{"id":24,"date":"2012-04-16T15:26:28","date_gmt":"2012-04-16T14:26:28","guid":{"rendered":"http:\/\/www.fragnol.net\/?p=24"},"modified":"2012-05-02T15:21:09","modified_gmt":"2012-05-02T14:21:09","slug":"mise-en-place-dun-vpn-ipsec-avec-un-netasq-u70","status":"publish","type":"post","link":"https:\/\/www.fragnol.net\/?p=24","title":{"rendered":"Mise en place d’un VPN IPSec avec un Netasq U70"},"content":{"rendered":"

Cet article a pour but d\u2019expliquer comment configurer le routeur Netasq U70 (configuration de l\u2019autorit\u00e9 de certification, mise en place du tunnel et configuration du pare-feu) et le client IPSec gratuit Shrew Soft afin d\u2019\u00e9tablir un tunnel s\u00e9curis\u00e9 entre ces deux \u00e9l\u00e9ments.<\/p>\n

\"\"<\/a><\/p>\n

<\/p>\n

 <\/p>\n

I.Configuration du routeur Netasq U70 :<\/span><\/h1>\n
I.1 – Configuration de l\u2019autorit\u00e9 de certification (PKI) :<\/span><\/h5>\n
Il convient dans un premier temps de cr\u00e9er notre PKI interne qui servira \u00e0 fournir les certificats aux diff\u00e9rents utilisateurs du VPN. Pour cela nous allons dans le menu de gauche : PKI > G\u00e9n\u00e9ral<\/h5>\n

\"\"<\/a><\/p>\n

Nous utiliserons l\u2019assistant de cr\u00e9ation de PKI en cliquant sur le bouton du m\u00eame nom.<\/p>\n

\"\"<\/a><\/p>\n

Nous allons ensuite d\u00e9tailler les diff\u00e9rentes informations de notre PKI :<\/p>\n

\"\"<\/a><\/p>\n

Une fois la page remplie, nous pouvons passer \u00e0 l\u2019\u00e9tape 2 en cliquant sur Suivant. Nous allons ensuite d\u00e9finir un mot de passe associ\u00e9 \u00e0 la CA. Celui-ci est important car il vous sera demand\u00e9 \u00e0 chaque cr\u00e9ation de certificat.<\/p>\n

\"\"<\/a><\/p>\n

Nous allons personnaliser la validit\u00e9 de notre autorit\u00e9 de certification CA et des certificats utilisateurs ainsi que la complexit\u00e9 de leurs cl\u00e9s. J\u2019ai choisis de laisser les valeurs par d\u00e9faut.<\/p>\n

\"\"<\/a><\/p>\n

Aucun outil particulier n\u2019a besoin d\u2019acc\u00e9der \u00e0 la CRL, nous ne d\u00e9finirons donc aucun lien vers celle-ci. En effet, lors de l\u2019\u00e9change de certificat la CRL est consult\u00e9 de mani\u00e8re locale sur le routeur, afin de v\u00e9rifier si le certificat est bloqu\u00e9 ou non.<\/p>\n

\"\"<\/a><\/p>\n

Enfin nous pouvons sp\u00e9cifier \u00e0 l\u2019\u00e9tape 5 si nous permettons aux utilisateurs d\u2019effectuer eux-m\u00eames la demande de certificat. Dans notre cas de figure ce param\u00e8tre est inutile, nous ne le cochons donc pas.<\/p>\n

\"\"<\/a><\/p>\n

Notre PKI est maintenant fonctionnelle et peux d\u00e9livrer des certificats aux utilisateurs.<\/p>\n

I.2 – Cr\u00e9ation de l’utilisateur LDAP :<\/span><\/p>\n

Nous allons cr\u00e9er l\u2019utilisateur dans l\u2019annuaire LDAP du routeur Netasq et lui associer un certificat. Cela nous permettra d\u2019exporter le certificat sur la machine cliente et d\u2019avoir dans le rapport syslog un nom de connexion VPN plus pr\u00e9cis sur l\u2019utilisateur connect\u00e9.<\/h5>\n

