Ce document explique comment configurer l'Assistant de configuration VPN sur les routeurs RV160 et RV260.
La technologie a évolué et les activités se déroulent souvent en dehors du bureau. Les appareils sont plus mobiles et les employés travaillent souvent à domicile ou en déplacement. Cela peut provoquer certaines vulnérabilités de sécurité. Un réseau privé virtuel (VPN) est un excellent moyen de connecter des travailleurs distants à un réseau sécurisé. Un VPN permet à un hôte distant d’agir comme s’il était connecté au réseau sécurisé sur site.
Un VPN établit une connexion chiffrée sur un réseau moins sécurisé comme Internet. Il garantit le niveau de sécurité approprié aux systèmes connectés. Un tunnel est établi en tant que réseau privé qui peut envoyer des données en toute sécurité en utilisant des techniques de cryptage et d'authentification standard pour sécuriser les données envoyées. Un VPN d'accès à distance utilise généralement IPsec (Internet Protocol Security) ou SSL (Secure Socket Layer) pour sécuriser la connexion.
Les VPN fournissent un accès de couche 2 au réseau cible ; elles nécessitent un protocole de tunnellisation tel que PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer 2 Tunneling Protocol) s'exécutant sur la connexion IPsec de base. Le VPN IPsec prend en charge le VPN site à site pour un tunnel passerelle à passerelle. Par exemple, un utilisateur peut configurer un tunnel VPN sur un site de filiale pour se connecter au routeur sur le site de l'entreprise, afin que le site de filiale puisse accéder en toute sécurité au réseau de l'entreprise. Le VPN IPsec prend également en charge le VPN client-serveur pour le tunnel hôte-passerelle. Le VPN client-serveur est utile lors de la connexion de l'ordinateur portable/PC de la maison à un réseau d'entreprise via un serveur VPN.
Le routeur de la gamme RV160 prend en charge 10 tunnels et le routeur de la gamme RV260 prend en charge 20 tunnels. L'Assistant de configuration VPN guide l'utilisateur lors de la configuration d'une connexion sécurisée pour un tunnel IPsec site à site. Cela simplifie la configuration en évitant les paramètres complexes et facultatifs, de sorte que n'importe quel utilisateur peut configurer le tunnel IPsec de manière rapide et efficace.
· RV160
· RV260
· 1.0.0.13
Étape 1. Connectez-vous à la page de configuration Web de votre routeur local.
Note: Nous désignerons le routeur local comme routeur A et le routeur distant comme routeur B. Dans ce document, nous allons utiliser deux RV160 pour démontrer l'Assistant de configuration VPN.
Étape 2. Accédez à VPN > VPN Setup Wizard.
Étape 3. Dans la section Mise en route, saisissez un nom de connexion dans le champ Entrez un nom de connexion. Nous avons entré HomeOffice comme nom de connexion.
Étape 4. Dans le champ Interface, sélectionnez une interface dans la liste déroulante si vous utilisez un routeur RV260. Le routeur RV160 ne dispose que d'une liaison WAN. Vous ne pourrez donc pas sélectionner d'interface dans la liste déroulante. Cliquez sur Suivant pour passer à la section Paramètres du routeur distant.
Étape 5. Sélectionnez un type de connexion distante dans la liste déroulante. Sélectionnez Static IP ou FQDN (Fully Qualified Domain Name), puis saisissez l'adresse IP WAN ou le nom de domaine complet de la passerelle que vous souhaitez connecter dans le champ Remote Address. Dans cet exemple, Static IP a été sélectionné et l'adresse IP WAN du routeur distant (Routeur B) a été entrée. Cliquez ensuite sur Suivant pour passer à la section suivante.
Étape 6. Dans la section Local and Remote Network, sous Local Traffic Selection, sélectionnez Local IP (Subnet, Single, or Any) dans la liste déroulante. Si vous sélectionnez Subnet, saisissez l'adresse IP et le masque de sous-réseau du sous-réseau. Si vous sélectionnez Single, saisissez une adresse IP. Si Any a été sélectionné, passez à l'étape suivante pour configurer la sélection du trafic distant.
