Configurer l'assistant de configuration VPN sur le RV160 et le RV260

Objectif

Ce document t'affiche comment configurer l'assistant de configuration VPN sur le RV160 et le RV260.

Introduction

La technologie a évolué et l'entreprise est souvent conduite en dehors de du bureau. Les périphériques sont plus mobiles et les employés travaillent souvent de la maison ou pendant qu'ils voyagent. Ceci peut entraîner quelques failles de la sécurité. Un réseau privé virtuel (VPN) est une grande manière de connecter des travailleurs distants à un réseau sécurisé. Un VPN permet à un serveur distant pour agir comme si ils ont été connectés au réseau sécurisé sur le site.

Un VPN établit une connexion cryptée au-dessus de moins de réseau sécurisé comme l'Internet. Il assure le niveau de sécurité approprié aux systèmes connectés. Un tunnel est établi comme réseau privé qui peut envoyer des données sécurisé à l'aide des techniques industriellement compatibles de cryptage et d'authentification pour sécuriser les données transmises. Une remote-access VPN se fonde habituellement sur l'IPSec (IPsec) ou le Protocole SSL (Secure Socket Layer) pour sécuriser la connexion.

Les VPN permettent d'accéder couche 2 au réseau de destination ; ceux-ci exigent un protocole de Tunnellisation tel que l'exécution de Protocole PPTP (Point-to-Point Tunneling Protocol) ou de Layer 2 Tunneling Protocol (L2TP) à travers la connexion de base d'IPsec. L'IPsec VPN prend en charge le site à site VPN pour un tunnel de passerelle-à-passerelle. Par exemple, un utilisateur peut configurer le tunnel VPN à une filiale pour se connecter au routeur au site entreprise, de sorte que la filiale puisse sécurisé accéder au réseau d'entreprise. IPsec VPN prend en charge également la topologie VPN pour le tunnel d'hôte-à-passerelle. Le client au serveur VPN est utile en se connectant de Laptop/PC de maison à un réseau d'entreprise par le serveur VPN.

Le routeur de gamme RV160 prend en charge 10 tunnels et le routeur de gamme RV260 prend en charge 20 tunnels. L'assistant de configuration VPN guide l'utilisateur en configurant une connexion sécurisée pour un tunnel d'IPsec de site à site. Ceci simplifie la configuration en évitant le complexe et les paramètres optionnels, ainsi n'importe quel utilisateur peut installer le tunnel d'IPsec d'un rapide et d'une façon efficace.

Périphériques applicables

·        RV160

·        RV260

Version de logiciel

·        1.0.0.13

Configuration d'assistant de configuration VPN sur le routeur local

Étape 1. Connectez-vous dans la page de configuration Web sur votre routeur local.

Remarque: Nous nous réfèrerons le routeur local comme routeur A et routeur distant comme routeur B. Dans ce document, nous emploierons deux RV160 pour expliquer l'assistant de configuration VPN.

Étape 2. Naviguez vers assistant de configuration VPN > VPN.

Étape 3. Dans la section commencée obtenante, écrivez un nom de la connexion dans l'entrer un champ de nom de la connexion. Nous sommes entrés dans HomeOffice en tant que notre nom de la connexion.

Étape 4. Dans le domaine d'interface, sélectionnez une interface de la liste déroulante si vous utilisez un RV260. Le RV160 a seulement un lien WAN ainsi vous ne pourrez pas sélectionner une interface de la liste déroulante. Le clic à côté de poursuivent à la section distante de paramètres du routeur.

Étape 5. Sélectionnez un type de connexion distante de la liste déroulante. Sélectionnez IP statique ou FQDN (nom de domaine complet) et puis écrivez l'adresse IP BLÊME ou le FQDN de la passerelle que vous souhaitez connecter dans la zone adresse d'adresse distante. Dans cet exemple, l'IP statique a été sélectionné et l'adresse IP BLÊME de routeur distant (le routeur B) a été présenté. Cliquez sur alors à côté du mouvement à la section suivante.

