 HOME

 NOS COURS
 NOS VIDEOS
 INFORMEZ-VOUS
 DEVENEZ INSTRUCTEUR


 LOGIN


 ACCUEIL
 CISCO
 CONFIGURATION TUNNEL IPSEC SITE TO SITE VPN AVEC LES ROUTERS CISCO

CONFIGURATION TUNNEL IPSEC SITE

TO SITE VPN AVEC LES ROUTERS
CISCO

Les tunnels VPN IPSec de site à site sont utilisés pour permettre la transmission sécurisée de
données, de voix et de vidéo entre deux sites (par exemple des bureaux ou des succursales). Le
tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un certain nombre
d’algorithmes de cryptage avancés pour assurer la confidentialité des données transmises entre
les deux sites.
Cet article montre comment configurer deux routeurs Cisco pour créer un tunnel VPN permanent
de site à site sécurisé sur Internet, en utilisant le protocole IP Security (IPSec). Dans cet article,
nous supposons que les deux routeurs Cisco ont une adresse IP publique statique. Les lecteurs
intéressés par la configuration de la prise en charge des routeurs d’adresse IP publics
dynamiques peuvent consulter notre article Configurer le site sur le site VPN IPSec avec l’article
sur les routeurs Cisco IP.
Les tunnels VPN IPSec peuvent également être configurés à l’aide de tunnels GRE (Generic
Routing Encapsulation) avec IPsec. Les tunnels GRE simplifient considérablement la
configuration et l’administration des tunnels VPN.
ISAKMP (Internet Security Association et Key Management Protocol) et IPSec sont essentiels à
la construction et au chiffrement du tunnel VPN. ISAKMP, également appelé IKE (Internet Key
Exchange), est le protocole de négociation qui permet à deux hôtes de s’accorder sur la manière
de construire une association de sécurité IPsec. La négociation ISAKMP se compose de deux
phases: Phase 1 et Phase 2.
La phase 1 crée le premier tunnel qui protège les messages de négociation ISAKMP ultérieurs.
La phase 2 crée le tunnel qui protège les données. IPSec entre alors en jeu pour crypter les
données en utilisant des algorithmes de cryptage et fournit des services d’authentification, de
cryptage et d’anti-répétition.
EXIGENCES VPN IPSEC
Pour faciliter ce processus, nous l’avons divisé en deux étapes nécessaires pour que le tunnel
VPN IPSec de site à site fonctionne.
Ces étapes sont:
(1) Configurer ISAKMP (ISAKMP Phase 1)
(2) Configurer IPSec (ISAKMP Phase 2, ACL, Crypto MAP)
Notre exemple de configuration se situe entre deux branches d’une petite entreprise, à savoir le
site 1 et le site 2. Les deux routeurs se connectent à Internet et ont une adresse IP statique
attribuée par leur FAI, comme indiqué sur le schéma:

