Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Présentation et meilleures pratiques de Cisco Business VPN

Options de téléchargement

  • PDF     (131.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (95.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (90.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:15 janvier 2020
ID du document:1585753960779450

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Objectif

L'objectif de ce document est de donner une vue d'ensemble des meilleures pratiques en matière de réseau privé virtuel (VPN) à toute personne nouvelle à Cisco Business.

Introduction

Il y a si longtemps que le seul endroit où vous pouviez travailler était au bureau. Vous vous souvenez peut-être, de retour dans la journée, avoir dû vous rendre au bureau le week-end pour régler un problème de travail. Il n'y avait pas d'autre moyen d'obtenir des données des ressources de l'entreprise à moins que vous soyez physiquement dans votre bureau. Ces jours sont terminés. Aujourd'hui, vous pouvez être en déplacement ; de la maison, d'un autre bureau, d'un café ou même d'un autre pays. L'inconvénient est que les pirates cherchent toujours à saisir vos données sensibles. Utiliser l'Internet public n'est pas sûr. Que pouvez-vous faire pour bénéficier de la flexibilité et de la sécurité ? Configurez un VPN !

Une connexion VPN permet aux utilisateurs d'accéder, d'envoyer et de recevoir des données depuis et vers un réseau privé en passant par un réseau public ou partagé tel qu'Internet, tout en assurant une connexion sécurisée à une infrastructure réseau sous-jacente pour protéger le réseau privé et ses ressources.

Un tunnel VPN établit un réseau privé qui peut envoyer des données en toute sécurité à l'aide du chiffrement pour coder les données et de l'authentification pour garantir l'identité du client. Les bureaux d'entreprise utilisent souvent une connexion VPN car il est à la fois utile et nécessaire de permettre à leurs employés d'accéder à leur réseau privé même s'ils se trouvent en dehors du bureau.

Normalement, les VPN de site à site connectent des réseaux entiers entre eux. Ils étendent un réseau et permettent aux ressources informatiques d'un emplacement d'être disponibles à d'autres emplacements. Grâce à l'utilisation d'un routeur VPN, une entreprise peut connecter plusieurs sites fixes sur un réseau public tel qu'Internet.

Le client à site configuré pour un VPN permet à un hôte distant, ou client, d'agir comme s'ils se trouvaient sur le même réseau local. Une connexion VPN peut être configurée entre le routeur et un point d'extrémité une fois que le routeur a été configuré pour la connexion Internet. Le client VPN dépend des paramètres du routeur VPN, en plus des paramètres correspondants requis pour établir une connexion. En outre, certaines applications clientes VPN sont spécifiques à la plate-forme, elles dépendent également de la version du système d'exploitation (OS). Les paramètres doivent être identiques ou ils ne peuvent pas communiquer.

Un VPN peut être configuré avec l'une des options suivantes :

Si vous n'avez jamais configuré de VPN auparavant, vous recevrez beaucoup de nouvelles informations tout au long de cet article. Il ne s'agit pas d'un guide étape par étape, mais plutôt d'une vue d'ensemble à titre de référence. Par conséquent, il serait utile de lire cet article dans son intégralité avant de passer à l'étape suivante et d'essayer de configurer un VPN sur votre réseau. Des liens pour des étapes spécifiques sont fournis dans cet article.

Les produits tiers non Cisco, notamment TheGreenBow, OpenVPN, Shrew Soft et EZ VPN ne sont pas pris en charge par Cisco. Ils sont inclus strictement à des fins d'orientation. Si vous avez besoin d'assistance sur ces éléments au-delà de l'article, vous devez contacter le tiers pour obtenir de l'assistance.

