Configuration du VPN de passerelle à passerelle sur les routeurs VPN RV016, RV042, RV042G et RV082

Options de téléchargement

  • PDF     (2.6 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (2.4 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (840.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:12 décembre 2018
ID du document:SMB3294

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Configuration du VPN de passerelle à passerelle sur les routeurs VPN RV016, RV042, RV042G et RV082

Objectif

Un réseau privé virtuel (VPN) est utilisé pour établir une connexion sécurisée entre deux points d'extrémité sur un Internet public ou partagé, via ce qu'on appelle un tunnel VPN. Plus précisément, une connexion VPN passerelle à passerelle permet à deux routeurs de se connecter en toute sécurité et à un client d’une extrémité de s’afficher de manière logique comme s’ils faisaient partie du réseau de l’autre extrémité. Cela permet de partager plus facilement et en toute sécurité les données et les ressources sur Internet.

La configuration doit être effectuée sur les deux routeurs pour activer un VPN passerelle à passerelle. Les configurations effectuées dans les sections Local Group Setup et Remote Group Setup doivent être inversées entre les deux routeurs de sorte que le groupe local de l'un soit le groupe distant de l'autre.

L'objectif de ce document est d'expliquer comment configurer le VPN passerelle à passerelle sur les routeurs VPN des gammes RV016, RV042, RV042G et RV082.

Périphériques pertinents

•RV016
•RV042
•RV042G
•RV082

Version du logiciel

•v 4.2.2.08

Configuration du VPN de passerelle à passerelle

Étape 1. Connectez-vous à l'utilitaire de configuration du routeur et choisissez VPN > Gateway to Gateway. La page Passerelle vers passerelle s'ouvre :

 

Pour configurer la passerelle vers le VPN de passerelle, vous devez configurer les fonctionnalités suivantes :

1. Ajouter un nouveau tunnel

2. Configuration du groupe local

3. Configuration du groupe distant

4. Configuration IPSec

 

Ajouter un nouveau tunnel

 

Tunnel No. est un champ en lecture seule qui affiche le tunnel en cours qui va être créé. 

Étape 1. Entrez un nom pour le tunnel VPN dans le champ Tunnel Name. Il n'est pas nécessaire qu'il corresponde au nom utilisé à l'autre extrémité du tunnel.

Étape 2. Dans la liste déroulante Interface, sélectionnez le port WAN (Wide Area Network) à utiliser pour le tunnel.

· WAN1 : port WAN dédié des routeurs VPN de la gamme RV0XX.

· WAN2 : port WAN2/DMZ des routeurs VPN de la gamme RV0XX. Ne s'affiche dans le menu déroulant que s'il a été configuré en tant que WAN et non en tant que port DMZ (Demilitarize Zone).

Étape 3. (Facultatif) Pour activer le VPN, cochez la case du champ Activer. Le VPN est activé par défaut.

Configuration du groupe local

Note: La configuration du groupe local sur un routeur doit être identique à celle du groupe distant sur l’autre routeur.

Étape 1. Choisissez la méthode d'identification de routeur appropriée pour établir un tunnel VPN dans la liste déroulante Local Security Gateway Type. 

· IP Only : le routeur local (ce routeur) est reconnu par une adresse IP statique. Vous ne pouvez choisir cette option que si le routeur possède une adresse IP WAN statique. L'adresse IP WAN statique apparaît automatiquement dans le champ IP Address (Adresse IP).

Authentification · IP + Domain Name (FQDN) : l'accès au tunnel est possible via une adresse IP statique et un domaine enregistré. Si vous choisissez cette option, saisissez le nom du domaine enregistré dans le champ Domain Name (nom de domaine). L'adresse IP WAN statique apparaît automatiquement dans le champ IP Address (Adresse IP).

Authentification · IP + E-mail Addr. (USER FQDN) : l'accès au tunnel est possible par le biais d'une adresse IP statique et d'une adresse e-mail. Si vous choisissez cette option, saisissez l’adresse courriel dans le champ Email Address. L'adresse IP WAN statique apparaît automatiquement dans le champ IP Address (Adresse IP).

Authentification · Dynamic IP + Domain Name (FQDN) : l'accès au tunnel est possible via une adresse IP dynamique et un domaine enregistré. Si vous choisissez cette option, saisissez le nom du domaine enregistré dans le champ Domain Name (nom de domaine).

