SlideShare uma empresa Scribd logo

Tuto VP IPSEC Site-to-site

Dimitri LEMBOKOLO
Dimitri LEMBOKOLO

Sécurité réseau avec les routeurs Cisco

Tecnologia
1 de 12
Baixar para ler offline
I. Partie I : Introduction Partie II : Architecture du réseau Partie III : Configurations de base  Routeur R1  Routeur R2  Routeur R3 Partie IV : Configuration du VPN  Configuration du VPN sur le R1  Configuration du VPN sur R3  Vérifications Conclusion Dimitri LEMBOKOLO 1
I. Introduction Nous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté et VPN d'accès distant (Remote Access). La première est largement utilisée pour connecter en toute sécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou les télétravailleurs d'accéder aux ressources sur un réseau site central. Dans ce post nous allons décrire brièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avec deux routeurs Cisco IOS utilisant IPSEC. Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec le cryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF. Il s'agit essentiellement d'un costume de plusieurs protocoles qui offrent une communication sécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toute sécurité à distance sur Internet d'insécurité. Nous pourrions utiliser un réseau privé WAN avec Frame Relay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela, avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti par IPSEC) pour la communication entre nos sites distants. II. Architecture du réseau Voici notre réseau : Dimitri LEMBOKOLO 2
III. Configurations de base Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :  Routeur R1 On commence par : R1>enable R1#configure terminal Nous configurons ensuite les adresses IP des deux interfaces : R1(config)#interface FastEthernet 0/1 R1(config-if)#ip address 192.168.2.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise le routage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous préférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et qui marche sans problème. R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.2.0 R1(config-router)#network 10.1.1.0 R1(config-router)#exit La configuration de base de notre routeur R1 est terminée.  Routeur R2 Même procédure pour notre routeur R2 : R2>enable R2#configure terminal Dimitri LEMBOKOLO 3
Nous configurons ensuite les adresses IP des deux interfaces : R2(config)#interface FastEthernet 0/1 R2(config-if)#ip address 10.2.2.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface FastEthernet 0/0 R2(config-if)#ip address 10.1.1.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 10.2.2.0 R2(config-router)#network 10.1.1.0 R2(config-router)#exit La configuration de base de notre routeur R2 est terminée.  Routeur R3 Même procédure pour notre routeur R3 : Nous configurons ensuite les adresses IP des deux interfaces : R3(config)#interface FastEthernet 0/1 R3(config-if)#ip address 192.168.3.254 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#ip address 10.2.2.1 255.255.255.252 R3(config-if)#no shutdown R3(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network 10.2.2.0 R3(config-router)#network 192.168.3.0 R3(config-router)#exit La configuration de base de notre routeur R3 est terminée. Dimitri LEMBOKOLO 4
IV. Configuration du VPN Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on n’aura aucune modification à faire sur R2.  Configuration VPN sur R1 Etape 1 : Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN. On active ensuite les fonctions crypto du routeur : R1(config)#crypto isakmp enable Cette fonction est activée par défaut sur les IOS avec les options cryptographiques. Etape 2 : Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle type d’authentification, etc. R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 5 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit group 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs. Etape 3 : On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout du tunnel donc 10.2.2.1: R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1 Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit être chiffré ou pas, tapez cette commande : R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1 Exemple : R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1 Dimitri LEMBOKOLO 5
Etape 4 : Configuration des options de transformations des données : R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac esp : Signifie Encapsulation Security Protocol N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première étape. Dans notre cas : Encryption : 3des, hash : md5 On fixe ensuite une valeur de Lifetime : R1(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé. R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Etape 6 : Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, et la destination : R1(config)#crypto map nom_de_map 10 ipsec-isakmp Ex.: R1(config)#crypto map espmap 10 ipsec-isakmp R1(config-crypto-map)#set peer 10.2.2.1 R1(config-crypto-map)#set transform-set 50 R1(config-crypto-map)#set security-association lifetime seconds 900 R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de sorte : Dans notre cas FastEthernet 0/0. R1(config)#interface FastEthernet 0/0 R1(config-if)#crypto map nom_de_map Ex.: R1(config)crypto map espmap *Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Un message vous indique que la crypto map fonctionne. Bravo Dimitri LEMBOKOLO 6
 Configuration VPN sur R3 On refait la même configuration que sur R1 : Etape 1: R3(config)#crypto isakmp enable Etape 2: R3(config)#crypto isakmp policy 10 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 5 R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#exit Etape 3: R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1 Ou R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1 Etape 4 : R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R3(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Etape 6 : R3(config)#crypto map nom_de_map 10 ipsec-isakmp R3(config-crypto-map)#set peer 10.1.1.1 R3(config-crypto-map)#set transform-set 50 R3(config-crypto-map)#set security-association lifetime seconds 900 R3(config-crypto-map)#match address 101 R3(config-crypto-map)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#crypto map nom_de_map * Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Dimitri LEMBOKOLO 7
 Vérifications On réalise un ping pour voir si la communication n’est pas coupée : Sur les machines : VBOX1 VBOX2 Dimitri LEMBOKOLO 8
Vérification des informations retournées par le VPN sur R1 et R3 : Vérification de la map : Comme rappel j’ai nommé ma map "espmap". Sur le routeur R1 Sur le routeur R3 Dimitri LEMBOKOLO 9
On vérifie les opérations d’IPsec : Sur le routeur R1 Dimitri LEMBOKOLO 10
Sur le routeur R3 Pour finir on vérifie les opérations d’Isakmp : Sur le routeur R1 : Sur le routeur R3 : Dimitri LEMBOKOLO 11
Conclusion Que ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votre entreprise sécurisés besoins d'accès distant: VPN IPSec est conçue pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de bien-contrôlées actifs de l'entreprise. Si ce sont les besoins primaires de votre entreprise, IPSec effectue ces fonctions tout à fait bien. Pour les configurations de VPN IPSEC R.A (Remote Access) To be continued… Dimitri LEMBOKOLO 12