Avantages de l'utilisation d'une connexion VPN

  • L'utilisation d'une connexion VPN permet de protéger les données et les ressources réseau confidentielles.
  • Elle offre commodité et accessibilité aux travailleurs distants ou aux employés d'entreprise, car ils pourront facilement accéder aux ressources du bureau central sans avoir à être physiquement présents et pourtant, maintenir la sécurité du réseau privé et de ses ressources.
  • La communication via une connexion VPN offre un niveau de sécurité plus élevé que les autres méthodes de communication à distance. Un algorithme de chiffrement avancé rend cela possible, protégeant le réseau privé contre les accès non autorisés.
  • Les emplacements géographiques réels des utilisateurs sont protégés et ne sont pas exposés aux réseaux publics ou partagés comme Internet.
  • Un VPN permet d'ajouter de nouveaux utilisateurs ou un groupe d'utilisateurs sans avoir à ajouter de composants supplémentaires ou une configuration compliquée.

Risques d'utilisation d'une connexion VPN

  • Il peut y avoir des risques de sécurité en raison d'une mauvaise configuration. Comme la conception et la mise en oeuvre d'un VPN peuvent être compliquées, il est nécessaire de confier la tâche de configuration de la connexion à un professionnel expérimenté et expérimenté afin de s'assurer que la sécurité du réseau privé ne soit pas compromise.
  • Il est peut-être moins fiable. Étant donné qu'une connexion VPN nécessite une connexion Internet, il est important d'avoir un fournisseur ayant une réputation éprouvée et testée pour fournir un excellent service Internet et garantir un temps d'arrêt minimal voire nul.
  • Si une situation se produit lorsqu'il est nécessaire d'ajouter une nouvelle infrastructure ou un nouvel ensemble de configurations, des problèmes techniques peuvent survenir en raison de l'incompatibilité, en particulier s'il s'agit de produits ou de fournisseurs différents autres que ceux que vous utilisez déjà.
  • Des vitesses de connexion lentes peuvent se produire. Si vous utilisez une connexion ISP qui fournit un service VPN gratuit, il est probable que votre connexion sera également lente car ces fournisseurs ne donnent pas la priorité aux vitesses de connexion. Il est important de noter que le débit VPN dépend des capacités matérielles du routeur.

Pour plus d'informations sur le fonctionnement des VPN, cliquez ici.

Conseils à utiliser lors de la configuration d'un VPN

  1. Utilisez un sous-réseau IP LAN différent aux deux extrémités lors de la configuration du VPN entre différents sites. Par exemple, si le site auquel vous vous connectez utilise un schéma d'adressage 192.168.x.x, vous devez utiliser un sous-réseau 10.x.x.x ou 172.16.x.x - 172.31.x.x. Une autre option consisterait à avoir différents masques de sous-réseau. Lorsque vous modifiez l'adresse IP de votre routeur, les périphériques du protocole DHCP (Dynamic Host Configuration Protocol) récupèrent automatiquement une adresse IP dans ce sous-réseau.
  2. Utilisez l'adresse IP publique statique sur l'interface WAN du routeur pour une connectivité VPN stable.
  3. Assurez-vous que le niveau de chiffrement et d'authentification sélectionné est identique au routeur vers lequel vous souhaitez établir un tunnel VPN pour le VPN.
  4. Assurez-vous que la clé PSK et la durée de vie de la clé entrées sont identiques au routeur distant. Une clé PSK peut être ce que vous voulez qu'elle soit, elle doit juste correspondre sur le site et avec le client lorsqu'ils sont configurés en tant que client sur leur ordinateur. Selon le périphérique, il peut y avoir des symboles interdits que vous ne pouvez pas utiliser. La durée de vie de la clé indique la fréquence à laquelle le système modifie la clé. Un certificat est préférable car il est considéré comme plus sûr.
  5. Pour la plupart des VPN, les clients n'ont pas besoin d'un certificat pour utiliser un VPN, c'est juste pour la vérification par le routeur. Par exemple, OpenVPN nécessite des certificats de client et de site.
  6. Définissez votre durée de vie SA dans la phase I plus longue que votre durée de vie SA de phase II. Si vous raccourcissez la phase I par rapport à la phase II, vous devrez renégocier le tunnel d'un point à l'autre fréquemment, par opposition au tunnel de données. Un tunnel de données a besoin de plus de sécurité, il est donc préférable que la durée de vie de la phase II soit plus courte que celle de la phase I.
  7. Remplacez tous les mots de passe par quelque chose de plus complexe.

