Site to site IPsec VPN with IKEv2 on Cisco Routers

Publié le 23 mars 2024 par BORY DIALLO

Dans cet atelier, nous allons mettre en place un VPN IPsec site to site avec le protocole de gestion de clés IKEv2 (Internet Key Exchange version 2) en environnement Cisco.

Architecture

Les configs IP

Le routeur Internet

!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
end
!
interface FastEthernet0/1
ip address 10.10.2.1 255.255.255.252
duplex auto
speed auto
end
!

Le routeur de Dakar

!
interface Ethernet0/0
ip address 10.10.2.2 255.255.255.252
end
!
interface Ethernet0/1
ip address 172.16.0.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 10.10.2.1

Le routeur de St-Louis

!
interface Ethernet0/0
ip address 10.10.1.2 255.255.255.252
end
!
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 10.10.1.1

Configs du Tunnel

Sur Dakar

Config de la proposition IKE et définition de l'ACL pour le trafic

crypto ikev2 proposal dakar-st_louis
encryption aes-gcm-256
prf sha512
group 5
!
!
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any
!

Config de la politique IKE

crypto ikev2 policy Dkr-TO-St-Louis
proposal dakar-st_louis
!
!

Config du Keyring

crypto ikev2 keyring KEYRING
peer St-louis
address 10.10.1.2
pre-shared-key P@sser123##!
!
!

Définition du profil

crypto ikev2 profile DKR-TO-ST_LOUIS
match address local 10.10.2.2
match identity remote address 10.10.1.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!

Config de l'ensemble de transformations et du chiffrement et du hashage de la Payload

crypto ipsec transform-set IPSEC_IKEv2 esp-aes 256
mode tunnel
!

Config de la crypto map (carte de chiffrement)

crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set IPSEC_IKEv2
set ikev2-profile DKR-TO-ST_LOUIS
match address 100
!
!

Application de la crypto map sur l'interface WAN (e0/0)

Config sur St-Louis

Config de la proposition IKE et définition de l'ACL pour le trafic

crypto ikev2 proposal St-Louis-TO-Dkr
encryption aes-gcm-256
prf sha512
group 5
!
!
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255
access-list 100 deny ip any any
!

Config de la politique IKE

crypto ikev2 policy St-Louis-TO-Dkr
proposal St-Louis-TO-Dkr
!

Config du Keyring

crypto ikev2 keyring KEYRING
peer Dakar
address 10.10.2.2
pre-shared-key P@sser123##!
!
!

Définition du profil

crypto ikev2 profile ST-LOUIS-TO-DAKAR
match address local 10.10.1.2
match identity remote address 10.10.2.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!

Config de l'ensemble de transformations et du chiffrement et du hashage de la Payload

!
crypto ipsec transform-set IPSEC_IKEv2 esp-aes 256
mode tunnel
!

Config de la crypto map (carte de chiffrement)

crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.2.2
set transform-set IPSEC_IKEv2
set ikev2-profile ST-LOUIS-TO-DAKAR
match address 100
!

Avant d'appliquer la crypto map sur l'interface WAN, nous allons activer le debug IKEv2 sur Dakar afin de voir les événements en temps réel, (ce n'est qu'un choix).

debug crypto ikev2

Activons maintenant la crypto map sur St-Louis

Et lorsque du trafic est généré

Voici les infos qui s'affichent sur la console de routeur de Dakar

Il nous dit dans sa langue que le tunnel IKEv2 est bien monté !

Les infos de la security association

Les sessions IKEv2

La crypto map

Une autre preuve de sécurité

En résumé, IKEv2 est un protocole de sécurité puissant, fiable et flexible, conçu pour offrir des communications VPN sécurisées, efficaces et adaptables dans les réseaux modernes. Son support pour la mobilité des périphériques et la réconciliation des politiques en fait un choix populaire pour les organisations recherchant des solutions VPN sécurisées et polyvalentes. 😉