Étape 7. Dans la sélection du trafic distant, sélectionnez Remote IP (Subnet, Single, ou Any) dans la liste déroulante. Si vous sélectionnez Subnet, saisissez l'adresse IP et le masque de sous-réseau du routeur distant (Routeur B). Si vous sélectionnez Single, saisissez l'adresse IP. Cliquez ensuite sur Suivant pour configurer la section Profil.
Note: Si vous avez sélectionné Any for Local Traffic Selection, vous devez sélectionner Subnet ou Single for the Remote Traffic Selection.
Étape 8. Dans la section Profil, sélectionnez un nom pour le profil IPsec dans la liste déroulante. Pour cette démonstration, new-profile a été sélectionné comme profil IPsec.
Étape 9. Choisissez IKEv1 (Internet Key Exchange Version 1) ou IKEv2 (Internet Key Exchange Version 2) comme version IKE. IKE est un protocole hybride qui implémente l'échange de clés Oakley et Skeme dans le cadre de l'association de sécurité Internet et du protocole ISAKMP (Key Management Protocol). IKE fournit l'authentification des homologues IPsec, négocie les clés IPsec et négocie les associations de sécurité IPsec. IKEv2 est plus efficace car il prend moins de paquets pour effectuer l'échange de clés et prend en charge plus d'options d'authentification, tandis qu'IKEv1 ne partage que l'authentification basée sur les clés et les certificats. Dans cet exemple, IKEv1 a été sélectionné comme version IKE.
Note: Si votre périphérique prend en charge IKEv2, il est recommandé d'utiliser IKEv2. Si vos périphériques ne prennent pas en charge IKEv2, utilisez IKEv1. Les deux routeurs (locaux et distants) doivent utiliser la même version IKE et les mêmes paramètres de sécurité.
Étape 10. Dans la section Options de phase 1, sélectionnez un groupe DH (Diffie-Hellman) (Groupe 2 - 1 024 bits ou Groupe 5 - 1 536 bits) dans la liste déroulante. DH est un protocole d'échange de clés, avec deux groupes de longueurs de clés principales différentes : Le groupe 2 comporte jusqu’à 1 024 bits et le groupe 5 jusqu’à 1 536 bits. Nous utiliserons Group 2 - 1024 bit pour cette démonstration.
Note: Pour une vitesse et une sécurité plus rapides, sélectionnez Groupe 2. Pour une vitesse plus lente et une sécurité plus élevée, sélectionnez Groupe 5. Le groupe 2 est sélectionné par défaut.
Étape 11. Sélectionnez une option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer ou déchiffrer les paquets ESP (Encapsulating Security Payload)/Internet Security Association and Key Management Protocol (ISAKMP). La norme 3DES (Triple Data Encryption Standard) utilise le chiffrement DES trois fois, mais est désormais un algorithme hérité. Cela signifie qu'il ne doit être utilisé que lorsqu'il n'y a pas de meilleure alternative, car il fournit toujours un niveau de sécurité marginal mais acceptable. Les utilisateurs ne doivent l'utiliser que s'il est nécessaire pour assurer une compatibilité descendante, car il est vulnérable à certaines attaques ” de collision “. La norme AES (Advanced Encryption Standard) est un algorithme cryptographique conçu pour être plus sécurisé que DES. AES utilise une taille de clé plus grande qui garantit que la seule approche connue pour déchiffrer un message est qu'un intrus tente toutes les clés possibles. Il est recommandé d'utiliser AES au lieu de 3DES. Dans cet exemple, nous utiliserons AES-192 comme option de chiffrement.
Note: Voici quelques ressources supplémentaires qui peuvent vous aider à : Configuration de la sécurité pour les VPN avec IPSec et chiffrement de nouvelle génération.
