Ah oui pour le fun j’ai mis du nat aussi (CCIE approchant, j’éssaie toujours de rajouter une petite touche de techno qui peut faire tout foirer histoire de troubleshooter).

R4 est le routeur qui fait du NAT. Il faut Imaginer que la liaison entre R4 et R5 est une connexion internet (d’où l’adressage en IP publique, les malins l’auront remarqué). Soit R1-R4 = Site1 et R5 = Site2

Ici, R2 et R3 vont avoir une IP Virtuelle HSRP qui va être nattée et servir de point de terminaison pour la connexion VPN.

Topologie

Configurations initiales (routage & co)

R1

!
hostname R1
!
interface FastEthernet1/0
 ip address 192.168.2.2 255.255.255.0
 duplex auto
 speed auto
 !
!
interface FastEthernet1/1
 ip address 192.168.1.2 255.255.255.0
 duplex auto
 speed auto
 !
!
!
router eigrp 65000
 network 192.168.0.0 0.0.255.255
!

R2

!
hostname R2
!
interface FastEthernet1/0
 ip address 192.168.0.1 255.255.255.0
 duplex auto
 speed auto
 standby 1 ip 192.168.0.254
 standby 1 priority 120
 standby 1 preempt
 standby 1 name ha ! Le name est important ici
 !                 ! Il sera référencé par la suite
!
interface FastEthernet1/1
 ip address 192.168.1.1 255.255.255.0
 duplex auto
 speed auto
 !
!
!
router eigrp 65000
 network 192.168.0.0 0.0.255.255
!

R3

!
hostname R3
!
interface FastEthernet1/0
 ip address 192.168.0.2 255.255.255.0
 duplex auto
 speed auto
 standby 1 ip 192.168.0.254
 standby 1 preempt!
 standby 1 name ha ! Le name est important ici
 !                 ! Il sera référencé par la suite
!
interface FastEthernet1/1
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
 !
!
!
router eigrp 65000
 network 192.168.0.0 0.0.255.255
!

R4

!
hostname R4
!
interface FastEthernet1/0
 ip address 192.168.0.3 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
interface FastEthernet1/1
 ip address 80.0.0.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 !
!
!
router eigrp 65000
 network 192.168.0.0 0.0.255.255
 redistribute static metric 20000 2 255 10 1500
!
ip nat inside source static udp 192.168.0.254 500 80.0.0.1 500 extendable !UDP500 = ISAKMP
ip nat inside source static udp 192.168.0.254 4500 80.0.0.1 4500 extendable !UDP 4500 = IPSEC Nat Traversal
ip route 0.0.0.0 0.0.0.0 80.0.0.2
!
!

R5

!
hostname R5
!
interface FastEthernet1/0
 ip address 80.0.0.2 255.255.255.0
 duplex auto
 speed auto
 !
!
router eigrp 65000
 network 192.168.0.0 0.0.255.255
!

Configuration IPSEC sur R2/R3/R5

Ici, on configure une policy isakmp et un profile IPSEC que l’ont va appliquer sur le tunnel. Les deux choses importantes sont que l’on va mapper le groupe HSRP dans le profile IPSEC ce qui permettras à IPSEC de savoir quand initier le failover, et en tunnel source, nous utiliseront l’IP virtuelle HSRP (sinon ça marchera pas).

Il est important que les 2 tunnels aient des IP différente, car ici nous n’utilisons pas de reverse route comme avec une crypto map. Ce qu’il va se passer, c’est que lors du failover, le router standby HSRP va prendre le relai, il aura déjà toute les SA car elles sont synchronisée, et le premier voisin EIGRP va être down, et le second va devenir UP, ce qui va remplacer les routes au niveau de R5. C’est ce processus qui va mettre un peu de délai dans le failover et qui pourrais être accéléré via routes statiques, modification des timers eigrp, …

R2

!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! la flemme
!
!
crypto ipsec transform-set TS1 esp-aes
 mode transport
!
crypto ipsec profile pf1
 set transform-set TS1 
 redundancy ha stateful
!
interface Tunnel0
 ip address 192.168.10.1 255.255.255.0
 tunnel source 192.168.0.254 ! IP HSRP
 tunnel mode ipsec ipv4
 tunnel destination 80.0.0.2 ! IP R5
 tunnel protection ipsec profile pf1
 !
!

