Configuration d'un Easy VPN Server avec IOS CLI

Objectifs

Configuration EIGRP au niveau des routeurs

Configuration Easy VPN Server
Installation du Cisco VPN Client au niveau de lhte (A)
Connectez-vous au VPN en utilisant le client VPN Cisco
Vrifier le fonctionnement du VPN

Diagramme de la topologie (Voir limage VPN.jpeg)

Scnario

Dans cet atelier, vous allez mettre en place un Easy VPN Server pour une
Agence de Voyage pour se connecter au (H.Q) en utilisant IOS Command
Line Interface IOS (CLI).
L'hte A est une simulation dun employ qui prtend se connecter de sa
maison par Internet.
ISP (FAI) est une simulation dun routeur reprsentant la connexion Internet
la fois pour lutilisateur domicile et le sige de la socit (H.Q)
tape 1: configuration de l'adressage

Configurez les interfaces de bouclage avec les adresses indiques sur le

schma.
Configurez galement les interfaces srie indiqu sur le schma. Rglez la
frquence d'horloge sur les interfaces srie appropries 64000 et noubliez
pas no shutdown sur l'ensemble des interfaces. Ne pas configurer l'interface
du tunnel.
ISP
ISP
ISP
ISP
ISP

# configure terminal
(config) # interface FastEthernet 0/0
(config-if) # ip add 192.168.10.1 255.255.255.0
(config-if) # no shutdown
(config-if) # interface srie 1/0

ISP (config-if) # ip add 192.168.12.1 255.255.255.0

ISP (config-if) # clock rate 64000
ISP (config-if) # no shutdown
HQ
HQ
HQ
HQ
HQ
HQ
HQ
HQ
HQ
HQ
HQ2
HQ2
HQ2
HQ2
HQ2
HQ2

# configure terminal
(config) # interface Loopback 0
(config-if) # ip add 172.16.2.1 255.255.255.0
(config-if) # interface de serial 1/1
(config-if) # ip add 192.168.12.2 255.255.255.0
(config-if) # no shutdown
(config-if) # interface srie 1/0
(config-if) # ip add 172.16.23.2 255.255.255.0
(config-if) # clock rate 64000
(config-if) # no shutdown
# configure terminal
(config) # interface Loopback 0
(config-if) # ip add 172.16.3.1 255.255.255.0
(config-if) # interface srie 1/0
(config-if) # ip add 172.16.23.3 255.255.255.0
(config-if) # no shutdown

tape 2: Configurer EIGRP avec AS 100 au niveau HQ et HQ2

Configurer EIGRP pour AS 100 sur HQ et HQ2.

Ajouter le rseau 172.16.0.0/16 et dsactiver le rsum automatique. ISP ne
participera pas ce processus de calcul d'itinraire.
HQ (config) # router eigrp 100
HQ (config-router) # no auto-summary
HQ (config-router) # network 172.16.0.0
HQ2 (config) # router eigrp 100
HQ2 (config-router) # no auto-summary
HQ2 (config-router) # network 172.16.0.0
tape 3: Configurez une route statique par dfaut

Le fait denvoyer tout le trafic dont la destination nexiste pas dans la table
de routage des routeurs de lentreprise ncessite une route statique par
dfaut. Cette entre statique devra tre redistribue via le protocole EIGRP
HQ (config) # ip route 0.0.0.0 0.0.0.0 192.168.12.1
HQ (config) # router eigrp 100
HQ (config-routeur) # redistribute static
tape 4: Activer AAA sur HQ

AAA doit tre activ sur le routeur (HQ) pour excuter le Easy VPN Server. A cet
effet, crer un nom d'utilisateur local et il faut s'assurer que l'authentification
seffectuera travers la base de donnes locale.
HQ (config) # username cisco password cisco

HQ (config) # AAA new-model

HQ (config) # aaa authentication login default local none
tape 5: Crer le Pool IP

Crer un pool pour que les clients VPN puissent obtenir leur adresses IP.
HQ (config) # ip local pool VPNCLIENTS 172.16.2.100 172.16.2.200
tape 6: Configurer l'autorisation du groupe