· Authentification FQDN (Dynamic IP + Email Addr.) (USER FQDN) : l'accès au tunnel est possible par le biais d'une adresse IP dynamique et d'une adresse e-mail. Si vous choisissez cette option, saisissez l’adresse courriel dans le champ Email Address.

Étape 2. Sélectionnez l'utilisateur local ou le groupe d'utilisateurs du réseau local approprié qui peut accéder au tunnel VPN dans la liste déroulante Groupe de sécurité local. La valeur par défaut est « Subnet » (sous-réseau).

· IP : un seul périphérique LAN peut accéder au tunnel VPN. Si vous choisissez cette option, saisissez l’adresse IP de l’appareil LAN dans le champ IP Address (adresse IP).

· Subnet : tous les périphériques LAN d'un sous-réseau spécifique peuvent accéder au tunnel. Si vous choisissez cette option, saisissez l'adresse IP et le masque de sous-réseau des périphériques LAN dans les champs IP Address et Subnet Mask respectivement. Le masque par défaut est 255.255.255.0.

· IP Range : une gamme de périphériques LAN peut accéder au tunnel. Si vous choisissez cette option, saisissez l’adresse IP de début et de fin respectivement dans les champs Begin IP (adresse IP de début) et End IP (adresse IP de fin).

Étape 3. Cliquez sur Save pour enregistrer les paramètres.

Configuration du groupe distant

Note: La configuration du groupe distant sur un routeur doit être identique à celle du groupe local sur l’autre routeur.

Étape 1. Dans la liste déroulante Remote Security Gateway Type, sélectionnez la méthode permettant d'identifier le routeur distant pour établir le tunnel VPN.

· IP Only : l'accès au tunnel est possible via une adresse IP WAN statique. Si vous connaissez l'adresse IP du routeur distant, choisissez l'adresse IP dans la liste déroulante située directement sous le champ Remote Security Gateway Type et saisissez l'adresse IP. Choisissez IP by DNS Resolved si vous ne connaissez pas l'adresse IP mais que vous connaissez le nom de domaine et saisissez le nom de domaine du routeur dans le champ IP by DNS Resolved.

Authentification · IP + Domain Name (FQDN) : l'accès au tunnel est possible via une adresse IP statique et un domaine enregistré pour le routeur. Si vous connaissez l'adresse IP du routeur distant, choisissez l'adresse IP dans la liste déroulante située directement sous le champ Remote Security Gateway Type et saisissez l'adresse. Choisissez IP by DNS Resolved si vous ne connaissez pas l'adresse IP mais que vous connaissez le nom de domaine et saisissez le nom de domaine du routeur dans le champ IP by DNS Resolved. Entrez le nom de domaine du routeur dans le champ Domain Name, quelle que soit la méthode choisie pour l'identifier.

Authentification · IP + Email Addr. (USER FQDN) : l'accès au tunnel est possible par le biais d'une adresse IP statique et d'une adresse e-mail. Si vous connaissez l'adresse IP du routeur distant, choisissez l'adresse IP dans la liste déroulante située directement sous le champ Remote Security Gateway Type et saisissez l'adresse. Choisissez IP by DNS Resolved si vous ne connaissez pas l'adresse IP mais que vous connaissez le nom de domaine et saisissez le nom de domaine du routeur dans le champ IP by DNS Resolved. Saisissez l'adresse de messagerie dans le champ Email Address (Adresse de messagerie).

Authentification · Dynamic IP + Domain Name (FQDN) : l'accès au tunnel est possible via une adresse IP dynamique et un domaine enregistré. Si vous choisissez cette option, saisissez le nom du domaine enregistré dans le champ Domain Name (nom de domaine).

· Authentification FQDN (Dynamic IP + Email Addr.) (USER FQDN) : l'accès au tunnel est possible par le biais d'une adresse IP dynamique et d'une adresse e-mail. Si vous choisissez cette option, saisissez l’adresse courriel dans le champ Email Address.

Étape 2. Sélectionnez l'utilisateur ou le groupe d'utilisateurs LAN distants appropriés qui peuvent accéder au tunnel VPN dans la liste déroulante Remote Security Group Type.

· IP : un seul périphérique LAN spécifique peut accéder au tunnel. Si vous choisissez cette option, saisissez l’adresse IP de l’appareil LAN dans le champ IP Address (adresse IP). 

