Remote Access VPN IPsec

• Solution Cisco: Cisco VPN Client (Obsolète, fonctionne difficilement)
• Solutions recommandées
  • Windows 7, 8, 10: Shrew VPN Client
  • OS X: Intégré (Built-in) si OS X>= 10.6 (Snow Leaopard) minimum jusqu'à El Capitan

• VPN Layer 3 (IP)
• IPsec ne supporte ni les multicast ni les broadcast ! Ceci implique qu'un VPN IPsec ne peut pas être en layer 2 (bridge)
• Protocoles et ports (pour config Firewall)
  • Standard
    • IKE: UDP 500
    • IPsec: Protocole IP 50
  • Standard avec NAT Traversal
    • IKE: UDP 500
    • IPsec: UDP 4500
    • Support: simple ou double NAT
  • IPSec over UDP (non standard)
    • IKE: UDP 500
    • IPsec: UDP 10000 (à définir)
  • IPSec over TCP (non standard)
    • IKE: UDP 500
    • IPsec: TCP 10000 (à définir)

IPsec ne supportant pas le multicast ni les broadcast, il est inutile de réserver des adresses IP du réseau local pour les clients VPN, puisque ces clients ne fonctionnent que dans un mode routé (layer3) et non bridgé (layer2). Néanmoins si vous utilisez des adresses IP du réseau local cela marchera, mais tous les services utilisant les broadcast et le multicast ne fonctionneront pas (UPnP, Bonjour, Netbios, …)

1. Un logiciel VPN adapté à votre OS (voir ci-dessous) !
2. Les paramètres de configuration VPN ci-dessous, qui doivent être fournit par l'administrateur du VPN:

• Télécharger le client “Shrew VPN Client"
• Installer la version standard: Choisir lors de l'installation la version “Standard Edition”
  
  Passez directement à la configuration d'un nouveau VPN en cliquant ICI

Remarques:

1. Cette étape n'est pas obligatoire mais nous la recommandons vivement!
2. Le client démarre automatiquement avec le PC, mais pas la connexion VPN !

• Ouvrez le dossier de démarrage automatique en tapant la commande <font inherit/inherit;;#FF0000;;inherit> shell:startup </font> dans la fenêtre ”<font inherit/inherit;;#FF0000;;inherit>Executer</font> “ (ou ”<font inherit/inherit;;#FF0000;;inherit>Run</font> “ en anglais) du <font inherit/inherit;;#FF0000;;inherit>menu de Windows</font> :

• Le dossier suivant doit s'ouvrir

• Copiez le programme “VPN Access Manager” dans le répertoire ouvert à l'étape précédente par un drag and drop ou un copier/coller
  • Cela doit créer un raccourci
  • Le nom du raccourci est VPN Access Manager
  • Le nom et l'emplacement du programme réel est C:\Program Files\ShrewSoft\VPN Client\ipseca.exe

• Cliquez avec le bouton de droite de votre souris sur ce raccourcis “VPN Access Manager” que vous venez de créer et sélectionnez propriété
• Modifiez “Fenêtre normal” en ”<font inherit/inherit;;#FF0000;;inherit>Réduite</font> “ et pressez [OK]

Maintenant, après le démarrage de votre PC vous aurez un petit cadenas en bas à droite de votre écran, pour lancer vos VPN ! Si vous avez déjà un certain nombre d'icônes, il se peut qu'il se trouve dans les icônes “cachés” : cliquez sur la ^ et déplacer l'icône dans la bar pour voire le cadenas de manière permanente !

• Si vous n'avez pas de cadenas en bas à droite de l'écran (vous n'avez pas fait l'étape précédente ou vous n'avez pas redémarré votre ordinateur), démarrez le logiciel “VPN Access Manager”

Pour configurer le client vous devez avoir l'écran suivant VPN Access Manager

Si ce n'est pas le cas:

1. Soit vous n'avez pas démarrer le client VPN: démarrez le ! (voir étape précédente)
2. Soit il est démarré, mais réduit et vous avez uniquement le cadenas en cas à droite . Dans ce cas, cliquez avec le bouton de droite sur le cadenas sélectionnez: “Manage” , vous devez obtenir l'écran de configuration “VPN Access Manager”

Remarques:

1. Cette étape n'est pas obligatoire mais nous la recommandons vivement!
2. Cette étape rend le client VPN soit le plus discret possible