Cliquons dans le bandeau de gauche sur le menu Objets. Une nouvelle fen\u00eatre s\u2019ouvre. Cliquons sur le bouton Nouveau et choisissons Utilisateur :<\/p>\n

\"\"<\/a>Dans cette fen\u00eatre remplissez le nom, l\u2019identifiant (pour Florent Fragnol -> ffragnol par exemple) le pr\u00e9nom ainsi que l\u2019email et plus si vous le d\u00e9sirez. Ensuite cliquons sur \u00ab Terminer \u00bb.<\/p>\n

\"\"<\/a>Une fen\u00eatre r\u00e9capitulant les informations saisies s\u2019ouvre. Allons dans l\u2019onglet acc\u00e8s et cochons comme VPN autoris\u00e9 le VPN IPSec sans modifier la cl\u00e9.<\/p>\n

\"\"<\/a>Pla\u00e7ons nous dans l\u2019onglet certificat puis cliquons sur \u00ab Cr\u00e9er le certificat \u00bb.<\/p>\n

\"\"<\/a>
\nUne fen\u00eatre apparait nous demandant le mot de passe de la CA pr\u00e9c\u00e9demment d\u00e9finit, et nous demande de choisir un mot de passe associ\u00e9 au certificat de l\u2019utilisateur. Il est fortement conseill\u00e9 de choisir un mot de passe complexe. Ce mot de passe sera demand\u00e9 \u00e0 l\u2019utilisateur d\u00e8s qu\u2019il \u00e9tablira une connexion avec le r\u00e9seau distant.<\/p>\n

\"\"<\/a>Un message nous avertira que la cr\u00e9ation du certificat a \u00e9t\u00e9 effectu\u00e9e. Il ne nous reste plus qu\u2019\u00e0 exporter le certificat en cliquant sur le bouton \u00ab Exporter le certificat \u00bb. Puis nous choisirons le format d\u2019export PKCS12.<\/p>\n

\"\"<\/a>Nous disposons donc d\u2019un certificat \u00ab PrenomNom.p12 \u00bb qui contient les informations telles que le certificat X509 d\u2019identification de l\u2019utilisateur, une cl\u00e9 publique et une cl\u00e9 priv\u00e9. Ce fichier sera \u00e0 transf\u00e9rer manuellement sur le poste de l\u2019utilisateur vers cet emplacement : \u00ab C:\\Program Files\\ShrewSoft\\VPN Client\\certificates \u00bb.<\/p>\n


\nI.3 – Cr\u00e9ation du tunnel IPSEC :<\/span><\/p>\n

Nous allons maintenant cr\u00e9er notre tunnel IPSec nous permettant de connecter un ordinateur nomade au r\u00e9seau de l\u2019entreprise. Naviguons dans le bandeau de gauche pour aller sur le menu VPN > Tunnels IPSec :<\/h5>\n

\"\"<\/a><\/p>\n

\u00c9tape 1 = Une fen\u00eatre s\u2019ouvre nous proposant de s\u00e9lectionner un slot VPN. Nous s\u00e9lectionnerons un slot vide et \u00e9diterons celui-ci avec le bouton \u00ab Editer \u00bb.
\nUn assistant s\u2019ouvre nous guidant dans le processus de cr\u00e9ation de tunnel IPSec. Nous donnerons dans un premier temps un nom \u00e0 notre tunnel IPSec puis nous choisirons un mod\u00e8le de protection. Par d\u00e9faut Netasq propose le mod\u00e8le \u00ab Good Encryption \u00bb qui d\u2019apr\u00e8s eux est le meilleur rapport s\u00e9curit\u00e9\/rapidit\u00e9, nous choisirons celui-ci :<\/p>\n