Étape 6. Dans la section de gens du pays et de réseau distant, sous la sélection du trafic local, sélectionnez l'IP de gens du pays (sous-réseau, simple, ou quels) de la liste déroulante. Si vous sélectionnez le sous-réseau, écrivez l'adresse IP et le masque de sous-réseau de sous-réseau. Si vous sélectionnez simple, écrivez une adresse IP. Si en était sélectionné, passez à l'étape suivante pour configurer la sélection distante du trafic.

Étape 7. Dans la sélection distante du trafic, sélectionnez l'IP de distant (sous-réseau, simple, ou quels) de la liste déroulante. Si vous sélectionnez le sous-réseau, écrivez l'adresse IP de sous-réseau et le masque de sous-réseau du routeur distant (routeur B). Si vous sélectionnez simple, écrivez l'adresse IP. Cliquez sur alors à côté de configurent la section de profil.

Remarque: Si vous en avez sélectionné pour la sélection du trafic local, alors vous devez sélectionner le sous-réseau ou choisir pour la sélection distante du trafic.

Étape 8. Dans la section de profil, sélectionnez un nom pour le profil IPSec de la liste déroulante. Pour cette démonstration, le nouveau-profil a été sélectionné comme profil IPSec.

Étape 9. Choisissez IKEv1 (version d'échange de clés Internet (IKE) 1) ou IKEv2 (version d'échange de clés Internet (IKE) 2) en tant que votre version d'IKE. L'IKE est un protocole hybride qui implémente l'échange de clé d'Oakley et l'échange de clé de Skeme à l'intérieur du cadre de Protocole ISAKMP (Internet Security Association and Key Management Protocol). L'IKE fournit l'authentification des pairs d'IPsec, négocie des clés d'IPsec, et négocie des associations de sécurité d'IPsec. IKEv2 est plus efficace parce qu'il prend moins de paquets pour faire l'échange clé et prend en charge plus d'options d'authentification, alors qu'IKEv1 fait seulement clé partagée et authentification basée par certificat. Dans cet exemple, IKEv1 a été sélectionné en tant que notre version d'IKE.

Remarque: Si votre périphérique prend en charge IKEv2 puis il est recommandé d'utiliser IKEv2. Si vos périphériques ne les prend en charge pas IKEv2 alors utilisent IKEv1. Les deux Routeurs (les gens du pays et le distant) doivent utiliser la mêmes version et paramètres de sécurité d'IKE.

Étape 10. Dans la section Options de Phase 1, sélectionnez un groupe de DH (Diffie-Hellman) (bit 1536 de groupe 2 – 1024 le bit ou le groupe 5 -) de la liste déroulante. Le CAD est un protocole d'échange de clés, avec deux groupes de différentes longueurs principales principales : Le groupe 2 a jusqu'à 1,024 bits, et le groupe 5 a jusqu'à 1,536 bits. Nous utiliserons le groupe 2 – le bit 1024 pour cette démonstration.

Remarque: Pour une vitesse plus rapide et une Sécurité inférieure, choisissez le groupe 2. Pour une Sécurité plus à basse vitesse et plus élevée, choisissez le groupe 5. que le groupe 2 est sélectionné par défaut.

Étape 11. Sélectionnez une option de chiffrement (3DES, AES-128, AES-192, ou AES-256) de la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer ou déchiffrer des paquets d'association de sécurité et de protocole de gestion de clés du Protocole ESP (Encapsulating Security Payload) /Internet (ISAKMP). Le chiffrement DES d'utilisations de Norme 3DES (Triple Data Encryption Standard) trois fois mais est maintenant un algorithme existant. Ceci signifie qu'il devrait seulement être utilisé quand il n'y a aucune meilleure solution de rechange puisqu'il fournit toujours un niveau de Sécurité marginal mais acceptable. Les utilisateurs devraient seulement l'utiliser s'il a exigé pour ascendant la compatibilité car il est vulnérable à quelques attaques « de collision de bloc ». Le Norme AES (Advanced Encryption Standard) est un algorithme de chiffrement qui est conçu pour être plus sécurisés que le DES. AES utilise une plus grande taille de clé qui s'assure que la seule approche connue pour déchiffrer un message est pour qu'un intrus essaye chaque clé possible. Il est recommandé pour utiliser AES au lieu de 3DES. Dans cet exemple, nous utiliserons AES-192 en tant que notre option de chiffrement.

