VPN site to site Ipsec
>>> VPN : Virtual Private Network
Version PDF

Cet article vous explique comment réaliser un VPN IPsec entre deux routeurs Cisco. Le but d’un VPN est d’authentifier et de chiffrer les données transmises où seul le routeur final pourra lire les données. Je détaillerai dans un premier temps la configuration de base que l’on doit faire sur les différents équipements avant de configurer le VPN.


Sommaire :

I) Explications
II) Schéma réseau
III) Configurations de base
1) Routeur R1
2) Routeur R2
3) Routeur R3
4) Test de fonctionnement
IV) Configuration du VPN
1) Configuration VPN sur R1
2) Configuration VPN sur R3
3) Vérifications


I) Explications

Haut de page

Un VPN (Virtual Private Network) est un réseau virtuel s’appuyant sur un autre réseau comme Internet. Il permet de faire transiter des informations, entre les différents membres de ce VPN, le tout de manière sécurisée.
On peut considérer qu’une connexion VPN revient à se connecter en réseau local mais en utilisant Internet. On peut ainsi communiquer avec les machines de ce réseau en prenant comme adresse de destination, l’adresse IP local de la machine que l’on veut atteindre.

Il existe plusieurs types de VPN fonctionnant sur différentes couches réseau, voici les VPN que nous pouvons mettre en place sur un serveur dédié ou à la maison :

 PPTP : Facile à mettre en place, mais beaucoup d’inconvénients liés à la lourdeur du protocole de transport GRE, le matériel réseau (routeur ADSL, wifi, doit être compatible avec le PPTP)
 Ipsec : Plus efficace que le PPTP en termes de performance, mais aussi très contraignant au niveau de la mise en place
 OpenVPN : La Rolls des VPN, il suffit de se prendre un peu la tête sur la mise en place, mais son utilisation est très souple.

Dans notre cas nous allons utiliser IPsec.

II) Schéma réseau

Haut de page

Voici notre réseau :

III) Configurations de base

Haut de page

Nous commencerons par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau. Nous attaquerons ensuite la configuration du routeur R1 :

1) Routeur R1

On commence par le Hostname :

Router#configure terminal
Router(config)#hostname R1

Nous configurons ensuite les adresses IP des deux interfaces :

R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage. J’ai choisi de faire du routage RIP, c’est un choix qui n’engage que moi et qui ne vous empêche pas de faire un routage OSPF ou routage statique si vous préférez.

R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.1.0
R1(config-router)#network 10.1.1.0
R1(config-router)#exit

La configuration de base de notre routeur R1 est terminée.

2) Routeur R2

Même procédure pour notre routeur R2 :

On commence par le Hostname :

Router#configure terminal
Router(config)#hostname R2

Nous configurons ensuite les adresses IP des deux interfaces :

R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 10.2.2.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage.

R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.2.0
R2(config-router)#network 10.1.1.0
R2(config-router)#exit

La configuration de base de notre routeur R2 est terminée.

3) Routeur R3

Même procédure pour notre routeur R3 :

On commence par le Hostname :

Router#configure terminal
Router(config)#hostname R3

Nous configurons ensuite les adresses IP des deux interfaces :

R3(config)#interface FastEthernet 0/1
R3(config-if)#ip address 192.168.3.254 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#ip address 10.2.2.1 255.255.255.252
R3(config-if)#no shutdown
R3(config-if)#exit

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage.

R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-router)#network 10.2.2.0
R3(config-router)#network 192.168.3.0
R3(config-router)#exit

La configuration de base de notre routeur R3 est terminée.

4) Test de fonctionnement

Nous essayons de pinger le serveur depuis le PC :

Voici le fichier Packet tracert représentant la configuration de base de notre réseau :

IV) Configuration du VPN

Haut de page

Il faut savoir que le VPN se configure juste sur les Routeurs d’extrémités dans notre cas R1 et R3 on n’aura aucune modification à faire sur R2.