Types de VPN

SSL (Secure Sockets Layer)

Les routeurs de la gamme Cisco Business RV34x prennent en charge un VPN SSL à l'aide d'AnyConnect. Les routeurs RV160 et RV260 peuvent utiliser OpenVPN, qui est un autre VPN SSL. Le serveur VPN SSL permet aux utilisateurs distants d'établir un tunnel VPN sécurisé à l'aide d'un navigateur Web. Cette fonctionnalité permet d'accéder facilement à un large éventail de ressources Web et d'applications Web en utilisant le protocole HTTP (Hypertext Transfer Protocol) natif sur la prise en charge du navigateur HTTPS (Hypertext Transfer Protocol Secure) SSL.

Le VPN SSL permet aux utilisateurs d'accéder à distance à des réseaux restreints, en utilisant un chemin sécurisé et authentifié en chiffrant le trafic réseau.

Il existe deux options pour configurer l'accès dans SSL :

  1. Certificat auto-signé : Certificat signé par son créateur. Ceci n'est pas recommandé et ne doit être utilisé que dans un environnement d'essai.
  2. Certificat signé CA : Cette solution est beaucoup plus sécurisée et fortement recommandée. Pour un coût modique, un tiers valide que le réseau est légitime et crée un certificat CA qui est ensuite joint au site. Pour plus d'informations sur les certificats d'AC, consultez la section Certificats de cet article.

Ce document contient des liens vers des articles sur AnyConnect. Pour une présentation d’AnyConnect, cliquez ici.

Profil IPsec

Easy VPN (EZVPN), TheGreenBow et Shrew Soft sont des VPN IPSec (Internet Protocol Security). Les VPN IPSec fournissent des tunnels sécurisés entre deux homologues ou d'un client à un site. Les paquets considérés comme sensibles doivent être envoyés via ces tunnels sécurisés. Les paramètres tels que l'algorithme de hachage, l'algorithme de chiffrement, la durée de vie des clés et le mode doivent être utilisés pour protéger ces paquets sensibles doivent être définis en spécifiant les caractéristiques de ces tunnels. Ensuite, lorsque l'homologue IPsec voit un paquet aussi sensible, il configure le tunnel sécurisé approprié et envoie le paquet par ce tunnel à l'homologue distant.

Quand IPsec est mis en oeuvre dans un pare-feu ou un routeur, il fournit une sécurité forte qui peut être appliquée à tout le trafic traversant le périmètre. Le trafic au sein d'une entreprise ou d'un groupe de travail n'entraîne pas de surcharge liée au traitement de la sécurité.

Pour que les deux extrémités d'un tunnel VPN soient correctement chiffrées et établies, elles doivent toutes deux s'accorder sur les méthodes de chiffrement, de déchiffrement et d'authentification. Le profil IPsec est la configuration centrale dans IPsec qui définit les algorithmes tels que le chiffrement, l'authentification et le groupe Diffie-Hellman (DH) pour la négociation de phase I et II en mode auto et en mode de frappe manuelle.

Les composants importants d'IPsec incluent l'échange de clés Internet (IKE) phase 1 et phase 2.

