VPN Site à site

Qu’est-ce qu’un VPN Site à Site ?
C’est une communication entre 2 LAN distants via un tunnel sécurisé à travers internet.

Exemple: nous avons un réseau LAN sur Lille et un réseau LAN sur Paris que nous devons interconnecter. A moins de tirer une fibre optique entre les 2 bâtiments (Lille à Paris) ce qui est impossible xD, le seul moyen de les raccorder est de passer par internet. Pour cela il nous faut créer un lien sécurisé qu’on appelle un VPN (Virtual Private Network)

Dans ce tuto nous allons voir comment configurer un lien VPN site à site.
Maquette vierge ici
Maquette complète ici
image

Contexte de la maquette :
Les routeurs LILLE et PARIS sont déjà configurés avec leurs IP. Le nat overload est opérationnel. Les postes clients peuvent accéder à internet sur l’ip 8.8.8.8

image

A la première ouverture de la maquette, le premier ping vers 8.8.8.8 sera perdu. N’oubliez pas que la requête ARP en est la cause 😉

Le problème que nous rencontrons est que les 2 sites LILLE et PARIS ne communiquent pas entre-eux. Ce qui est normal à la base. Personne ne peut entrer sur un réseau distant qui ne lui appartient pas. Le VPN permettra de répondre à ce besoin tout en sécurisant la communication.

image

Je viens de réaliser un ping d’un PC de LILLE sur un PC de PARIS

CONFIGURATION DU VPN DE LILLE
Sous packet tracer, nous devons dans un premier temps activer le module sécurité securityk9 sur le routeur 2911. Exécutez la commande show version pour vérifier que la licence du pack est activée.

image

Si ce n’est pas le cas, activez le module avec la commande suivante, enregistrez votre configuration et redémarrez votre routeur.
LILLE>enable
LILLE#conf t
LILLE(config)#license boot module c2900 technology-package securityk9
LILLE(config)#exit
LILLE#copy run start
LILLE#reload
################

Si vous refaites un show version, vous identifiez votre module activé en version d’évaluation.

image

Nous allons ensuite nous occuper des stratégies de chiffrement avec ISAKMP (Internet Security Association and Key Management Protocol). Cette appliance fournis la sécurisation des paquets qui seront acheminés d’un bout à l’autre.
LILLE(config)#crypto isakmp policy 10
LILLE(config-isakmp)# encryption aes
LILLE(config-isakmp)# authentication pre-share
LILLE(config-isakmp)# group 5
LILLE(config-isakmp)#exit

Le cryptage AES est le chiffrement choisi pour l’échange. Les algorithmes DES et 3DES n’étant plus considérés comme sûres, il est recommandé d’utiliser AES.

Cet algorithme nécessite une clé pré-partagée pour le chiffrement et le déchiffrement. C’est pourquoi nous choisissons l’authentification pre-share.

Le group 5 représente l’algorythme DH (Diffie-Hellman) la manière selon laquelle une clé secrète partagée est établie entre les homologues

Nous précisons ensuite la clé d’échange qui sera KEYVPN ainsi que la destination de l’hôte distant
LILLE(config)#crypto isakmp key KEYVPN address 83.0.0.1

Ensuite nous sélectionnons la méthode de cryptage que l’on appelle CRYPSET
LILLE(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

ESP-AES est l’algorythme de cryptage et esp-sha-hmac est la méthode d’authentification

Passons à la configuration des ACL
LILLE(config)#ip access-list extended LAN
LILLE(config-ext-nacl)# no permit ip 192.168.20.0 0.0.0.255 any
LILLE(config-ext-nacl)# deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any
LILLE(config-ext-nacl)# exit

WARNING : Nous éditons l’ACL du NAT déjà existante qui s’appelle LAN pour interdire la translation d’adresse vers le LAN distant. De cette façon aucune adresse IP source à destination de PARIS ne sera changée. Néanmoins si la destination est autre que PARIS, les adresses IP sources seront translatées.

Par contre nous créons une autorisation du réseau d’ARRAS à communiquer avec le réseau de PARIS avec l’ACL que l’on appellera VPN
LILLE(config)#ip access-list extended VPN
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

Nous nous attaquons à présent à rassembler les différents éléments créés ci-dessus pour en faire une cryptomap que l’on positionnera sur l’interface outside serial 0/0/0
LILLE(config)#crypto map VPNMAP 10 ipsec-isakmp
LILLE(config-crypto-map)# set peer 83.0.0.1
LILLE(config-crypto-map)# set transform-set CRYPSET
LILLE(config-crypto-map)# match address VPN
LILLE(config-crypto-map)#exit
LILLE(config)#interface serial 0/0/0
LILLE(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

CONFIGURATION DU ROUTEUR DE PARIS
Configuration d’ISAKMP
PARIS(config)#crypto isakmp policy 10
PARIS(config-isakmp)# encr aes
PARIS(config-isakmp)# authentication pre-share
PARIS(config-isakmp)# group 5
PARIS(config-isakmp)#

Configuration de la clé d’échange entre les 2 hôtes
PARIS(config)#crypto isakmp key KEYVPN address 80.0.0.1

Configuration du cryptage et de la méthode d’authentification
PARIS(config)#crypto ipsec transform-set CRYPSET esp-aes esp-sha-hmac

Configuration de l’ACL LAN (celle du NAT)
PARIS(config)#ip access-list extended LAN
PARIS(config-ext-nacl)# no permit ip 192.168.10.0 0.0.0.255 any
PARIS(config-ext-nacl)# deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 any

Création de l’ACL nommé VPN
PARIS(config)#ip access-list extended VPN
PARIS(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255

Création de la Cryptomap
PARIS(config)#crypto map VPNMAP 10 ipsec-isakmp
PARIS(config-crypto-map)# set peer 80.0.0.1
PARIS(config-crypto-map)# set transform-set CRYPSET
PARIS(config-crypto-map)# match address VPN

Attribution de la cryptomap sur l’interface outside
PARIS(config-ext-nacl)#interface serial 0/0/0
PARIS(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
PARIS(config-if)#

– TESTS ET VERIFICATION
Si votre configuration fonctionne du premier coup vous devriez avoir ceci si vous pingez 192.168.10.1à partir du 192.168.20.1
image

Afin de vérifier si les paquets envoyés sont cryptés et que les paquets reçus sont bien décryptés, vous pouvez le vérifier avec la commande suivante :
Router#sh crypto ipsec sa
image

Les 2 sites sont fin prêt pour communiquer ensemble de façon sécurisée !!

!!! CISCO FOREVER !!!

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s