Exemple: Serveur VPN IPSec avec PAT

Résumé des fonctionnalités de cette configuration

    • Le routeur joue le role d'un concentrateur VPN en IPsec (fonctionnalites IOS 3DES obligatoires)

    • Le routeur fait aussi du NAT (du PAT en réalité) entre son interface LAN (adressage en IP privé) et Internet (adressage en IP publique)

    • Les clients IPSec récupèrent une adresse IP par le routeur, dans un subnet IP différent de celui du LAN

    • Le client IPSec utilisé sur les postes de travail est un client VPN Cisco

Tableau des variables utilisées

Dans l'exemple suivant, l'interface "Ethernet 0" est celle connectée au LAN, et l'interface "Ethernet 1" est celle connectée à Internet.

Configuration

!

username LOGIN-USER1 password PASSWORD-USER1

!

aaa new-model

aaa authentication login userauthen local

aaa authorization network groupauthor local

!

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group NAME-VPN

key PASSWORD-VPN

dns IP-DNS-LAN

wins IP-WINS-LAN

domain DOMAIN-NAME

pool Pool-For-Vpn-Client

acl SPLIT-TUNNEL

netmask 255.255.255.0

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 10

set transform-set myset

!

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address initiate

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

interface Ethernet0

ip address IP-LAN 255.255.255.0

ip nat inside

no shut

!

interface Ethernet1

ip address IP-INTERNET MASK-INTERNET

crypto map clientmap

ip nat outside

no shut

!

ip local pool Pool-For-Vpn-Client VPN-FIRST VPN-LAST

ip route 0.0.0.0 0.0.0.0 IP-GW-INTERNET

!

ip nat inside source route-map NoNat interface Ethernet1 overload

!

!

ip access-list extended No-Nat-Vpn-Client

deny ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255

permit ip IP-NET-LAN 0.255.255.255 any

ip access-list extended SPLIT-TUNNEL

permit ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255

!

route-map NoNat permit 10

match ip address No-Nat-Vpn-Client

!

end