R3

!
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! la flemme
!
!
crypto ipsec transform-set TS1 esp-aes
 mode transport
!
crypto ipsec profile pf1
 set transform-set TS1 
 redundancy ha stateful
!
interface Tunnel0
 ip address 192.168.10.2 255.255.255.0
 tunnel source 192.168.0.254 ! IP HSRP
 tunnel mode ipsec ipv4
 tunnel destination 80.0.0.2 ! IP R5
 tunnel protection ipsec profile pf1
 !
!

R5

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set TS1 esp-aes
 mode transport
!
crypto ipsec profile pf1
 set transform-set TS1 
!
!
!
!
!
!
!
interface Tunnel0
 ip address 192.168.10.3 255.255.255.0
 tunnel source FastEthernet1/0
 tunnel mode ipsec ipv4
 tunnel destination 80.0.0.1 !IP Public R4
 tunnel protection ipsec profile pf1
 !
!

Configuration pour le stateful failover

On va ici utiliser ipc (inter process communication).
Je vais pas trop détailler les commandes car cela me parait assez évident en gros on active le failover inter équipement, puis on créé une association entre nos deux routeurs, ou l’on définit IP Locale/Distante, ainsi que le port.
On mappe aussi ce failover au groupe HSRP. C’est HSRP qui sera le « trigger » pour initier le failover (quand le routeur active passe standby et vice versa les routeurs seront que l’état à changé).

Notez que l’on peut sécuriser l’échange IPC via IPSEC, ce qui n’est pas une mauvaise chose. Il est aussi intelligent d’utiliser une interface dédiée pour la transmission IPC (juste un lien entre les deux routeurs avec un subnet dédié, et on ajuste les local/remote ip dans la conf IPC).

NOTE: Il faut redémarrer les routeurs après avoir défini le stateful failover via IPC

R2

!
ipc zone default
 association 1
 no shutdown
 protocol sctp
 local-port 5000
 local-ip 192.168.0.1
 retransmit-timeout 300 10000
 path-retransmit 10
 assoc-retransmit 10
 remote-port 5000
 remote-ip 192.168.0.2 !IP R3
!
redundancy inter-device
 scheme standby ha
!

R3

!
ipc zone default
 association 1
 no shutdown
 protocol sctp
 local-port 5000
 local-ip 192.168.0.2
 retransmit-timeout 300 10000
 path-retransmit 10
 assoc-retransmit 10
 remote-port 5000
 remote-ip 192.168.0.1
!
redundancy inter-device
 scheme standby ha
!

Petite démo live & debugs/show

R2#sh redundancy inter-device
Redundancy inter-device state: RF_INTERDEV_STATE_ACT
 Scheme: Standby
 Groupname: ha Group State: Active
 Peer present: RF_INTERDEV_PEER_COMM
 Security: Not configured

R3#sh redundancy inter-device
Redundancy inter-device state: RF_INTERDEV_STATE_STDBY
 Scheme: Standby
 Groupname: ha Group State: Standby
 Peer present: RF_INTERDEV_PEER_COMM
 Security: Not configured

R5#ping 192.168.1.2 repeat 1000

Type escape sequence to abort.
Sending 1000, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!!!!!.. !//Ici je fait un shut sur F1/0 de R2 pour tout casser
*Mar 15 21:52:57.095: %DUAL-5-NBRCHANGE: EIGRP-IPv4 65000: Neighbor 192.168.10.2 (Tunnel0) is up: new adjacency !un voisin tombe
....
*Mar 15 21:53:04.227: %DUAL-5-NBRCHANGE: EIGRP-IPv4 65000: Neighbor 192.168.10.1 (Tunnel0) is down: holding time expired !l'autre passe up
..!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !//et le ping repart !
!!!!!

R3#sh redundancy inter-device
Redundancy inter-device state: RF_INTERDEV_STATE_ACT
 Scheme: Standby
 Groupname: ha Group State: Active
 Peer present: RF_INTERDEV_PEER_NO_COMM ! No comm car R2 est dead
 Security: Not configured
R3#

Rallumons R2

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.......!! !//ça tombe, et ça repart !
*Mar 15 21:57:09.435: %DUAL-5-NBRCHANGE: EIGRP-IPv4 65000: Neighbor 192.168.10.1 (Tunnel0) is up: new adjacency!!!!!!!!!!!!!!!

Conclusion

Voici un article sur la haute disponibilité IPSEC avec du stateful failover.

On noteras qu’ici le plus la durée de failover est due aux timers HSRP. La partie routage pourrais donc être améliorée pour accélérer la transition.