L'objectif de base de la phase 1 d'IKE est d'authentifier les homologues IPSec et de configurer un canal sécurisé entre les homologues pour activer les échanges IKE. La phase IKE 1 remplit les fonctions suivantes :

  • Authentifie et protège les identités des homologues IPSec
  • Négocie une stratégie d'association de sécurité IKE (SA) correspondante entre homologues pour protéger l'échange IKE
  • Effectue un échange Diffie-Hellman authentifié avec le résultat final d'avoir des clés secrètes partagées correspondantes
  • Configuration d'un tunnel sécurisé pour négocier les paramètres de phase 2 IKE
  • Se produit dans deux modes, le mode principal et le mode agressif

L'objectif de la phase 2 d'IKE est de négocier les SA IPSec pour configurer le tunnel IPSec. IKE Phase 2 remplit les fonctions suivantes :

  • Négocie les paramètres de SA IPSec protégés par une SA IKE existante
  • Établit des associations de sécurité IPSec
  • Renégocie périodiquement les SA IPSec pour garantir la sécurité
  • Effectue éventuellement un échange Diffie-Hellman supplémentaire
  • Un seul mode utilisé, mode rapide

Si la politique IPSec spécifie Perfect Forward Secrecy (PFS), un nouvel échange DH est effectué avec chaque mode rapide, fournissant un matériau de frappe qui présente une plus grande entropie (durée de vie matérielle clé) et ainsi une plus grande résistance aux attaques cryptographiques. Chaque échange DH nécessite de grandes extensions, augmentant ainsi l'utilisation du CPU et exigeant un coût de performance.

Protocole de tunnellisation point à point (PPTP)

PPTP est un protocole réseau utilisé pour créer des tunnels VPN entre des réseaux publics. Les serveurs PPTP sont également appelés serveurs VPDN (Virtual Private Dialup Network). Le protocole PPTP est parfois utilisé sur d'autres protocoles, car il est plus rapide et peut fonctionner sur des périphériques mobiles. Cependant, il est important de noter qu'il n'est pas aussi sécurisé que les autres types de VPN. Il existe plusieurs méthodes pour se connecter à des comptes de type PPTP. Cliquez sur les liens pour en savoir plus :

Encapsulation de routage générique

GRE (Generic Routing Encapsulation) est un protocole de tunnellisation qui fournit une approche générique simple pour le transport des paquets d’un protocole sur un autre protocole par le biais de l’encapsulation.

GRE encapsule une charge utile, c'est-à-dire un paquet interne qui doit être transmis à un réseau de destination dans un paquet IP externe. Le tunnel GRE se comporte comme une liaison point à point virtuelle qui a deux points d'extrémité identifiés par l'adresse source et l'adresse de destination du tunnel.

Les points d'extrémité du tunnel envoient des charges utiles via des tunnels GRE en acheminant des paquets encapsulés via des réseaux IP d'intervention. D’autres routeurs IP sur le chemin n’analysent pas la charge utile (le paquet interne); ils analysent uniquement le paquet IP externe lorsqu'ils le transmettent vers le point de terminaison du tunnel GRE. Une fois le point d'extrémité du tunnel atteint, l'encapsulation GRE est supprimée et la charge utile est transférée vers la destination finale du paquet.

L’encapsulation des datagrammes dans un réseau est effectuée pour plusieurs raisons, par exemple lorsqu’un serveur source veut influencer la route qu’un paquet emprunte pour atteindre l’hôte de destination. Le serveur source est également appelé serveur d’encapsulation.

L’encapsulation IP-in-IP implique l’insertion d’un en-tête IP externe sur l’en-tête IP existant. L'adresse source et de destination dans l'en-tête IP externe pointe vers les points d'extrémité du tunnel IP-in-IP. La pile d’en-têtes IP est utilisée pour diriger le paquet sur un chemin prédéterminé vers la destination, à condition que l’administrateur réseau connaisse les adresses de bouclage des routeurs transportant le paquet.

Ce mécanisme de tunnellisation peut être utilisé pour déterminer la disponibilité et la latence de la plupart des architectures réseau. Il est à noter que l’intégralité du chemin entre la source et la destination n’a pas à être incluse dans les en-têtes, mais qu’un segment du réseau peut être choisi pour diriger les paquets.

Protocole de tunnellisation de couche 2

L2TP ne fournit pas de mécanismes de cryptage pour le trafic qu'il tunnel. Au lieu de cela, il s'appuie sur d'autres protocoles de sécurité, tels qu'IPSec, pour chiffrer les données.