1) Configuration VPN sur R1

Première étape :

Commençons par notre routeur R1, vous devez vérifier que l’IOS de vos routeurs supporte le VPN. On active ensuite les fonctions crypto du routeur :

R1(config)#crypto isakmp enable

Cette fonction est activée par défaut sur les IOS avec les options cryptographiques.

Deuxième étape :

Nous allons configurer la police qui détermine quelle encryptions on utilise, quelle Hash quelle type d’authentification, etc.

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

group 5 : Spécifie l’identifiant Diffie-Hellman
lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs.

Troisième étape :

Ensuite nous devons configurer la clef :

R1(config)#crypto isakmp key mot_de_passe address 10.2.2.1

Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit être chiffré ou pas, tapez cette commande :

R1(config)#crypto isakmp key 6 mot_de_passe address 10.2.2.1

Quatrième étape :

Configurons les options de transformations des données :

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

esp : Signifie Encapsulation Security Protocol

N’oubliez pas d’utiliser les mêmes protocoles d’encryptions et de Hash utilisés dans la première étape.

Dans notre cas :

Encryption : 3des
hash : md5

On fixe ensuite une valeur de Lifetime :

R1(config)#crypto ipsec security-association lifetime seconds 1800

Cinquième étape :

La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.

R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

Dernière étape de la configuration :

Dans cette dernière étape nous configurons la crypto map qui va associé l’access-list, le traffic, et la destination :

R1(config)#crypto map nom_de_map 10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de sortie :

Dans notre cas FastEthernet 0/0.

R1(config)#interface FastEthernet 0/0
R1(config-if)#crypto map nom_de_map
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Un message vous indique que la crypto map fonctionne.

2) Configuration VPN sur R3

On refait la même configuration que sur R1 :

Première étape :

R3(config)#crypto isakmp enable

Deuxième étape :

R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit

Troisième étape :

R3(config)#crypto isakmp key mot_de_passe address 10.1.1.1

ou

R3(config)#crypto isakmp key 6 mot_de_passe address 10.1.1.1

Quatrième étape :

R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(config)#crypto ipsec security-association lifetime seconds 1800

Cinquième étape :

R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 

Dernière étape de la configuration :

R3(config)#crypto map nom_de_map 10 ipsec-isakmp
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#set security-association lifetime seconds 900
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#crypto map nom_de_map
*Jan  3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Voici le fichier Packet tracert représentant la configuration avec le VPN IPsec :

3) Vérifications

On réalise un ping pour voir si la communication n’est pas coupée :

Nous vérifions les informations retournées par le VPN sur R1 et R3 :

Nous vérifions la map vpn :

Pour information j’ai nommé ma map "vpn".

On vérifie les opérations d’IPsec :

Pour finir on vérifie les opérations d’Isakmp :

 
 
 
 
 
Commentaires :

  •  VPN site to site Ipsec    > 17 juillet 2021 15:20

    Bonjour.

    J’ai suivi toutes vos instructions à la lettre sur la configuration du vpn sur les routeurs R1 et R3 , mais je n’arrive pas à avoir les mêmes résultats que ceux que vous avez présenté.
    Comme par exemple au niveau de la commande : show crypto map, j’obtiens N au lieu de Y, et bien d’autres.

    J’aimerais bien avoir une solution à cela S’il-vous-plaît.
    Merci !!


  •  VPN site to site Ipsec    > 15 août 2019 12:06, par Jerry KAYEMBE

    Salut, votre tutoriel est génial,
    Ma préoccupation est que j’ai repris la configuration chez moi :
    *À la première étape en configurant le rip V2 le ping marche
    * À la deuxième étape en configurant le vpn ipsec le ping ne marche pas
    En vérifiant toute est bonne
    C’est normal ou pas aidé moi pour la compréhension.
    Merci.


  •  VPN site to site Ipsec    > 25 octobre 2018 10:02, par B.M

    Bonjour,

    J’essaye de mettre en place un VPN site to site en IPSEC avec des routeurs cisco 7200.