Étape 12. La méthode d'authentification détermine comment les paquets d'en-tête ESP (Encapsulating Security Payload Protocol) sont validés. Le MD5 est un algorithme de hachage unidirectionnel qui produit un résumé de 128 bits. SHA1 est un algorithme de hachage unidirectionnel qui produit un résumé de 160 bits tandis que SHA2-256 produit un résumé de 256 bits. SHA2-256 est recommandé car il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256). SHA2-256 a été sélectionné pour cet exemple.
Étape 13. Le SA Lifetime (Sec) vous indique la durée, en secondes, pendant laquelle une SA IKE est active dans cette phase. Une nouvelle association de sécurité (SA) est négociée avant l'expiration de la durée de vie afin de s'assurer qu'une nouvelle association de sécurité est prête à être utilisée lorsque l'ancienne expire. La valeur par défaut est 28800 et la plage est comprise entre 120 et 86400. Nous utiliserons la valeur par défaut de 28800 secondes comme durée de vie SA pour la phase I.
Note: Il est recommandé que votre durée de vie de SA dans la phase I soit plus longue que votre durée de vie de SA de phase II. Si vous raccourcissez la phase I par rapport à la phase II, vous devrez renégocier le tunnel d'un point à l'autre fréquemment, par opposition au tunnel de données. Le tunnel de données est ce qui a besoin de plus de sécurité. Il est donc préférable que la durée de vie de la phase II soit plus courte que celle de la phase I.
Étape 14. Entrez la clé prépartagée à utiliser pour authentifier l'homologue IKE distant. Vous pouvez saisir jusqu'à 30 caractères du clavier ou des valeurs hexadécimales, telles que My_@123 ou 4d795f40313233. Les deux extrémités du tunnel VPN doivent utiliser la même clé prépartagée.
Note: Nous vous recommandons de modifier périodiquement la clé pré-partagée pour optimiser la sécurité VPN.
Étape 15. Dans la section Options de phase II, sélectionnez un protocole dans la liste déroulante.
· ESP - Sélectionnez ESP pour le cryptage des données et saisissez le cryptage.
· AH - Sélectionnez cette option pour l'intégrité des données dans les situations où les données ne sont pas secrètes mais doivent être authentifiées.
Étape 16. Sélectionnez une option de cryptage (3DES, AES-128, AES-192 ou AES-256) dans la liste déroulante. Cette méthode détermine l'algorithme utilisé pour chiffrer ou déchiffrer les paquets ESP (Encapsulating Security Payload)/Internet Security Association and Key Management Protocol (ISAKMP). La norme 3DES (Triple Data Encryption Standard) utilise le chiffrement DES trois fois, mais est désormais un algorithme hérité. Cela signifie qu'il ne doit être utilisé que lorsqu'il n'y a pas de meilleure alternative, car il fournit toujours un niveau de sécurité marginal mais acceptable. Les utilisateurs ne doivent l'utiliser que s'il est nécessaire pour assurer une compatibilité descendante, car il est vulnérable à certaines attaques ” de collision “. La norme AES (Advanced Encryption Standard) est un algorithme cryptographique conçu pour être plus sécurisé que DES. AES utilise une taille de clé plus grande qui garantit que la seule approche connue pour déchiffrer un message est qu'un intrus tente toutes les clés possibles. Il est recommandé d'utiliser AES au lieu de 3DES. Dans cet exemple, nous utiliserons AES-192 comme option de chiffrement.
Note: Voici quelques ressources supplémentaires qui peuvent vous aider à : Configuration de la sécurité pour les VPN avec IPSec et chiffrement de nouvelle génération.
Étape 17. La méthode d'authentification détermine comment les paquets d'en-tête ESP (Encapsulating Security Payload Protocol) sont validés. Le MD5 est un algorithme de hachage unidirectionnel qui produit un résumé de 128 bits. SHA1 est un algorithme de hachage unidirectionnel qui produit un résumé de 160 bits tandis que SHA2-256 produit un résumé de 256 bits. SHA2-256 est recommandé car il est plus sécurisé. Assurez-vous que les deux extrémités du tunnel VPN utilisent la même méthode d'authentification. Sélectionnez une authentification (MD5, SHA1 ou SHA2-256). SHA2-256 a été sélectionné pour cet exemple.