Le site 1 est configuré avec un réseau interne de [Link]/24, tandis que le site 2 est configuré
avec le réseau [Link]/24. L’objectif est de connecter en toute sécurité les deux réseaux LAN
et permettre une communication complète entre eux, sans aucune restriction.
CONFIGURER ISAKMP (IKE) – (ISAKMP PHASE 1)
IKE n’existe que pour établir des SA (Security Association) pour IPsec. Avant cela, IKE doit
négocier une relation SA (ISAKMP SA) avec le pair.
Pour commencer, nous allons commencer à travailler sur le routeur Site 1 (R1).
La première étape consiste à configurer une stratégie ISAKMP Phase 1
R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400
Les commandes ci-dessus définissent les éléments suivants (dans l’ordre indiqué):
3DES – La méthode de cryptage à utiliser pour la Phase 1.
MD5 – L’algorithme de hachage
Pré-partage – Utiliser la clé pré-partagée comme méthode d’authentification
Groupe 2 – Groupe Diffie-Hellman à utiliser
86400 – Durée de vie de la clé de session. Exprimé en kilo-octets (après x-quantité de trafic,
changer la clé) ou en secondes. La valeur définie est la valeur par défaut.
Nous devrions noter que la politique ISAKMP Phase 1 est définie globalement. Cela signifie que
si nous avons cinq sites distants différents et configuré cinq politiques ISAKMP Phase 1
différentes (une pour chaque routeur distant), lorsque notre routeur tente de négocier un tunnel
VPN avec chaque site, il enverra les cinq politiques et utilisera la première correspondance est
accepté par les deux extrémités.
Ensuite, nous allons définir une clé pré-partagée pour l’authentification avec notre homologue
(routeur R2) en utilisant la commande suivante:
R1(config)# crypto isakmp key firsttech address [Link]
La clé pré-partagée de l’homologue est définie sur firsttech et son adresse IP publique est
[Link]. Chaque fois que R1 essaie d’établir un tunnel VPN avec R2 ([Link]), cette clé pré-
partagée sera utilisée.
CONFIGURE IPSEC
Pour configurer IPSec, nous devons configurer les éléments suivants dans l’ordre:
– Créer une liste de contrôle d’accès étendue
– Créer une transformation IPSec
– Créer un Crypto Map
– Appliquer la carte cryptographique à l’interface publique
Laissez-nous examiner chacune des étapes ci-dessus.
CRÉATION D’ACL ÉTENDUE
L’étape suivante consiste à créer une liste d’accès et à définir le trafic que nous aimerions que le
routeur traverse le tunnel VPN. Dans cet exemple, il s’agirait du trafic d’un réseau à l’autre,
[Link]/24 à [Link]/24. Les listes d’accès qui définissent le trafic VPN sont parfois
appelées liste d’accès crypto ou liste d’accès au trafic intéressante.
R1(config)# ip access-list extended VPN-TRAFFIC
R1(config-ext-nacl)# permit ip [Link] [Link] [Link] [Link]
REER IPSEC TRANSFORM (POLITIQUE ISAKMP PHASE 2)
La prochaine étape consiste à créer l’ensemble de transformation utilisé pour protéger nos
données. Nous avons nommé ce TS:
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
La commande ci-dessus définit les éléments suivants:
– ESP-3DES – Méthode de cryptage
– MD5 – Algorithme de hachage
CRÉER UN CRYPTO MAP
Le crypto MAP est la dernière étape de notre configuration et connecte la configuration ISAKMP
et IPSec précédemment définie ensemble:
R1(config)# crypto map CMAP 10 ipsec-isakmp
R1(config-crypto-map)# set peer [Link]
R1(config-crypto-map)# set transform-set TS
R1(config-crypto-map)# match address VPN-TRAFFIC

Nous avons nommé notre crypto Map CMAP. La balise ipsec-isakmp indique au routeur que
cette carte cryptographique est une carte crypto IPsec. Bien qu’il n’y ait qu’un seul pair déclaré
dans cette carte de chiffrement ([Link]), il est possible d’avoir plusieurs homologues dans une
carte de chiffrement donnée.

APPLICATION DE CRYPTO MAP À L’INTERFACE PUBLIQUE

La dernière étape consiste à appliquer la carte de chiffrement à l’interface sortante du routeur. Ici,
l’interface sortante est FastEthernet 0/1.

R1(config)# interface FastEthernet0/1

R1(config- if)# crypto map CMAP

Notez que vous ne pouvez affecter qu’un seul crypto map à une interface.
Dès que nous appliquons crypto map sur l’interface, nous recevons un message du routeur qui
confirme que isakmp est activé: « ISAKMP is ON ».
À ce stade, nous avons terminé la configuration VPN IPSec sur le routeur Site 1.
Nous passons maintenant au routeur Site 2 pour compléter la configuration VPN. Les paramètres
du routeur 2 sont identiques, la seule différence étant les adresses IP homologues et les listes
d’accès:
R2(config)# crypto isakmp policy 1
R2(config-isakmp)# encr 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key firsttech address [Link]
R2(config)# ip access-list extended VPN-TRAFFIC
R2(config-ext-nacl)# permit ip [Link] [Link] [Link] [Link]
R2(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R2(config)# crypto map CMAP 10 ipsec-isakmp
R2(config-crypto-map)# set peer [Link]
R2(config-crypto-map)# set transform-set TS
R2(config-crypto-map)# match address VPN-TRAFFIC
R2(config)# interface FastEthernet0/1
R2(config- if)# crypto map CMAP