Recomendados

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
Camara Assane
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
Sylvain Maret
 
Vpn
VpnVpn
Vpn
kwabo
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
JULIOR MIKALA
 
Vpn
VpnVpn
Vpn
malekoff
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 

Recomendados

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
gorguindiaye
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
Camara Assane
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
Sylvain Maret
 
Vpn
VpnVpn
Vpn
kwabo
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
JULIOR MIKALA
 
Vpn
VpnVpn
Vpn
malekoff
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
Chris Dogny
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
Bedreddine Zarrouk
 
Routage
RoutageRoutage
Routage
Sirine Ibrahim
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Manassé Achim kpaya
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
 
vpn
vpnvpn
vpn
fayzerish
 
Vpn
VpnVpn
Vpn
malekoff
 
Cours VTP
Cours VTPCours VTP
Cours VTP
EL AMRI El Hassan
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
Hermann Gbilimako
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Routage statique
Routage statiqueRoutage statique
Routage statique
Ines Kechiche
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
Manassé Achim kpaya
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
EL AMRI El Hassan
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
Dimitri LEMBOKOLO
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
Thomas Moegli
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
VPNIPSec site to site
VPNIPSec site to siteVPNIPSec site to site
VPNIPSec site to site
Dimitri LEMBOKOLO
 
Messagerie
MessagerieMessagerie
Messagerie
Dimitri LEMBOKOLO
 

Mais conteúdo relacionado

Mais procurados

Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Manassé Achim kpaya
 

Mais procurados (20)

Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
Routage
RoutageRoutage
Routage
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
Mise en place d'un système de messagerie sous debian avec: postfix, dovecot, ...
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
vpn
vpnvpn
vpn
 
Vpn
VpnVpn
Vpn
 
Cours VTP
Cours VTPCours VTP
Cours VTP
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Routage statique
Routage statiqueRoutage statique
Routage statique
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
 
Cours routage inter-vlan
Cours routage inter-vlanCours routage inter-vlan
Cours routage inter-vlan
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 

