DMVPN & IPsec avec des Spokes derrière du NAT 44
Dynamic Multipoint Virtual Private Network, en abrégé DMVPN est un système permettant d'établir des tunnels de manière dynamique entre sites selon les besoins, sans nécessiter une configurations manuelle pour chaque connexion point à point. Cela permet une communication entre Spokes via un Hub central.
DMVPN nous offre plusieurs avantages, notamment :
- La configuration simplifiée ;
- L'évolutivité ;
- La flexibilité ;
- La réduction des coûts. Avec une seule IP publique, il est possible de faire un maillage entre plusieurs sites.
Architecture
/image%2F3625927%2F20250128%2Fob_ead5af_1.png)
Dans cette architecture, nous avons trois sites composés d'un hub (Avec une adresse IP publique fixe) et deux Spokes (se trouvant chacun derrière un modem). Un cas très utile.
Les modems ne font que du NAT (du classique) donc zéro config. Naturellement chaque spoke aura comme passerelle par défaut son modem.
Commençons par monter un tunnel IPsec du type DialUP
Sur le HUB et spokes
crypto isakmp policy 10
encr 3des
hash sha256
authentication pre-share
group 14
!
crypto isakmp key ******** address 0.0.0.0
!
crypto ipsec transform-set DM_VPN esp-3des esp-sha256-hmac
mode transport
!
crypto ipsec profile VPN
set transform-set DM_VPN
!
!
Configuration du DMVPN et sécurisation du tunnel
Sur le HUB
interface Tunnel0
ip address 1.1.1.1 255.255.255.0
no ip redirects
ip nhrp network-id 1
ip nhrp authentication ********
ip nhrp map multicast dynamic
tunnel source e0/0
tunnel mode gre multipoint
tunnel protection ipsec profile VPN
!
!
Sur le Spoke-1
interface Tunnel0
ip address 1.1.1.2 255.255.255.0
no ip redirects
ip nhrp network-id 1
ip nhrp authentication ********
ip nhrp nhs 1.1.1.1
ip nhrp map 1.1.1.1 196.207.199.1
ip nhrp map multicast 196.207.199.1
tunnel source e0/0
tunnel mode gre multipoint
tunnel protection ipsec profile VPN
!
!
Sur le Spoke-2
interface Tunnel0
ip address 1.1.1.3 255.255.255.0
no ip redirects
ip nhrp network-id 1
ip nhrp authentication ********
ip nhrp nhs 1.1.1.1
ip nhrp map 1.1.1.1 196.207.199.1
ip nhrp map multicast 196.207.199.1
tunnel source e0/0
tunnel mode gre multipoint
tunnel protection ipsec profile VPN
!
!
Routage du trafic des préfixes dans le tunnel.
Sur le HUB
!
ip route 192.168.2.0 255.255.255.0 1.1.1.2
ip route 192.168.3.0 255.255.255.0 1.1.1.3
!
Sur le Spoke-1
!
ip route 192.168.1.0 255.255.255.0 1.1.1.1
ip route 192.168.3.0 255.255.255.0 1.1.1.3
!
Sur le Spoke-2
!
ip route 192.168.1.0 255.255.255.0 1.1.1.1
ip route 192.168.2.0 255.255.255.0 1.1.1.2
!
Test de fonctionnement
Etat du DMVPN sur le HUB
/image%2F3625927%2F20250128%2Fob_f837a8_2.png)
Le HUB voit les Spokes de manière dynamique et nattée.
Connectivité des tunnels
/image%2F3625927%2F20250128%2Fob_8468e4_3.png)
Connectivité des préfixes
/image%2F3625927%2F20250128%2Fob_000c1a_4.png)
/image%2F3625927%2F20250128%2Fob_70657e_5.png)
Les informations NHRP
/image%2F3625927%2F20250128%2Fob_64b787_6.png)
Les informations IPsec
/image%2F3625927%2F20250128%2Fob_1589ba_7.png)
Sur l'un des Spokes
/image%2F3625927%2F20250128%2Fob_007914_10.png)
Que nous dit Wireshark ?
/image%2F3625927%2F20250128%2Fob_a88bb0_9.png)
Il nous dit dans son dialecte que tout le trafic est crypté.
La playload est encapsulée par le standard ESP, le tout dans un datagramme UDP à travers le NAT-T (port 4500), avant d’être encapsulé à nouveau dans un paquet IP qui, à son tour est mis dans une trame Ethernet avant que le codage en ligne ne soit fait.
Remarque : En aucun cas, les en-têtes ne contiennent les adresses IP des spokes (qui ont initié la communication), mais plutôt celle des routeurs internet. C’est aussi une couche de sécurité.
DMVPN est une solution idéale pour les réseaux multi-sites.