Topologie GNS et config finales: ipsec_ha.zip

http://www.ipflow.utc.fr/index.php/GET-VPN_Introduction

Donc le GET VPN C’est quoi ? GET = Group Encrypted Transport, donc pour faire simple on vas chiffrer au niveau de la couche 4 par groupes, c’est à dire qu’on vas utiliser un protocole (GDOI, qui se base sur ISAKMP) et un Key Server qui aura pour rôle d’envoyer les configuration aux équipements distants (group members). Les group members vont établir une SA vers le KS qui vas leur envoyer les paramètres de chiffrement de manière sécurisée. Ensuite, chaque group members, lorsqu’il voudra communiquer avec un autre, vas chiffrer uniquement à partir de la couche 4, c’est à dire que l’en tête IP n’est jamais modifiée. En gros, immaginons que l’on a un réseau non sécurisé avec du routage entre nos différents sites. J’ajoute les fonctionnalités GETVPN à mon réseau, et les échanges seront maintenant sécurisés sans l’utilisations de tunnels. Cela prend donc tout son intérêt dans le cadre du MPLS, le transport paquets du client étant gérés par le FAI.

Le principe est que le FAI doit acheminer des paquets de l’adressage privé du client entre les différents site, sans quoi le client devrait utiliser des tunnels. Le client est ensuite libre d’implémenter une solution GET VPN pour sécuriser son traffic transitant par son fournisseur d’accès.

Il faut bien comprendre que l’adressage privé/publique n’a rien à voir avec GETVPN, on pourrait très bien utilisé des connexions WAN dédiée, et implémenter GETVPN sur les routeurs des différents sites, mais il faudrait utiliser un protocole de tunneling pour que les paquets d’un réseau local soient transportable sur internet.

Le gros avantage de cette solution est de permettre du chiffrement any to any (tous les sites vers tous les sites), sans avoir d’interface tunnel, ce qui est couteux en terme de performance (encapsulation/décapsulation), et qui obligerait à avoir autant de tunnel vers les différents site (imaginons que l’on ait 10 sites, chaque site devrait avoir 10 tunnels…) , ou dans le cas d’une topologie hub and spoke, avoir un routeur qui fait tout le routage…

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/prod_brochure0900aecd80582078.pdf

Vous trouverez comment les configurer pour la plupart ici:

http://bmigette.fr/tag/vpn/

Topologie

Un petit exemple de remote VPN avec authentification/Authorization via Radius.
Voici la topologie dynagen que j’utilise:

ghostios = True
sparsemem = True

[localhost]

	[[2621XM]]
		image = ../images/C2600-AD.BIN
		ram = 96
		idlepc = 0x81691494

	#on créé un routeur virtuel nommé R1
	[[ROUTER VPNGATE]]
		model = 2621XM
		F0/0 = NIO_gen_eth:\Device\NPF_{XXXXXXX} #loopback, client vpn
		F0/1 = NIO_gen_eth:\Device\NPF_{XXXXXXX} #vmnet1, serveur ACS

Configuration des IP et du nom d’hôte

Router(config)#hostname VPNGATE
VPNGATE(config)#int f0/1
VPNGATE(config-if)#ip address 192.168.254.1 255.255.255.0
VPNGATE(config-if)#no shut
VPNGATE(config-if)#int f0/0
VPNGATE(config-if)#ip add 80.80.80.80 255.255.255.0
VPNGATE(config-if)#no shut
VPNGATE(config-if)#int loop1
VPNGATE(config-if)#ip address 192.168.1.1 255.255.255.0

Ping vers le serveur radius:

VPNGATE#ping 192.168.254.10

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.254.10, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/6/16 ms

Configuration du remote VPN:

Voici les différentes étapes à suivre:

• Configuration des politiques de groupes utilisée par le VPN (aaa)
• Configuration ISAKMP et IPSEC
• Configuration du client VPN Cisco
• Optionnel: Ajout de l’authentification XAuth

Configuration des politiques de groupes utilisée par le VPN (aaa)

Dans cette première partie, nous allons indiquer comment la configuration des utilisateurs va être appliquée par le VPN. Je vais créer un groupe local, et un groupe sur mon serveur radius.