Un tunnel L2TP est établi entre le concentrateur d'accès L2TP (LAC) et le serveur de réseau L2TP (LNS). Un tunnel IPSec est également établi entre ces périphériques et tout le trafic de tunnel L2TP est chiffré à l'aide d'IPSec.

Quelques termes clés avec L2TP :

  • CHAP - Protocole d'authentification à échanges confirmés. Protocole PPP (Point to Point Authentication Protocol).
  • L2TP Access Concentrator (LAC) : un LAC peut être un serveur d'accès réseau Cisco connecté au réseau téléphonique public commuté (RTPC). Le LAC n'a besoin que d'implémenter des supports pour fonctionner sur L2TP. Un LAC peut se connecter au LNS à l’aide d’un réseau local ou étendu, tel qu’un relais de trames public ou privé. Le LAC est l'initiateur des appels entrants et le destinataire des appels sortants.
  • LNS (L2TP Network Server) : presque tous les routeurs Cisco connectés à un réseau local ou étendu, comme le relais de trames public ou privé, peuvent agir en tant que LNS. Il s’agit du côté serveur du protocole L2TP et doit fonctionner sur toute plate-forme qui termine les sessions PPP. Le LNS est l'initiateur des appels sortants et le destinataire des appels entrants. La Figure 1 illustre la routine d'appel entre le LAC et le LNS.
  • Virtual Private Dial Network (VPDN) : type de VPN d'accès qui utilise le protocole PPP pour fournir le service.

Pour plus d'informations sur L2TP, cliquez sur les liens suivants :

VPN compatibles avec les routeurs VPN professionnels Cisco

RV34X RV32X RV160X/RV260X
IPSec (IKEv1)
ShrewSoft Oui Oui Oui
Groenland Oui Oui Oui
Client Mac intégré Oui Oui Non
iPhone/iPad Oui Oui Non
Android Oui Oui Oui
L2TP/IPSec Oui (PAP) Non Non
PPTP Oui (PAP) Oui* Oui (PAP)
Other (autre)
AnyConnect  Oui Non Non
Openvpn Non Oui Oui
IKEv2
Fenêtres Oui* Non Oui*
Mac Oui Non Oui
iPhone Oui Non Oui
Android Oui Non Oui

Technologie VPN

Périphériques pris en charge

Clients pris en charge*

Détails et caves

IPSec (IKEv1)

RV34X, RV32X, RV160X/RV260X

Natif : Mac, iPhone, iPad, Android


Divers : EasyVPN (Cisco VPN Client), ShrewSoft, Greenbow

Plus facile à installer, à dépanner et à prendre en charge. Il est disponible sur tous les routeurs, est simple à configurer (pour la plupart), a la meilleure journalisation à dépanner. Et inclut la plupart des périphériques. C'est pourquoi nous recommandons généralement ShrewSoft (gratuit et fonctionne) et Greenbow (pas gratuit, mais fonctionne).

Pour Windows, nous avons des clients ShrewSoft et Greenbow comme options, puisque Windows n'a pas de client VPN natif IPSec pur. Pour ShrewSoft et Greenbow, c’est un peu plus impliqué, mais pas difficile. Une fois que vous avez configuré pour la première fois, les profils clients peuvent être exportés, puis importés sur d'autres clients.

Pour les routeurs RV160X/RV260X, comme nous n'avons pas l'option Easy VPN, nous devons utiliser l'option Client tiers, qui ne fonctionne pas avec Mac, iPhone ou iPad. Nous pouvons cependant configurer les clients ShrewSoft, Greeenbow et Android pour qu'ils se connectent. Pour les clients Mac, iPhone et iPad, je recommande IKEv2 (voir ci-dessous).

AnyConnect 

RV34X

Windows, Mac, iPhone, iPad, Android

Certains clients demandent une solution Cisco complète, et c'est tout. Il est simple à configurer, a une journalisation, mais peut être difficile de comprendre les journaux. Nécessite l'obligation de licence du client pour les coûts d'exploitation. Il s'agit d'une solution Cisco complète et mise à jour. Le dépannage n'est pas aussi simple qu'IPSec, mais mieux que les autres options VPN.

