Ce soir topic sur la configuration d’un tunnel IPSEC.
Attention accrochez-vous, ça va être long … Les VPN ne sont pas difficiles à configurer mais ils demandent du temps et de la concentration.
Ci-joint mon lab réalise sur GNS3.
J’ai pu configurer différents VPN s’appuyant sur différents protocoles du pre-shared key au certificat en passant par une interface tunnel template. La gestion des certificats n’étant pas du tout ma chose préférée, je ne m’étendrai pas trop sur le sujet …. dans cet article mais je réserve une autre page sur le sujet.
Je ne parlerai dans cet article que de VPN point à point entre des routeurs Cisco, j’essaierai a l’occasion de mélanger les genres avec quelques Alcatels. Pas de Cisco Easy Connect ou autre joyeuseté de ce genre pour l’instant.
Pour la théorie de la chose je vous laisse à Wikipédia pour l'instant !
1. Création d’une Policy ISAKMP (Phase 1, IKE)
Nous allons définir les protocoles que nous souhaiterions utiliser lors de la négociation de l’ouverture du tunnel :
crypto isakmp policy 20
encr aes 256
authentication pre-share
Typiquement cet exemple renvoie à la configuration de R1
Explications :
Le premier attribut va négocier le protocole utiliser pour l encryption, ici AES avec 256 bitsLe deuxième attribut défini la manière dont on va authentifier le distant. J’utilise ici une clef partagée, c’est la solution la plus simple, on peut la substituer par l’utilisation de certificats. La création de la clef est expliquée un peu plus tard.
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 5
Même chose pour le routeur R2 mais en utilisant des protocoles différents. Vous noterez qu’ici le groupe pour DH apparait ainsi que le hash, n’étant pas configures par défaut
Le routeur va donc essayer les règles de la plus basse a la plus élevée pour trouver un terrain d’entente avec son distant. Si aucun paramètre ne concorde, la connexion ne fonctionnera pas.
2. Création de la pre-share key.
crypto keyring vpn
pre-shared-key address 30.0.0.1 key test2
Explications :
Le nom de la clef est vpnLa valeur de la clef est « test2 », associée à l’interface du routeur distant (interface physique de R4 dans notre cas)
Le changement de clef peut être fastidieux sur plusieurs éléments actifs, configurez qqch de costaud, de long et complexe pour pouvoir être tranquil très longtemps.
3. Création du profile ISAKMP
crypto isakmp profile VPN
keyring vpn
match identity address 20.0.0.1 255.255.255.255
local-address 20.0.0.2
Tableau résumé :
4. IPSEC et Transform-set
crypto ipsec transform-set IPSECVpn ah-sha-hmac esp-aes
crypto ipsec transform-set IPSECVpn2 esp-aes esp-sha-hmac
Ici, comme pour le profil ISAKMP on définit les protocoles utilisés pour l’authentification, le hash et l encryption.
On va préférer les versions en esp par rapport au ah pour des raisons de sécurité.
5 Profil IPSEC
crypto ipsec profile VPN
set transform-set IPSECVpn
set isakmp-profile VPN
!
crypto ipsec profile VPN2
set transform-set IPSECVpn2
set isakmp-profile VPN
!
crypto ipsec profile VPNVirtuel
set transform-set IPSECVpn2
set isakmp-profile VPNVirtuel
Plusieurs profils, … on est libre de faire ce que l’on veut.
6 Application au tunnel
interface Tunnel1
ip unnumbered FastEthernet1/0
tunnel source FastEthernet1/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile VPN
Le tunnel tombe et remonte au bout de quelques secondes.
Pour ce qui est de la création du template :
interface Virtual-Template1 type tunnel
ip unnumbered FastEthernet2/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPNVirtuel
Rien de bien complexe là-dedans.
Pour vérifier le bon fonctionnement du tunnel, show crypto session, les commandes debug du type debug crypto isakmp sont aussi très utiles.
Crypto session current status
Interface: Tunnel2
Profile: VPN
Session status: UP-ACTIVE
Peer: 20.0.0.1 port 500
IKE SA: local 20.0.0.2/500 remote 20.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
show crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
20.0.0.1 20.0.0.2 QM_IDLE 1002 ACTIVE
IPv6 Crypto ISAKMP SA
Voilà pour le premier chapitre concernant les tunnels VPN. Je reviendrai dessus pour la configuration des pki dans un prochain article .
Bon clic a tous,
Pour ce qui est du SA pour la distrie des certificats, je passe sur un serveur windows 2003, ma conf cisco est très instable même après avoir reconfig ntp
RépondreSupprimer