Étape 18. Entrez dans la durée de vie de l'association de sécurité (SA Lifetime) qui correspond à la durée, en secondes, pendant laquelle un tunnel VPN (IPsec SA) est actif dans cette phase. La valeur par défaut de la phase 2 est 3 600 secondes.
Étape 19. Lorsque Perfect Forward Secrecy (PFS) est activé, la négociation IKE de phase 2 génère un nouveau matériel clé pour le chiffrement et l'authentification du trafic IPsec. Perfect Forward Secrecy est utilisé pour améliorer la sécurité des communications transmises sur Internet à l'aide de la cryptographie à clé publique. Cochez cette case pour activer cette fonctionnalité ou décochez-la pour la désactiver. Cette fonction est recommandée. Si cette case est cochée, sélectionnez un groupe DH. Dans cet exemple, Groupe2 - 1024 bits est utilisé.
Étape 20. Dans l'option Enregistrer en tant que nouveau profil, saisissez un nom pour le nouveau profil que vous venez de créer. Cliquez sur Suivant pour afficher le résumé de votre configuration VPN.
Étape 21. Vérifiez les informations, puis cliquez sur Soumettre.
Sur le routeur distant, vous devez configurer les mêmes paramètres de sécurité que votre routeur local, mais utiliser l'adresse IP du routeur local comme trafic distant.
Étape 1. Connectez-vous à la page de configuration Web de votre routeur distant (routeur B) et accédez à VPN > VPN Setup Wizard.
Étape 2. Entrez un nom de connexion et choisissez l'interface qui sera utilisée pour le VPN si vous utilisez un RV260. Le routeur RV160 dispose uniquement d'une liaison WAN. Vous ne pourrez donc pas sélectionner d'interface dans la liste déroulante. Cliquez ensuite sur Suivant pour continuer.
Étape 3. Dans les paramètres du routeur distant, sélectionnez le type de connexion distante, puis saisissez l'adresse IP WAN du routeur A. Cliquez ensuite sur Suivant pour passer à la section suivante.
Étape 4. Sélectionnez le trafic local et distant. Si vous avez sélectionné Subnet dans le champ Remote Traffic Selection, saisissez le sous-réseau d'adresse IP privée du routeur A. Cliquez ensuite sur Suivant pour configurer la section Profil.
Étape 5. Dans la section Profil, sélectionnez les mêmes paramètres de sécurité que le routeur A. Nous avons également entré la même clé prépartagée que le routeur A. Cliquez ensuite sur Suivant pour accéder à la page Résumé.
Options de la phase I :
Options de la phase II :
Étape 6. Dans la page Récapitulatif, vérifiez que les informations que vous venez de configurer sont correctes. Cliquez ensuite sur Submit pour créer votre VPN site à site.
Note: Toutes les configurations actuellement utilisées par le routeur se trouvent dans le fichier de configuration en cours, qui est volatile et qui n'est pas conservé entre les redémarrages. Pour conserver la configuration entre les redémarrages, assurez-vous de copier le fichier de configuration en cours dans le fichier de configuration initiale après avoir terminé toutes vos modifications. Pour ce faire, cliquez sur le bouton Enregistrer qui apparaît en haut de votre page ou accédez à Administration > Configuration Management. Vérifiez ensuite que votre source est Configuration en cours et que Destination est Configuration de démarrage. Cliquez sur Apply.
Vous devez avoir correctement configuré un VPN site à site à l'aide de l'Assistant de configuration VPN. Suivez les étapes ci-dessous pour vérifier que votre VPN site à site est connecté.
Étape 1. Pour vérifier que votre connexion a été établie, vous devez voir un état Connected lorsque vous naviguez jusqu'à VPN > IPSec VPN > Site-to-Site.
Étape 2. Accédez à Status and Statistics > VPN Status et assurez-vous que le tunnel site à site est activé et activé.