L2TP/IPSec

RV34X

Natif : Fenêtres

C'est ce que je recommanderai aux clients qui doivent utiliser le client VPN intégré dans Windows. Voici deux mises en garde :

1. Nous ne prenons en charge l'authentification PAP que lors de l'utilisation de l'authentification locale. Nous devons entrer dans chaque client et sélectionner optionnel ou pas de cryptage, désactiver les options MS-CHAP et activer PAP. Cela signifie que le nom d'utilisateur/mot de passe sont envoyés en clair. Ce n'est pas énorme, car tout est chiffré avec IPSec et doit être configuré sur chaque client. Sous Windows, ceci est configurable, mais pas sur les appareils Mac, iPhone, iPad ou Android, donc ne peut vraiment être utilisé que par les clients Windows à moins qu'ils n'aient un serveur d'authentification externe comme Radius ou LDAP.

2. Si le routeur se trouve derrière un périphérique NAT, la connexion échouera sur les ordinateurs Windows. La solution de contournement consiste à créer une clé de Registre sur chaque client pour autoriser la NAT sur le client et le routeur.

IPSec (IKEv2)

RV34X, RV160X/RV260X

Natif : Windows, Mac, iPhone, iPad, Android

Le client natif Windows pour IKEv2 nécessite une authentification de certificat, ce qui nécessite une infrastructure PKI puisque le routeur et tous les clients doivent avoir des certificats de la même autorité de certification (ou d'une autre autorité de certification de confiance).

Pour ceux qui veulent utiliser IKEv2, nous l'avons configuré pour leurs appareils Mac, iPhone, iPad et Android et nous configurons généralement IKEv1 pour leurs machines Windows (ShrewSoft, Greenbow ou L2TP/IPSec).

VPN ouvert

RV32X, RV160X/RV260X

Open VPN est le client

Plus difficile à configurer, difficile à dépanner et à prendre en charge. Pris en charge sur les modèles RV160X/RV260X et RV320. La configuration est plus complexe qu'IPSec ou AnyConnect, surtout s'ils utilisent des certificats, ce que la plupart font. Le dépannage est plus difficile car nous ne disposons pas de journaux utiles sur le routeur et nous nous fions aux journaux du client. En outre, les mises à jour de version du client OpenVPN ont sans avertissement modifié les certificats acceptés. De plus, nous avons constaté que cela ne fonctionne pas sur les Chromebooks et avons dû passer à une solution IPSec.

* Nous testons autant de combinaisons que possible, s'il y a une combinaison matériel/logiciel spécifique veuillez contacter ici. Sinon, consultez le guide de configuration associé par périphérique pour connaître la version la plus récente testée.

Certificats

Avez-vous déjà visité un site Web et reçu un avertissement indiquant qu'il n'est pas sécurisé ? Il ne vous donne pas la certitude que vos informations privées sont sécurisées, et ce n'est pas le cas ! Si un site est sécurisé, une icône de verrouillage fermé apparaît avant le nom du site. C'est un symbole que le site a été vérifié sans danger. Vous voulez être sûr que l'icône de verrouillage est fermée. Il en va de même pour votre VPN.

Lorsque vous configurez un VPN, vous devez obtenir un certificat auprès d'une autorité de certification (AC). Les certificats sont achetés sur des sites tiers et utilisés pour l'authentification. C'est un moyen officiel de prouver que votre site est sécurisé. Essentiellement, l'AC est une source fiable qui vérifie que vous êtes une entreprise légitime et qu'elle peut être approuvée. Pour un VPN, vous n'avez besoin que d'un certificat de niveau inférieur à un coût minime. Vous êtes extrait par l'autorité de certification, et une fois qu'ils vérifient vos informations, ils vous délivrent le certificat. Ce certificat peut être téléchargé sous forme de fichier sur votre ordinateur. Vous pouvez ensuite accéder à votre routeur (ou à votre serveur VPN) et le télécharger ici.