Remarque: Voici quelques ressources supplémentaires qui peuvent aider : Configurer la Sécurité pour des VPN avec IPSec et cryptage de nouvelle génération.

Étape 12. La méthode d'authentification détermine comment les paquets s'encapsulants d'en-tête de Protocol de charge utile de Sécurité (ESP) sont validés. Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit. Le SHA1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit tandis que SHA2-256 produit un condensé 256-bit. SHA2-256 est recommandé parce qu'il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1, ou SHA2-256). SHA2-256 a été sélectionné pour cet exemple.

Étape 13. La vie SA (sec) vous indique que la durée, en quelques secondes, IKE SA est en activité dans cette phase. Une nouvelle association de sécurité (SA) est négociée avant que la vie expire pour s'assurer que nouvelle SA est prête à être utilisée quand la vieille expire. Le par défaut est 28800 et la plage est de 120 à 86400. Nous utiliserons la valeur par défaut de 28800 secondes en tant que notre vie SA pour la phase I.

Remarque: L'il est recommandé que votre vie SA dans la phase I est plus long que votre vie SA de la phase II. Si vous rendez votre phase I plus courte que la phase II, alors vous devrez renégocier le tunnel dans les deux sens fréquemment par opposition au tunnel de données. Le tunnel de données est ce qui a besoin de plus de Sécurité ainsi il vaut mieux d'avoir la vie dans la phase II à être plus court que la phase I.

Étape 14. Entrez dans la clé pré-partagée pour l'utiliser pour authentifier le pair distant d'IKE. Vous pouvez écrire jusqu'à 30 caractères ou valeurs hexadécimales de clavier, telles que My_@123 ou 4d795f40313233. Les deux extrémités du tunnel VPN doivent utiliser la même clé pré-partagée.

Remarque: Nous recommandons que vous changiez la clé pré-partagée périodiquement pour maximiser la Sécurité VPN.

Étape 15. Dans la section Options de la phase II, sélectionnez un protocole de la liste déroulante.

·       L'ESP – L'ESP choisi pour le chiffrement de données et écrivent le cryptage.

·       OH – Sélectionnez ceci pour l'intégrité des données dans les situations où les données ne sont pas secrètes mais devez être authentifié.

Étape 16. Sélectionnez une option de chiffrement (3DES, AES-128, AES-192, ou AES-256) de la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer ou déchiffrer des paquets d'association de sécurité et de protocole de gestion de clés du Protocole ESP (Encapsulating Security Payload) /Internet (ISAKMP). Le chiffrement DES d'utilisations de Norme 3DES (Triple Data Encryption Standard) trois fois mais est maintenant un algorithme existant. Ceci signifie qu'il devrait seulement être utilisé quand il n'y a aucune meilleure solution de rechange puisqu'il fournit toujours un niveau de Sécurité marginal mais acceptable. Les utilisateurs devraient seulement l'utiliser s'il a exigé pour ascendant la compatibilité car il est vulnérable à quelques attaques « de collision de bloc ». Le Norme AES (Advanced Encryption Standard) est un algorithme de chiffrement qui est conçu pour être plus sécurisés que le DES. AES utilise une plus grande taille de clé qui s'assure que la seule approche connue pour déchiffrer un message est pour qu'un intrus essaye chaque clé possible. Il est recommandé pour utiliser AES au lieu de 3DES. Dans cet exemple, nous utiliserons AES-192 en tant que notre option de chiffrement.

Remarque: Voici quelques ressources supplémentaires qui peuvent aider : Configurer la Sécurité pour des VPN avec IPSec et cryptage de nouvelle génération.

Étape 17. La méthode d'authentification détermine comment les paquets s'encapsulants d'en-tête de Protocol de charge utile de Sécurité (ESP) sont validés. Le MD5 est un algorithme de hachage à sens unique qui produit un condensé 128-bit. Le SHA1 est un algorithme de hachage à sens unique qui produit un condensé 160-bit tandis que SHA2-256 produit un condensé 256-bit. SHA2-256 est recommandé parce qu'il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1, ou SHA2-256). SHA2-256 a été sélectionné pour cet exemple.

