Outils pour utilisateurs

Outils du site

Wiki Technique OpenIP - Tout savoir sur OpIOS 3.0


configurer_vpn_ipsec_ios

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

configurer_vpn_ipsec_ios [21/09/2017 14:32] (Version actuelle)
adm créée
Ligne 1: Ligne 1:
 +====== VPN IPSEC OpIOS 3.0 et Cisco IOS ======
 +
 +{{ ::​ipsec_ios_1.png |}}
 +
 +===== Configurer le routeur Cisco =====
 +
 +Tout d'​abord,​ configurez les paramètres de phase 1 avec une politique isakmp crypto. Ce qui suit définit pour 3DES, SHA et le groupe 2 pour correspondre à la configuration de l'​OpIOS 3.0 ci-après.
 +
 +<​code>​
 +crypto isakmp policy 10
 + encr 3des
 + ​authentication pre-share
 + group 2
 +</​code>​
 +
 +Ensuite, configurez la clé pré-partagée. La clé de cet exemple est ABCDEFG, mais assurez-vous d'​utiliser quelque chose d'​aléatoire et de sécurisé pour tout déploiement de production. l'IP utilisée 10.0.66.22 est l'IP WAN du routeur OpIOS.
 +
 +<​code>​
 +crypto isakmp key ABCDEFG address 10.0.66.22 no-xauth
 +</​code>​
 +
 +Ensuite, configurez les "​transform set" pour la phase 2. ils utilisent ESP, 3DES et SHA. Les "​transform set" s'​appelle 3DES-SHA, et il en sera fait référence ultérieurement.
 +
 +<​code>​
 +crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac
 +</​code>​
 +
 +Configurez maintenant une "​access list" qui correspondra aux sous-réseaux locaux et distants sur l'​OpIOS. Ceci est configuré comme access-list 100, qui sera utilisé à l'​étape suivante. Rappelez-vous que cela utilise des masques génériques,​ donc un réseau /24 (masque 255.255.255.0) est représenté par 0.0.0.255.
 +
 +<​code>​
 +access-list 100 permit ip 192.168.11.0 0.0.0.255 172.26.5.0 0.0.0.255
 +access-list 100 permit ip 172.26.5.0 0.0.0.255 192.168.11.0 0.0.0.255
 +</​code>​
 +
 +Configurez maintenant le "​crypto map" pour ce VPN.
 +
 +<​code>​
 +crypto map PFSVPN 15 ipsec-isakmp
 + set peer 10.0.66.22
 + set transform-set 3DES-SHA
 + set pfs group2
 + match address 100
 +</​code>​
 +
 +Assigner le "​crypto map" à l'​interface VPN :
 +
 +<​code>​
 +interface FastEthernet0/​0
 +crypto map PFSVPN
 +</​code>​
 +
 +La configuration est terminée côté Cisco.
 +
 +===== Configurer le routeur OpIOS 3.0 =====
 +
 +La configuration ci-dessous montre la configuration du VPN IPSec l'​OpIOS correspondant à la configuration du routeur Cisco.
 +
 +  * Phase 1 / P1 :
 +<​code>​
 +    Remote Gateway: 10.0.64.175
 +    Authentication Method: Pre-Shared Key
 +    Negotiation Mode: Main
 +    My Identifier: My IP Address
 +    Pre-Shared Key: ABCDEFG
 +    Encryption Algorithm: 3DES
 +    Hash Algorithm: SHA1
 +    DH Key Group: 2
 +    Lifetime: 28800
 +    NAT Traversal: Disable
 +</​code>​
 +
 +  * Phase 2 / P2 :
 +<​code>​
 +    Mode: Tunnel IPv4
 +    Local Network: LAN Subnet
 +    Remote Network: 172.26.5.0/​24
 +    Protocol: ESP
 +    Encryption Algorithm: 3DES (others may also be checked, but be sure to leave 3DES checked)
 +    Hash Algorithm: SHA1
 +    PFS Key Group: 2
 +    Lifetime: 3600
 +</​code>​
 +
 +N'​oublier pas les règles de Pare-feu pour faciliter les échanges.
 +
 +
 +===== Dépannage =====
 +
 +Si la connexion ne s'​établie pas, c'est qu'il y a une inadéquation quelques parts dans la configuration. La vérification des journaux aux deux extrémités est recommandée. Pour l'​OpIOS,​ aller dans le menu **Etat** puis **Journaux système** dans **l'​onglet IPsec**. Pour Cisco, exécutez **debug crypto isakmp** et **term mon** (si ce n'est pas connecté via la console série) pour faire apparaître les messages de débogage dans une session.
 +
 +**"No NAT" List on Cisco IOS**
 +
 +Il peut également être nécessaire de paramétrer sur le routeur Cisco IOS de ne pas NATer le trafic destiné au tunnel IPsec. Il existe plusieurs façons d'y parvenir, en fonction de la configuration du routeur. Si l'​exemple suivant ne vous aide pas, plusieurs exemples sont disponible sur Google pour la recherche **"​cisco ios nonat ipsec"​**
 +
 +<​code>​
 +ip nat inside source route-map NONAT interface FastEthernet0/​0 overload
 +access-list 110 deny   ip 172.26.5.0 0.0.0.255 192.168.11.0 0.0.0.255
 +access-list 110 permit ip 172.26.5.0 0.0.0.255 any
 +route map NONAT permit 10
 +match ip address 110
 +</​code>​
 +
 +Cela empêchera le routeur à NATer le trafic entre le routeur Cisco et le routeur OpIOS, mais autoriser-le dans tous les autres cas.
  
configurer_vpn_ipsec_ios.txt · Dernière modification: 21/09/2017 14:32 par adm