L'autorité de certification utilise l'infrastructure à clé publique (PKI) lors de la délivrance de certificats numériques, qui utilise le chiffrement à clé publique ou privée pour assurer la sécurité. Les CA sont responsables de la gestion des demandes de certificat et de la délivrance des certificats numériques. Quelques CA tierces incluent IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust et Verisign.

Il est important que toutes les passerelles d'un VPN utilisent le même algorithme, sinon elles ne pourront pas communiquer. Pour simplifier les choses, il est recommandé d'acheter tous les certificats auprès d'un même tiers de confiance. Cela facilite la gestion de plusieurs certificats, car ils doivent être renouvelés manuellement.

Note: Les clients n'ont généralement pas besoin d'un certificat pour utiliser un VPN ; il s'agit uniquement d'une vérification via le routeur. Une exception à cette règle est OpenVPN, qui nécessite un certificat client.

Certaines petites entreprises choisissent d'utiliser un mot de passe ou une clé pré-partagée à la place d'un certificat pour plus de simplicité. Cette solution est moins sécurisée mais peut être mise en place gratuitement.

Vous trouverez plus d'informations sur les certificats dans les liens ci-dessous :

VPN site à site sur un routeur

Pour le routeur local et distant, il est important de s'assurer que la clé prépartagée (PSK)/mot de passe/certificat utilisé pour la connexion VPN et que les paramètres de sécurité correspondent tous. Si un ou plusieurs routeurs utilisent la traduction d'adresses de réseau (NAT), que la plupart des routeurs Cisco Business utilisent, vous devrez faire des exemptions de pare-feu pour la connexion VPN sur le routeur local et distant.

Consultez les articles de site à site pour plus d'informations :

VPN client à site sur un routeur

Avant de pouvoir configurer un VPN côté client, un administrateur doit le configurer sur le routeur.

Cliquez pour afficher les articles suivants sur la configuration du routeur :

Créer un profil client-site

Dans une connexion VPN client à site, les clients d'Internet peuvent se connecter au serveur pour accéder au réseau d'entreprise ou au réseau local derrière le serveur, tout en conservant la sécurité du réseau et de ses ressources. Cette fonctionnalité est très utile car elle crée un nouveau tunnel VPN qui permettrait aux télétravailleurs et aux voyageurs d'affaires d'accéder à votre réseau en utilisant un logiciel client VPN sans compromettre la confidentialité et la sécurité. Les articles suivants sont spécifiques aux routeurs de la gamme RV34x :

Le VPN client-site ne fonctionnera pas si le transfert de port est défini pour tout le trafic source et tout le trafic de destination.

Groupes d'utilisateurs

Des groupes d'utilisateurs sont créés sur le routeur pour un ensemble d'utilisateurs partageant le même ensemble de services. Ces groupes d'utilisateurs incluent des options pour le groupe, telles qu'une liste d'autorisations sur la façon dont ils peuvent accéder au VPN. Selon le périphérique, PPTP, VPN IPSec site à site et VPN IPSec client à site peuvent être autorisés. Par exemple, le RV260 dispose d'options qui incluent OpenVPN mais L2TP n'est pas pris en charge. La gamme RV340 est équipée d'AnyConnect pour un VPN SSL, ainsi que de Captive Portal ou EZ VPN.

Ces paramètres permettent aux administrateurs de contrôler et de filtrer pour que seuls les utilisateurs autorisés puissent accéder au réseau. Shrew Soft et TheGreenBow sont deux des clients VPN les plus courants disponibles en téléchargement. Ils doivent être configurés en fonction des paramètres VPN du routeur pour pouvoir établir un tunnel VPN. L'article suivant traite spécifiquement de la création d'un groupe d'utilisateurs :

Lorsque vous configurez des groupes d'utilisateurs pour un VPN, veillez à laisser le compte d'administrateur par défaut dans le groupe d'administrateurs et à créer un nouveau compte d'utilisateur et un nouveau groupe d'utilisateurs pour le VPN. Si vous déplacez votre compte d'administrateur vers un autre groupe, vous vous empêcherez de vous connecter au routeur. Par conséquent, vous devez réinitialiser et configurer le routeur en usine, en laissant le compte d'administrateur par défaut dans le groupe d'administrateurs seul.

