Les réseaux privés virtuels :

Présentation, configuration et
mise en exploitation
10/11/2007 TOPNET

I / Présentation générale des réseaux privées virtuels (VPN)

1- Présentation générale
Les réseaux privés virtuels, plus connus avec l’abréviation VPN (Virtual Private Networks)
sont l’ensemble d’interconnexion de réseaux locaux privés via un réseau public (typiquement
Internet) en exploitant des connexions sécurisées entre les différents sites distants. Le concept de
base sur lequel repose les VPN est le protocole de TUNNELING ou encapsulation de paquets qui
sont préalablement chiffrés par des algorithmes de cryptographie, dans un nouveau paquet afin de
les transmettre via un réseau public.
Ainsi, lorsqu'un système extérieur à un réseau privé (client nomade, agence ou travailleur à domicile)
souhaite se connecter au réseau de son entreprise :
- les paquets (qui contiennent les données) sont chiffrés par le client VPN (selon l'algorithme
décidé par les deux interlocuteurs lors de l'établissement du tunnel VPN) puis ils seront
transmis par le biais du réseau transporteur (Internet en général), enfin ils seront reçus par le
serveur VPN qui les décrypte .
- Le concept de VPN fait abstraction de la technologie exploité par le réseau de transmission
de données on peut donc utiliser les VPN avec une liaison FR, MPLS, X.25 ADSL etc..

2 - Les topologies des réseaux VPN

Il existe 2 implémentations standard de réseaux VPN : les Site-to-Site VPN (ou VPN LAN à LAN) et
le Client-to-Site VPN (ou VPN Client Serveur).

2-1 Les Client-to-Site VPN

Figure 1 : Architecture VPN Client-Serveur

Le VPN Client-Serveur est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau
privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il existe deux
cas:

Département des systèmes d’information

2
10/11/2007 TOPNET

1. L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le NAS (Network Access Server) du fournisseur
d'accès et c'est le NAS qui établit la connexion cryptée.

2. L'utilisateur possède son propre logiciel client pour le VPN dans ce cas il établit
directement la communication de manière cryptée vers le réseau de l'entreprise.

2-1 Les Site-to-Site VPN

Figure 2 : Architecture VPN LAN à LAN

Le VPN LAN à LAN est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le
plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des données.
Certaines données très sensibles peuvent être amenées à transiter sur le Vpn (base de données
clients, informations financières...). Des techniques de cryptographie sont mises en oeuvre pour
vérifier que les données n'ont pas été altérées.
La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées
aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de
cryptographie.

3- Les protocoles de tunneling

Les principaux protocoles de tunneling sont :
• GRE (Generic Routing Encapsulation) développé par Cisco et actuellement remplacé par
L2TP.
• L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661)
pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau
2 s'appuyant sur PPP.
• IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des
données chiffrées pour les réseaux IP.

Département des systèmes d’information

3
10/11/2007 TOPNET

• SSL/TLS offre une très bonne solution de Tunneling. L'avantage de cette solution est d'utiliser
un simple navigateur comme client VPN.

4- Le protocole IPSec
IPSec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au
niveau de la couche réseau. IPSec se base sur deux mécanismes :
1. AH, pour Authentification Header vise à assurer l'intégrité et l'authenticité des
datagrammes IP. Il ne fournit par contre aucune confidentialité : les données fournies
et transmises par ce "protocole" ne sont pas cryptés.
2. ESP, pour Encapsulating Security Payload peut aussi permettre l'authentification des
données mais est principalement utilisé pour le cryptage des informations.
Bien qu'indépendants ces deux mécanismes sont toujours utilisés conjointement. Enfin, le protocole
Ike permet de gérer les échanges ou les associations entre protocoles de sécurité. Avant de décrire
ces différents protocoles, nous allons exposer les différents éléments utilisés dans IPSec.

5- La gestion des clefs pour IPSec : Isakmp et IKE

Un des problèmes fondamentaux d'utilisation de la cryptographie dans tout protocole sécurisé
est la gestion de ses clefs. Le terme "gestion" recouvre la génération, la distribution, le stockage et la
suppression des clefs.
IKE (Internet Key Exchange) est un système développé spécifiquement pour IPSec qui vise à fournir
des mécanismes d'authentification et d'échange de clefs adaptés à l'ensemble des situations qui
peuvent se présenter sur l'Internet.