Destaque

Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
Alphorm
 

Destaque (20)

VPNIPSec site to site
VPNIPSec site to siteVPNIPSec site to site
VPNIPSec site to site
 
Messagerie
MessagerieMessagerie
Messagerie
 
Configuration dns
Configuration dnsConfiguration dns
Configuration dns
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Openfire + Active Directory sur Windows 2008 R2
Openfire + Active Directory sur Windows 2008 R2Openfire + Active Directory sur Windows 2008 R2
Openfire + Active Directory sur Windows 2008 R2
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
 
Installation cisco call manager 6.0
Installation cisco call manager 6.0Installation cisco call manager 6.0
Installation cisco call manager 6.0
 
Comment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logicielComment enlever un mot de passe admin win 7 sans logiciel
Comment enlever un mot de passe admin win 7 sans logiciel
 
Installation et configuration de openfire
Installation et configuration de openfireInstallation et configuration de openfire
Installation et configuration de openfire
 
Tutoriel nat pat
Tutoriel nat patTutoriel nat pat
Tutoriel nat pat
 
Rapport bluetooth
Rapport bluetooth Rapport bluetooth
Rapport bluetooth
 
Installation de wink sous fedora
Installation de wink sous fedoraInstallation de wink sous fedora
Installation de wink sous fedora
 
Installation de fedora 11
Installation de fedora 11Installation de fedora 11
Installation de fedora 11
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003
 
Installation de windows 2003serveur
Installation de windows 2003serveurInstallation de windows 2003serveur
Installation de windows 2003serveur
 
Lightweight directory access protocol
Lightweight directory access protocolLightweight directory access protocol
Lightweight directory access protocol
 
Dhcp sous fedora 11
Dhcp sous fedora 11Dhcp sous fedora 11
Dhcp sous fedora 11
 
Alphorm.com formation-GNS3
Alphorm.com formation-GNS3Alphorm.com formation-GNS3
Alphorm.com formation-GNS3
 
Li-Fi
Li-FiLi-Fi
Li-Fi
 
Configuration eon4
Configuration eon4Configuration eon4
Configuration eon4
 

Semelhante a Tuto VP IPSEC Site-to-site

Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
Med Ali Bhs
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
CONNECT Tunisia
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
SergeAKUE
 
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
mia884611
 

Semelhante a Tuto VP IPSEC Site-to-site (20)

EIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relayEIGRP - EIGRP sur frame relay
EIGRP - EIGRP sur frame relay
 
Configuration de-base-d
Configuration de-base-dConfiguration de-base-d
Configuration de-base-d
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Vpn
VpnVpn
Vpn
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
 
Adsl cisco
Adsl ciscoAdsl cisco
Adsl cisco
 
Tout atm
Tout atmTout atm
Tout atm
 
Comment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modemComment paramétrer une connexion adsl sur un modem
Comment paramétrer une connexion adsl sur un modem
 
Ccna 2-module-2-v4
Ccna 2-module-2-v4Ccna 2-module-2-v4
Ccna 2-module-2-v4
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
réseaux
réseauxréseaux
réseaux
 
Tuto vpn
Tuto vpnTuto vpn
Tuto vpn
 
EIGRP - Authentification
EIGRP - Authentification EIGRP - Authentification
EIGRP - Authentification
 
EIGRP - Configuration
EIGRP - ConfigurationEIGRP - Configuration
EIGRP - Configuration
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
 
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
Tunnels-VPN Tunnels-VPNTunnels-VPN Tunnels-VPN
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
commande 2.pdf
commande 2.pdfcommande 2.pdf
commande 2.pdf
 