Comptes d'utilisateurs

Les comptes d'utilisateurs sont créés sur le routeur afin de permettre l'authentification des utilisateurs locaux à l'aide de la base de données locale pour divers services tels que PPTP, VPN Client, interface utilisateur graphique Web (GUI) et Secure Sockets Layer Virtual Private Network (SSLVPN). Cela permet aux administrateurs de contrôler et de filtrer les utilisateurs autorisés uniquement pour accéder au réseau. L'article suivant traite spécifiquement de la création d'un compte d'utilisateur :

Client à site sur le site du client

Dans une connexion VPN client à site, les clients d'Internet peuvent se connecter au serveur pour accéder au réseau d'entreprise ou au réseau local derrière le serveur, tout en conservant la sécurité du réseau et de ses ressources. Cette fonctionnalité est très utile car elle crée un nouveau tunnel VPN qui permet aux télétravailleurs et aux voyageurs d'affaires d'accéder à votre réseau en utilisant un logiciel client VPN sans compromettre la confidentialité et la sécurité. Le VPN est configuré pour chiffrer et déchiffrer les données lors de leur envoi et de leur réception.

L'application AnyConnect fonctionne avec un VPN SSL et est utilisée avec les routeurs RV34x en particulier. Il n'est pas disponible avec d'autres routeurs de la gamme RV. À partir de la version 1.0.3.15, une licence de routeur n'est plus nécessaire, mais des licences doivent être achetées pour le côté client du VPN. Pour plus d'informations sur Cisco AnyConnect Secure Mobility Client, cliquez ici. Pour obtenir des instructions sur l'installation, sélectionnez l'un des articles suivants :

Certaines applications tierces peuvent être utilisées pour le VPN client à site avec tous les routeurs de la gamme RV. Comme indiqué précédemment, Cisco ne prend pas en charge ces applications ; ces renseignements sont fournis à des fins d'orientation.

Le client VPN GreenBow est une application cliente VPN tierce qui permet à un périphérique hôte de configurer une connexion sécurisée pour un tunnel IPsec client à site ou SSL. Il s'agit d'une application payante qui inclut l'assistance.

OpenVPN est une application libre et open source qui peut être configurée et utilisée pour un VPN SSL. Il utilise une connexion client-serveur pour fournir des communications sécurisées entre un serveur et un site client distant sur Internet.

Shrew Soft est une application libre et open source qui peut être configurée et utilisée pour un VPN IPsec également. Il utilise une connexion client-serveur pour fournir des communications sécurisées entre un serveur et un site client distant sur Internet.

Easy VPN était couramment utilisé sur les routeurs RV32x. Voici quelques informations à consulter :

Assistant de configuration

Les derniers routeurs Cisco Business sont fournis avec un assistant de configuration VPN qui vous guide tout au long des étapes de configuration. L'Assistant de configuration VPN vous permet de configurer des connexions VPN de base LAN à LAN et d'accès à distance et d'attribuer des clés prépartagées ou des certificats numériques pour l'authentification. Pour plus d'informations, consultez ces articles :

Conclusion

Cet article vous a permis de mieux comprendre les réseaux privés virtuels et de vous fournir des conseils pour vous aider à progresser. Maintenant, vous devriez être prêt à configurer le vôtre ! Prenez le temps d'afficher les liens et de déterminer la meilleure façon de configurer un VPN sur votre routeur Cisco Business.

Historique de révision

Révision Date de publication Commentaires
1.0
15-Jan-2020
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco