser l’adresse IP de l’hôte source et de l’hôte de destination Dans la définition du transform-set on doit changer l’adresse du Peer en mettant l’adresse IP de RouteurEntreprise Dans l’ACI- CRYPTOACL on doit inverser le réseau source et le réseau de destination Dans la crypto map on doit mettre comme adresse du Peer l’adresse IP de RouteurEntreprise Conclusion: Nous venons à travers de ce billet voir le principe d’un VPN et surtout comment configurer un VPN de type Site-to-site sur un équipement Cisco.
