# Tunnel IPSec entre 2 routeurs On entend souvent qu'il est difficile de faire du VPN IPSec entre 2 routeurs. Bon, c'est en partie vrai mais pas tant que ça. Voici un exemple concret d'une topologie VPN fonctionnel. *N'oubliez pas de faire attention à la sécurité si vous souhaitez vous en inspirer.* Les routeurs Maxime et Jean-Clément vont être configuré pour faire du VPN entre eux, le routeur Stéphane simule un FAI. **Configuration des interfaces**

**R-Maxime** ``` hostname Maxime interface g0/0 ip add 70.0.0.1 255.255.255.252 no shut interface g0/1 ip add 192.168.6.254 255.255.255.0 no shut exit ```

**R-Jean-Clément** ``` hostname JC interface g0/0 ip add 60.0.0.2 255.255.255.252 no shut interface g0/1 ip add 192.168.5.254 255.255.255.0 no shut exit ```

**R-Stéphane** ``` hostname Stephane interface fa0/0 ip address 60.0.0.1 255.255.255.252 no shut interface fa0/1 ip address 70.0.0.2 255.255.255.252 no shut ```

**Configuration des routes** Une route par défaut pour les routeurs Maxime et Jean-Clément et 2 routes pour le routeur Stéphane

**R-Maxime** ``` ip route 0.0.0.0 0.0.0.0 g0/0 ```

**R-Jean-Clément** ``` ip route 0.0.0.0 0.0.0.0 g0/0 ```

**R-Stéphane** ``` ip route 192.168.5.0 255.255.255.0 fa0/0 ip route 192.168.6.0 255.255.255.0 fa0/1 ```

**Configuration VPN** **R-Maxime** ``` crypto isakmp policy 10 hash md5 authentication pre-share group 2 lifetime 7200 crypto isakmp key schtroumph address 60.0.0.2 255.255.255.252 crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac exit access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255 crypto map babar 12 ipsec-isakmp set peer 60.0.0.2 set transform-set schtroumph match address 101 exit interface g0/0 crypto map babar exit ``` **R-Jean-Clément** ``` crypto isakmp policy 10 hash md5 authentication pre-share group 2 lifetime 7200 crypto isakmp key schtroumph address 70.0.0.1 255.255.255.252 crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac exit access-list 101 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255 crypto map babar 12 ipsec-isakmp set peer 70.0.0.1 set transform-set schtroumph match address 101 exit interface g0/0 crypto map babar exit ``` *Il faut peut être quelques explications.* **Configuration du ISAKMP (IKE)** - `crypto isakmp policy X` permet d'initier une règle de connexion avec un autre routeur. Le X peut être ce que vous voulez comme nombre. - Ensuite, on configure le type de `hash `(faite ? après `hash` pour connaitre les options). Ici ce sera en md5 - `authentication pre-share` permet d'indiquer l'utilisation d'un mot de passe partagé entre les 2 routeur pour l'initialisation de la connexion. - `group 2` C'est le type de groupe pour Diffie-Hellman. Les groupes Diffie-Hellman déterminent la force de la clé utilisée dans le processus d'échange de clés. Les groupes portant un numéro supérieur sont plus sûrs, mais il faut plus de temps pour créer la clé. - Groupe Diffie-Hellman 1 : groupe 768 bits - Groupe Diffie-Hellman 2 : groupe 1024 bits - Groupe Diffie-Hellman 5 : groupe 1536 bits - Groupe Diffie-Hellman 14 : groupe 2 048 bits - Groupe Diffie-Hellman 15 : groupe 3 072 bits - Groupe Diffie-Hellman 19 : groupe de courbe elliptique 256 bits - Groupe Diffie-Hellman 20 : groupe de courbe elliptique 384 bits Les deux pairs d'un échange VPN doivent utiliser le même groupe, qui est négocié pendant la phase 1 du processus de négociation IPSec. Lorsque vous définissez un tunnel BOVPN manuel, vous spécifiez le groupe Diffie-Hellman pendant la phase de création d'une connexion IPSec. Cette phase désigne le stade où deux pairs créent un canal sécurisé et authentifié pour communiquer. **Attention à votre débit, si c'est en local (si si, c'est faisable dans certains cas), choisissez ce que vous voulez, si c'est distant et faible en débit, attention à la taille de la clef !** - **`lifetime 7200`** Durée de vie de la clé de session - **`crypto isakmp key schtroumph address 70.0.0.1 `**C'est **LA** commande qui définit le mot de passe et l'adresse **PUBLIC** du routeur destinataire. **Configuration et Application de l'IPSec** - `access-list 101 permit ip 192.168.6.0 0.0.0.255 192.168.5.0 0.0.0.255` Création d'une ACL permettant au réseau de Maxime d'atteindre le réseau LAN de Jean-Clément - `crypto ipsec transform-set schtroumph esp-aes esp-sha384-hmac` Création d'une transformation IPSec et utilisation du mot de passe définit avant et de la méthode de chiffrement. Il y a plusieurs choix pour la méthode de chiffrement et son option. Pensez à utiliser le ? - `crypto map babar X ipsec-isakmp` **`set peer 70.0.0.1`** **`set transform-set schtroumph`** **`match address 101`** Ces commandes permettent la création de la Crypto Map (et son nom babar) et de définir le destinataire de ce VPN, le mot de passe d'initialisation de connexion et l'ACL à utiliser. - `interface g0/0` `crypto map babar` Maintenant, on applique la Crypto Map (via son nom) à l'interface de sortie WAN du routeur. Il est possible d'avoir plusieurs map à appliquer en fonction du nombre de site que vous souhaitez interconnecter. La condition de fonctionnement est l'utilisation des mêmes options et mots de passe sur le routeur distant. Et normalement, ça ping :) Vous voyez, c'est pas trop difficile.