Configuration AAA

VPNGATE(config)#aaa new-model
VPNGATE(config)#aaa authorization network Remote_VPN_Author group radius local
VPNGATE(config)#aaa authentication login Remote_VPN_Authen group radius local

Configuration du group local

Je vais créer un groupe d’administrateur de secour de manière à ce que si le serveur radius tombe en panne, le VPN soit encore accessible.
Il faut définir un pool d’adresse qui sera utilisé, puis configurer le groupe avec une clé pré partagée ainsi que les diverses options du groupe (serveur wins, DNS…).
On vas aussi créer un utilisateur LocalAdmin

VPNGATE(config)#ip local pool Remote_VPN_Pool 192.168.100.1 192.168.100.254
VPNGATE(config)#crypto isakmp client configuration group VPN_Admins
VPNGATE(config-isakmp-group)#key 4dm!nVPNP4$$
VPNGATE(config-isakmp-group)#pool Remote_VPN_Pool
VPNGATE(config-isakmp-group)#domain mynetwork.lan
VPNGATE(config-isakmp-group)#exit

Configuration du serveur radius

Sur le routeur:

VPNGATE(config)#radius-server host 192.168.254.10 key R4d!usK3y

Sur le serveur ACS:

Note: Ne pas oublier de changer l’adresse IP dans Network Configurations / AAA Servers et redémarrez le serveur radius (CSRadius)

NOTE: Pour les groupes ISAKMP Avec radius, il faut créer un utilisateur portant le nom du groupe, et l’associer à son groupe, avec le mot de pase cisco qui est un mot de passe spécial !
Je penses qu’il faut faire cela car le protocol radius n’accepte pas que l’on lui passe un groupe en paramètre, on utilisera donc un utilisateur pour authentifier le groupe. A vérifier
Source: http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ftunity.html#wp1191206 et http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ftunity.html#wp1045273

Dans le menu Network configuration, dans AAA Clients, cliquez sur add entry et mettez ces paramètres:
Hostname: VPNGATE
AAA Client IP: 192.168.254.1
Shared Secret: R4d!usK3y
Authenticate using: RADIUS (CISCO IOS/PIX)

Puis cliquez sur submit+apply

Screenshot configuration AAA Client

Allez ensuite dans Interface configuration, puis RADIUS (Cisco IOS/PIX 6.0), et vérifiez que « 026/009/001] cisco-av-pair » est coché (première ligne), puis submit.

interface configuration

Dans group Setup, choisissez le groupe 1, renommez le en VPN_USERS (optionnel), puis cliquez sur edit settings.

Dans la partie « Cisco IOS/PIX 6.x RADIUS Attributes » cochez « [009\001] cisco-av-pair » et mettez ceci:

ipsec:key-exchange=ike
ipsec:key-exchange=preshared-key 
addr-pool=VPN_Users_Pool
ipsec:default-domain=myNetwork.lan

Note: le pool VPN_Users_Pool Doit exister sur le router:

VPNGATE(config)#ip local pool VPN_Users_Pool 192.168.101.1 192.168.101.254

Cocher aussi ces attributs dans Radius IETF (s’ils n’apparaissent pas, aller dans Interface configuration, RADIUS IETF, puis cochez les)

• Attribute 6: Service-Type=Outbound
• Attribute 64: Tunnel-Type=IP ESP
• Attribute 69: Tunnel-Password=U$3rVPNP4$$

Configuration Radius 1

Configuration Radius 2

Cliquez sur Submit+Restart

Je n’ai pas trouvé la liste exhaustive des attributs supportés, je me suis inspiré de ceux ci:
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t8/feature/guide/ftunity.html#wp1058287

AJOUT DE L’UTILISATEUR DU GROUPE !!

ajouter un utilsateur VPN_USERS avec le mot de passe cisco (cisco et pas un autre mot de passe, voir note au début de ce point). Dans la partie Client IP Address Assignment, mettez « No IP address assignment »

Ajout de l'utilsateur du groupe

Ajoutez un utilisateur dans le serveur radius (cliquez sur User setup, entrez un nom d’utilisateur puis cliquez sur add/edit et mettez les paramètres sur screenshot).

Ajout utilisateur 1

Ajout utilisateur 2

j’ai créé l’utilisateur vpnuser avec le mot de passe cisco (ici le mot de passe cisco n’est pas obligatoire, vous pouvez mettre ce que vous voulez). Testons les paramètres sur le routeur:

VPNGATE#test aaa group radius vpnuser cisco legacy
Attempting authentication test to server-group radius using radius
User was successfully authenticated.

Configuration ISAKMP et IPSEC

Configuration ISAKMP: Hash md5, Authentification PSK, Diffie-Hellman Group 2, et encryption DES

VPNGATE(config)#crypto isakmp policy 1
VPNGATE(config-isakmp)#hash md5
VPNGATE(config-isakmp)#authentication pre-share
VPNGATE(config-isakmp)#group 2
VPNGATE(config-isakmp)#encryption des
VPNGATE(config-isakmp)#exit

Note: La clé pré partagée IKE sera celle du groupe.