    J’ai donc suivi votre tutoriel, qui est très bien fait et je rencontre un problème, en effet une fois les commandes tapées, je fait un show crypto map et a la ligne :

    PFS (Y :/N) : N

    Or sur le tutoriel, c’est :
    PFS (Y :/N) : Y

    j’ai suivi toutes les étapes et refait la manipulation plusieurs fois, auriez-vous la solution ?


  •  VPN site to site Ipsec    > 6 octobre 2017 00:17, par smarttiti

    Bonjour,
    Merci et bravo pour ces tutos.
    J’ai un soucis : j’essaie de faire 2 vpn, un du site1 vers le site2, et un autre du site1 vers le site3 mais je n’arrive pas à entrer 2 fois crypto map xxx dans l’interface de sortie. Packet tracer ne garde que le dernier entré. Comment faire ?


  •  VPN site to site Ipsec    > 20 septembre 2017 12:27, par Amine

    Bonjour,

    Bravo pour le tuto, très bien expliqué, et ça marche parfaitement pour moi, par contre j’ai une question :
    soit les routeurs R1 R2 R3
    et allons du fait que le VPN entre R1 et R3 et UP (comme sur le tuto)
    Je voudrais de ce fait, connecter les deux routeur R1 et R2 par un autre VPN, es ce possible d’ajouter une Crypto-map sur le R1 tout en gardant la crypto entre R1 et R3 (simultanément) ?

    Merci d’avance,


  •  VPN site to site Ipsec    > 17 avril 2017 15:35, par fred

    Merci pour ce tuto, dommage que les fichiers à télécharger soient inaccessibles.


    •  VPN site to site Ipsec    > 18 avril 2017 13:52, par N.Salmon

      Bonjour,

      Je viens de corriger les liens.

      Je vous remercie de m’avoir indiqué le problème.

      @Bientôt


  •  VPN site to site Ipsec    > 30 janvier 2015 18:08, par nouzla

    bonjour,je voudrais une explication plus détaillé de la dernière étape de configuration ;bon tuto et merci encore.


  •  VPN site to site Ipsec    > 27 novembre 2014 07:54, par AUGIMAP

    bjr, nous avons un ptit probleme dans la commande "show crypto isakmp sa" au niveau du resultat donnE concernant la destination et la source :

    R1#show crypto isakmp sa
    dst src state conn-id
    slot status
    192.168.3.1 192.168.2.254 QM_IDLE 1 0 ACTIVE

    R3#show crypto isakmp sa
    dst src state conn-id slot status
    192.168.3.1 192.168.2.254 QM_IDLE 1 0 ACTIVE

    Cela parrait-il normal ou bien il existe un probleme ? merci pour votre collaboration


  •  VPN site to site Ipsec    > 20 septembre 2014 00:01, par houda

    bsrs svp j’avais une question je suis entrain d’esseyé d ’implémenter le vpn site to site mais je travail avec GNS3 pas packet tracer mais j avais un pblm mm si je suis les étapes que vous mentionné mais lorsque je vérivier avec la commande show crypto sa je trouve que le vpn ne marche pas je ne sais pas pk svp aidez moi c’est trés urgent


    •  VPN site to site Ipsec    > 26 septembre 2014 10:36, par N.Salmon

      Bonjour,
      Je n’aime pas trop GNS3 car il est buggué et très instable sur mon PC.
      Mais si je peux vous aider je le ferai.
      Faite moi un copier coller du "show crypto sa".


  •  VPN site to site Ipsec    > 15 août 2014 13:01, par Bosco

    Bonjour,

    Tres beau tuto et bien détaillé.
    Dans la pratique, les deux réseaux lan sont cachés derrière les routeurs.les adresses 192.168.3.0 et 192.168.1.0 ne sont pas routable sur le net sans utilisation de la nat.
    dans ce cas le pc et le server ne se pinguent pas.
    Comment faire ma configuration dans ce cas.

    Merci bien pour votre aide.