· Subnet : tous les périphériques LAN d'un sous-réseau spécifique peuvent accéder au tunnel. Si vous choisissez cette option, saisissez l'adresse IP et le masque de sous-réseau des périphériques LAN dans les champs IP Address et Subnet Mask respectivement. 

· IP Range : une gamme de périphériques LAN peut accéder au tunnel. Si vous choisissez cette option, saisissez l’adresse IP de début et de fin respectivement dans les champs Begin IP (adresse IP de début) et End IP (adresse IP de fin). 

Note: Les deux routeurs situés aux extrémités du tunnel ne peuvent pas se trouver sur le même sous-réseau.

Étape 3. Cliquez sur Save pour enregistrer les paramètres.

Configuration IPSec

Le protocole IPSec (Internet Protocol Security) est un protocole de sécurité pour les couches Internet qui offre une sécurité de bout en bout via l’authentification et le chiffrement pendant toute session de communication.

Note: Les deux extrémités du VPN doivent avoir les mêmes méthodes de chiffrement, de déchiffrement et d'authentification pour fonctionner correctement. Entrez les mêmes paramètres de configuration IPSec pour les deux routeurs. 

Étape 1. Choisissez le mode de gestion des clés approprié pour assurer la sécurité dans la liste déroulante Mode de sélection. Le mode par défaut IKE with Preshared key.

· Manual — Mode de sécurité personnalisé permettant de générer une nouvelle clé de sécurité par vous-même et de ne pas négocier avec la clé. Il est le meilleur à utiliser lors du dépannage et dans un petit environnement statique.

· IKE avec clé prépartagée - Le protocole IKE (Internet Key Exchange) est utilisé pour générer et échanger automatiquement une clé prépartagée afin d'établir une communication d'authentification pour le tunnel.

Configuration d'IPSec pour le mode Clé manuelle

Étape 1. Saisissez la valeur hexadécimale unique pour l'index de paramètre de sécurité entrant (SPI) dans le champ SPI entrant. SPI est transporté dans l'en-tête ESP (Encapsulating Security Payload Protocol) et détermine la protection du paquet entrant. Vous pouvez saisir une valeur comprise entre 100 et ffffffff. Le SPI entrant du routeur local doit correspondre au SPI sortant du routeur distant.

Étape 2. Saisissez la valeur hexadécimale unique pour l'index de paramètre de sécurité sortant (SPI) dans le champ SPI sortant.  Vous pouvez saisir une valeur comprise entre 100 et ffffffff. Le SPI sortant du routeur distant doit correspondre au SPI entrant du routeur local.

Note: Aucun tunnel ne peut avoir le même SPI.

 

Étape 3. Choisissez la méthode de chiffrement appropriée pour les données dans la liste déroulante Chiffrement. Le chiffrement recommandé est 3DES. Le tunnel VPN doit utiliser la même méthode de chiffrement aux deux extrémités.

· DES - Data Encryption Standard (DES) utilise une taille de clé de 56 bits pour le chiffrement des données. DES est obsolète et ne doit être utilisée que si un terminal prend uniquement en charge cette norme.

· 3DES - La norme 3DES (Triple Data Encryption Standard) est une méthode de cryptage simple de 168 bits. Le chiffrement 3DES chiffre les données trois fois, ce qui améliore la sécurité par rapport à la norme DES.

 

Étape 4. Sélectionnez la méthode d'authentification appropriée pour les données dans la liste déroulante Authentification. L’authentification recommandée est SHA1, car elle est plus sécurisée que la méthode MD5. Le tunnel VPN doit utiliser la même méthode d’authentification pour ses deux extrémités.

· MD5 — Message Digest Algorithm-5 (MD5) est une fonction de hachage de 128 bits qui fournit une protection aux données contre les attaques malveillantes par le calcul de la somme de contrôle.

· SHA1 — Secure Hash Algorithm version 1 (SHA1) est une fonction de hachage de 160 bits qui est plus sécurisée que MD5, mais qui prend plus de temps à calculer.

 

Étape 5. Saisissez la clé pour chiffrer et déchiffrer les données dans le champ Encryption Key (Clé de chiffrement). Si vous choisissez la méthode de chiffrement DES, à l’étape 3, saisissez une valeur hexadécimale de 16 chiffres. Si vous choisissez la méthode de chiffrement 3DES, à l’étape 3, saisissez une valeur hexadécimale de 40 chiffres.