\"\"<\/a>\u00c9tape 2 = cette deuxi\u00e8me \u00e9tape nous propose de choisir le type de tunnel. Nous avons le choix entre deux tunnels dynamique (le mod\u00e8le statique \u00e9tant obsol\u00e8te). Ces deux types de tunnels sont bas\u00e9s sur une n\u00e9gociation dynamique des param\u00e8tres des tunnels VPN gr\u00e2ce au protocole IKE. Nous choisirons le second mode Dynamique qui consiste en un \u00e9change de certificats, plus s\u00e9curis\u00e9 que le premier.
\nNous n\u2019oublierons pas de cocher la case \u00ab Mode avanc\u00e9e \u00bb qui va nous permettre de sp\u00e9cifier en extr\u00e9mit\u00e9 \u00ab Any \u00bb, nos clients \u00e9tant des nomades avec une IP dynamique.<\/p>\n

\"\"<\/a>\u00c9tape 3 = cette \u00e9tape va nous permettre de d\u00e9finir les extr\u00e9mit\u00e9s de notre tunnel. Nous choisirons au niveau de notre interface locale, l\u2019interface qui communique avec l\u2019ext\u00e9rieur (internet, le r\u00e9seau dit \u00ab non-sur \u00bb) c’est-\u00e0-dire l\u2019interface \u00ab Firewall_Internet_Neuf \u00bb qui a \u00e9t\u00e9 configur\u00e9 au pr\u00e9alable avec les param\u00e8tres PPOE (notre Neufbox \u00e9tant en mode bridge).
\nLe correspondant \u00e0 l\u2019autre bout de l\u2019extr\u00e9mit\u00e9 \u00e9tant un nomade, avec une adresse IP dynamique nous pr\u00e9ciserons un objet de type \u00ab Any \u00bb :<\/p>\n

\"\"<\/a>\u00c9tape 4 = a partir de cette \u00e9tape, nous allons devoir d\u00e9finir les extr\u00e9mit\u00e9s du trafic. Nous allons donc sp\u00e9cifier le r\u00e9seau que nous voulons atteindre \u00e0 savoir le r\u00e9seau 172.16.0.0, qui est d\u00e9finit sur l\u2019interface Network_IN. Nous aurions pu \u00eatre plus restrictif en sp\u00e9cifiant \u00e9galement une seule machine.
\nL\u2019autre extr\u00e9mit\u00e9 sera encore une fois r\u00e9gler sur \u00ab Any \u00bb, notre poste nomade ayant une adresse IP dynamique.<\/p>\n

\"\"<\/a>Cliquez ensuite sur suivant puis sur \u00ab Terminer \u00bb. Une nouvelle fen\u00eatre s\u2019ouvre r\u00e9capitulant les informations d\u00e9j\u00e0 entr\u00e9es ainsi que d\u2019autres \u00e0 d\u00e9finir. Nous devons maintenant g\u00e9n\u00e9rer la cl\u00e9 priv\u00e9e du Netasq. Cliquons sur \u00ab Choisissez un certificat \u00bb :<\/p>\n

\"\"<\/a><\/p>\n

Dans la fen\u00eatre qui s\u2019ouvre nous allons cliquer sur le bouton \u00ab Certificat interne \u00bb afin de g\u00e9n\u00e9rer une cl\u00e9 priv\u00e9e propre au Netasq.<\/p>\n

\"\"<\/a>Dans la fen\u00eatre qui vient de s\u2019ouvrir cliquons sur le bouton \u00ab Cr\u00e9er un certificat VPN \u00bb. Le mot de passe de la CA nous sera demand\u00e9. Une fois la cr\u00e9ation effectu\u00e9e, un message nous avertira du bon d\u00e9roulement de l\u2019op\u00e9ration.<\/p>\n

\"\"<\/a><\/p>\n

Nous pouvons apercevoir la cl\u00e9 associ\u00e9e \u00e0 cette extr\u00e9mit\u00e9 du tunnel :<\/p>\n

