Outils pour utilisateurs

Outils du site

Wiki Technique OpenIP - Tout savoir sur OpIOS 4.0


Panneau latéral

Accueil

Liste des Wikis OpIOS

Liste des Wikis OpenIP

Webinars OpenIP

Formations OpenIP

Informations sur le routeur

Configuration des Modems

Configuration rapide du routeur

Configuration des LIENs

Configuration des VPNs

Routage/Pare-Feu

Options des interfaces et DHCP

DNS / NTP

Configuration du FAILOVER/LIMITEUR/QoS/PLANIFICATEUR

Sécurités et informations

Monitoring Routeur

FAQ

configurer_vpn_ipsec_ios

VPN IPSEC OpIOS 4.0 et Cisco IOS

Configurer le routeur Cisco

Tout d'abord, configurez les paramètres de phase 1 avec une politique isakmp crypto. Ce qui suit définit pour 3DES, SHA et le groupe 2 pour correspondre à la configuration de l'OpIOS 4.0 ci-après.

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

Ensuite, configurez la clé pré-partagée. La clé de cet exemple est ABCDEFG, mais assurez-vous d'utiliser quelque chose d'aléatoire et de sécurisé pour tout déploiement de production. l'IP utilisée 10.0.66.22 est l'IP WAN du routeur OpIOS.

crypto isakmp key ABCDEFG address 10.0.66.22 no-xauth

Ensuite, configurez les “transform set” pour la phase 2. ils utilisent ESP, 3DES et SHA. Les “transform set” s'appelle 3DES-SHA, et il en sera fait référence ultérieurement.

crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac

Configurez maintenant une “access list” qui correspondra aux sous-réseaux locaux et distants sur l'OpIOS. Ceci est configuré comme access-list 100, qui sera utilisé à l'étape suivante. Rappelez-vous que cela utilise des masques génériques, donc un réseau /24 (masque 255.255.255.0) est représenté par 0.0.0.255.

access-list 100 permit ip 192.168.11.0 0.0.0.255 172.26.5.0 0.0.0.255
access-list 100 permit ip 172.26.5.0 0.0.0.255 192.168.11.0 0.0.0.255

Configurez maintenant le “crypto map” pour ce VPN.

crypto map PFSVPN 15 ipsec-isakmp
 set peer 10.0.66.22
 set transform-set 3DES-SHA
 set pfs group2
 match address 100

Assigner le “crypto map” à l'interface VPN :

interface FastEthernet0/0
crypto map PFSVPN

La configuration est terminée côté Cisco.

Configurer le routeur OpIOS 4.0

La configuration ci-dessous montre la configuration du VPN IPSec l'OpIOS correspondant à la configuration du routeur Cisco.

  • Phase 1 / P1 :
    Remote Gateway: 10.0.64.175
    Authentication Method: Pre-Shared Key
    Negotiation Mode: Main
    My Identifier: My IP Address
    Pre-Shared Key: ABCDEFG
    Encryption Algorithm: 3DES
    Hash Algorithm: SHA1
    DH Key Group: 2
    Lifetime: 28800
    NAT Traversal: Disable
  • Phase 2 / P2 :
    Mode: Tunnel IPv4
    Local Network: LAN Subnet
    Remote Network: 172.26.5.0/24
    Protocol: ESP
    Encryption Algorithm: 3DES (others may also be checked, but be sure to leave 3DES checked)
    Hash Algorithm: SHA1
    PFS Key Group: 2
    Lifetime: 3600

N'oublier pas les règles de Pare-feu pour faciliter les échanges.

Dépannage

Si la connexion ne s'établie pas, c'est qu'il y a une inadéquation quelques parts dans la configuration. La vérification des journaux aux deux extrémités est recommandée. Pour l'OpIOS, aller dans le menu Etat puis Journaux système dans l'onglet IPsec. Pour Cisco, exécutez debug crypto isakmp et term mon (si ce n'est pas connecté via la console série) pour faire apparaître les messages de débogage dans une session.

“No NAT” List on Cisco IOS

Il peut également être nécessaire de paramétrer sur le routeur Cisco IOS de ne pas NATer le trafic destiné au tunnel IPsec. Il existe plusieurs façons d'y parvenir, en fonction de la configuration du routeur. Si l'exemple suivant ne vous aide pas, plusieurs exemples sont disponible sur Google pour la recherche “cisco ios nonat ipsec”

ip nat inside source route-map NONAT interface FastEthernet0/0 overload
access-list 110 deny   ip 172.26.5.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 110 permit ip 172.26.5.0 0.0.0.255 any
route map NONAT permit 10
match ip address 110

Cela empêchera le routeur à NATer le trafic entre le routeur Cisco et le routeur OpIOS, mais autoriser-le dans tous les autres cas.

configurer_vpn_ipsec_ios.txt · Dernière modification: 13/02/2018 19:07 par adm