Il faut maintenant créer un transform set, et une crypto map dynamic. Les crypto map dynamiques sont des crypto map dont l’ensemble des paramètres n’est pas connu, par exemple en l’occurence le peer distant n’est pas static, on ne connait pas les adresses IP qui vont se connecter en remote VPN.
Creation d’un transform set et d’une crypto map dynamiques. La fonction reverse-route permet d’intégrer une route /32 avec l’adresse du client dans la table de routage et donc de la propager aux autres routeurs via des mises à jour (RIP, EIGRP, OSPF…) afin qu’il soit connu des autres routeur du réseau.
Note: Les numéros 1 et 10 des crypto map correspondent au numéros de séquence, ce qui permet d’avoir plusieurs profiles. Le numero le plus petit est prioritaire, car il sera traité en premier.

VPNGATE(config)#crypto ipsec transform-set Remote_VPN_TSet esp-3des esp-Md5-hmac
VPNGATE(cfg-crypto-trans)#exit
VPNGATE(config)#crypto dynamic-map Remote_VPN_Dynmap 1
VPNGATE(config-crypto-map)#set transform-set Remote_VPN_TSet
VPNGATE(config-crypto-map)#reverse-route

Nous allons maintenant creer la crypto map qui indiquera comment est déclenchée la connexion client, ainsi que les paramètres d’authorization

VPNGATE(config)#crypto map Remote_VPN_Map isakmp authorization list Remote_VPN_Author
!connexion déclenchée par le client
VPNGATE(config)#crypto map Remote_VPN_Map client configuration address respond
VPNGATE(config)#crypto map Remote_VPN_Map 10 ipsec-isakmp dynamic Remote_VPN_Dynmap  

Note: Les numéros 1 et 10 des crypto map correspondent au numéros de séquence, ce qui permet d’avoir plusieurs profiles. Le numero le plus petit est prioritaire, car il sera traité en premier.

Il ne reste plus qu’a appliquer notre crypto map au l’interface par laquelle vont se connecter les clients et ça doit marcher (suspens)

VPNGATE(config)#interface FastEthernet 0/0
VPNGATE(config-if)#crypto map Remote_VPN_Map

Configuration du client VPN Cisco

Dans le client VPN Cisco, cliquez sur new:

New entry

Dans la fenêtre utilisez ces paramètres (ou ceux que vous avez spécifier pour votre groupe local à l’étape 1).:
Group : VPN_Admins
Password: 4dm!nVPNP4$$

Ajouter group VPN_Admins

Refaire la même étape avec les paramètres du serveur Radius

Group: VPN_USERS
Password:U$3rVPNP4$$

ester la connexion VPN_USERS:

Sélectionnez la connexion dans le Client VPN, puis cliquez sur connect. Cela doit marcher.

Vérification de la reverse-route (80.80.80.1 est mon l’adresse publique du client).

VPNGATE#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     80.0.0.0/24 is subnetted, 1 subnets
C       80.80.80.0 is directly connected, FastEthernet0/0
C    192.168.254.0/24 is directly connected, FastEthernet0/1
C    192.168.1.0/24 is directly connected, Loopback1
     192.168.101.0/32 is subnetted, 1 subnets
S       192.168.101.1 [1/0] via 80.80.80.1

Affichage des clients:

VPNGATE#sh crypto isakmp peers
Peer: 80.80.80.1 Port: 3800 Local: 80.80.80.80
 Phase1 id: VPN_USERS

VPNGATE#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
80.80.80.80     80.80.80.1      QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

VPNGATE#sh crypto session
Crypto session current status

Interface: FastEthernet0/0
Session status: UP-ACTIVE
Peer: 80.80.80.1 port 3800
  IKE SA: local 80.80.80.80/500 remote 80.80.80.1/3800 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 host 192.168.101.1
        Active SAs: 2, origin: dynamic crypto map

Et sur mon pc:

Carte Ethernet Connexion au réseau local 8:

        Suffixe DNS propre à la connexion : myNetwork.lan
        Adresse IP. . . . . . . . . . . . : 192.168.101.2
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.101.1

Maintenant, désactivons le serveur radius (déconnecter, shutdown,…) pour tester le groupe admins. Si on ne faisait pas ça, le serveur radius répondrait par invalid user et on ne pourrais s’authentifier avec le groupe VPN_Admins.
Si l’on voulais que ce groupe soit quand même accessible, il aurait fallu le créer ET sur le routeur ET sur le serveur radius. Pour ma part je vais shutdown l’interface du radius.

