Tunnel IPSec entre 2 routeurs

On entend souvent qu'il est difficile de faire du VPN IPSec entre 2 routeurs. Bon, c'est en partie vrai mais pas tant que ça.

Voici un exemple concret d'une topologie VPN fonctionnel.

N'oubliez pas de faire attention à la sécurité si vous souhaitez vous en inspirer.

Les routeurs Maxime et Jean-Clément vont être configuré pour faire du VPN entre eux, le routeur Stéphane simule un FAI.

Configuration des interfaces

R-Maxime

 

hostname Maxime
interface g0/0
ip add 70.0.0.1 255.255.255.252
no shut
interface g0/1
ip add 192.168.6.254 255.255.255.0
no shut
exit

 

R-Jean-Clément

 

hostname JC
interface g0/0
ip add 60.0.0.2 255.255.255.252
no shut
interface g0/1
ip add 192.168.5.254 255.255.255.0
no shut
exit

 

R-Stéphane

 

hostname Stephane
interface fa0/0
ip address 60.0.0.1 255.255.255.252
no shut
interface fa0/1
ip address 70.0.0.2 255.255.255.252
no shut

 

Configuration des routes

Une route par défaut pour les routeurs Maxime et Jean-Clément et 2 routes pour le routeur Stéphane

R-Maxime


ip route 0.0.0.0 0.0.0.0 g0/0


R-Jean-Clément

 

ip route 0.0.0.0 0.0.0.0 g0/0


R-Stéphane

 

ip route 192.168.5.0 255.255.255.0 fa0/0
ip route 192.168.6.0 255.255.255.0 fa0/1

 

Configuration VPN

R-Maxime

 

crypto isakmp policy 10
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key schtroumph address 60.0.0.2 255.255.255.252

crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac
exit
access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255
crypto map babar 12 ipsec-isakmp
set peer 60.0.0.2
set transform-set schtroumph
match address 101
exit
interface g0/0
crypto map babar
exit

R-Jean-Clément

crypto isakmp policy 10
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key schtroumph address 70.0.0.1 255.255.255.252

crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac
exit
access-list 101 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
crypto map babar 12 ipsec-isakmp
set peer 70.0.0.1
set transform-set schtroumph
match address 101
exit
interface g0/0
crypto map babar
exit

Il faut peut être quelques explications.

Configuration du ISAKMP (IKE)

Configuration et Application de l'IPSec

Il est possible d'avoir plusieurs map à appliquer en fonction du nombre de site que vous souhaitez interconnecter.

La condition de fonctionnement est l'utilisation des mêmes options et mots de passe sur le routeur distant.

Et normalement, ça ping :)

Vous voyez, c'est pas trop difficile.


Revision #3
Created 25 March 2024 23:01:03 by Nicolas
Updated 4 February 2025 23:20:55 by Nicolas