5-1 Isakmp (Internet Security Association and Key Management Protocol)

Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des

associations de sécurité et de leurs attributs. Il pose les bases permettant de construire divers
protocoles de gestion des clefs et plus généralement des associations de sécurité (Security
Association).
L’ensemble de ces traitements se font en deux étapes appelées phase 1 et phase 2 : dans la
première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin
d'établir entre les deux tiers un canal protégé ; dans un second temps, ce canal est utilisé pour
négocier les associations de sécurité pour les mécanismes de sécurité que l'on souhaite utiliser
(AH et ESP par exemple).

Département des systèmes d’information

4
10/11/2007 TOPNET

5-2 Ike (Internet Key Exchange)

IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes:
ƒ Le mode principal (Main mode).
ƒ Le mode agressif (Aggressive Mode).
ƒ Le mode rapide (Quick Mode).
ƒ Le mode nouveau groupe (New Group Mode).

Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de
phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange
de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre
d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.

a) Phase 1 : Main Mode ou Aggressive Mode

Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de
chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour Diffie-
Hellman .
Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour
l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des
aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur
calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode
d'authentification choisi. Les formules exactes sont décrites dans la Rfc 2409.

b) Phase 2 : Quick Mode

Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité
grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par
l'ajout d'un bloc Hash après l'en-tête Isakmp et la confidentialité est assurée par le chiffrement de
l'ensemble des blocs du message.
Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme
IPSec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la
communication.
Plus précisément, les échanges composant Ce mode ont le rôle suivant :
• Négocier un ensemble de paramètres IPSec (paquets de SA).
• Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du
secret généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est
possible d'avoir recours à un nouvel échange Diffie-Hellman, afin d'accéder à la propriété
de Perfect Forward Secrecy, qui n'est pas fournie si on se contente de générer une
nouvelle clef à partir de l'ancienne et des aléas.

Département des systèmes d’information

5
10/11/2007 TOPNET

Au final, le déroulement d'une négociation IKE suit le diagramme suivant :

Figure 3 : Les étapes d’établissement du tunnel VPN

Département des systèmes d’information

6
10/11/2007 TOPNET

II / Etude de cas : Configuration d’un Tunnel VPN entre un routeur Cisco

837 et un routeur Thomson ST-608
Nous allons détailler dans ce volet les différentes étapes pour configurer et mettre en
exploitation un VPN entre deux sites distants. La figure ci-dessous présente la topologie qu’on va
étudier.

Figure 4 : Architecture du réseau étudié

Il faut noter dans ce contexte, qu’on peut généraliser cette topologie qui ne présente que 2 vis-à-vis
(à savoir le réseau LAN du siège et celui de l’Agence) à une architecture plus généralisé qui
comporte n agences, donc n tunnel VPN.
L’acheminement des paquets entre les différentes agences ce fait par simple paramétrage de routes
dans le routeur du siège.

1 - Configuration du routeur Cisco 837

La configuration de l’accès ADSL pour le routeur Cisco 837 est détaillée dans l’annexe en fin de cette
documentation. Il est impératif de configurer et de tester l’accès au réseau Internet avant de passer
à la configuration et l’activation du protocole IPSec sur le routeur.

Etape 1 : Configuration de la règle pour IKE

(config)#crypto isakmp policy 1 // configure la priorité de la règle pour le protocole IKE

du VPN.

Département des systèmes d’information

7
10/11/2007 TOPNET

(config-isakmp)#encryption 3des // cette commande indique que l’algorithme de cryptage

de paquets qu’on va utiliser est le Triple DES.
(config-isakmp)#hash md5 // cette commande précise que l’algorithme de hachage
sera le MD5.
(config-isakmp)#authentication pre-share // cette commande indique que la clef
d’authentification initiale sera partagée et qu’on
ne dispose pas d’autorité de certification CA.
(config-isakmp)#group 2 // Le group 2 de Diffie Hellman.
(config-isakmp)#lifetime 480 // Spécifie la durée de vie en seconde pour l’association de sécurité
(SA) d’IKE.
(config-isakmp)#end // fin de configuration de la règle.

Etape 2 : L’authentification de la passerelle distante:

(config)#crypto isakmp identity address // Cette commande indique que l’hôte distant sera
identifié par son adresse.
(config)#crypto isakmp key topnet address 196.203.53.111 // Cette commande indique que la clé
partagé est « topnet » et elle sera utilisé avec le client distant 196.203.53.111. Si on veux utiliser
cette clé avec n’importe quel client distant on remplace cette @IP par 0.0.0.0

Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois la commande présentée
ci-dessus avec une clé différente (ou la même clé) et en précisant à chaque fois l’adresse IP public
du routeur distant.
Exemple :
Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on ajoute la
commande crypto isakmp key topnet address 196.203.44.109.

(config)#end // fin de configuration.

Etape 3 : Configuration du tunnel IPSec (cela implique la création de l’access-list et d’une transform-
set).
a) Les access-list de contrôle de trafic
(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255
(config)# access-list 110 permit ip 192.168.231.0 0.0.0.255 192.168.1.0 0.0.0.255
La première access-list donne le droit aux utilisateurs du réseau LAN distant d’accéder au réseau
local du siège.
La deuxième access-list donne le droit aux utilisateurs du réseau LAN du siège d’accéder au réseau
local de l’agence.

Département des systèmes d’information

8
10/11/2007 TOPNET

Remarque : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois les deux « access-list »
présentées ci-dessus pour permettre l’acheminement du trafic dans le sens entrant et le sens sortant
entre les deux réseaux reliés par le tunnel VPN.

Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute les
« access-list » suivantes :
(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(config)# access-list 110 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

b) Les access-list de contrôle du NAT

(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.231.0 0.0.0.255

(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 any

Ces deux access-list seront utilisées pour désactiver le natting entre les deux réseaux LAN et le
permettre ailleurs (vers le réseau Internet) . On applique l’access-list 101 avec le natting comme suit :

(config)# ip nat inside source list 101 interface Dialer0 overload

Rq : Si on souhaite interconnecter ‘’n’’ sites on doit répéter ‘’n’’ fois l’access-list qui désactive le NAT
(la première access-list : celle du deny) présentées ci-dessus pour désactiver le NAT entre le réseau
central et le nouveau site réseau distant.

Exemple : Si on dispose d’un deuxième site qu’on doit connecter par un tunnel VPN on ajoute
l’access-list suivante :
(config)# access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

Etape 4 : La Transform-Set

La transform-set permet de définir quels algorithmes de sécurité et quel mode (mode tunnel ou
transport) le routeur doit utiliser pour initier le tunnel. Si aucun mode n’est spécifié‚ c’est le mode
tunnel qui est utilisé par défaut.
Au sein d’une transform-set ‚ il est possible d’utiliser plusieurs algorithmes que le routeur testera à
tour de rôle.

(config)#crypto ipsec transform-set ts1 esp-md5-hmac esp-3des

(cfg-crypto-trans)#mode tunnel
(cfg-crypto-trans)#end

Département des systèmes d’information

9
10/11/2007 TOPNET

Remarques :
• ts1 est le nom de la Transform-Set
• AH (Authentification Header) : procédé qui garantit l'authenticité des trames IP par ajout
vérifier l'intégrité des données contenues dans le paquet.

• ESP (Encapsulating Security Payload) : procédé qui assure la confidentialité et

l'authenticité en générant à partir de la trame d'origine des données chiffrées sur une nouvelle
trame.

Etape 5 : La Crypto map

Les crypto map permettent d’associer un certain type de trafic à une certaine destination ainsi qu’à
une ou des règles de sécurité IPSEC.

(config)# crypto map map_vpn 10 ipsec-isakmp //le nom de la crypto map est map_vpn
(cfg-ctypto-map)#match address 110 // l’access-list 110 sera appliqué au tunnel VPN.
(cfg-ctypto-map)#set peer 196.203.53.111 // spécifie l’adresse ip du routeur distant.
(cfg-ctypto-map)#set transform-set ts1 // on applique la transform-set ts1 sur cette crypto map.
(cfg-ctypto-map)#exit

Remarques :

• map_vpn est le nom de la crypto map

• si on dispose de ‘’n’’ site à interconnecter par des tunnels VPN on exécute ‘’n’’ fois la
commande ‘’ set peer adresse_IP_publique_du_routeur_distant ‘’

Exemple :
Si on dispose d’un deuxième site distant possédant l’adresse IP publique 196.203.44.109 on ajoute la
commande set peer 196.203.44.109.

Etape 6 : Appliquer la Crypto Map sur une interface

Finalement on choisit l’interface à travers laquelle on veut établir un tunnel VPN. Dans notre cas on
veut établir une connexion VPN via une connexion ADSL, donc on choisira L’interface Dialer0.

(config)# interface Dialer 0

(config-if)# crypto map map_vpn
(config-if)# exit

N.B : il ne faut pas oublier de configurer les routes statiques comme suit :
(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

Département des systèmes d’information

10
10/11/2007 TOPNET

(config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

Remarque :
Si on dispose de plus qu’un site distant il est recommandé de définir les routes de la manière
suivantes :
‘’ Ip route réseau_LAN_distant masque_réseau_LAN_distant @IP_WAN_du_routeur_distant ‘’

Exemple :
Si on dispose de deux agences distantes possédant respectivement les adresse réseau LAN
192.168.231.0 /24 et 192.168.2.0/24 et les adresses IP publique 196.203.53.111 et 196.203.44.109
les routes seront définies comme suit :

(config)# ip route 0.0.0.0 0.0.0.0 Dialer0

(config)# ip route 192.168.231.0 255.255.255.0 196.203.53.111
(config)# ip route 192.168.2.0 255.255.255.0 196.203.44.109
(config)# ip route 192.168.1.0 255.255.255.0 Ethernet0

2 - Configuration du routeur Thomson SpeedTouch 608

La configuration du routeur Thomson ST-608 se fait à travers son interface graphique. Pour ce faire,
suivez les étapes suivantes :

Etape 1 : Connecter vous à l’interface d’administration du routeur via un navigateur internet.

( @IP par défaut : 192.168.1.254)

Etape 2 : Parmi les rubriques qui apparaissent à gauche de l’interface d’administration

choisir « Mode expert », puis choisir la rubrique « VPN », enfin choir
l’option « LAN to LAN ».

Vous aurez une interface pareil à celle-ci :

Département des systèmes d’information

11
10/11/2007 TOPNET

Figure 5 : Interface de configuration des paramètres VPN

Il faut préciser que pour un ST-608 il faut au premier lieu spécifier une « Remote Gateway »
(une passerelle distante), ensuite on crée une nouvelle connexion à cette passerelle.
Puisqu ‘on connaît déjà l’adresse IP du routeur distant on choisit l’onglet « Remote Gateway Address
Known » (qui apparaît déjà par défaut), sinon on choisi l’autre onglet.

Etape 3 : On spécifie l’adresse IP public de la passerelle distante dans le champ « Address

or FQDN ». Si notre passerelle distante dispose d’une liaison de Backup alors on
mentionne cette adresse dans le champ « Backup Address or FQDN ».

Etape 4 : Puis qu’on ne dispose pas d’autorité de certification on clique sur le bouton «Use
Preshared Key Authentication», la fenêtre s’enrichira par de nouveaux champs et
apparaîtra comme suit ( voire figure 6).

Département des systèmes d’information

12
10/11/2007 TOPNET

Figure 6 : Interface de configuration des paramètres IKE

• Dans le champ « Preshared Secret » on définie la clé partagé à utiliser avec la passerelle
distante, dans notre cas on mentionne la clé qu’on a déjà inscrite dans le routeur Cisco 837
qui est « topnet ».
• Dans le champ « Confirm Secret » on retape la même clé .
• Dans le champ « Local ID Type » on définie le type d’identification du routeur distant, pour
cela on choisi « addr » qui signifie : identification par adresse IP.
• Dans le champ « Local ID » on définie l’adresse WAN du ST-608.
• Dans le champ « Remote ID Type » on définie le type d’identification utilisé par le routeur
distant, pour cela on choisi « addr » qui signifie : identification par adresse IP.
• Dans le champ « Remote ID » on définie l’adresse WAN du Cisco 837.

Etape 5 : Choix du mode de connexion et des paramètres IKE

• Dans le menu déroulant relatif au choix de l’interface de connexion « Primary Untrusted
Physical Interface » on pourra choisir l’interface WAN1 ou la laisser à Any, dans ce cas le
routeur vérifiera sur quel interface du routeur, l’adresse IP publique qu’on a spécifié est
appliqué et paramétra automatiquement l’interface avec laquelle on utilisera un tunnel VPN.
• Dans le menu déroulant « IKE Exchange Mode » on choisit le mode de connexion « main »