\"\"<\/a>Nous validons cet \u00e9cran en cliquant sur le bouton \u00ab OK \u00bb. Nous allons ensuite \u00e9diter quelques options afin que notre tunnel puisse s\u2019\u00e9tablir correctement. Pour cela nous allons cliquer sur le bouton \u00ab Configuation avanc\u00e9e \u00bb.<\/p>\n

\"\"<\/a>Il suffit de cocher l\u2019option \u00ab Envoi du certificat \u00bb de mani\u00e8re \u00e0 ce que les deux interlocuteurs puissent s\u2019\u00e9changer leur cl\u00e9 publique. Sans cette option coch\u00e9e, le tunnel ne peut s\u2019\u00e9tablir.<\/p>\n

\"\"<\/a>Ensuite, nous cliquons sur le bouton \u00abParam\u00e8tres avanc\u00e9s\u00bb en bas de cette fen\u00eatre. Une nouvelle fen\u00eatre apparait o\u00f9 il faudra cocher \u00ab Faire confiance \u00e0 la PKI interne \u00bb, puis cliquez sur OK.<\/p>\n

\"\"<\/a>Il le nous reste plus qu\u2019\u00e0 valider le param\u00e9trage de notre tunnel en cliquant sur \u00ab Envoyer \u00bb puis confirmer en cliquant sur \u00ab Oui \u00bb. N\u2019oublions pas d\u2019activer votre slot VPN en cliquant sur \u00ab Activer \u00bb :<\/p>\n

\"\"<\/a>Notre tunnel est maintenant configurer, ainsi nos utilisateurs pourront s\u2019y connecter. Cependant, notre pare-feu bloque par d\u00e9faut les ports n\u00e9cessaires \u00e0 la n\u00e9gociation des \u00e9l\u00e9ments de s\u00e9curit\u00e9 ainsi que le trafic des donn\u00e9es via notre tunnel VPN.
\nPour un tunnel de Passerelle \u00e0 Passerelle ces r\u00e8gles peuvent \u00eatre configur\u00e9es de mani\u00e8re implicite par notre routeur (page 280 sur la documentation du Netasq), mais notre tunnel pointe vers un objet Any, nous allons donc devoir cr\u00e9er des r\u00e8gles manuellement.<\/p>\n

I.4 – D\u00e9finition des r\u00e8gles du pare-feu Netasq :<\/p>\n

<\/span>\"\"<\/a>Nous allons dans un premier temps devoir autoriser le trafic provenant de notre machine nomade, soit \u00ab Any \u00bb vers notre port recevant le flux internet \u00e0 savoir Firewall_Internet_Neuf.<\/h5>\n

Les premiers \u00e9changes ayant lieu sont les phases de n\u00e9gociation des param\u00e8tres de s\u00e9curit\u00e9, nous autorisons les r\u00e8gles suivantes :<\/p>\n

\"\"<\/a>Le protocole de transport utilis\u00e9 est UDP pour l\u2019isakmp.<\/p>\n

 <\/p>\n

Notre r\u00e9seau se trouvant derri\u00e8re un routeur nous allons devoir utilis\u00e9 le NAT Transversal qui consiste \u00e0 rendre compatible IPSec derri\u00e8re un NAT. Un premier \u00e9change est envoy\u00e9 avec le protocole ISAKMP sur le port 500, lors du retour du paquet en question notre client compare un hash de l\u2019adresse IP et des ports afin de voir s\u2019ils sont identiques. S\u2019ils sont diff\u00e9rents c\u2019est que l\u2019adresse ou le port a \u00e9t\u00e9 translat\u00e9. Dans ce cas de figure l\u2019\u00e9change se fera en utilisant le NAT-T sur le port 4500 d\u2019o\u00f9 l\u2019utilit\u00e9 d\u2019ouvrir le port 500 (isakmp, R\u00e8gle 2<\/strong>) et 4500 (isakmp_natt, R\u00e8gle 3<\/strong>).<\/p>\n

