Outils pour utilisateurs

Outils du site

Wiki Technique OpenIP - Tout savoir sur OpIOS 3.0


configurer_vpn_ipsec_pix

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

configurer_vpn_ipsec_pix [21/09/2017 14:35]
adm créée
configurer_vpn_ipsec_pix [21/09/2017 17:13] (Version actuelle)
adm
Ligne 1: Ligne 1:
 ====== VPN IPSEC OpIOS 3.0 et Cisco PIX ====== ====== VPN IPSEC OpIOS 3.0 et Cisco PIX ======
 +
 +L'​utilisation d'​IPsec pour créer un tunnel VPN entre un OpIOS 3.0 et un Cisco PIX devrait fonctionner correctement. Comme toujours, avec un VPN IPsec, assurez-vous que les réglages de phase 1 et de phase 2 correspondent bien des deux côtés. Si un ensemble "​transform set" et règles sont déjà en place, ils peuvent être utilisés.
 +
 +===== Configurer le routeur Cisco PIX =====
 +
 +<​code>​
 +access-list PFSVPN permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0
 +access-list PFSVPN permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
 +access-list nonat permit ip 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0
 +nat (inside) 0 access-list nonat
 +sysopt connection permit-ipsec
 +crypto ipsec transform-set 3dessha1 esp-3des esp-sha-hmac
 +crypto ipsec security-association lifetime seconds 86400 kilobytes 50000
 +crypto map dyn-map 10 ipsec-isakmp
 +crypto map dyn-map 10 match address PFSVPN
 +crypto map dyn-map 10 set pfs group2
 +crypto map dyn-map 10 set peer 1.2.3.4
 +crypto map dyn-map 10 set transform-set 3dessha1
 +crypto map dyn-map 10 set security-association lifetime seconds 86400 kilobytes 4608000
 +crypto map dyn-map interface outside
 +isakmp enable outside
 +isakmp key (Pre-Shared Key) address 1.2.3.4 netmask 255.255.255.255 no-xauth no-config-mode
 +isakmp identity address
 +isakmp nat-traversal 20
 +isakmp policy 1 authentication pre-share
 +isakmp policy 1 encryption 3des
 +isakmp policy 1 hash sha
 +isakmp policy 1 group 2
 +isakmp policy 1 lifetime 86400
 +</​code>​
 +
 +
 +===== Configurer le routeur OpIOS 3.0 =====
 +
 +
 +  * Phase 1 /P1 :
 +<​code>​
 +    Remote Gateway: (outside IP of the PIX)
 +    Authentication Method: Pre-Shared Key
 +    Negotiation Mode: Main
 +    My Identifier: My IP Address
 +    Pre-Shared Key: (The Pre-Shared Key)
 +    Encryption Algorithm: 3DES
 +    Hash Algorithm: SHA1
 +    DH Key Group: 2
 +    Lifetime: 86400
 +    NAT Traversal: Disable
 +</​code>​
 +
 +  * Phase 2 / P2 :
 +<​code>​
 +    Mode: Tunnel IPv4
 +    Local Network: LAN Subnet
 +    Remote Network: 10.1.1.0/24
 +    Protocol: ESP
 +    Encryption Algorithm: 3DES (others may also be checked, but be sure to leave 3DES checked)
 +    Hash Algorithm: SHA1
 +    PFS Key Group: 2
 +    Lifetime: 86400
 +</​code>​
 +
 +Les règles doivent également être ajoutées au Pare-feu > Règles sur l'​onglet IPsec pour permettre le trafic à partir du 10.1.1.0/24 (ou des IP / Alias spécifiques) vers le LAN Net (ou IP / Alias spécifiques).
 +
 +
 +
configurer_vpn_ipsec_pix.txt · Dernière modification: 21/09/2017 17:13 par adm