Scribd
Importer
40 vues18 pages

Guide de Configuration VPN détaillé

Le document décrit la configuration d'un VPN de type remote access sur un routeur Cisco. Il explique les étapes de configuration requises incluant la création d'une liste d'accès, d'une politique IKE, d'un pool d'adresses, d'un groupe client et d'une carte crypto pour activer le VPN.

Transféré par

pifovo3874
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
40 vues18 pages

Guide de Configuration VPN détaillé

Le document décrit la configuration d'un VPN de type remote access sur un routeur Cisco. Il explique les étapes de configuration requises incluant la création d'une liste d'accès, d'une politique IKE, d'un pool d'adresses, d'un groupe client et d'une carte crypto pour activer le VPN.

Transféré par

pifovo3874
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

VPN - Réseaux privés virtuels

Redsup - Driouech Mohamed Farid


Définition

Le VPN est une technique permettant à un ou plusieurs postes distants de communiquer de manière sûre,
tout en empruntant les infrastructures publiques. Ce type de liaison est apparu suite à un besoin
croissant des entreprises de relier les différents sites
Principe de fonctionnement

Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire
circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel

Le principe consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par
la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel
Types de VPN

Site to Site VPN

Permet de relier plusieurs sites distants au sein d'une entreprise.

Mise en œuvre avec des tunnels de niveau 3.

Garantie une authentification au niveau paquet


Types de VPN
Remote access VPN

Permet à des utilisateurs itinérants d'accéder au réseau privé.

L'établissement de la connexion VPN se fait via une connexion Internet.

La connexion est établie entre le client (client vpn) le serveur VPN distant.
Configuration VPN - Remote access

1. Liste d'accès IP étendue (ACL) :

ip access-list extended VPN-ACL

permit ip 172.16.10.0 0.0.0.255 any

exit

ip access-list extended VPN-ACL : Crée une liste d'accès nommée "VPN-ACL" de type étendue.

permit ip 172.16.10.0 0.0.0.255 any : Autorise le trafic IP de tout hôte dans le sous-réseau 172.16.10.0/24 vers
n'importe quelle destination.

exit : Quitte la configuration de la liste d'accès.


Configuration VPN - Remote access

2. Politique d'échange de clés Internet (IKE) :

crypto isakmp policy 10


encryption aes
hash sha
authentication pre-share
group 2
exit
crypto isakmp policy 10 : Crée une politique IKE avec une priorité de 10.
Configuration VPN - Remote access

encryption aes : Utilise AES (Advanced Encryption Standard) pour le chiffrement.

hash sha : Utilise SHA (Secure Hash Algorithm) pour l'authentification de hachage.

authentication pre-share : Utilise une clé pré-partagée pour l'authentification.

group 2 : Utilise le groupe Diffie-Hellman 2 pour l'échange de clés, ce qui implique des clés de 1024 bits.

exit : Quitte la configuration de la politique IKE.


Configuration VPN - Remote access

3. Méthode d'authentification et utilisateur

aaa new-model

aaa authentication login USERS local

aaa authorization network USER-LIST local

username farid password test

aaa new-model : Active le modèle AAA (Authentication, Authorization, and Accounting).

aaa authentication login USERS local : Configure une méthode d'authentification nommée "USERS"
utilisant une base locale.
Configuration VPN - Remote access

aaa authorization network USER-LIST local : Configure une méthode d'autorisation nommée
"USER-LIST" utilisant une base locale.

username farid password test : Crée un utilisateur nommé "farid" avec le mot de passe "test".

4. Pool d'adresses IP pour VPN

ip local pool VPN-POOL 10.10.10.10 10.10.10.100

ip local pool VPN-POOL 10.10.10.10 10.10.10.100 : Définit un pool d'adresses IP locales nommé
"VPN-POOL" avec une plage allant de 10.10.10.10 à 10.10.10.100.
Configuration VPN - Remote access

5. Création d'un groupe VPN et clé

crypto isakmp client configuration group VPN-CLIENT

key vpn123

netmask 255.255.255.0

pool VPN-POOL

acl VPN-ACL

dns 8.8.8.8

max-users 10

exit
Configuration VPN - Remote access

crypto isakmp client configuration group VPN-CLIENT : Crée un groupe de configuration client VPN nommé
"VPN-CLIENT".

key vpn123 : Définit la clé pré-partagée pour le groupe comme "vpn123".

netmask 255.255.255.0 : Définit le masque de sous-réseau pour les clients VPN.

pool VPN-POOL : Associe le pool d'adresses IP "VPN-POOL" au groupe.

acl VPN-ACL : Applique la liste d'accès "VPN-ACL" au groupe.

dns 8.8.8.8 : Définit le serveur DNS pour les clients VPN.

max-users 10 : Limite le nombre maximal d'utilisateurs à 10.

exit : Quitte la configuration du groupe client.


Configuration VPN - Remote access

6. Assignation d'un ensemble de transformation VPN

crypto ipsec transform-set VPN-TRANS esp-aes esp-sha-hmac

exit

crypto dynamic-map VPN-MAP 10

set transform-set VPN-TRANS

reverse-route

exit

En Cisco VPN, un crypto IPsec transform-set est une configuration qui définit comment le trafic sera chiffré et
authentifié lorsqu'il traverse un tunnel VPN IPsec
Configuration VPN - Remote access

Une crypto map (carte de cryptographie) sur un appareil Cisco est une configuration qui lie plusieurs
paramètres de sécurité et politiques à des interfaces pour établir des tunnels VPN IPsec.

Une crypto dynamic-map est une variation de la crypto map standard, utilisée principalement pour les
configurations de VPN où les pairs (endpoints) ne sont pas connus à l'avance ou changent fréquemment

Le concept de reverse route injection (RRI) dans le contexte des crypto dynamic-maps sur les appareils
Cisco est une fonctionnalité qui permet d'ajouter dynamiquement des routes à la table de routage
lorsqu'un tunnel VPN est établi. Cela est particulièrement utile dans des configurations où les pairs VPN
ont des adresses IP dynamiques
Configuration VPN - Remote access

7. Création de la carte VPN

crypto isakmp enable

crypto map VPN-MAP client authentication list USERS

crypto map VPN-MAP isakmp authorization list USER-LIST

crypto map VPN-MAP client configuration address respond

crypto map VPN-MAP 10 ipsec-isakmp dynamic VPN-MAP


Configuration VPN - Remote access

crypto isakmp enable : Active ISAKMP (Internet Security Association and Key Management Protocol).

crypto map VPN-MAP client authentication list USERS : Associe la liste d'authentification "USERS" à la
carte VPN.

crypto map VPN-MAP isakmp authorization list USER-LIST : Associe la liste d'autorisation "USER-LIST"
à la carte VPN.

crypto map VPN-MAP client configuration address respond : Configure la carte VPN pour répondre aux
demandes d'adresses IP des clients.

crypto map VPN-MAP 10 ipsec-isakmp dynamic VPN-MAP : Associe la carte dynamique "VPN-MAP" à
la carte VPN avec une priorité de 10.
Configuration VPN - Remote access

8. Activation du VPN pour l'interface externe

interface ethernet 0/0

crypto map VPN-MAP

interface ethernet 0/0 : Accède à l'interface Ethernet 0/0.

crypto map VPN-MAP : Applique la carte VPN "VPN-MAP" à cette interface, activant ainsi le VPN sur cette
interface.
Lab - Topologie

Vous aimerez peut-être aussi