TRADUCTION D’ADRESSE DE RESEAU (NAT) ET TUNNELS VPN IPSEC

La traduction d’adresses réseau (NAT) est la plus susceptible d’être configurée pour fournir un
accès Internet aux hôtes internes. Lors de la configuration d’un tunnel VPN de site à site, il est
impératif de demander au routeur de ne pas effectuer de NAT (refus de NAT) sur les paquets
destinés au (x) réseau (x) VPN distant (s).
Cela est facilement fait en insérant une instruction deny au début des listes d’accès NAT comme
indiqué ci-dessous:
Pour le routeur du site 1:
R1(config)# ip nat inside source list 100 interface fastethernet0/1 overload
R1(config)# /* access-list 100 [ A vous de définir le service dans le NAT ]=- * /
R1(config)# access-list 100 deny ip [Link] [Link] [Link] [Link]
R1(config)# access-list 100 permit ip [Link] [Link] any
R1(config)# access-list 100 remark

Et le routeur du site 2:

R2(config)# ip nat inside source list 100 interface fastethernet0/1 overload

R2(config)# /* access-list 100 [ A vous de définir le service dans le NAT ]=- * /
R2(config)# access-list 100 deny ip [Link] [Link] [Link] [Link]
R2(config)# access-list 100 permit ip [Link] [Link] any
R2(config)# access-list 100 remark

RÉALISER ET VÉRIFIER LE TUNNEL VPN

À ce stade, nous avons terminé notre configuration et le tunnel VPN est prêt à être mis en place.
Pour lancer le tunnel VPN, nous devons forcer un paquet à traverser le VPN et cela peut être
réalisé en envoyant un ping d’un routeur à un autre:

R1# ping [Link] source fastethernet0/0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to [Link], timeout is 2 seconds:
Packet sent with a source address of [Link]
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 44/47/48 ms
 Le premier ping a reçu un timeout, mais le reste a reçu une réponse, comme prévu. Le temps
nécessaire pour faire apparaître le tunnel VPN est parfois légèrement supérieur à 2 secondes,
provoquant le premier ping à la temporisation.
Pour vérifier le tunnel VPN, utilisez la commande show crypto session:
R1# show crypto session
Crypto session current status
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: [Link] port 500
IKE SA: local [Link]/500 remote [Link]/500 Active
IPSEC FLOW: permit ip [Link]/[Link] [Link]/[Link]
Active SAs: 2, origin: crypto map







Noter (15 Votes)

4 MAI 2018

 VPN

POSTS | FORMATIONS
PHAREL MAYIMBI
Un expert réseau en sécurité. Certifié Cisco Expert CCIE #47610. Il a une maîtrise de plusieurs
équipements et pratiques de sécurité tels que Cisco ASA, pare-feu de Checkpoint, Palo Alto,
Cyber Roam, VMware, Microsoft etc. Un niveau expert dans Routing & Switching, Data Center,
Sécurité, Microsoft et Virtualisation VMWARE. Toujours intéressé à avoir des nouvelles d'amis,
de gestionnaires ou tout simplement gens créatifs intéressants, alors n'hésitez pas à me
contacter si vous souhaitez vous connecter.
WEBSITE : HTTP://[Link]

10 RESPONSES ON "CONFIGURATION TUNNEL IPSEC SITE TO SITE

VPN AVEC LES ROUTERS CISCO"
1.

