Première partie : Proxy, Firewall et DMZ

Cas 1 : Port forwarding avec iptables

Le réacheminement de ports (port forwarding ou port mapping en anglais) consiste à rediriger des
paquets réseaux reçus sur un port donné d'un ordinateur ou un équipement réseau vers un autre
ordinateur ou équipement réseau sur un port donné. Cela permet entre autres de proposer à des
ordinateurs extérieurs à un réseau d'accéder à des services répartis sur plusieurs ordinateurs de ce
réseau.
Contexte
iptables est un logiciel libre de l'espace utilisateur Linux grâce auquel l'administrateur système peut
configurer les chaînes et règles dans le pare-feu en espace noyau (et qui est composé par des
modules Netfilter).
Mise en place d’une architecture
Le but de cette partie est de rediriger toutes les connexions SSH arrivant sur le pare-feu vers la
machine 17.15.4.1/24
Il faut d’abord que toutes les machines aient accès à internet pour télécharger les paquets
nécessaires afin de pouvoir mettre en place les services dont on a besoin.

Les configurations à faire

 Sur la machine SSH

 Sur Ubuntu 3

 Maintenant sur le pare-feu

Les configurations du pare-feu

# apt update && apt install iptables -y

1. Translation d’adresses

root@parefeu:/# iptables -t nat -A POSTROUTING -s 172.15.4.0/24 -o eth0 -j

MASQUERADE
root@parefeu:/#

2. Transfert de ports
root@parefeu:/# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-
destination 172.15.4.1
root@parefeu:/#

Actions à faire sur la machine sur laquelle on installe SSH

# apt update && apt install openssh-server -y
# /etc/init.d/ssh start

Nous allons créer un utilisateur

Place au test
Depuis une machine du réseau du cloud :

Connexion réussie !

En claire
Ce genre de configurations permet non seulement d’accroître la sécurité de l’architecture réseau,
mais aussi de rendre accessible depuis l’extérieur les services hébergés en local. Même si nous
l’avons pas souligné, il faut savoir que ce type de configuration permet d’alléger la charge des
serveurs locaux à travers le load balancing.

Cas2 : le Proxy avec squid

Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre
deux hôtes pour faciliter ou surveiller leurs échanges.

Dans le cadre plus précis des réseaux informatiques, un proxy est alors un programme servant
d'intermédiaire pour accéder à un autre réseau, généralement Internet. Par extension, on appelle
aussi « proxy » un matériel comme un serveur mis en place pour assurer le fonctionnement de tels
services.
Les Proxy interviennent au niveau de la couche 7 du modèle OSI

Mise en place d’une architecture

La config IP du Proxy

Sur la machine ubuntu18 (l’un des clients)

S’assurer que les clients communiquent avec le proxy

La configuration côté proxy

squid3 est le paquet à installer sur le proxy
# apt install squid3
# cd /etc/squid
# mv squid.conf squid.conf.old
# vim squid.conf

Redémarrer le service
# /etc/init.d/squid restart
 La configuration sur les clients
Sur le navigateur :
Paramètres > Preferences > Réseau Proxy
Après avoir renseigner les informations ci-dessus, cliquez sur OK pour valider
Les logs d’un proxy Squid, sont enregistrés dans le fichier /var/log/squid/access.log
Place au test
Filtrage de domaines
À cet instant, toutes les requetes WEB passent par le proxy qui, à son tour les relaie vers internet.
Nous allons donc depuis notre proxy, interdire les visites vers certains cites.

Toujours dans le fichier squid.conf

On va maintenant créer le fichier bloques.txt dans lequel mettre les noms de domaine à interdire

 Redémarrer le proxy
#/etc/init.d/squid3 restart

Pour la connexion à YouTube (l’un des site dont l’accès est interdit)
Pour la connexion à Facebook

La connexion à un autre site qui n’est pas interdit par le proxy

L’avantage des proxy ne se limite pas qu’à être un intermédiaire entre un réseau privé et un un
réseau publique (qui est internet le plus souvent). Il permet aussi de choisir les sites auxquels les
utilisateurs du réseau privé auront accès ou pas.

TP suivant : Utilisation de NGINX comme Proxy Mysql et FTP

NGINX est un logiciel libre de serveur Web (ou HTTP) de très grande capacité ainsi qu'un proxy
inverse. Pour plus de renseignements sur ce serveur Web et proxy inverse, cliquez ici

Contexte
Ce TP consiste avoir des applications dans le réseau privé qui ne sont pas accessibles depuis
Internet pour de mesure de sécurité et de paramétrer nginx comme proxy de tel sorte que ces
applications deviennent accessibles à travers l’interface externe du proxy nginx dont l’adresse IP est
192.168.1.249/24. Autrement dit c’est la machine nginx (proxy) qui reçoit les requêtes qui viennent
et elle se charge de les rediriger vers les machines qui hébergent les applications.

Mise en place d’une architecture

Les configurations

 Sur le Proxy Nginx

 Sur le serveur-Mysql

 Sur le serveur-FTP
Installation et configuration du Proxy Nginx
Il faut tout d’abord installer le Proxy Nginx avant de passer à sa configuration.
# apt install nginx
Après installation du paquet, Il faut tout d’abord s’assurer que que le Proxy communique avec les
différents serveurs du réseau privé.

Pour la deuxième
  Configuration du Proxy Nginx
Pour la configuration du serveur Nginx, il faudra éditer le fichier /etc/nginx/nginx.conf et déclarer
les adresses IP des serveurs du réseau privé et le port d’écoute des services MySQL et FTP comme
suit :
#Pour les deux serveurs: MySQL et FTP
stream {
upstream 128.29.0.1
{
server 128.29.0.1:3306;
}
upstream 128.29.0.2
{
server 128.29.0.2:21;
}

server
{
listen 3306;
proxy_pass 128.29.0.1;
}
server
{
listen 21;
proxy_pass 128.29.0.2;
}

 Redémarrer le service
  Permettre aux serveurs du réseau priver d’accéder à internet afin de télécharger les paquets
qui leurs permettrons de mettre en place les services escomptés.
Pour résoudre ce problème, il faudra faire de la translation d’adresses à partir du proxy Nginx. Du
NAT. L’utilitaire iptables nous permet de le faire, il faudra donc l’installer.

# apt install iptables

Activer le NAT comme suit :

Affichons la table NAT

La translation d’adresses est activée avec succès !

Configuration des serveurs Internes

 Configuration du serveur MySQL
# apt install mariadb-server
Autoriser les connexions externes au serveur de base de données.
# vim /etc/mysql/mariadb.conf.d/50-server.cnf
Pour mettre le paramètre bind-address à 0.0.0.0 comme suit :

Redémarrer le serveur
#
Créer une base de donnée et attribuer ses droits à un utilisateur que nous allons créer

La base de données s’appelle senegal et le compte créé à cet effet est bory qui a un mot de passe
passer

Configuration du serveur FTP

# apt install vsftpd
# vim /etc/vsftpd.conf
Pour faire les modifications suivantes :

Redémarrer le serveur
Créer un utilisateur avec lequel se connecter à distance

Vérification de l’ouverture des ports concernés chez le proxy

Les ports sont bien ouverts !

Test de bon fonctionnement
Pour tester le bon fonctionnement de nos configurations, les requêtes seront envoyées depuis une
machine du réseau publique vers l’interface externe du proxy nginx dont l’adresse IP est
192.168.6.86. et par la suite c’est au proxy de rediriger les demandes vers les machines du réseau
privé censées traiter ces requêtes.

Depuis une autre machine du réseau, on va tenter d’accéder aux services qui sont déployés dans le
réseau privé.
Sur le serveur FTP
On arrive à se connecter, c’est bien !

Sur le serveur MySQL

Nous avons remarqué que nous n’avons installé ni VsFTPD , ni mariadb-server sur le proxy Nginx,
mais nous arrivons quand même à utiliser ces services en envoyant les requêtes vers son adresse IP.
C’est ça le port forwarding !
La zone démilitarisée (DMZ) avec l’utilitaire iptables
En informatique, une zone démilitarisée, ou DMZ est un sous-réseau séparé du réseau local et isolé
de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les machines
étant susceptibles d'être accédées depuis Internet, et qui n'ont pas besoin d'accéder au réseau local.
Les services susceptibles d'être accédés depuis Internet seront situés en DMZ, et tous les flux en
provenance d'Internet sont redirigés par défaut vers la DMZ par le firewall. Le pare-feu bloquera
donc les accès au réseau local à partir de la DMZ pour garantir la sécurité. En cas de
compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et
non au réseau local.

Architecture

Explication de l’architecture
Cette architecture est assez éloquente pour être expliquée en détails. Néanmoins, voici donc ses
fondamentaux :
Sur notre architecture, le Firewall est relié à trois réseaux : DMZ, le LAN et INTERNET.
 L’interface enp0s9 est celle qui est connectée à internet avec l’adresse réseau 192.168.0.0/16
 L’interface enp0s3 qui est connectée au LAN dont l’adresse réseau est 172.16.0.0/16. Ce
pendant, la passerelle de toutes les machines du LAN est 172.16.0.254/16
 L’interface enp0s8 connectée à la DMZ dont l’adresse réseau est 169.10.0.0/16 . Elle est
donc la passerelle des serveurs WEB et Asterisk de la DMZ. Son adresse est
168.18.0.254/16
Présentation des règles qui doivent être fixées sur le firewall
Le réseau (LAN) contient les machines du réseau local. Le firewall
 Doit permettre l'accès à Internet des utilisateurs (vers un serveur http).
 Doit permettre le ping d'une machine vers une machine d'Internet (message echo request).
 Doit accepter en retour la réponse du ping (echo reply).
 Ne doit pas autoriser une demande de connexion à partir d'une machine venant d'Internet.
 Les machines du LAN ne doivent pas être visibles sur internet.
 Les machines du LAN doivent pouvoir accéder au serveur web de l'entreprise localisé dans
la DMZ
 Le réseau coté DMZ contient les machines accessibles à la fois depuis internet et depuis le
LAN.
Une machine sur INTERNET doit pouvoir accéder aux serveurs http et Asterisk de l'entreprise se
trouvant dans la DMZ. Pour des raisons de sécurité, on ne souhaite pas que la machine sur
INTERNET accède directement aux différents serveurs, avec son adresse IP.
Pour cela, il faut mettre en place un ré-routage de ports ou port forwarding pour que toute
connexion arrivant sur l'interface externe du Parefeu (firewall), soit redirigée vers le port standard
ou défini du serveur concerné (dans la DMZ) par la requête.

➔ Dans le sens (DMZ) vers (INTERNET) et (LAN) vers (DMZ), une translation d'adresses est
nécessaire et sera réalisée.

Configurations

Configuration du Firewall
➔ Configuration IP

Comme sur l’architecture, l’interface enp0s9 est celle directement connectée au réseau publique, et
nous avons décidé de lui fournir des élément TCP/IP en mode DHCP et elle a une adresse IP
192.168.6.185 /16
En récapitulatif, nous avons :
 enp0s3 qui a 172.16.0.254 /16 qui est directement connecté au LAN
 enp0s8 qui a 169.18.0.254 /16 qui est directement connecté à la DMZ
 enp0s9 qui a 192.168.6.185 /16 qui directement connecté au réseau publique (internet)

Voici d’ailleurs plus de détails

Activation du routage
Éditer le fichier /etc/sysctl.conf pour dé-commenter le paramètre suivant comme suit :

Puis recharger le noyau

Après toutes les configurations IP, faisons un test de connectivité

Depuis le PC-1 du LAN, faisons un ping sur la machine Asterisk de la DMZ

Nous remarquons que les machines machines du LAN communiquent avec celles de la DMZ.

Mise en place des règles de filtrage et de translation d’adresses

1. NAT pour la DMZ
Puisque les machines de la DMZ doivent accéder à internet pour pouvoir télécharger des paquets
afin de mettre en place leurs services, nous allons donc faire NAT sur le firewall comme suit :

Après cette commande sur le firewall, les machines de la DMZ ont accès à internet !
Sur le serveur WEB, on a déjà installé apache2, pour preuve que la machine a accès à internet :
Configuration de Apache2
Créons tout d’abord un site :

Pour de raisons de sécurité, nous allons changer le port d’écoute de notre serveur Web.
D’abord, éditer le fichier /etc/apache2/ports.conf et mettre le port voulu mais supérieur à 1024 et
qui n’est pas utilisé par un autre service de la machine.

Il faudra ensuite préciser ce même port dans le fichier /etc/apache2/sites-enabled/000-default.conf

Redémarrer ensuite le serveur

Est-ce que notre serveur apache écoute réellement sur le port auquel nous l’avons associé ?

Il tourne bel et bien !

Certaines règles de redirection

 Redirection de toutes les connexions HTTP provenant du LAN vers le serveur Web de la
DMZ

Puisque toutes les connexions passent par le firewall, nous appliquons donc les règles à ce niveau.

La règle ci-dessous redirige les requêtes HTTP provenant du LAN vers le serveur WEB de la DMZ

# iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 80 -j DNAT --to-destination

169.18.0.2:8080

Test de bon fonctionnement

Depuis un navigateur du LAN, tentons d’accéder au serveur. Il faudra juste saisir l’adresse IP de la
passerelle du LAN

Les requêtes HTTP passent.

 Interdiction des connexions depuis la DMZ vers le LAN

# iptables -A FORWARD -i enp0s8 -o enp0s3 -j REJECT

Place au test. Depuis le serveur WEB de la DMZ vers le PC-1 du LAN

Voilà. Les connexions depuis la DMZ vers le LAN sont interdites.

 Accessibilité du service Web depuis internet

Puisque les machines du LAN ne sont pas directement accessibles depuis le réseau publique, c’est
pourquoi c’est l’interface externe du firewall qui va recevoir les requêtes pour les rediriger vers le
serveur adéquat.
Pour mettre cette option en place, nous allons faire du port forwarding (redirection de ports). Celà
consiste à rediriger toutes les connexions web reçues sur l’interface externe du firewall (enp0s9)
vers la machine 169.18.0.2 (le serveur Web dans la DMZ).

La commande suivante nous permet de le faire :

# iptables -t nat -A PREROUTING -i enp0s9 -p tcp --dport 80 -j DNAT --to-destination
169.18.0.2:8080

Facilitons les choses ...

Sur le serveur WEB, on se rend dans le dossier /etc/apache2/sites-available et créer un fichier que
je nomme dmz.conf pour y mettre ceci :
<VirtualHost 169.18.0.2>
ServerAdmin admin@localhost
DocumentRoot /var/www/html/dmz
DirectoryIndex index.html
</VirtualHost>

• Activer le site virtuel

# a2ensite dmz.conf
• Recharger le serveur
# /etc/init.d/apache2 reload
Test de bon fonctionnement
Sur une machine du réseau publique, on a qu’a saisir l’adresse IP de l’interface du firewall pour
accéder au site héberger sur le serveur Web dans la DMZ.

Le site hébergé dans une machine de la DMZ est accessible depuis l’extérieur !

 Redirection des requêtes du port 5060 (la téléphonie) sur son serveur adéquat
Dans cette partie, nous allons mettre en place un serveur de téléphonie Asterisk sur la machine
169.18.0.1. Tous les paquets sont déjà installés, puisqu’elle a accès à internet !
Configuration du serveur de téléphonie
# nano /etc/asterisk/sip.conf

# nano /etc/asterisk/extensions.conf
 • Redémarrer asterisk

Configuration sur le firewall

Rediriger toutes les connexions udp sur le pour 5060 arrivant sur l’interface enp0s9 vers la
machine 169.18.0.1
# iptables -t nat -A PREROUTING -i enp0s9 -p udp --dport 5060 -j DNAT --to-destination
169.18.0.1:5060

En claire :

Test de bon fonctionnement

• Connexion du compte 1000

• Connexion du compte 1001
 • Communication entre les deux clients

• Réaction du serveur

Comme nous l’avons constaté, les connexions arrivent sur l’interface externe du firewall qui sont
ensuite redirigées vers le serveur adéquat. C’est ça le port forwarding.
 Les VPN
La principe consiste à utiliser Internet comme support de transmission en utilisant un protocole de
« tunnellisation » , c’est à dire encapsulation les données à transmettre de façon chiffrée. On parle
alors de VPN pour désigner le réseau ainsi artificiellement crée. Ce réseau est dit virtuel car il relie
deux réseaux (physique, réseaux locaux) par une liaison non fiable (internet), et privé car seuls les
ordinateurs des réseaux locaux de part et d’autre du VPN peuvent accéder aux données en clair.

Serveurs VPN

OpenVPN StrongsWan Wireguard

Caractéristiques
Création 2002
Technologie(s) C++ ; C C GO ; C
Créateur(s) James Yonan Andreas Steffen, Jason A. Donenfeld
Martin Willi, Tobias
Brunner
Niveau(x) d’opérabilité 2 et 3 3
Version actuelle 2.3.10 V5.9.0 0.0.20190913
OS compatibles Linux, Android, Android, Linux,
Windows, OS X, MacOS, Windows,...
IOS, ...
Performance Réduit le débit du Aucun effet sur le débit
réseau du réseau
Protocole de transport UDP
Algo cryptographique OpenSSl et SSL/TLS IKEv2 EAP (EAP-SIM, ChaCha20
EAP-AKA, EAP-TLS,
EAP-TTLS, EAP-
PEAP, EAP-
MSCHAPv2, etc.)
Nombre de lignes de 4000
code
Site Web www.openvpn.net www.strongswan.org www.wireguard.org
Clients Strongswan vpn client,

Les VPN
Mise en place d’une implémentation IPsec qui est StrongsWan.
Avant de mettre en place le routeur et de faire sa configuration IP, il faut tout d’abord utiliser le
cloud pour installer les paquets nécessaires sur nos machines strongs. Les paquets à installer sont
les suivants :
# apt install strongswan strongswan-pki libcharon-extra-plugins libstrongswan-extra-plugins
vim net-tools iputils-ping -y
Puisque nous avons fini avec l’installation des paquets, il faudra retirer le cloud afin de mettre en
place notre architecture nécessaire à la mise en place du VPN.
1. Configuration IP du routeur
 Interface f0/0
R1(config)# int f0/0
!
R1(config-if)# ip add 192.168.0.254 255.255.255.0
!
R1(config-if)# no sh
!
R1(config-if)# exit
R1(config)#

 Interface f0/1
R1(config)# int f0/1
!
R1(config-if)# ip add 192.168.2.254 255.255.255.0
!
Routeur(config-if)# no sh
!
R1(config-if)# exit
R1(config)#

2. Pour chaque machine donner les éléments TCP/IP sur les interfaces externes. Faire de même
pour les interfaces internes du réseau privé.
Voici les éléments de Strongs1

Pour strong2

Tracer une route statique de part et d’autre sur les Strongs

Pour le Strong1
pour le Strongs2

3. Activer le routage sur chaque Strongs

Pour permettre à une machine Linux d’autoriser le transfert des datagrammes IP d’une de
ses interfaces à une autre de ses interfaces, il faut éditer le fichier /etc/sysctl.conf et mettre
le paramètre : net.ipv4.ip_forward à 1 et en suite le dé-commenter.
Pour le Strongs-1

Faire la même chose pour le Strongs-2

4. Test de connectivité
Les deux serveurs se voient, c’est bien.
4. Configuration du Strongs-1
Il faudra éditer le fichier /etc/ipsec.conf
# Add connections here.

# Sample VPN connections

conn Strongs1-to-Strongs2
left=10.10.10.2
leftsubnet=192.168.2.0/24
right=10.10.10.6
rightsubnet=192.168.3.0/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2-256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=clear
authby=secret
auto=start
keyexchange=ikev2
type=tunnel

Il faudra ensuite éditer le fichier /etc/ipsec.secrets pour renseigner la clé partagée comme sur la
figure ci-dessous :

.Redémarrer le service
/etc/init.d/ipsec start
Dans les environnements qui ne sont pas de machines dockers, il faudra redémarrer le service
comme suit :
# service strongswan restart

Pour le Strong2
# Add connections here.

# Sample VPN connections

conn Strongs1-to-Strongs2
left=10.10.10.6
leftsubnet=192.168.3.0/24
right=10.10.10.2
rightsubnet=192.168.2.0/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2-256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=clear
authby=secret
auto=start
keyexchange=ikev2
type=tunnel

Le fichier …
Vérification de l’établissement du tunnel

cas…
Activer le routage sur le strong afin qu’il fasse transiter les paquets. Ça se passe dans
/etc/sysctl.conf

Configuration réseau des interfaces de la machine.

Ça se passe dans le fichier …
Dons l’interface du strong directement connectée au réseau du serveur Asterisk a comme adresse IP
172.16.0.254
Résultat :

Pour que le client Windows se connecte, il faudra mettre en place un serveurs DNS pour une
résolution d’adresses. Les paquets bind9 etbind9utils seront dons installés sur le strongs.
# apt install bind9 bind9utils

Nous allons passer à la configuration du DNS

Mettre le strong comme client de son propre domaine. Ça se passe dans …

Installation de strongwan
# sudo apt-get install strongswan strongswan-pki libcharon- extra-plugins libstrongswan-extra-
plugins

L’installation étant terminée, on passe à la génération du certificat de l’autorité et celui du serveurs :

. Génération d’une clé :
# ipsec pki --gen --outform pem > /etc/ipsec.d/private/ca.pem
# chmod 600 /etc/ipsec.d/private/ca.pem

.génération de certificat de l’autorité avec la commande suivante :

ipsec pki --self --ca --lifetime 3650 –in /etc/ipsec.d/private/ca.pem --dn "C=SN, O=Ec2lt,
CN=vpn.ec2lt.sn" --outform pem > /etc/ipsec.d/cacerts/ca.pem

Après avoir créé le certificat de l’autorité on va générer une clé et un certificat pour serveur avec les
commandes ci-après :

. génération d’une clé pour serveur

# ipsec pki --gen --outform pem > /etc/ipsec.d/private/serverKey.pem
# chmod 600 /etc/ipsec.d/private/serverKey.pem

. génération d’un certificat pour serveur

# ipsec pki --pub --in /etc/ipsec.d/private/serverKey.pem | ipsec pki --issue --lifetime 3650 --cacert
etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –san vpn.ecole.sn --flag –dn "C=SN,
serverAuth O=Ecole, CN=vpn.ecole.sn" --flag ikeIntermediate --outform pem >
/etc/ipsec.d/certs/serverCert.pem

2. Configuration du serveur VPN

Pour configurer strongswan comme serveur VPN on édite le fichier /etc/ipsec.conf et on
renseigne les lignes suivantes comme le montre la figure ci-après :
 . Ensuite on édite /etc/ipsec.secrets pour renseigner la clé du serveur et les différentes
paramètres de connexion pour les utilisateurs à savoir un login et un mot de passe comme le montre
la figure ci-dessous :
éditer le fichier /etc/ipsec.secrets et y mettre ceci :