  •  VPN site to site Ipsec    > 19 septembre 2013 11:17, par asco

    Bonjour
    je suis novice sur ce sujet
    si je comprends bien
    le routeur lié au PC c ’est le routeur R1 (SiteA par exemple)
    le routeur lié au Serveur c’est le routeur R2 ( Site B par exemple)
    j’ai compris leur configuration vu que je peux y accéder
    le routeur du haut c’est le routeur R3 ?si je comprends bien c’est la connexion ADSL ( ISP).c’est le routeur qui fournit la ligne internet
    comment je fais pour y accéder pour le configurer ?
    merci


    •  VPN site to site Ipsec    > 23 septembre 2013 08:16, par N.Salmon

      Bonjour,
      Je viens de modifier le schéma, car effectivement il manquait le nom des routeurs.

      Le routeur connecté au PC est le routeur R1.
      Le routeur connecté au serveur est le routeur R3.
      Le routeur R2 correspond au réseau de votre ISP. Dans mon article je configure R2 pour que celui-ci fasse du routeur basique. Je ne fais aucune configuration VPN sur R2.

      J’espère avoir répondu à vos questions.


  •  VPN site to site Ipsec    > 14 janvier 2013 09:52, par Newgin

    Bonjour,
    J’ai suivit ce tuto mais à l’étape 3 de la config du vpn je rencontre un problème ou plutôt je ne comprends pas ce qu’est le mot de passe. Lorsque j’essaie d’entrer la commande : crypto key 6 mot_de_passe address 10.2.2.1 l’os cisco me signale une erreur dans ma commande à l’endroit ou le mot de passe commence. Alors ma question est le mot de passe est defini à cette commande ou je dois la générer avant ?
    Je vous remercie d’avance de votre réponse.


    •  VPN site to site Ipsec    > 20 janvier 2013 11:58, par N.Salmon

      Bonjour,
      Le mot de passe est défini dans cette commande.
      La commande change peut être suivant l’IOS que vous utilisez.


  •  VPN site to site Ipsec    > 7 novembre 2012 17:24, par pente

    slut ! tres cool l’ensemble du detail sur cette config dit ! les liaisons à interface fastethernet ke tu attribue entre les trois routeur sont- elle normal ???? sinon je croit kil s’agit d’une liaison à interface serial.
    aussi au niveau des commandes d’adressage je croit kil est osi important ke tu definise la vitesse de transmission des données(clock rate)
    coordialement !


    •  VPN site to site Ipsec    > 8 novembre 2012 14:21, par N.Salmon

      Bonjour,
      J’ai utilisé les interfaces FastEthernet ce n’est pas une erreur. Mais l’article fonctionne aussi si vous voulez utiliser des interfaces Serial.
      Dans le cas où vous utilisez des interfaces serial il faut penser effectivement à mettre un Clock Rate.


  •  VPN site to site Ipsec    > 29 juin 2012 20:58, par Dan

    Déjà merci pour ce tuto !!!
    Une petite précision au niveau de la config crypto map
    (#crypto map nom_de_map 10 ipsec-isakmp)
    Il faut rajouter "#match address 101" pour affecter l’access-list 101 (avant de sortir de la config crypto map)


    •  VPN site to site Ipsec    > 10 juillet 2012 09:24, par N.Salmon

      Merci effectivement j’ai oublié cette petite ligne.
      Encore merci et à bientôt.


  •  VPN site to site Ipsec    > 25 avril 2012 11:25, par Alp

    Merci pour ces explications
    Pourquoi ceux qui savent, donnent facilement et simplement ?
    " ils sont sages "


  •  VPN site to site Ipsec    > 28 février 2012 08:28, par angatra7

    Merci pour cette bonne explication.


  •  VPN site to site Ipsec    > 13 octobre 2011 10:49, par kemzo

    Merci pour Tout. genial....


  •  VPN site to site Ipsec    > 10 août 2011 16:50, par Tima

    Un grand merci pour ce tuto vraiment très bien expliqué !!


  •  VPN site to site Ipsec    > 6 août 2011 15:49, par ritsikiantsoa

    merci beaucoup, ce tuto est génial