Réseaux‎ > ‎Cisco‎ > ‎

Exemple: Serveur VPN IPSec avec PAT


Résumé des fonctionnalités de cette configuration

  • Le routeur joue le role d'un concentrateur VPN en IPsec (fonctionnalites IOS 3DES obligatoires)
  • Le routeur fait aussi du NAT (du PAT en réalité) entre son interface LAN (adressage en IP privé) et Internet (adressage en IP publique)
  • Les clients IPSec récupèrent une adresse IP par le routeur, dans un subnet IP différent de celui du LAN
  • Le client IPSec utilisé sur les postes de travail est un client VPN Cisco

Tableau des variables utilisées


Description
Varibale
Exemple
Optionelle
Adresse IP de l’interface LAN de ce routeur (en /24)
IP-LAN 192.168.1.254 NON
Adresse IP du réseau de l'interface LAN
IP-NET-LAN
192.168.1.0
NON
Adresse IP de l'interface INTERNET
IP-INTERNET
82.10.10.1
OUI (utilisation de DHCP)
Maque IP de l'interface INTERNET
MASK-INTERNET
255.255.255.0
OUI (utilisation de DHCP)
Passerelle INTERNET
IP-GW-INTERNET
82.10.10.254
OUI (utilisation de DHCP)
Adresse IP du réseau virtuel pour les clients VPN (en /24)
NET-VPN 192.168.2.0 NON
Première adresse du pool des adresses Virtuelles VPN
VPN-FIRST 192.168.2.1 NON
Dernière adresse du pool des adresses virtuelles VPN
VPN-LAST 192.168.2.254 NON
Adresse IP du serveur DNS du LAN IP-DNS-LAN 192.168.1.1 OUI
Adresse IP du serveur WINS du LAN IP-WINS-LAN 192.168.1.2 OUI
Nom du groupe VPN
NAME-VPN vpn-group
NON
Mot de passe du groupe VPN
PASSWORD-VPN vpn-pass
NON
Login d’un compte utilisateur
LOGIN-USER1 boyo
NON
Mot de passe d’un compte utilisateur PASSWORD-USER1 boyopass
NON

Dans l'exemple suivant, l'interface "Ethernet 0" est celle connectée au LAN, et l'interface "Ethernet 1" est celle connectée à Internet.

Configuration

!

username LOGIN-USER1 password PASSWORD-USER1

!

aaa new-model

aaa authentication login userauthen local

aaa authorization network groupauthor local

!

crypto isakmp policy 3

encr 3des

authentication pre-share

group 2

!

crypto isakmp client configuration group NAME-VPN

key PASSWORD-VPN

dns IP-DNS-LAN

wins IP-WINS-LAN

domain DOMAIN-NAME

pool Pool-For-Vpn-Client

acl SPLIT-TUNNEL

netmask 255.255.255.0

!

crypto ipsec transform-set myset esp-3des esp-sha-hmac

!

crypto dynamic-map dynmap 10

set transform-set myset

!

crypto map clientmap client authentication list userauthen

crypto map clientmap isakmp authorization list groupauthor

crypto map clientmap client configuration address initiate

crypto map clientmap client configuration address respond

crypto map clientmap 10 ipsec-isakmp dynamic dynmap

!

interface Ethernet0

ip address IP-LAN 255.255.255.0

ip nat inside

no shut

!

interface Ethernet1

ip address IP-INTERNET MASK-INTERNET

crypto map clientmap

ip nat outside

no shut

!

ip local pool Pool-For-Vpn-Client VPN-FIRST VPN-LAST

ip route 0.0.0.0 0.0.0.0 IP-GW-INTERNET

!

ip nat inside source route-map NoNat interface Ethernet1 overload

!

!

ip access-list extended No-Nat-Vpn-Client

deny ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255

permit ip IP-NET-LAN 0.255.255.255 any

ip access-list extended SPLIT-TUNNEL

permit ip IP-NET-LAN 0.255.255.255 NET-VPN 0.0.0.255

!

route-map NoNat permit 10

match ip address No-Nat-Vpn-Client

!

end

Comments