Enfin il faut \u00e9galement veillez \u00e0 autoriser nos trames crypt\u00e9s ESP. Nous autoriserons donc le protocole vpn-esp en provenance d\u2019Any vers Firewall_Internet_Neuf (R\u00e8gle 4<\/strong>) et \u00e9galement l\u2019inverse du Firewall_Internet_Neuf vers Any (r\u00e8gle d\u00e9fini implicitement par la R\u00e8gle 10<\/strong>).<\/p>\n

A ce stade les phases de n\u00e9gociations les s\u00e9curit\u00e9s et les \u00e9changes avec le protocle ESP sont maintenant autoris\u00e9s, cependant aucun trafic n\u2019est autoris\u00e9 sur notre interface IPSec. Nous allons donc autoris\u00e9 le trafic via notre interface logique IPSec venant de la source \u00ab Any \u00bb vers la destination de notre r\u00e9seau internet soit Network_IN (R\u00e8gle 1<\/strong>). Le trafic devrait \u00e9galement \u00eatre possible du r\u00e9seau interne vers \u00ab Any \u00bb via l\u2019interface IPSec, r\u00e8gle autoris\u00e9e de mani\u00e8re implicite par la R\u00e8gle 10<\/strong>.<\/p>\n

A ce stade la configuration du cot\u00e9 de notre routeur est effective et fonctionnelle. Nous allons maintenant pouvoir entamer la configuration cot\u00e9 client.<\/strong><\/p>\n

II.Configuration du client Shrew Soft :<\/span><\/p>\n

Procurez vous dans un premier temps le client Shrew soft \u00e0 cette adresse : http:\/\/www.shrew.net\/download\/vpn (les diff\u00e9rentes versions du client sont en bas de page). Apr\u00e8s avoir install\u00e9 le logiciel nous allons lancer Access Manager qui permet comme son nom l\u2019indique, de configurer notre (ou nos) connexion VPN IPSec.<\/h2>\n

Nous allons maintenant cliquer sur le bouton \u00ab ADD \u00bb afin d\u2019ajouter une nouvelle connexion :<\/p>\n

\"\"<\/a>Une nouvelle fen\u00eatre s\u2019ouvre :<\/p>\n

\"\"<\/a><\/p>\n

Nous allons y remplir l\u2019adresse publique de notre routeur (en ce qui nous concerne notre nom de domaine DynDNS) ainsi que le port par d\u00e9faut 500 (ISAKMP). Nous d\u00e9sactiverons l\u2019auto-configuration et nous utiliserons notre carte r\u00e9seau (et non une virtuelle) pour \u00e9tablir la connexion.<\/p>\n

Ensuite allez dans l\u2019onglet Client :<\/p>\n

\"\"<\/a>Nous activons le NAT Transversal en laissant le port par d\u00e9faut, puis nous d\u00e9sactiverons la fragmentation IKE dispensable dans notre cas. Enfin, nous laisserons les autres param\u00e8tres par d\u00e9faut.
\nAllez ensuite dans le Name R\u00e9solution :<\/p>\n

\"\"<\/a>Afin d\u2019avoir une r\u00e9solution des noms de machines du r\u00e9seau local nous activerons le DNS en pr\u00e9cisant le suffixe dns : etudarmor.lan. Ceci nous permettra d\u2019utiliser les m\u00eames scripts d\u00e9j\u00e0 \u00e9tablis, nous \u00e9vitant de les refaire avec les @ IP des machines.
\nPassons maintenant a l\u2019\u00e9tape Authentification en cliquant sur l\u2019onget du m\u00eame nom :<\/p>\n

\"\"<\/a>La m\u00e9thode d\u2019authentification est Mutual RSA (\u00e9change de certificats).
\nIci nous allons d\u00e9terminer l\u2019identification locale, qui identifie le nomade. Cette identification doit correspondre \u00e0 une entr\u00e9e dans l\u2019annuaire LDAP pr\u00e9c\u00e9demment d\u00e9fini. Nous choisirons donc le type d\u2019identification \u00ab ASN.1 Destinguished Name \u00bb et cochons l\u2019option \u00ab Use the subject in the client certificate \u00bb.<\/p>\n