Utilisez la commande aaa authorization network pour configurer une liste

d'authentification de groupe VPN. Cette liste sert authentifier les utilisateurs
faisant un accs VPN distance en utilisant le groupe mis en place dans leur
VPN Client.
HQ (config) # aaa autorisation network VPNAUTH local
tape 7: Crer la Policy IKE et le Groupe

Les politiques ISAKMP sont dfinies globalement et donc utilisables par tous les
tunnels configurs sur le routeur. Leur utilisation se fait squentiellement, par
ordre croissant, en fonction de leur priorit (10 dans notre exemple). Ds
qu'une politique matche celle du peer, c'est elle qui est utilise.
On y dfinit le type d'authentification, l'algorithme de hashage, l'algorithme de
chiffrement et le groupe Diffie-Hellman.
On doit mettre en place une politique ISAKMP qui sera utilise lors de la
ngociation IKE (Phase I). Utilisez les paramtres ci-aprs. Si votre version IOS
ne supporte pas les mmes paramtres, essayez de changer votre IOS (12.4).
HQ
HQ
HQ
HQ
HQ

(config) # crypto isakmp policy 10

(config-isakmp) # authentication pre-share
(config-isakmp) # hash sha
(config-isakmp) # encryption aes 256
(config-isakmp) groupe 2

On peut indiquer une cl partage ainsi que l'adresse du bout du tunnel (IP
du peer).
HQ (config) # crypto isakmp key LaCleSecrete address 192.168.12.1

Vu que les clients peuvent se connecter partout travers Internet, on ne

peut pas associer ISAKMP Keys une machine ou une adresse IP. Cest la
raison pour laquelle on va crer un groupe local au niveau du routeur.
Comme cest dj spcifi au niveau de ltape 6.
Utiliser (?) pour voir toutes les options possibles.
HQ (config) # crypto isakmp client configuration group ciscogroup
HQ (config-isakmp-groupe) # ?

ISAKMP group policy config commands:

access-restrict
Restrict clients in this group to an interface
acl
Specify split tunneling inclusion access-list number
backup-gateway
Specify backup gateway
dns
Specify DNS Addresses
domain
Set default domain name to send to client
exit
Exit from ISAKMP client group policy configuration mode
firewall
Enforce group firewall feature
group-lock
Enforce group lock feature
include-local-lan
Enable Local LAN Access with no split tunnel
key
pre-shared key/IKE password
max-logins
Set maximum simultaneous logins for users in this group
max-users
Set maximum number of users for this group
netmask
netmask used by the client for local connectivity
no
Negate a command or set its defaults
pfs
The client should propose PFS
pool
Set name of address pool
save-password
Allows remote client to save XAUTH password
split-dns
DNS name to append for resolution
wins
Specify WINS Addresses

Configurer une cl pr-partage (pre-shared), on va essayer de mettre le

mme nom pour le groupe que pour la cl pr-partage. On va essayer,
aussi, dassocier le IP Pool, cre prcdemment, avec ce groupe. En outre, on
va spcifier une liste daccs (access-list). A fin de permettre un accs
multiple (split tunneling list). Cette liste d'accs n'existe pas encore, mais on
va la crer prochainement.
Enfin, dfinir le masque de sous-rseau utilis depuis de IP Pool
HQ(config-isakmp-group)#
HQ(config-isakmp-group)#
HQ(config-isakmp-group)#
HQ(config-isakmp-group)#

key ciscogroup
pool VPNCLIENTS
acl 100
netmask 255.255.255.0

Maintenant, on va essayer de crer lacces-list (split tunneling list) qui va

autoriser le trafic provient du rseau 172.16.0.0/16.
HQ(config)# access-list 100 permit ip 172.16.0.0 0.0.255.255 any
tape 8: Configurez IPSec Transform Set

Le transform-set est un ensemble dalgorithmes de chiffrement et

dauthentification dterminant la manire dont le trafic doit tre protg par IPSec.
1- Chiffrement DES , 3DES, AES pour le protocole ESP
2- Authentification MD5 ou SHA pour ESP
3- Authentification MD5 ou SHA pour AH