Note: Cela ne marche pas car le temps qu’il y ait un timeout pour contacter le serveur radius, le client VPN annule la connexion. Par contre si je modifie la ligne

VPNGATE(config)#aaa authorization network Remote_VPN_Author group radius local
par
VPNGATE(config)#aaa authorization network Remote_VPN_Author local

Le groupe VPN_Admins fonctionne. On remarque bien un pool d’adresse différent:

Carte Ethernet Connexion au réseau local 8:

        Suffixe DNS propre à la connexion : mynetwork.lan
        Adresse IP. . . . . . . . . . . . : 192.168.100.1
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.100.2

Il faudrait trouver un moyen d’augmenter le timeout pour le client VPN, ou de baisser celui du serveur radius sur le routeur. Bref on va plutot s’attaquer à l’XAUTH.

Ajout de l’authentification XAuth

XAuth c’est quoi? XAuth = eXtended Authentication. Oui mais encore ? Xauth est un processus entre les phase 1 et 2 IKE (parfois appelé phase IKE 1.5), permettant d’authentifier un utilisateur lorsqu’il se connecte en VPN. Les plus doué d’entre vous auront peut être remarqué que j’ai créé un utilisateur vpnuser avec le mot de passe cisco, et que j’ai ajouter une ligne dans la configuration du routeur qui ne nous a pas encore servie:

VPNGATE(config)#aaa authentication login Remote_VPN_Authen group radius local

Bref, pour activer XAuth, ajouter une authentication list à la crypto map précédemment créée:

VPNGATE(config)#crypto map Remote_VPN_Map client authentication list Remote_VPN_Authen

Maintenant, il suffit de couper la connexion, et de la relance (VPN_USERS), et l’on va être amenés à se logguer. Nous utiliseront vpnuser/cisco (ou tout autre utilisateur que vous aurez créé). Libre à vous d’ajouter d’autres utilisateurs dans ACS. Pour les groupes locaux, il suffit d’utiliser les utilisateurs créé avec la commande username. (Ne pas oublier de remettre aaa authorization network Remote_VPN_Author group radius local si vous aviez enlevé radius pour testé le group local)

xauth

Voila voila, j’espère que ceux qui sont arrivés à la fin de cet article sont des pro du remote VPN !

Configuration finale:

VPNGATE#sh run
Building configuration...

Current configuration : 1785 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPNGATE
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login Remote_VPN_Authen group radius local
aaa authorization network Remote_VPN_Author group radius local 
!
aaa session-id common
!
resource policy
!
memory-size iomem 15
no network-clock-participate slot 1
no network-clock-participate wic 0
ip cef
!
!
!
!
!
!
!
!
username LocalAdmin privilege 15 secret 5 $1$tDWV$6NngMkxdNRufvvGGmZ68h1
!
!
!
crypto isakmp policy 1
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPN_Admins
 key 4dm!nVPNP4$$
 domain mynetwork.lan
 pool Remote_VPN_Pool
!
!
crypto ipsec transform-set Remote_VPN_TSet esp-3des esp-md5-hmac
!
crypto dynamic-map Remote_VPN_Dynmap 1
 set transform-set Remote_VPN_TSet
 reverse-route
!
!
crypto map Remote_VPN_Map client authentication list Remote_VPN_Authen
crypto map Remote_VPN_Map isakmp authorization list Remote_VPN_Author
crypto map Remote_VPN_Map client configuration address respond
crypto map Remote_VPN_Map 10 ipsec-isakmp dynamic Remote_VPN_Dynmap 
!
!
!
!
interface Loopback1
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0
 ip address 80.80.80.80 255.255.255.0
 duplex auto
 speed auto
 crypto map Remote_VPN_Map
!
interface FastEthernet0/1
 ip address 192.168.254.1 255.255.255.0
 duplex auto
 speed auto
!
ip local pool Remote_VPN_Pool 192.168.100.1 192.168.100.254
ip local pool VPN_Users_Pool 192.168.101.1 192.168.101.254
!
!
ip http server
no ip http secure-server
!
!
!
!
radius-server host 192.168.254.10 auth-port 1645 acct-port 1646 key R4d!usK3y
!
control-plane
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end

Quand vous voulez établir des SA ISAKMP, il vous faut définir la cléf pré partagée avec l’hôtes distant. Si vous utilisez la même clé avec plusieurs peer distant, vous pouvez procéder comme ceci:

crypto isakmp key isakmpPassword address 0.0.0.0 0.0.0.0

Bref la simplicité en plus, la sécurité en moins

Introduction

La grande difference entre Gre over IPSEC et IPSEC Tunnel mode, est que GRE vas accepter d’autre type de traffic que IP et va gérer le broadcast ainsi que le multicast. Lorsque l’on configure un tunnel GREoIPSEC, IPSEC sera en mode transport, car les paquets IP vont être encapsulés en GRE, et IPSEC va transporter ces paquets GRE. IPSEC en mode tunnel fonctionnerait aussi mais cela créérait une entête IP supplémentaire, ce qui, a part réduire la quantité de donnée dans le payload et augmenter la charge des routeurs, ne présente aucun intérêt…

Nous considérons que le routage est déjà fait (je vais utiliser EIGRP)

Configuration Tunnel IPSEC

Configuration ISAKMP

Un tunnel IPSEC se monte en deux phase, appelées phases IKE. La phase 1 permet d’établir une session ISAKMP, qui va utiliser diffie hellman pour échanger une clef afin de crypter les données transitant par ce tunnel ISAKMP.

La Phase 2 permets d’utiliser le tunnel ISAKMP afin d’échanger de manière sécurisée les paramètres pour le tunnel IPSEC.

Pour configurer ISAKMP, utiliser les commandes suivantes:

!activer ISAKMP
R1(config)#crypto isakmp enable
!Creer une politique ISAKMP: Plus petit est le nombre,
!plus prioritaire est la politique
!Il faut que les deux pair aient une politique avec les même paramètres
R1(config)#crypto isakmp policy 100
!DH Group 5
R1(config-isakmp)#group 5
!Chiffrement AES
R1(config-isakmp)#encryption aes
!Utiliser SHA pour l'auth
R1(config-isakmp)#hash sha
!Utilisation PSK
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
!Renseigner le mot de passe pour la session ISAKMP pour le pair distant
R1(config)#crypto isakmp key 0 isakmpPassword address 80.0.0.2

Effectuer la même chose sur R2 (en remplaçant l’ip dans la commande crypto map isakmp key)

Configuration IPSEC

Trois étapes: Création d’un transform set, indiquant les protocoles de sécurité à utiliser: AH Pour l’authentification, ESP pour le cryptage et/ou l’authentification. On peut utiliser AH, AH+ ESP ou ESP seulement.

Creation d’une access-list identifiant le traffic à chiffrer. Le traffic permit pas cette ACL sera chiffré dans le tunnel IPSEC, le reste non…

Creation d’une crypto-map spécifiant le pair distant, le transform set, et l’access list.

Commandes Sur R1:

!Définition d'un transform set sans chiffrement
R1(config)#crypto ipsec transform-set AH_NO_ESP ah-sha-hmac
R1(cfg-crypto-trans)#exit
!Creation de l'ACL
R1(config)#ip access-list extended VPN
!uniquement le traffic entre mes 2 sites, à adapter selon ce qu'on veut chiffrer
R1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
R1(config-ext-nacl)#exit
!creation d'une crypto map pour ipsec + isakmp.
!Le numero 1 permets d'avoir plusieurs paramètes dans une même crypto map
!Cela permet d'avoir par exemple plusieurs tunnels depuis une interface car
!on ne peut avoir plus d'une crypto map par interface
R1(config)#crypto map VPNMAP 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#set peer 80.0.0.2
R1(config-crypto-map)#set transform-set AH_NO_ESP
R1(config-crypto-map)#match address VPN
R1(config-crypto-map)#exit
R1(config)#int S1/0
!application de la crypto map
R1(config-if)#crypto map VPNMAP
R1(config-if)#exit
*Mar  1 00:42:52.471: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

Même chose sur R2 en changeant l’adresse IP du peer, et bien sur l’ACL (permutter source et destination)

Maintenant, si je fait un PING entre R1 et R2, en ayant bien les adresses sources des réseaux 192.168.1.0, le traffic vas être sécurisé via IPSEC (utilisation de AH).

R1#ping
Protocol [ip]:
*Mar  1 00:38:54.215: %SYS-5-CONFIG_I: Configured from console by console
Target IP address: 192.168.2.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/24/36 ms
R1#

Capture AH+ESP

On remarque que les IP source et de destination sont celle du ping. Cela est du au fait que AH ne permet pas le tunneling, il faut utiliser ESP:

R1(config)#crypto ipsec transform-set AH_ESP ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#exit
R1(config)#crypto map VPNMAP 1 ipsec-isakmp
R1(config-crypto-map)#set transform-set AH_ESP

A faire aussi sur R2

Capture AH+ESP

On voit ici que ESP à encapsulé le paquet IP, et que les IP sources sont celles du tunnel.

