Site to site IPsec VPN with IKEv1 on Cisco Routers
Dans cet atelier, nous allons mettre en place un VPN IPsec site to site avec le protocole de gestion de clés IKEv1 en environnement Cisco.
Architecture
/image%2F3625927%2F20240319%2Fob_5674bd_capture-d-ecran-2024-03-19-124843.png)
Le routeur Internet
!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
end
!
!
interface FastEthernet0/1
ip address 10.10.2.1 255.255.255.252
duplex auto
speed auto
end
Le routeur St-Louis
!
interface Ethernet0/0
ip address 10.10.1.2 255.255.255.252
end
!
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
end
ip route 0.0.0.0 0.0.0.0 10.10.1.1
Le routeur Dakar
!
interface Ethernet0/0
ip address 10.10.2.2 255.255.255.252
end
!
!
interface Ethernet0/1
ip address 172.16.0.254 255.255.255.0
end
!
ip route 0.0.0.0 0.0.0.0 10.10.2.1
Testez la connectivité !!!
Config VPN
St-Louis
la phase 1
crypto isakmp policy 10
encr 3des
hash sha512
authentication pre-share
group 5
lifetime 3600
crypto isakmp key PASSW0rd## address 10.10.2.2
!
crypto ipsec security-association lifetime seconds 1800
!
La phase 2
access-list 100 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.0.255
!
crypto ipsec transform-set 50 esp-sha512-hmac esp-3des
mode tunnel
!
La crypto map
crypto map Mymap 10 ipsec-isakmp
set peer 10.10.2.2
set security-association lifetime seconds 900
set transform-set 50
match address 100
!
Appliquer la crypto map (sur l'interface WAN)
/image%2F3625927%2F20240319%2Fob_820fba_2.png)
Config sur Dakar
La phase 1
crypto isakmp policy 10
encr 3des
hash sha512
authentication pre-share
group 5
lifetime 3600
crypto isakmp key PASSW0rd## address 10.10.1.2
!
crypto ipsec security-association lifetime seconds 1800
!
La phase 2
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
!
crypto ipsec transform-set 50 esp-sha512-hmac esp-3des
mode tunnel
!
La crypto map
crypto map Mymap 10 ipsec-isakmp
set peer 10.10.1.2
set security-association lifetime seconds 900
set transform-set 50
match address 100
!
Appliquer la crypto map (sur l'interface WAN)
/image%2F3625927%2F20240319%2Fob_5352b6_3.png)
Le tunnel ne devrait être monté que si du trafic est généré entre les deux sites.
D'où la config IP des machines
La machine Linux de Dakar
/image%2F3625927%2F20240319%2Fob_ec55a5_4.png)
Test vers le PC1 sur St-Louis
/image%2F3625927%2F20240319%2Fob_e99195_5.png)
Les infos IPsec
La security association isakmp
/image%2F3625927%2F20240319%2Fob_ca15fe_6.png)
La security association ipsec
/image%2F3625927%2F20240319%2Fob_6dc1a9_7.png)
/image%2F3625927%2F20240319%2Fob_4afdc3_8.png)
L'état de la session du tunnel IkEv1
/image%2F3625927%2F20240319%2Fob_0d075d_9.png)
la crypto map
/image%2F3625927%2F20240319%2Fob_79df12_14.png)
Autre test
Nous allons partager un document depuis le Windows 10 sur Dakar, pour le télécharger sur le Window7 de St-Louis
/image%2F3625927%2F20240319%2Fob_a021a4_10.png)
Après authentification
/image%2F3625927%2F20240319%2Fob_c8d3e6_11.png)
Quelques infos sur Wireshark
/image%2F3625927%2F20240319%2Fob_5704d2_12.png)
Note : Il est quand même recommandé d'utiliser IKEv2 car il est plus rapide, plus sécurisé et beaucoup plus flexible que son prédécesseur IKEv1.
lorsqu'on opte pour des algorithmes de cryptographie légers, on gagne en vitesse et on s'expose en termes de sécurité, le contraire ralentirait le réseau et accroitrait la sécurité de façon considérable. Trouvez donc le juste milieu 😉