OLIVIER4 MAI 2018 AT 17 H 04 MINRÉPONDRE

Merci pour ce petit tutoriel, juste que la restriction de la traduction NaT ma Impe échapper merci
10
Rate this

PHAREL MAYIMBI4 MAI 2018 AT 18 H 17 MINRÉPONDRE

Salut Olivier,
R1(config)# /* access-list 100 [ A vous de définir le service dans le NAT
]=- * /
Cette première ligne c’est juste pour expliquer qu’on a pas explicité le
service dans
notre ACCESS-LIST
30
Rate this

2.

RODRIGUE MVUANGU5 MAI 2018 AT 9 H 27 MINRÉPONDRE

Merci Firsttech pour cette nouvel leçon

00
Rate this
 o

PHAREL MAYIMBI11 SEPTEMBRE 2019 AT 15 H 29 MINRÉPONDRE

Je vous en prie
00
Rate this

3.

OUMAR23 JANVIER 2019 AT 18 H 55 MINRÉPONDRE

Merci pour cet tuto très claire, j’aimerai recevoir vos cours sur switching routing ASA
00
Rate this

4.

FRANCOIS DESARMES13 FÉVRIER 2019 AT 11 H 26 MINRÉPONDRE

Bonjour Pharel,
Pourriez vous faire aussi un billet pour un VPN Serveur.
Je m’explique: un VPN créé depuis un site A et des clients nomades qui accédent au differentes
ressource du site A.
D’abord est ce possible et comment le mettre en oeuvre pour une PME.
Merci.
00
Rate this
 o

PHAREL MAYIMBI11 SEPTEMBRE 2019 AT 15 H 33 MINRÉPONDRE

Salut François,
en effet, parfois tu as des clients qui ne sont pas toujours fixes.
C’est VPN s’appelle remote access VPN.
Il y’en a plusieurs model.
Tu veux que je fasse lequel.
00
Rate this

5.

URSIN25 AVRIL 2019 AT 14 H 08 MINRÉPONDRE

bonjour fisrttech j’ai un petit souci avec l’activation su protocole isakmp qui ne passe pas sur le
routeur cisco,comment faire svp besoins d’aide
00
Rate this

PHAREL MAYIMBI11 SEPTEMBRE 2019 AT 15 H 30 MINRÉPONDRE

Salut,
Tu peux partager les configurations ?
00
Rate this
6.

FREDERIC11 SEPTEMBRE 2019 AT 15 H 12 MINRÉPONDRE

Slt Pharel.
vraiment bon travail.
je suis frederic et je serais ravi de travailler avec toi souvent.
00
Rate this
LEAVE A MESSAGE
VOTRE ADRESSE DE MESSAGERIE NE SERA PAS PUBLIÉE. Les champs obligatoires sont indiqués
avec *

Laisser un commentaire

Rechercher

ARTICLES RÉCENTS

 CONFIGURATION TUNNEL IPSEC SITE TO SITE VPN AVEC LES ROUTERS CISCO

 Une porte dérobée découverte dans Skype permet de pirater tout ce que Skype peut offrir pour Mac
OS X

 Coexistence IPv4-IPv6 : Tunnel dynamique 6-to-4

ARCHIVES
 mai 2018

 février 2018

CATÉGORIES

 Cisco

 Routage Réseau

 Sécurité

SUIVEZ-NOUS SUR FACEBOOK

NOTRE MISSION
First Tech Académie a pour mission de former des excellents ingénieurs informaticiens capables
de mieux se défendre dans le milieu professionnel.

NOS RÉCENTS ARTICLES

 CONFIGURATION TUNNEL IPSEC SITE TO SITE VPN AVEC LES ROUTERS CISCO
 Une porte dérobée découverte dans Skype permet de pirater tout ce que Skype peut offrir pour Mac
OS X
 Coexistence IPv4-IPv6 : Tunnel dynamique 6-to-4

ABONNEZ-VOUS

Soumettre

SUIVEZ-NOUS SUR LES MÉDIAS SOCIAUX

 Facebook
 WhatsApp
 LinkedIn

TOP

DESIGN BY © FIRST TECH. ALL RIGHTS RESERVED.

 HOME
 BLOG
 CONTACT US