Étape 6. Entrez une clé pré-partagée pour authentifier le trafic dans le champ Authentication Key. Si vous choisissez la méthode d’authentification MD5, à l’étape 4, saisissez une valeur hexadécimale de 32 chiffres. Si vous choisissez SHA1 comme méthode d'authentification à l'étape 4, entrez une valeur hexadécimale à 40 chiffres. Si vous n'ajoutez pas suffisamment de chiffres, des zéros seront ajoutés à la fin jusqu'à ce qu'il y ait suffisamment de chiffres. Le tunnel VPN doit utiliser la même clé pré-partagée pour les deux extrémités.

Étape 7. Cliquez sur Save pour enregistrer les paramètres.

IKE avec configuration du mode de la clé prépartagée

 

Étape 1. Sélectionnez le groupe DH de phase 1 approprié dans la liste déroulante Groupe DH de phase 1. La phase 1 est utilisée pour établir le simplex, l’association de sécurité logique (SA) entre les deux extrémités du tunnel afin de prendre en charge la communication sécurisée de l’authentification. Le protocole Diffie-Hellman (DH) est un protocole d’échange de clés cryptographiques utilisé pour déterminer la puissance de la clé au cours de la phase 1 et il permet aussi de partager la clé secrète pour authentifier la communication. 

· Groupe 1 - 768 bits : la clé de puissance la plus faible et le groupe d’authentification le plus non sécurisé, mais qui prend le moins de temps pour calculer les clés IKE. Cette option est préférable si le débit du réseau est faible.

· Groupe 2 - 1 024 bits - Clé de puissance supérieure et groupe d’authentification plus sécurisé que le groupe 1, mais le calcul des clés IKE prend plus de temps. 

· Groupe 5 - 1 536 bits - La clé de la plus haute puissance et le groupe d'authentification le plus sécurisé. Il faut plus de temps pour calculer les clés IKE. Cette option est préférable si le débit du réseau est élevé.

 

Étape 2. Choisissez le chiffrement de phase 1 approprié pour chiffrer la clé dans la liste déroulante de chiffrement de phase 1. Les normes AES-128, AES-192 ou AES-256 sont recommandées. Le tunnel VPN doit utiliser la même méthode de chiffrement pour ses deux extrémités.

· DES - Data Encryption Standard (DES) utilise une taille de clé de 56 bits pour le chiffrement des données. DES est obsolète et ne doit être utilisée que si un terminal prend uniquement en charge cette norme.

· 3DES - La norme 3DES (Triple Data Encryption Standard) est une méthode de cryptage simple de 168 bits. Le chiffrement 3DES chiffre les données trois fois, ce qui améliore la sécurité par rapport à la norme DES.

· AES-128 — Advanced Encryption Standard (AES) est une méthode de cryptage de 128 bits qui transforme le texte brut en texte chiffré à l'aide de répétitions de 10 cycles.

· AES-192 — La norme AES (Advanced Encryption Standard) est une méthode de cryptage de 192 bits qui transforme le texte brut en texte chiffré à l'aide de répétitions de 12 cycles. AES-192 est plus sécurisée que AES-128.

· AES-256 — La norme AES (Advanced Encryption Standard) est une méthode de cryptage de 256 bits qui transforme le texte brut en texte chiffré à l'aide de répétitions de 14 cycles. AES-256 est la méthode de chiffrement la plus sécurisée.

 

Étape 3. Sélectionnez la méthode d'authentification de phase 1 appropriée dans la liste déroulante Authentification de phase 1. Le tunnel VPN doit utiliser la même méthode d’authentification pour ses deux extrémités. SHA1 est recommandé.

· MD5 — Message Digest Algorithm-5 (MD5) est une fonction de hachage de 128 bits qui fournit une protection aux données contre les attaques malveillantes par le calcul de la somme de contrôle.

· SHA1 — Secure Hash Algorithm version 1 (SHA1) est une fonction de hachage de 160 bits qui est plus sécurisée que MD5, mais qui prend plus de temps à calculer.

 

Étape 4. Saisissez la durée en secondes pendant laquelle les clés de phase 1 sont valides et le tunnel VPN reste actif dans le champ Durée de vie de l'association de sécurité de phase 1.