Voila pour IPSEC Tunnel

GRE Over IPSEC

Penser à enlever la crypto map avant toute configuration

R1(config)#int s1/0
R1(config-if)#no crypto map VPNMAP

Création de l’interface tunnel:

R1(config)#interface tunnel 0
R1(config-if)#tunnel source S1/0
R1(config-if)#tunnel destination 80.0.0.2
R1(config-if)#ip address 192.168.0.1 255.255.255.252

Faire pareil sur R2 en changeant la destination et l’adresse ip (je vais utiliser 192.168.0.2 /30

Modifier EIGRP pour avoir les route passant par le tunnel:

!avant
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     80.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       80.0.0.0/24 is directly connected, Serial1/0
D       80.0.0.0/8 is a summary, 01:11:47, Null0
     192.168.0.0/30 is subnetted, 1 subnets
C       192.168.0.0 is directly connected, Tunnel0
C    192.168.1.0/24 is directly connected, Loopback1
D    192.168.2.0/24 [90/2297856] via 80.0.0.2, 01:08:04, Serial1/0

Modification (à faire également sur R2)

R1(config)#router eigrp 65000
R1(config-router)#no network 80.0.0.0 0.0.0.255
!*Mar  1 01:25:49.679: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65000: Neighbor 80.0.0.2 (Serial1/0) is down: interface downw
R1(config-router)#network 192.168.0.0 0.0.0.3
R1(config-router)#exit

Après:

*Mar  1 01:27:08.151: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 65000: Neighbor 192.168.0.2 (Tunnel0) is up: new adjacency
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     80.0.0.0/24 is subnetted, 1 subnets
C       80.0.0.0 is directly connected, Serial1/0
     192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.0.0/30 is directly connected, Tunnel0
D       192.168.0.0/24 is a summary, 00:01:56, Null0
C    192.168.1.0/24 is directly connected, Loopback1
D    192.168.2.0/24 [90/297372416] via 192.168.0.2, 00:00:45, Tunnel0
R1#

Capture d’un ping:

Capture d'un ping avec GRE

On a bien 2 entêtes IP. Créons un tunnel IPSec avec les mêmes commandes (l’access list fera un match sur le protocole gre, étant donné que les paquets seront encapsulés par GRE avant d’ête envoyés dans IPSEC).

R1(config)#ip access-list extended VPNGRE
R1(config-ext-nacl)#permit GRE any any
R1(config-ext-nacl)#exit
R1(config)#crypto map VPNMAPGRE 1 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
        and a valid access list have been configured.
R1(config-crypto-map)#set peer 80.0.0.2
!transform set créé précédement
R1(config-crypto-map)#set transform-set AH_ESP
R1(config-crypto-map)#match address VPNGRE
R1(config-crypto-map)#exit
R1(config)#int S1/0
R1(config-if)#crypto map VPNMAPGRE
R1(config-if)#exit
R1(config)#

Maintenant, je vais faire une capture du ping avec ip sec en mode tunnel, et en mode transport. Pour passer en mode transport, taper ces commandes sur R1 et R2:

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#crypto ipsec transform-set AH_ESP ah-sha-hmac esp-aes
R1(cfg-crypto-trans)#mode transport
R1(cfg-crypto-trans)#^Z
R1#clear crypto sa

Mon ping fonctionne toujours

GRE ESP Mode tunnel

GRE ESP Mode transport

Evidemment, on ne peut vérifier s’il y a 1 ou 2 entêtes IP dans le payload, étant donné qu’il est chiffré par ESP.

Conclusion:

J’espère que la configuration de tunnels VPN site to site avec IPSEC est maintenant un jeu d’enfant. Une petite remarque cepandant, si avec le tunnel ip sec j’avais mis un permit ip any any pour le match, il aurait fallu que je déclares des neighbor unicast à EIGRP, IPSEC ne gérant pas le multicast.

Un petit lien aussi (en anglais) pour faire des tunnels VPN sans crypto map, si vous n’aimez pas ça:

http://www.ciscoblog.com/archives/2006/08/vpn_virtual_tun.html

Un article ou sont expliqué les différences entre le mode GREoIPSEC et IPSEC tunnel avec des schémas:

http://www.nil.si/ipcorner/IPsecVPN2/ (cliquer sur full article en bas à droite)

Voir la vidéo