Étape 18. Entrez dans la vie SA (sec) qui est la durée, en quelques secondes, qu'un tunnel VPN (IPsec SA) est en activité dans cette phase. La valeur par défaut pour le Phase 2 est de 3600 secondes.

Étape 19. Quand le perfect forward secrecy (PFS) est activé, la négociation de Phase 2 d'IKE génère le nouvel élément de clé pour le cryptage et l'authentification du trafic d'IPsec. Le perfect forward secrecy est utilisé pour améliorer la Sécurité des transmissions transmises à travers l'Internet utilisant la cryptographie à clé publique. Cochez la case pour activer cette caractéristique, ou décochez la case pour désactiver cette configuration. Cette caractéristique est recommandée. Si coché, sélectionnez un groupe CAD. Dans cet exemple Group2 – le bit 1024 est utilisé.

Étape 20. Dans la sauvegarde comme nouveau profil, écrivez un nom pour le nouveau profil que vous avez juste créé. Le clic à côté de voient le résumé de votre configuration du VPN.

Étape 21. Vérifiez les informations et puis cliquez sur Submit.

Configuration d'assistant de configuration VPN sur le routeur distant

Sur le routeur distant, vous devriez configurer les mêmes paramètres de sécurité que votre routeur local mais utiliser l'adresse IP de routeur local comme trafic distant.

Étape 1. Connectez-vous dans la page de configuration Web sur votre routeur distant (le routeur B) et naviguent vers assistant de configuration VPN > VPN.

Étape 2. Écrivez un nom de la connexion et choisissez l'interface qui sera utilisée pour le VPN si vous utilisez un RV260. Le RV160 a seulement un lien WAN ainsi vous ne pourrez pas sélectionner une interface du déroulant. Cliquez sur alors à côté de continuent.

 

Étape 3. Dans les paramètres du routeur distants, sélectionnez le type de connexion distante et puis écrivez l'adresse IP BLÊME du routeur A. Cliquez sur alors à côté de continuent à la section suivante.

Étape 4. Sélectionnez les gens du pays et le trafic distant. Si vous avez sélectionné le sous-réseau dans le domaine distant de sélection du trafic, entrez dans le sous-réseau d'adresse IP privée du routeur A. Cliquez sur alors à côté de configurent la section de profil.

Étape 5. Dans la section de profil, sélectionnez les mêmes paramètres de sécurité que le routeur A. Nous avons également introduit la même clé pré-partagée que le routeur A. Cliquez sur Next alors pour aller à la page récapitulative.

Options de la phase I :

Options de la phase II :

Étape 6. Dans la page récapitulative, vérifiez que les informations que vous avez juste configurées sont correctes. Cliquez sur Submit alors pour créer votre site à site VPN.

Remarque: Toutes les configurations que le routeur utilise actuellement sont dans le fichier de configuration en cours qui est volatil et n'est pas retenu entre les réinitialisations. Pour retenir la configuration entre les réinitialisations, assurez-vous vous copie le fichier de configuration en cours au fichier de configuration de démarrage après que vous vous soyez terminé toutes vos modifications. Pour faire ceci, cliquez sur le bouton de sauvegarde qui apparaît en haut de votre page ou naviguez vers la gestion > la gestion de la configuration. Puis, assurez-vous que votre source est configuration en cours et la destination est configuration de démarrage. Cliquez sur Apply.

Conclusion

Vous devriez avoir avec succès configuré un site à site VPN utilisant l'assistant de configuration VPN. Suivez les étapes ci-dessous pour vérifier que votre site à site VPN est connecté.

Étape 1. Pour vérifier que votre connexion a été établie, vous devriez voir un état connecté quand vous naviguez vers VPN > IPSec VPN > site à site.

Étape 2. Naviguez vers l'état et les statistiques > l'état VPN et assurez-vous que le tunnel de site à site est activé et LEVEZ.