====== Remote Access VPN IPsec ======
===== Introduction sur les VPN IPsec =====
==== Solutions existantes (non exhaustif) ====
* Solution Cisco: Cisco VPN Client (Obsolète, fonctionne difficilement)
* Solutions recommandées
* Windows 7, 8, 10: [[fr:tools:shrew_vpn_client|Shrew VPN Client]]
* OS X: Intégré (Built-in) si OS X>= 10.6 (Snow Leaopard) minimum jusqu'à El Capitan
==== Caractéristiques générales ====
* VPN Layer 3 (IP)
* IPsec ne supporte ni les multicast ni les broadcast ! Ceci implique qu'un VPN IPsec ne peut pas être en layer 2 (bridge) {{http://www.ubiqui2s.com/dokuwiki/lib/images/smileys/icon_sad.gif?nolink&15x15}}
* Protocoles et ports (pour config Firewall)
* Standard
* IKE: UDP 500
* IPsec: Protocole IP 50
* **Standard avec NAT Traversal**
* IKE: UDP 500
* IPsec: UDP 4500
* Support: simple ou double NAT
* IPSec over UDP (non standard)
* IKE: UDP 500
* IPsec: UDP 10000 (à définir)
* IPSec over TCP (non standard)
* IKE: UDP 500
* IPsec: TCP 10000 (à définir)
IPsec ne supportant pas le multicast ni les broadcast, il est inutile de réserver des adresses IP du réseau local pour les clients VPN, puisque ces clients ne fonctionnent que dans un mode routé (layer3) et non bridgé (layer2). Néanmoins si vous utilisez des adresses IP du réseau local cela marchera, mais tous les services utilisant les broadcast et le multicast ne fonctionneront pas (UPnP, Bonjour, Netbios, …)
===== Configuration d'un client VPN IPsec =====
==== Prérequis: Ce qu'il vous faut ! ====
- Un logiciel VPN adapté à votre OS (voir ci-dessous) !
- Les paramètres de configuration VPN ci-dessous, qui doivent être fournit par l'administrateur du VPN:
|Le nom dns (FQDN) du serveur VPN (ou l'adresse IP)|VPNHOST.DOMAIN.TLD (exemple: vpn.domain.com)|
|Le groupe d'identité ISAKMP (Key ID String)|GROUPKEYID |
|Le password du groupe d'identité (Pre Shared Key)|GROUPKEYPASSWORD |
|Votre username|YOURUSERNAME |
|Votre password|YOURPASSWORD |
\\
===== =====
==== Shrew VPN Client pour Windows ====
=== Installation ===
* Télécharger le client **"[[fr:tools:shrew_vpn_client|Shrew VPN Client"]]**
* Installer la version standard: Choisir lors de l'installation la version **"Standard Edition"** \\ \\ **Passez directement à la configuration d'un nouveau VPN en cliquant [[:fr:tricks:vpnipsec#configuration_d_une_nouvelle_connexion_vpn|ICI]]**
=== Démarrage automatiquement du programme VPN ===
Remarques:
- Cette étape n'est pas obligatoire mais nous la recommandons vivement!
- Le client démarre automatiquement avec le PC, mais pas la connexion VPN !
* **Ouvrez le dossier de démarrage automatique** en tapant la commande ** shell:startup ** dans la fenêtre "Executer " (ou "Run " en anglais) du menu de Windows :
{{:fr:tricks:shrew-vpn-client-install_startup1.png?nolink&}}
* Le dossier suivant doit s'ouvrir
{{:fr:tricks:shrew-vpn-client-install_startup2.png?nolink&}}
* Copiez le programme** "VPN Access Manager"** dans le répertoire ouvert à l'étape précédente par un drag and drop ou un copier/coller
* Cela doit créer **un raccourci**
* Le nom du raccourci est **VPN Access Manager **
* **Le nom** et** l'emplacement ** du programme réel est **C:\Program Files\ShrewSoft\VPN Client**\**ipseca.exe**
{{:fr:tricks:shrew-vpn-client-start1.png?nolink&}}
{{:fr:tricks:shrew-vpn-client-install_startup3.png?nolink&}}
* **Cliquez avec le bouton de droite** de votre souris sur ce raccourcis "**VPN Access Manage**r" que vous venez de créer et **sélectionnez propriété **
* Modifiez "Fenêtre normal" en **"Réduite " et pressez [OK]**
**{{:fr:tricks:shrew-vpn-client-install_startup4.png?nolink&}}**
Maintenant, **après le démarrage de votre PC** vous aurez un petit cadenas {{:fr:tricks:shrew-vpn-client-cadenas.png?nolink&}}en bas à droite de votre écran, pour lancer vos VPN ! Si vous avez déjà un certain nombre d'icônes, il se peut qu'il se trouve dans les icônes "cachés" : cliquez sur la ^ et déplacer l'icône dans la bar pour voire le cadenas de manière permanente !
=== ===
=== Démarrer le client VPN ===
* Si vous n'avez pas de cadenas en bas à droite de l'écran {{:fr:tricks:shrew-vpn-client-cadenas.png?nolink&}}(vous n'avez pas fait l'étape précédente ou vous n'avez pas redémarré votre ordinateur), démarrez le logiciel **"VPN Access Manager"**
{{:fr:tricks:shrew-vpn-client-start1.png?nolink&}}
=== Configuration ===
Pour configurer le client vous devez avoir l'écran suivant **VPN Access Manager**
{{:fr:tricks:shrew-vpn-client-config0.png?nolink&}}
Si ce n'est pas le cas:
- Soit vous n'avez pas démarrer le client VPN: démarrez le ! (voir étape précédente)
- Soit il est démarré, mais réduit et vous avez uniquement le cadenas en cas à droite {{:fr:tricks:shrew-vpn-client-cadenas.png?nolink&}}. Dans ce cas, **cliquez avec le bouton de droite** sur **le cadenas** sélectionnez: **"Manage" **, vous devez obtenir l'écran de configuration "VPN Access Manager"
{{:fr:tricks:shrew-vpn-client-start2.png?nolink&}}
=== Configuration globale ===
Remarques:
- Cette étape n'est pas obligatoire mais nous la recommandons vivement!