Dans le menu File, sélectionnez Preferences

1. Si vous avez un mot de passe qui ne change pas (le cas le plus fréquent), suivez la configuration pour mot de passe “Normal”
2. Si le mot de passe change chaque fois que vous devez vous connecter (carte à puce Securid, calculatrice, …), suivez la configuration pour mot de passe “Changeant”

Pour mot de passe “Normal”	Pour un mot de passe “Changeant”

Remarque:

• Ces paramètres sont globaux à toute les connexions VPN qui vous allez créer. Dès que vous configurez un VPN dont le mot de passe est changeant, n'oubliez pas de revenir sur cet écran pour décocher la case de reconnexion automatique!

Ci-dessous, vous trouverez des captures de tous les écrans de configuration. Seuls quelques-uns sont nécessaires!

• Ajoutez une configuration VPN et cliquant sur “Add”

• Configurez le nom du serveur VPN “Host Name” : <font inherit/inherit;;#FF0000;;inherit> VPNHOST.DOMAIN.TLD (remplacez par vos paramètres) </font>
• Laisser le “MTU” à 1380. Si tout marche bien, dans un deuxième temps, vous pouvez le configurer à sa valeur maximum: <font inherit/inherit;;#FF0000;;inherit> 1430 </font>

• Sélectionnez l’“Authentication Method”: <font inherit/inherit;;#FF0000;;inherit>Mutual PSK +</font> <font inherit/inherit;;#FF0000;;inherit>XA</font> <font inherit/inherit;;#FF0000;;inherit>uth</font>
• Sélectionnez l’“Identification Type”: <font inherit/inherit;;#FF0000;;inherit> Key Identifier </font>
• Configurez le groupe d'identity ISAKMP “Key ID String”:<font inherit/inherit;;#FF0000;;inherit> GROUPKEYID </font> <font inherit/inherit;;#FF0000;;inherit> (remplacez par vos paramètres) </font>

• Configurez le password du groupe d'identity ISAKMP “Pre Shared Key”: <font inherit/inherit;;#FF0000;;inherit> GROUPKEYPASSWORD </font> <font inherit/inherit;;#FF0000;;inherit> (remplacez par vos paramètres) </font>

• Démarrez le logiciel “VPN Access Manager”

• Cliquez avec le bouton de droite sur le cadenas en bas à droite de l'écran et sélectionnez: “Connect” , puis sélectionnez le VPN à utiliser

• Entrez votre <font inherit/inherit;;#FF0000;;inherit>username</font> et votre <font inherit/inherit;;#FF0000;;inherit>mot de passe</font> : Si le vpn fonctionne, la fenêtre disparaît ! et vous êtes connectés !

Exemple avec les données suivantes:

• Réseau Local: 192.168.1.0/24, GW 192.168.1.1
• Pool VPN: 192.168.0.0/24

aaa authentication login AAA_VPN_CLIENT local
aaa authorization network AAA_VPN_CLIENT local

username client1 password xxxxx
# (marche aussi avec “secret” pour les administrateurs réseaux)

ip dhcp pool VPN_RA
network 192.168.0 255.255.255.0
dns-server 192.168.0.254
domain-name net.home
default-router 192.168.160.254

crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 30
encr 3des
authentication pre-share
group 2

crypto isakmp client configuration group ISAKMP_CLIENT_CONF_GRP
key IPSEC_KEY
dns 192.168.0.254
acl INJECTED_ROUTE
save-password
split-dns net.home
dhcp timeout 10
dhcp server 192.168.0.254
dhcp giaddr 192.168.0.254

crypto isakmp profile IKE_PROF_VPN_CLIENT
match identity group ISAKMP_CLIENT_CONF_GRP
client authentication list AAA_VPN_CLIENT
isakmp authorization list AAA_VPN_CLIENT
client configuration address respond
virtual-template 4

interface Loopback1680
ip address 192.168.0.254 255.255.255.0
ip virtual-reassembly in
end

interface Virtual-Template1 type tunnel
ip unnumbered Loopback1680
ip virtual-reassembly in
tunnel mode ipsec ipv4
tunnel protection ipsec profile VPN_CLIENT_ISAKMP_PROF

ip access-list extended INJECTED_ROUTE
permit ip 192.168.0.0 0.0.0.255 any