Département des systèmes d’information

13
10/11/2007 TOPNET

• Dans le champ « Inactivity Timeout » on spécifie le temps de maintient du tunnel même s’il y
a aucun trafic véhiculé entre les deux réseaux.
• Le menu déroulant « IKE Security Descriptor » permet de choisir les algorithmes de
cryptographie et de hachage à utiliser, dans notre cas on va choisir « 3DES_MD5 »

Etape 6 : Validation et création de la passerelle

• Après avoir validé les étapes décrites précédemment on les valides en cliquant sur le bouton
« Apply » on remarquera qu’un bouton « New connection to this gateway » apparaît et que
l’adresse de notre passerelle s’ajoute dans la colonne « Gateway Address » en haut de la
page. On obtient une configuration similaire à celle décrite par la figure suivante :

Figure 7 : Création d’une nouvelle Gateway

Département des systèmes d’information

14
10/11/2007 TOPNET

Etape 7 : Création d’une nouvelle connexion à la passerelle

• Après avoir crée la passerelle on clique sur le bouton « New connection to this gateway » on
obtient une page similaire à celle-ci :

Figure 8 : Création d’une nouvelle connexion

• Dans le champ « Local Trusted Network Type » on définie si on veut autoriser à une seule
machine ou à un sous réseau ou à une plage d’adresse IP d’accéder au réseau distant. Ceci
est similaire au access-list pour un routeur Cisco.
Donc, comme précisé dans la figure 8, on va choisir un « subnet » (sous réseau).
• Dans le champ « Local Trusted Network IP » on mentionne l’adresse du sous réseau suivie
de son masque sous la forme x.x.x.x / 24.
• Dans le champ « Remote Trusted Network Type » on met la même valeur que pour le premier
champ.
• Dans le champ « Remote Trusted Network IP » on va mentionner l’adresse du réseau LAN
distant.
• Pour le descripteur du tunnel IPSec on choisit « 3DES_MD5_TUN ».

On valide la création de la nouvelle connexion par clique sur le bouton Add (voire figure 8). On aura
une interface similaire à celle de la figure 9 :

Département des systèmes d’information

15
10/11/2007 TOPNET

Figure 9 : Paramètres de la nouvelle connexion

• On remarque bien que des nouveaux boutons sont ajoutés à l’interface d’administration et
une deuxième ligne relative à la nouvelle connexion s’ajoute en dessous de celle relative à la
passerelle.
Dans cette deuxième ligne apparaît l’état de la connexion : si l’état est « enabled » alors
l’interface est prête mais la connexion n’est pas encore établie.
• Les boutons « Start » et « Stop » permettent respectivement d’établir et de stopper une
connexion VPN à la passerelle distante.
Si on clique sur le bouton « Start » et que les paramètres de connexion sont symétriques de
part et d’autre du tunnel, alors le Label «enabled » passe à « running ». Si malgré tout l’état
de la connexion reste à «enabled » alors le tunnel ne s’est pas établi et on en déduit qu’il y a
une erreur de paramétrage dans l’un des routeurs.
• Le bouton « Status » donne un aperçu sur l’état des deux phases d’établissement de
connexion VPN.
Si la connexion s’est bien établie, le clique sur le bouton « Status » nous fournira un résultat
pareil :

Département des systèmes d’information

16
10/11/2007 TOPNET

STATUS:
session id [10]
local ID : ipv4/196.203.53.111
remote ID : ipv4/196.203.17.157
name : AUTOL_to_196.203.53.135_#1
last role : initiator
role changes : 0
lastseen : 1 seconds ago
nat status : port swapped, keepalive
sa count : 2
p1 exchanged : 1
p2 exchanged : 1

negotiated phase 1 SA's :

-> peer AUTOL_to_196.203.53.135_#1
index : 12
state : READY ALWAYS_ON
icookie : 0xFB00CC08F7723908
rcookie : 0x1FF0557421F701CF
lifetime : 466 s
enc algo : 3DES
hash algo: MD5
group : MODP1024
ike in pkts : 5
ike in bytes : 736
ike in drop pkts : 0
ike out pkts : 5
ike out bytes : 815
ike out drop pkts : 1
ike in QM exchanges : 0
ike invalid in QM exchanges : 0
ike rejected in QM exchanges : 0
ike in QM delete requests : 0
ike out QM exchanges : 1
ike invalid out QM exchanges : 0
ike rejected out QM exchanges : 0
ike out QM delete requests : 0
ike in mode-cfg requests : 0
ike in rejected mode-cfg requests : 0
ike out mode-cfg requests : 0
ike out rejected mode-cfg requests : 0