- Cette étape rend le client VPN soit le plus discret possible
Dans le menu **File**, sélectionnez **Preferences **
{{:fr:tricks:shrew-vpn-client-pref0.png?nolink&}}
- **Si vous avez un mot de passe qui ne change pas** (le cas le plus fréquent), suivez la configuration pour mot de passe "**Normal**"
- **Si le mot de passe change chaque fois que vous devez vous connecter** (carte à puce Securid, calculatrice, …), suivez la configuration pour mot de passe "**Changeant**"
^Pour mot de passe "Normal"^Pour un mot de passe "Changeant"|
|{{:fr:tricks:shrew-vpn-client-pref2.png?nolink&}}|{{:fr:tricks:shrew-vpn-client-pref1.png?nolink&}}|
Remarque:
* Ces paramètres sont globaux à toute les connexions VPN qui vous allez créer. Dès que vous configurez un VPN dont le mot de passe est changeant, n'oubliez pas de revenir sur cet écran pour décocher la case de reconnexion automatique!
=== Configuration d'une nouvelle connexion VPN ===
Ci-dessous, vous trouverez des captures de tous les écrans de configuration. Seuls quelques-uns sont nécessaires!
* Ajoutez une configuration VPN et cliquant sur **"Add"**
{{:fr:tricks:shrew-vpn-client-config0.png?nolink&}}
* Configurez le **nom ****du**** serveur VPN**** "Host Name" **: ** VPNHOST.DOMAIN.TLD (remplacez par vos paramètres) **
* **Laisser ** le **"MTU"** à **1380. Si tout marche bien**, dans un deuxième temps, vous pouvez le configurer à sa valeur maximum: ** 1430 **
{{:fr:tricks:shrew-vpn-client-config1.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config2.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config3.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config4.png?nolink&}}
* Sélectionnez l’**"Authentication Method"**: **Mutual PSK + ** **XA ** **uth **
* Sélectionnez l’**"Identification Type"**: ** Key Identifier **
* Configurez le groupe d'identity ISAKMP **"Key ID String"**:** GROUPKEYID ** ** (remplacez par vos paramètres) **
\\ {{:fr:tricks:shrew-vpn-client-config5.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config6.png?nolink&}}
* Configurez le password du groupe d'identity ISAKMP **"Pre Shared Key"**: ** GROUPKEYPASSWORD ** ** (remplacez par vos paramètres) **
{{:fr:tricks:shrew-vpn-client-config7.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config8.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config9.png?nolink&}}{{:fr:tricks:shrew-vpn-client-config10.png?nolink&}}
\\
==== Démarrage d'une connexion VPN ====
* Démarrez le logiciel **"VPN Access Manager"**
{{:fr:tricks:shrew-vpn-client-start1.png?nolink&}}
* **Cliquez avec le bouton de droite** sur **le cadenas en bas à droite de l'écran** et sélectionnez: **"Connect" **, puis sélectionnez le VPN à utiliser
{{:fr:tricks:shrew-vpn-client-start2.png?nolink&}}
* **Entrez ** votre username et votre mot de passe : Si le vpn fonctionne, la fenêtre disparaît ! et vous êtes connectés !
===== Configuration d'un serveur VPN IPsec Cisco =====
Exemple avec les données suivantes:
* Réseau Local: 192.168.1.0/24, GW 192.168.1.1
* Pool VPN: 192.168.0.0/24
aaa authentication login AAA_VPN_CLIENT local \\ aaa authorization network AAA_VPN_CLIENT local
username client1 password xxxxx \\ # (marche aussi avec "secret" pour les administrateurs réseaux)
ip dhcp pool VPN_RA \\ network 192.168.0 255.255.255.0 \\ dns-server 192.168.0.254 \\ domain-name net.home \\ default-router 192.168.160.254
crypto isakmp policy 10 \\ encr aes 256 \\ authentication pre-share \\ group 2 \\ ! \\ crypto isakmp policy 20 \\ encr 3des \\ hash md5 \\ authentication pre-share \\ group 2 \\ ! \\ crypto isakmp policy 30 \\ encr 3des \\ authentication pre-share \\ group 2
crypto isakmp client configuration group ISAKMP_CLIENT_CONF_GRP \\ key IPSEC_KEY \\ dns 192.168.0.254 \\ acl INJECTED_ROUTE \\ save-password \\ split-dns net.home \\ dhcp timeout 10 \\ dhcp server 192.168.0.254 \\ dhcp giaddr 192.168.0.254
crypto isakmp profile IKE_PROF_VPN_CLIENT \\ match identity group ISAKMP_CLIENT_CONF_GRP \\ client authentication list AAA_VPN_CLIENT \\ isakmp authorization list AAA_VPN_CLIENT \\ client configuration address respond \\ virtual-template 4
interface Loopback1680 \\ ip address 192.168.0.254 255.255.255.0 \\ ip virtual-reassembly in \\ end
interface Virtual-Template1 type tunnel \\ ip unnumbered Loopback1680 \\ ip virtual-reassembly in \\ tunnel mode ipsec ipv4 \\ tunnel protection ipsec profile VPN_CLIENT_ISAKMP_PROF
ip access-list extended INJECTED_ROUTE \\ permit ip 192.168.0.0 0.0.0.255 any
\\