Ensuite nous allons configurer l\u2019identit\u00e9 distante en cliquant sur \u00ab Remote Identity \u00bb :<\/p>\n

\"\"<\/a>Nous allons d\u00e9finir la m\u00eame identit\u00e9 que nous avons d\u00e9fini plus haut lors de la configuration du tunnel, \u00e0 savoir ASN.1.
\nPassons maintenant \u00e0 l\u2019onglet \u00ab Credentials \u00bb :<\/p>\n

\"\"<\/a>Nous allons s\u00e9lectionner trois fois notre certificat P12 se trouvant dans C:\\Program Files\\ShrewSoft\\VPN Client\\certificates\\. En effet, ces trois informations se trouvent toutes dans le m\u00eame fichier p12.<\/p>\n

Param\u00e9trons ensuite les \u00e9l\u00e9ments de s\u00e9curit\u00e9 de la phase 1 pour qu\u2019ils correspondent \u00e0 ceux du tunnel VPN (nous avons gard\u00e9 ceux par d\u00e9faut, mais il est tout \u00e0 fait possible de changer ceux-ci, tant qu\u2019ils correspondent avec la configuration sur le Netasq) :<\/p>\n

\"\"<\/a>Dans l\u2019onglet de la phase 2 nous proc\u00e9dons de la m\u00eame mani\u00e8re que la phase 1 :<\/p>\n

\"\"<\/a>Enfin, allons dans l\u2019onglet Policy :<\/p>\n

\"\"<\/a>Nous d\u00e9sactivons la case \u00ab Obtain Topology Automatically or Tunnel All \u00bb et sp\u00e9cifions le r\u00e9seau \u00e0 atteindre : 172.16.0.0\/16
\nPuis nous choisirons une niveau de politique unique pour la SA.
\nNotre client est maintenant configur\u00e9, il ne nous reste plus qu\u2019\u00e0 sauvegarder les diff\u00e9rents param\u00e8tres renseign\u00e9s en cliquant sur Save.
\nLa connexion est maintenant cr\u00e9\u00e9e :<\/p>\n

\"\"<\/a>Il ne nous reste plus qu\u2019\u00e0 la s\u00e9lectionner et \u00e0 cliquer sur \u00ab Connect \u00bb, une fen\u00eatre s\u2019ouvre alors :<\/p>\n

\"\"<\/a><\/p>\n

Cliquons sur \u00ab Connect \u00bb pour \u00e9tablir la liaison avec le r\u00e9seau distant. Le mot de passe du certificat nous sera demand\u00e9, assurant une s\u00e9curit\u00e9 suppl\u00e9mentaire.<\/p>\n

\"\"<\/a>Si tout se d\u00e9roule bien il apparaitra ceci dans le log de la fen\u00eatre :<\/p>\n

\"\"<\/a>Si la n\u00e9gociation est effective nous verrons dans l\u2019onglet Network ceci :<\/p>\n

\"\"<\/a>Une SA est bien \u00e9tablie et notre statut est connect\u00e9. Il ne vous reste plus qu\u2019\u00e0 nous connecter au r\u00e9seau local.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Cet article a pour but d\u2019expliquer comment configurer le routeur Netasq U70 (configuration de l\u2019autorit\u00e9 de certification, mise en place du tunnel et configuration du pare-feu) et le client IPSec gratuit Shrew Soft afin d\u2019\u00e9tablir un tunnel s\u00e9curis\u00e9 entre ces … Continuer la lecture →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-24","post","type-post","status-publish","format-standard","hentry","category-reseau"],"_links":{"self":[{"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/posts\/24","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=24"}],"version-history":[{"count":54,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/posts\/24\/revisions"}],"predecessor-version":[{"id":167,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=\/wp\/v2\/posts\/24\/revisions\/167"}],"wp:attachment":[{"href":"https:\/\/www.fragnol.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=24"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=24"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.fragnol.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=24"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}