VPN Site À Site
VPN Site À Site
VPN Site À Site
Exemple: nous avons un réseau LAN en RD Congo et un réseau LAN au Burundi que nous
devons interconnecter. A moins de tirer une fibre optique entre les 2 pays (RD Congo et
Burundi) ce qui est couteux et complexe xD, le seul moyen de les raccorder est de passer par
internet. Pour cela il nous faut créer un lien sécurisé qu’on appelle un VPN
(Virtual Private Network)
Dans cet atelier nous allons voir comment configurer un lien VPN site à site.
Maquette vierge ici
Maquette complète ici
– Contexte de la maquette :
Les routeurs RD Congo et BURUNDI sont déjà configurés avec leurs IP. Le nat overload est
opérationnel. Les postes clients peuvent accéder à internet sur l’ip 8.8.8.8
A la première ouverture de la maquette, le premier ping vers 8.8.8.8 sera perdu. N’oubliez pas
Le problème que nous rencontrons est que les 2 Pays RD Congo et BURUNDI ne communiquent
pas entre-eux. Ce qui est normal à la base. Personne ne peut entrer sur un réseau distant qui
ne lui appartient pas. Le VPN permettra de répondre à ce besoin tout en sécurisant la
communication.
Si ce n’est pas le cas, activez le module avec la commande suivante, enregistrez votre
configuration et redémarrez votre routeur.
DRC>enable
DRC#conf t
DRC(config)#license boot module c2900 technology-package securityk9
DRC(config)#exit
DRC#copy run start
DRC#reload
################
Si vous refaites un show version, vous identifiez votre module activé en version d’évaluation.
Nous allons ensuite nous occuper des stratégies de chiffrement avec ISAKMP (Internet Security
Association and Key Management Protocol). Cette appliance fournis la sécurisation des paquets
qui seront acheminés d’un bout à l’autre.
DRC(config)#crypto isakmp policy 10
DRC(config-isakmp)# encryption aes
DRC(config-isakmp)# authentication pre-share
DRC(config-isakmp)# group 5
DRC(config-isakmp)#exit
Le cryptage AES est le chiffrement choisi pour l’échange. Les algorithmes DES et 3DES n’étant
plus considérés comme sûres, il est recommandé d’utiliser AES.
Cet algorithme nécessite une clé pré-partagée pour le chiffrement et le déchiffrement. C’est
pourquoi nous choisissons l’authentification pre-share.
Nous précisons ensuite la clé d’échange qui sera KEYVPN ainsi que la destination de l’hôte
distant
DRC(config)#crypto isakmp key KEYVPN address 83.0.0.1
WARNING : Nous éditons l’ACL du NAT déjà existante qui s’appelle LAN pour interdire la
translation d’adresse vers le LAN distant. De cette façon aucune adresse IP source à destination
de PARIS ne sera changée. Néanmoins si la destination est autre que PARIS, les adresses IP
sources seront translatées.
Par contre nous créons une autorisation du réseau d’ARRAS à communiquer avec le réseau de
PARIS avec l’ACL que l’on appellera VPN
LILLE(config)#ip access-list extended VPN
LILLE(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 192.168.10.0
0.0.0.255
Nous nous attaquons à présent à rassembler les différents éléments créés ci-dessus pour en
faire une cryptomap que l’on positionnera sur l’interface outside serial 0/0/0
LILLE(config)#crypto map VPNMAP 10 ipsec-isakmp
LILLE(config-crypto-map)# set peer 83.0.0.1
LILLE(config-crypto-map)# set transform-set CRYPSET
LILLE(config-crypto-map)# match address VPN
LILLE(config-crypto-map)#exit
LILLE(config)#interface serial 0/0/0
LILLE(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Création de la Cryptomap
PARIS(config)#crypto map VPNMAP 10 ipsec-isakmp
PARIS(config-crypto-map)# set peer 80.0.0.1
PARIS(config-crypto-map)# set transform-set CRYPSET
PARIS(config-crypto-map)# match address VPN
Attribution de la cryptomap sur l’interface outside
PARIS(config-ext-nacl)#interface serial 0/0/0
PARIS(config-if)#crypto map VPNMAP
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
PARIS(config-if)#
– TESTS ET VERIFICATION
Si votre configuration fonctionne du premier coup vous devriez avoir ceci si vous pingez
192.168.10.1à partir du 192.168.20.1
Afin de vérifier si les paquets envoyés sont cryptés et que les paquets reçus sont bien
décryptés, vous pouvez le vérifier avec la commande suivante :
Router#sh crypto ipsec sa
Les 2 sites sont fin prêt pour communiquer ensemble de façon sécurisée !!