Bienvenue à tous dans ce dernier chapitre qui clôt la partie sur les VPN, mais aussi sur ce cours. Dans ce chapitre, vous allez enfin mettre en pratique la théorie que vous venez d’assimiler en créant un VPN sécurisé entre deux sites. Ceci vous permettra de relier deux réseaux comme s’ils n’en formaient qu’un.
Allez, on commence.
Ajoutez le nouveau site
Commencez par ajouter le nouveau site comme ceci.
Grâce à cette topologie, les WAN de chaque routeur/firewall se retrouvent sur le même réseau si vous laissez bien leurs configurations en DHCP.
Voyons maintenant comment créer le VPN.
Ouvrez votre firewall au VPN
La première chose à faire est de laisser entrer les protocoles nécessaires au fonctionnement du firewall.
Il s'agit :
du protocole de transport ESP (qui est du même niveau que TCP et UDP donc)
des ports UDP 500 pour ISAKMP
et UDP 4500 pour le NAT-T (il s'agit d'un NAT utilisé dans le cadre d'IPsec)
Chacune de ses règles a pour destination votre interface WAN, bien sûr.
Votre VPN est en mesure de passer d'un site à l'autre. Alors, créez-le.
Créez le VPN
Pour cela, cliquez sur « VPN->IPsec->Tunnel settings » et cliquez sur « Add a new phase one entry » le bouton +.
Enregistrez :
La méthode de connexion par défaut
la version 2 du protocole Key Exchange
Vous utilisez le protocole IPv4
C'est l’interface WAN qui est concernée par ce VPN (c'est celle sur laquelle vous voulez vous connecter)
L’interface sur laquelle vous voulez vous connecter a pour adresse 192.168.122.231 (vérifiez ce qu'il en ait pour vous)
Enfin, donnez un nom à cette interface.
Laissez ensuite les trois premiers paramètres par défaut et renseignez la clé partagée.
Utilisez AES 256 comme algorithme de chiffrement.
SHA 512 pour le HASH.
Laissez les deux autres paramètres par défaut.
Enfin, cliquez sur disable pour le le « NAT traversal » et sauvegardez.
Vous venez de créer la phase 1 de la négociation, il vous manque la phase 2 et votre VPN sera prêt.
Créez la phase 2
Pour créer la phase 2 de la négociation, cliquez sur « +show Phase 2 entry ».
N'oubliez pas de donner un nom à votre site.
Vous voulez vous connecter au LAN du site A et choisissez donc LAN subnet (vous auriez pu vouloir vous connecter à un autre réseau présent sur le site A). Vous renseignez donc le réseau LAN du site A.
Vous allez, évidemment, utiliser ESP.
Pour le chiffrement, utilisez AES 256.
Pour le HASH utilisez SHA512
et activez PFS key group qui vous assure qu'une nouvelle clé sera générée à chaque fois.
Vous n'avez plus qu'à sauvegarder et valider vos changements et lancer IPsec.
Comme toujours, vérifiez votre travail.
Vérifier le bon fonctionnement du VPN
Pour vérifier le fonctionnement de votre VPN, cliquez sur Status Overview.
Vous voyez tout d'abord que votre site A a bien été créé. En cliquant sur information à droite, vous voyez ensuite les statistiques de votre connexion VPN.
Si des paquets sont échangés, c'est bon signe. Pour vous assurer que votre site B communique avec votre site A, pingez le poste de l'administrateur depuis le PC du LAN 2.
Si le ping ne passe pas, allez faire un tour du côté de vos règles firewall appliquées à votre nouvelle interface IPsec ainsi qu'à l'interface LAN.
Voilà, c'est la fin de ce cours, dans lequel vous avez pu avoir un aperçu de ce qu'est un firewall et de ce qu'il peut faire. Vous avez aussi pu voir les connexions VPN grâce à la suite de protocoles IPsec. Merci de l'avoir suivi et à bientôt sur OpenClassrooms.
Ce qu'il faut retenir
Pour créer un VPN, les deux réseaux WAN doivent être joignables.
Il faut ouvrir des règles firewall, permettant aux protocoles utilisés par IPsec de passer.
IPsec se construit en deux phases.
Les paramètres des phases doivent être exactement les mêmes entre les deux sites (sauf les adresses WAN et LAN).
Vous pouvez vérifier que votre VPN fonctionne en regardant ses statistiques.