Créez un VPN IPSEC entre 2 LAN avec 2 routeurs Cisco
Nous disposons de 2 routeurs Cisco :
· Sur le site principal, un 2620 (mainrtr) avec 2 interfaces Ethernet :
o Une connectée au LAN interne (adresse IP 172.23.10.1/16)
o L’autre est utilisée pour se connecter à Internet (adresse IP 207.194.10.198/24).
· Sur le site distant, un 1751 (remotertr) avec 2 interfaces Ethernet :
o Une connectée au LAN interne (adresse IP 172.25.10.1/16)
o L’autre connecté à Internet (adresse 207.194.10.199/24).
La première étape consiste à configurer les règles IKE sur les 2 routeurs. Les règles IKE précisent le type d’encryption et de découpage à utiliser ainsi que le type d’authentification qui sera implémenté. Les paramètres doivent impérativement être les mêmes sur les 2 routeurs.
Sur le routeur principal: mainrtr(config)# crypto isakmp policy 1 mainrtr(config-isakmp)# encryption des type d’encryptage mainrtr(config-isakmp)# hash sha type de découpage mainrtr(config-isakmp)# authentication pre-share précise qu’aucun certificat d’autorité ne sera utilisé mainrtr(config-isakmp)# lifetime 86400 durée de vie de la connexion (ici 1 jour) mainrtr(config-isakmp)# end Sur le routeur principal : mainrtr(config)# crypto isakmp identity address indique l’identifiant ISAKMP que va utiliser le routeur et précise que l’adresse IP sera utilisée pour identifier le routeur distant mainrtr(config)# crypto isakmp key key123 address 207.194.10.199 indique la clef à utiliser et l’IP de l’hôte distant. Sur le routeur distant : remotertr (config)# crypto isakmp key key123 address 207.194.10.198 Sur le routeur principal : mainrtr(config)# access-list 110 permit ip host 207.194.10.198 host 207.194.10.199 définit la liste d’accès 110 qui crypte le traffic Cela définit la liste d’accès 110 pour qu’elle crypte tout le traffic entre les 2 routeurs. Sur le routeur distant, vous devez faire un miroir du premier : remotertr (config)# access-list 110 permit ip host 207.194.10.199 host 207.194.10.198 Pour mettre en oeuvre le processus de transformation et configurer le type de tunnel, entrez les commandes suivantes Sur le routeur principal : mainrtr(config)# crypto ipsec transform-set ts1 ah-sha-hmac esp-des mainrtr(cfg-ctypto-trans)# mode tunnel mainrtr(cfg-ctypto-trans)# exit définit la transformation AH, l’encryptage ESP transforme et nomme le processus de transformation ‘ts1’ Sur le routeur principal : mainrtr(config)# cypto map map1 10 ipsec-isakmp 1 définit un cryptage nommé & un n° de séquence mainrtr(cfg-ctypto-map)# match address 110 applique la liste d’accès 110 mainrtr(cfg-ctypto-map)# set peer 207.194.10.199 spécifie l’autre extrémité du tunnel mainrtr(cfg-ctypto-map)# set transform-set ts1 applique le modèle de transformation a la carte de cryptage mainrtr(cfg-ctypto-map)# exit Sur le routeur distant : remotertr(config)# cypto map map1 10 ipsec-isakmp remotertr (cfg-ctypto-map)# match address 110 remotertr (cfg-ctypto-map)# set peer 207.194.10.198 remotertr (cfg-ctypto-map)# set transform-set ts1 remotertr (cfg-ctypto-map)# exit Pour que cela fonctionne, il faut assigner la carte de cryptage à l’une des interfaces du routeur : Sur le routeur principal : mainrtr(config)# interface ethernet 2 mainrtr(config-if)# cypto map map1 mainrtr(config-if)# exit Sur le routeur distant : remotertr(config)# interface ethernet 2 remotertr(config-if)# cypto map map1 remotertr(config-if)# exit Vous avez à présent un tunnel IPSEC entre les 2 routeurs. Pour que le trafic circule entre les 2 réseaux, vous devrez configurer la translation d’adresse (NAT) pour communiquer entre les 2 réseaux locaux situés de part et d’autre du routeur.
remotertr (config)# crypto isakmp identity address