Configurer un Transform Set utiliser avec le VPN. Utiliser l'algorithme 3DES pour
le chiffrement et la fonction de hachage SHA-HMAC pour l'intgrit des donnes.
HQ(config)# crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
HQ(cfg-crypto-trans)# exit

tape 9: Crer un Crypto Map dynamique

Le rle de la crypto map est de regrouper lensemble des informations ncessaires

ltablissement dune association de scurit (SA) de manire lappliquer une
interface ethernet , etc..
La crypto map comprend :
lidentit du correspondant
#crypto map mymap 10 set peer 10.1.0.5 (Adresse IP de mon correspondant)
La manire dont lassociation de scurit doit tre tablie soit manuellement
soit avec ISAKMP /IKE Dynamique
# crypto map mymap 10 ipsec-isakm
les crypto ACL pour dterminer le trafic chiffrer
# crypto map mymap 10 match address myaccesslist
les Transform Set pour determiner comment le trafic doit tre protg
# crypto map mymap 10 set transform-set myset
Utilisation ou non du mode PFS (Perfect forward Scurit) en rengociant la SA
# crypto map mymap 10 set pfs group 1
Dure de vie de lassociation de scurit
# crypto map mymap 10 set security-association 28.800 seconds

Comme dans les configurations IPsec prcdentes, on doit configurer un Crypto

Map.
Utilisez le crypto dynamic-map command en mode configuration.
Utilisez le nom "mymap" et la squence numro 10.
Une fois le Crypto Map est cre, on va essayer de mapper le Transfom Set qui
spcifie la politique de scurit d'IPsec (algorithme de chiffrement +
d'authentification + autres paramtres facultatifs) sur le Crypto Map.
HQ(config)# crypto dynamic-map mymap 10
HQ(config-crypto-map)# set transform-set mytrans
HQ(config-crypto-map)# reverse-route

Aprs la cration du Crypto Map, on va essayer dutiliser certaines

commandes pour modifier le rglage de ce Crypto Map.
1re Commande : Le Map cre devra rpondre aux requtes VPN.
2me Commande : Associe une liste dautorisation de groupe avec le Map
3me Commande : Utiliser un Crypto Map Dynamique

HQ(config)# crypto map mymap client configuration address respond

HQ(config)# crypto map mymap isakmp authorization list VPNAUTH
HQ(config)# crypto map mymap 10 ipsec-isakmp dynamic mymap

Enfin, appliquez le Crypto Map l'interface Serial 1/1 (face FAI)

HQ (config) # int serial 1/0
HQ (config-if) # crypto carte mymap
Etape 10: Activer IKE DPD User Authentication

DPD (Dead Peer Detection) est un mcanisme natif d'IKE qui permet de
dtecter un problme sur le tunnel IPsec.
Le DPD est dsactiv par dfaut. Le DPD on-demand permet de ne vrifier
que le peer est up que lorsque le routeur a du trafic envoyer vers lui, ce qui
rduit sa charge CPU.
Cisco IOS Keepalive Feature est un mcanisme similaire au DPD mais
propritaire Cisco.
On configure le DPD avec la commande suivante : crypto isakmp keepalive
seconds

Les secondes vont de 10 3600 et indique l'intervalle d'envoi des keepalive ;

les retries, en secondes aussi, dfinissent le temps entre 2 tentatives si la
prcdente chou (par dfaut 2 secondes). periodic et on-demand (par
dfaut) dfinissent le comportement des keepalive : priodiques
(rgulirement toutes les x secondes) ou en fonction du trafic mis (s'il n'y a
pas de trafic, pas d'envoi de keepalive).
HQ (config) # crypto isakmp keepalive 30 5

Xauth, ou l'authentification tendue, est la mthode utilise pour authentifier

les clients VPN sur une base par utilisateur, en plus de l'authentification de
groupe.
En outre, ajouter un utilisateur pour l'accs VPN avec nom d'utilisateur / mot
de passe (ciscouser / ciscouser).
HQ (config) # authentification AAA connexion VPNAUTH locale
HQ (config) # Nom d'utilisateur Mot de passe ciscouser ciscouser