Tuto VP IPSEC Site-to-site

  • 1. I. Partie I : Introduction Partie II : Architecture du réseau Partie III : Configurations de base  Routeur R1  Routeur R2  Routeur R3 Partie IV : Configuration du VPN  Configuration du VPN sur le R1  Configuration du VPN sur R3  Vérifications Conclusion Dimitri LEMBOKOLO 1
  • 2. I. Introduction Nous avons deux types de VPN IPSEC: LAN-to-Lan (site-to-site ou de site à site) VPN crypté et VPN d'accès distant (Remote Access). La première est largement utilisée pour connecter en toute sécurité des réseaux de bureaux distants et le second pour permettre aux utilisateurs distants ou les télétravailleurs d'accéder aux ressources sur un réseau site central. Dans ce post nous allons décrire brièvement un LAN-to-Lan VPN IPSEC et de fournir un exemple de configuration complète avec deux routeurs Cisco IOS utilisant IPSEC. Avec VPN IPSEC, les entreprises peuvent relier des bureaux distants LAN sur Internet avec le cryptage fort et de la sécurité offerte par le protocole IPSEC. IPSEC est une norme de sécurité IETF. Il s'agit essentiellement d'un costume de plusieurs protocoles qui offrent une communication sécurisée sur des chemins peu sûrs. Il est donc idéal pour connecter des réseaux LAN en toute sécurité à distance sur Internet d'insécurité. Nous pourrions utiliser un réseau privé WAN avec Frame Relay ou les connexions MPLS, ce qui serait cependant ramener le coût très élevé. Au lieu de cela, avec IPSEC VPN, nous pouvons utiliser la connectivité Internet pas cher (ce qui sera garanti par IPSEC) pour la communication entre nos sites distants. II. Architecture du réseau Voici notre réseau : Dimitri LEMBOKOLO 2
  • 3. III. Configurations de base Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :  Routeur R1 On commence par : R1>enable R1#configure terminal Nous configurons ensuite les adresses IP des deux interfaces : R1(config)#interface FastEthernet 0/1 R1(config-if)#ip address 192.168.2.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface FastEthernet 0/0 R1(config-if)#ip address 10.1.1.1 255.255.255.252 R1(config-if)#no shutdown R1(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. Par choix personnel j’utilise le routage RIP, ce qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous préférez, ou ne pas faire de routage du tout et voir si le VPN fonction, teste que j’ai déjà fait et qui marche sans problème. R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.2.0 R1(config-router)#network 10.1.1.0 R1(config-router)#exit La configuration de base de notre routeur R1 est terminée.  Routeur R2 Même procédure pour notre routeur R2 : R2>enable R2#configure terminal Dimitri LEMBOKOLO 3
  • 4. Nous configurons ensuite les adresses IP des deux interfaces : R2(config)#interface FastEthernet 0/1 R2(config-if)#ip address 10.2.2.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface FastEthernet 0/0 R2(config-if)#ip address 10.1.1.2 255.255.255.252 R2(config-if)#no shutdown R2(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 10.2.2.0 R2(config-router)#network 10.1.1.0 R2(config-router)#exit La configuration de base de notre routeur R2 est terminée.  Routeur R3 Même procédure pour notre routeur R3 : Nous configurons ensuite les adresses IP des deux interfaces : R3(config)#interface FastEthernet 0/1 R3(config-if)#ip address 192.168.3.254 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#ip address 10.2.2.1 255.255.255.252 R3(config-if)#no shutdown R3(config-if)#exit Les interfaces configurées, il ne reste plus qu’à configurer le routage. R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network 10.2.2.0 R3(config-router)#network 192.168.3.0 R3(config-router)#exit La configuration de base de notre routeur R3 est terminée. Dimitri LEMBOKOLO 4
