ROUTEUR - Tunnel IPSec entre 2 routeurs

On entend souvent qu'il est difficile de faire du VPN IPSec entre 2 routeurs. Bon, c'est en partie vrai mais pas tant que ça.

Voici un exemple concret d'une topologie VPN fonctionnel.

N'oubliez pas de faire attention à la sécurité si vous souhaitez vous en inspirer.

 

VPN-IpSec-schema.png

Les routeurs Maxime et Jean-Clément vont être configuré pour faire du VPN entre eux, le routeur Stéphane simule un FAI.

 

Configuration des interfaces

R-Maxime

hostname Maxime
interface g0/0
ip add 70.0.0.1 255.255.255.252
no shut
interface g0/1
ip add 192.168.6.254 255.255.255.0
no shut
exit

R-Jean-Clément

hostname JC
interface g0/0
ip add 60.0.0.2 255.255.255.252
no shut
interface g0/1
ip add 192.168.5.254 255.255.255.0
no shut
exit

R-Stéphane

hostname Stephane
interface fa0/0
ip address 60.0.0.1 255.255.255.252
no shut
interface fa0/1
ip address 70.0.0.2 255.255.255.252
no shut

 

Configuration des routes

Une route par défaut pour les routeurs Maxime et Jean-Clément et 2 routes pour le routeur Stéphane

R-Maxime

ip route 0.0.0.0 0.0.0.0 g0/0

R-Jean-Clément

ip route 0.0.0.0 0.0.0.0 g0/0

R-Stéphane

ip route 192.168.5.0 255.255.255.0 fa0/0
ip route 192.168.6.0 255.255.255.0 fa0/1

 

Configuration VPN

R-Maxime

crypto isakmp policy 10
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key schtroumph address 60.0.0.2 255.255.255.252

crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac
exit
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
crypto map babar 12 ipsec-isakmp
set peer 60.0.0.2
set transform-set schtroumph
match address 101
exit
interface g0/0
crypto map babar
exit

R-Jean-Clément

crypto isakmp policy 10
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key schtroumph address 70.0.0.1 255.255.255.252

crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac
exit
access-list 101 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
crypto map babar 12 ipsec-isakmp
set peer 70.0.0.1
set transform-set schtroumph
match address 101
exit
interface g0/0
crypto map babar
exit

Il faut peut être quelques explications.

Configuration du ISAKMP (IKE)

  • crypto isakmp policy X permet d'initier une règle de connexion avec un autre routeur. Le X peut être ce que vous voulez comme nombre.
  • Ensuite, on configure le type de hash (faite ? après hash pour connaitre les options). Ici ce sera en md5
  • authentication pre-share permet d'indiquer l'utilisation d'un mot de passe partagé entre les 2 routeur pour l'initialisation de la connexion.
  • group 2 C'est le type de groupe pour Diffie-Hellman.

    Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d'échange de clés. Les groupes portant un numéro supérieur sont plus sûrs, mais il faut plus de temps pour créer la clé.

     

    • Groupe Diffie-Hellman 1 : groupe 768 bits
    • Groupe Diffie-Hellman 2 : groupe 1024 bits
    • Groupe Diffie-Hellman 5 : groupe 1536 bits
    • Groupe Diffie-Hellman 14 : groupe 2 048 bits
    • Groupe Diffie-Hellman 15 : groupe 3 072 bits
    • Groupe Diffie-Hellman 19 : groupe de courbe elliptique 256 bits
    • Groupe Diffie-Hellman 20 : groupe de courbe elliptique 384 bits

    Les deux pairs d'un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe Diffie-Hellman pendant la phase de création d'une connexion IPSec. Cette phase désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer.

    Attention à votre débit, si c'est en local (si si, c'est faisable dans certains cas), choisissez ce que vous voulez, si c'est distant et faible en débit, attention à la taille de la clef !
  • lifetime 7200 Durée de vie de la clé de session
  • crypto isakmp key schtroumph address 70.0.0.1 C'est LA commande qui définit le mot de passe et l'adresse PUBLIC du routeur destinataire.

Configuration et Application de l'IPSec

  • access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255 Création d'une ACL permettant au réseau de Maxime d'atteindre le réseau LAN de Jean-Clément
  • crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac Création d'une transformation IPSec et utilisation du mot de passe définit avant et de la méthode de chiffrement. Il y a plusieurs choix pour la méthode de chiffrement et son option. Pensez à utiliser le ?
  • crypto map babar X ipsec-isakmp
    set peer 70.0.0.1
    set transform-set schtroumph
    match address 101 Ces commandes permettent la création de la Crypto Map (et son nom babar) et de définir le destinataire de ce VPN, le mot de passe d'initialisation de connexion et l'ACL à utiliser.
  • interface g0/0
    crypto map babar Maintenant, on applique la Crypto Map (via son nom) à l'interface de sortie WAN du routeur.

Il est possible d'avoir plusieurs map à appliquer en fonction du nombre de site que vous souhaitez interconnecter.

 

La condition de fonctionnement est l'utilisation des mêmes options et mots de passe sur le routeur distant.

Et normalement, ça ping :)

Vous voyez, c'est pas trop difficile.