Département des systèmes d’information

17
10/11/2007 TOPNET

negotiated phase 2 SA pairs :

-> connection AUTOL_196.203.53.111_to_196.203.53.135_#1
index : 11
state : READY ALWAYS_ON
spi's : in(0x525DA1B6) out(0x85EE4812)
lifetime : 3456 s
protocol : ESP
enc algo : 3DES
auth algo : HMAC-MD5
pfs : no
ipsec in bytes : 6384
ipsec in packets : 57
ipsec in decrypt packets : 57
ipsec in auth packets : 57
ipsec out bytes : 6840
ipsec out packets : 57
ipsec out crypt packets : 57
ipsec out auth packets : 57
ipsec in drops : 0
ipsec in replay drops : 0
ipsec in auth failed drops : 0
ipsec in decrypt failed drops : 0
ipsec out drops : 0
ipsec out auth failed drops : 0
ipsec out crypt failed drops : 0

On remarque bien que les deux phases de connexion se sont bien déroulées.

• Le bouton « Statistics » fournit des informations sur le nombre de paquets reçus, le nombre
de paquets cryptés et décryptés etc..

Département des systèmes d’information

18
10/11/2007 TOPNET

3 – Astuces et erreurs usuelles

Pour vérifier le bon établissement du tunnel VPN du côté routeur ST-608 on clique sur le bouton
« Status » on devrai avoir un output analogue à celui cité ci-dessus.
Du côté du routeur Cisco 837, la commande : show crypto isakmp sa et show crypto ipsec sa
fournissent respectivement un aperçu sur l’état de la connexion VPN.

Rq : Une fois le timeout de la connexion VPN est expiré le tunnel VPN est automatiquement
désactivé. Toute réutilisation ultérieure de la connexion réactivera automatiquement le tunnel VPN
sans intervention manuelle (ceci après un bref délai de négociation des associations de sécurité).

Parmi les erreurs usuelles pouvant empêcher un tunnel VPN de s’établir on peut citer :
• Configuration d’une clé pré-partagée différente de part et d’autre des routeurs.
• Choix d’un algorithme de cryptage ou de hachage différents de part et d’autre des routeurs.
• Mauvais paramétrage des access-list du routeur Cisco ou des Adresses IP locales et
distantes autorisées, pour le routeur ST-608.

Département des systèmes d’information

19
10/11/2007 TOPNET

Annexe

La configuration de l’accès Internet via ADSL sur le routeur Cisco 837 est définie comme suit :

Etape 1 : Configuration de l’interface Ethernet0

Router#configure terminal
Router(config)#interface ethernet0
Router(config-if)#ip address @IP_choisie masque_sous_reseau
Router(config-if)#ip nat inside
Router(config-if)#ip virtual-reassembly
Router(config-if)#ip tcp adjust-mss 1412
Router(config-if)#hold-queue 100 out
Router(config-if)#exit

Etape 2 : Configuration de l’interface ATM0

Router#configure terminal
Router(config)#interface ATM0
Router(config-if)#ip dhcp client client-id dialer0
Router(config-if)#pvc 0/35
Router(config-if-atm-vc)#pppoe-client dial-pool-number 1
Router(config-if-atm-vc)#exit
Router(config-if)#exit

Etape 3 : Configuration de l’interface Dialer0

Router#configure terminal
Router(config)#interface dialer0
Router(config-if)#ip address negotiated
Router(config-if)#ip mtu 1442
Router(config-if)#ip nat outside
Router(config-if)#encapsulation ppp
Router(config-if)#ip tcp adjust-mss 1452
Router(config-if)#dialer pool 1

Département des systèmes d’information

20
10/11/2007 TOPNET

Router(config-if)#dialer-group 1
Router(config-if)#ppp authentication chap callin
Router(config-if)#ppp chap hostname login_FAI
Router(config-if)#ppp chap password 0 password_FAI
Router(config-if)#ppp ipcp dns request
Router(config-if)#exit

A ce stade il ne faut pas oublier de configurer les routes statiques suivantes :

Router(config)# ip route 0.0.0.0 0.0.0.0 Dialer0 permanent

Router(config)# ip route adresse_sous_reseau masque_sous_reseau Ethernet0

Une fois que la configuration présentée dans ce volet est appliquée on peut tester l’état de la
connexion à Internet.

Département des systèmes d’information

21