  • 5. IV. Configuration du VPN Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on n’aura aucune modification à faire sur R2.  Configuration VPN sur R1 Etape 1 : Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN. On active ensuite les fonctions crypto du routeur : R1(config)#crypto isakmp enable Cette fonction est activée par défaut sur les IOS avec les options cryptographiques. Etape 2 : Configuration la police qui détermine quelle encryptions on utilise, quelle Hash quelle type d’authentification, etc. R1(config)#crypto isakmp policy 10 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#encryption 3des R1(config-isakmp)#hash md5 R1(config-isakmp)#group 5 R1(config-isakmp)#lifetime 3600 R1(config-isakmp)#exit group 5 : Spécifie l’iden!fiant Diffie-Hellman lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs. Etape 3 : On crée ensuite la clé pré-partagée, ici « testkey1234 » qu’on associe avec l’adresse de l’autre bout du tunnel donc 10.2.2.1: R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1 Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit être chiffré ou pas, tapez cette commande : R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1 Exemple : R1(config)#crypto isakmp key 6 testkey1234 10.2.2.1 Dimitri LEMBOKOLO 5
  • 6. Etape 4 : Configuration des options de transformations des données : R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac esp : Signifie Encapsulation Security Protocol N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première étape. Dans notre cas : Encryption : 3des, hash : md5 On fixe ensuite une valeur de Lifetime : R1(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : L’étape 5 consiste à créer une ACL qui va déterminer le trafic autorisé. R1(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Etape 6 : Cette étape est la dernière, nous configurons la crypto map qui va associer l’access-list, le traffic, et la destination : R1(config)#crypto map nom_de_map 10 ipsec-isakmp Ex.: R1(config)#crypto map espmap 10 ipsec-isakmp R1(config-crypto-map)#set peer 10.2.2.1 R1(config-crypto-map)#set transform-set 50 R1(config-crypto-map)#set security-association lifetime seconds 900 R1(config-crypto-map)#match address 101 R1(config-crypto-map)#exit La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de sorte : Dans notre cas FastEthernet 0/0. R1(config)#interface FastEthernet 0/0 R1(config-if)#crypto map nom_de_map Ex.: R1(config)crypto map espmap *Mar 2 06:16:26.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Un message vous indique que la crypto map fonctionne. Bravo Dimitri LEMBOKOLO 6
  • 7.  Configuration VPN sur R3 On refait la même configuration que sur R1 : Etape 1: R3(config)#crypto isakmp enable Etape 2: R3(config)#crypto isakmp policy 10 R3(config-isakmp)#authentication pre-share R3(config-isakmp)#encryption 3des R3(config-isakmp)#hash md5 R3(config-isakmp)#group 5 R3(config-isakmp)#lifetime 3600 R3(config-isakmp)#exit Etape 3: R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1 Ou R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1 Etape 4 : R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac R3(config)#crypto ipsec security-association lifetime seconds 1800 Etape 5 : R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Etape 6 : R3(config)#crypto map nom_de_map 10 ipsec-isakmp R3(config-crypto-map)#set peer 10.1.1.1 R3(config-crypto-map)#set transform-set 50 R3(config-crypto-map)#set security-association lifetime seconds 900 R3(config-crypto-map)#match address 101 R3(config-crypto-map)#exit R3(config)#interface FastEthernet 0/0 R3(config-if)#crypto map nom_de_map * Mar 2 06:17:30.401: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Dimitri LEMBOKOLO 7
  • 8.  Vérifications On réalise un ping pour voir si la communication n’est pas coupée : Sur les machines : VBOX1 VBOX2 Dimitri LEMBOKOLO 8
  • 9. Vérification des informations retournées par le VPN sur R1 et R3 : Vérification de la map : Comme rappel j’ai nommé ma map "espmap". Sur le routeur R1 Sur le routeur R3 Dimitri LEMBOKOLO 9
  • 10. On vérifie les opérations d’IPsec : Sur le routeur R1 Dimitri LEMBOKOLO 10
  • 11. Sur le routeur R3 Pour finir on vérifie les opérations d’Isakmp : Sur le routeur R1 : Sur le routeur R3 : Dimitri LEMBOKOLO 11
  • 12. Conclusion Que ce soit une IPSec ou VPN SSL, le bon choix dépend en définitive de la mesure de votre entreprise sécurisés besoins d'accès distant: VPN IPSec est conçue pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de bien-contrôlées actifs de l'entreprise. Si ce sont les besoins primaires de votre entreprise, IPSec effectue ces fonctions tout à fait bien. Pour les configurations de VPN IPSEC R.A (Remote Access) To be continued… Dimitri LEMBOKOLO 12