Configurer le dlai d'attente Xauth 60 secondes en utilisant la

cryptographie
isakmp xauth temporisation secondes. Ce contrle permet au serveur VPN
dattendre 60 secondes avant de terminer la session IKE avec un client
HQ (config) # crypto isakmp xauth dlai de 60

Enfin, associer la liste de login AAA avec la carte crypto configur

auparavant.
HQ (config) # crypto carte mymap client authentification liste VPNAUTH
tape 11: Installez le client VPN Cisco

Pour commencer l'installation, tlchargez le client VPN de Cisco, et l'extraire

dans un rpertoire temporaire. Excutez le fichier setup.exe dans le
rpertoire temporaire pour commencer installation.
Cliquez sur Oui aprs avoir lu le contrat de licence du logiciel.
Cliquez sur Suivant pour utiliser l'installation par dfaut
Choisissez le groupe de programmes par dfaut et cliquez sur Suivant

Laisser l'assistant pour installer tous les fichiers ncessaires. Vers la fin du
processus, l'assistant tentera d'ajouter des interfaces rseau virtuelles
requises pour l'utilisation de VPN.
Cela peut prendre un certain temps.
A la fin de l'installation, vous serez invit redmarrer. Cliquez sur Terminer
pour laisser votre redmarrage de l'ordinateur.
Etape 12: Test de l'accs de client sans connexion VPN

Aprs le redmarrage de l'hte, dmarrez le client VPN install.

Cliquez sur le bouton Dmarrer, choisissez Excuter ... et tapez cmd et
cliquez sur OK.
Essayez d'interroger ladresse du site HQ2. Les pings devraient chouer en
principe
Etape 13: Connexion au VPN

Pour dmarrer le client VPN Cisco, cliquez sur le bouton Dmarrer et

slectionnez Programmes> Cisco Systems VPN Client> VPN Client.
Une fois que le client VPN est ouvert, vous devrez crer un nouveau profil de
connexion pour se connecter au HQ.
Cliquez sur le bouton Nouveau. Crer la nouvelle connexion avec n'importe
quel nom et la description que vous voulez (Ex : Easy VPN). Pour l'hte,
entrez l'adresse IP de linterface Serial du HQ : 192.168.12.2.
Utilisez le nom du groupe et mot de passe prcdemment configur dans
Easy VPN Server (Router HQ). Cliquez sur Enregistrer.
Aprs avoir termin la configuration, vous devriez voir votre nouveau profil
apparat dans la liste des profils. Avant de vous connecter, cliquez sur
l'onglet Connexion de sorte que vous pouvez activer la journalisation avant
d'essayer de se connecter.
Cliquez sur Log Window pour ouvrir la journalisation dans une fentre
spare

Mme si vous avez la fentre du journal ouvert, revenir la fentre

principale du client VPN et cliquez sur Paramtres du journal. Modifiez les
paramtres d'enregistrement pour IKE et IPsec 3-High. Cliquez sur OK pour
appliquer ces paramtres.
Cliquez sur Activer pour activer la journalisation. Le bouton Activer doit
passer un Dsactiver
Cliquez sur l'onglet Entres de connexion, puis double-cliquez sur l'entre ou
cliquez sur connect pour se connecter ce profil
Alors que le client VPN essaie de se connecter au VPN, il vous invite saisir
un nom d'utilisateur et mot de passe. Entrez les informations d'identification
utilisateur que vous avez spcifi prcdemment.
Quand le VPN est correctement connect, vous devriez voir une icne dun
cadenas ferm dans la barre d'tat systme.

Pour afficher les statistiques de connexion VPN, cliquez-droit sur l'icne du

cadenas dans systray et cliquez sur Statistiques ...
Cliquez sur l'onglet Dtails de la Route de visualiser les itinraires
envoys travers le split tunneling.
Etape 14: Test intrieur VPN Connectivit

Maintenant que l'hte s'est connect au VPN, ouvrez l'invite de commande

nouveau et commencez faire un ping sur le site distant H.Q2, a devrait
marcher merveille !!!!