Redémarrer le strongswan
# service strongwan restart

6. Configuration d’un client Linux

Pour configurer une machine Linux comme client il suffit d’installer le paquet suivante avec
la commande suivante :
# sudo apt-get install network-manager-strongswan

Depuis le strongs, nous allons copier le certificat de l’autorité sur la machine cliente comme
suit :
Adapter le DNS de la machine cliente comme suit :

Test du DNS

Configuration de la connexion VPN

Pour cela, il faudra cliquer sur l’icône réseau, puis cliquer sur le signe + pour ajouter comme le
montre la figure ci-après :
Renseigner les paramètres suivants :
Cliquer sur Ajouter pour avoir la figure suivante :

Si les choses se passent bien, nous aurons ceci :

Voici la réaction du strong

Configuration d’un client Windows

Pour configurer le client Windows il suffit d’installer le certificat de l’autorité pour se faire on doit
copier le certificat et le renommer en ca.crt comme le montre les figures ci-dessous :
Nous obtiendrons l’onglet suivant. Nous cliquerons sur OUI comme suit :
Cliquer sur fichier et sélectionner ajouter/supprimer un composant logiciel enfichable comme
suit :
Double clique sur Certificats comme suit :
Sélectionner un compte d’ordinateur comme suit :
Affaire à suivre…………………………..

TP Suivant : VPN site à site en environnement CISCO

L’interconnexion de deux sites d’une entreprise par la liaison spécialisée à présenter un
certain nombre de limites liées au coût qui est très élevés, mais le débit est garantis. Ainsi, la
liaison entre deux sites d’une entreprise passant par internet est trop vulnérable aux attaques
des pirates. C’est-à-dire les données transitant par l’internet sont trop exposées aux attaques
de n’importe quel genre. Cela constitue un risque pour les entreprises.
Pour pallier à cela, il faudrait mettre en place un tunnel VPN permettant à ces deux sites
d'échanger des données sans courir trop de risque ; d' où le VPN SITE TO SITE.
Architecture

Configuration IP des routeurs

. Configuration du routeur R3
int f0/0
ip add 172.16.0.1 255.255.0.0
no sh
exit

int f0/1
ip add 174.17.0.1 255.255.0.0
no sh
exit
Au niveau de R3, pas grands choses à faire, juste la configuration IP des interfaces.
.Configuration de R4

crypto isakmp policy 10

encr 3des
hash md5
authentication preshare
group 5
lifetime 3600
crypto isakmp key passer123 address 174.17.0.2
!
crypto ipsec securityassociation lifetime seconds 1800
!
crypto ipsec transformset 50 esp3des espmd5hmac
!
crypto map monmap 10 ipsecisakmp
set peer 174.17.0.2
set securityassociation lifetime seconds 900
set transformset 50
match address 101
!
exit
int fastEthernet 0/0
ip add 172.16.0.2 255.255.0.0
crypto map monmap
!
int f0/1
ip add 192.168.2.254 255.255.255.0
no sh
!
ip route 0.0.0.0 0.0.0.0 172.16.0.1
!
accesslist 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
end

. Configuration de R5
!
crypto isakmp policy 10
encr 3des
hash md5
authentication preshare
group 5
lifetime 3600
crypto isakmp key passer123 address 172.16.0.2
!
crypto ipsec securityassociation lifetime seconds 1800
!
crypto ipsec transformset 50 esp3des espmd5hmac
!
crypto map monmap 10 ipsecisakmp
set peer 172.16.0.2
set securityassociation lifetime seconds 900
set transformset 50
match address 101
!
interface Serial1/0
ip address 174.17.0.2 255.255.0.0
crypto map monmap
!
interface FastEthernet 0/0
ip address 192.168.3.254 255.255.255.0
ip route 0.0.0.0 0.0.0.0 174.17.0.1
!
 accesslist 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
end

Test de bon fonctionnement