Étape 5. Activez la case à cocher de confidentialité de transfert parfaite (Perfect Forward Secrecy) pour assurer une meilleure protection des clés. Cette option permet au routeur de générer une nouvelle clé si une clé est compromise. Les données chiffrées sont uniquement compromises par le biais de la clé compromise. Il s’agit d’une action recommandée, car elle fournit plus de sécurité.

Étape 6. Choisissez le groupe DH de phase 2 approprié dans la liste déroulante Groupe DH de phase 2. La phase 2 utilise une association de sécurité et permet de déterminer la sécurité du paquet de données lorsqu’il passe par les deux points d’extrémité.

· Groupe 1 - 768 bits : la clé de puissance la plus faible et le groupe d’authentification le plus non sécurisé, mais prend le moins de temps pour calculer les clés IKE. Cette option est préférable si le débit du réseau est faible.

· Groupe 2 - 1 024 bits - Clé de puissance supérieure et groupe d'authentification plus sécurisé que le groupe 1, mais prend plus de temps pour calculer les clés IKE. 

· Groupe 5 - 1 536 bits - La clé de la plus haute puissance et le groupe d'authentification le plus sécurisé. Il faut plus de temps pour calculer les clés IKE. Cette option est préférable si le débit du réseau est élevé.

 

Étape 7. Choisissez le chiffrement de phase 2 approprié pour chiffrer la clé dans la liste déroulante de chiffrement de phase 2. Les normes AES-128, AES-192 ou AES-256 sont recommandées. Le tunnel VPN doit utiliser la même méthode de chiffrement pour ses deux extrémités.

· NULL : aucun chiffrement n'est utilisé.

· DES - Data Encryption Standard (DES) utilise une taille de clé de 56 bits pour le chiffrement des données. DES est obsolète et ne doit être utilisée que si un terminal prend uniquement en charge cette norme.

· 3DES - La norme 3DES (Triple Data Encryption Standard) est une méthode de cryptage simple de 168 bits. Le chiffrement 3DES chiffre les données trois fois, ce qui améliore la sécurité par rapport à la norme DES.

· AES-128 — Advanced Encryption Standard (AES) est une méthode de cryptage de 128 bits qui transforme le texte brut en texte chiffré à travers 10 répétitions de cycle.

· AES-192 — La norme AES (Advanced Encryption Standard) est une méthode de cryptage de 192 bits qui transforme le texte brut en texte chiffré à travers 12 répétitions de cycle. AES-192 est plus sécurisé que AES-128.

· AES-256 — La norme AES (Advanced Encryption Standard) est une méthode de cryptage de 256 bits qui transforme le texte brut en texte chiffré à travers 14 répétitions de cycle. AES-256 est la méthode de chiffrement la plus sécurisée.

 

Étape 8. Choisissez la méthode d'authentification appropriée dans la liste déroulante Phase 2 Authentication. Le tunnel VPN doit utiliser la même méthode d’authentification pour ses deux extrémités. SHA1 est recommandé.

· MD5 — Message Digest Algorithm-5 (MD5) est une fonction de hachage hexadécimal de 128 bits qui protège les données contre les attaques malveillantes par le calcul de la somme de contrôle.

· SHA1 — Secure Hash Algorithm version 1 (SHA1) est une fonction de hachage de 160 bits qui est plus sécurisée que MD5, mais qui prend plus de temps à calculer.

 · Null : aucune méthode d'authentification n'est utilisée.

 

Étape 9. Saisissez la durée en secondes pendant laquelle les clés de phase 2 sont valides et le tunnel VPN reste actif dans le champ Durée de vie de l'association de sécurité de phase 2.

Étape 10. Entrez une clé précédemment partagée entre les homologues IKE pour authentifier les homologues dans le champ Clé prépartagée. Il est possible d’utiliser jusqu’à 30 caractères hexadécimaux et autres caractères comme clé prépartagée. Le tunnel VPN doit utiliser la même clé prépartagée pour ses deux extrémités.

Note: Il est fortement recommandé de modifier fréquemment la clé pré-partagée entre les homologues IKE afin que le VPN reste sécurisé. 

Étape 11. (Facultatif) Si vous souhaitez activer le testeur de résistance pour la clé pré-partagée, cochez la case Complexité minimale de la clé pré-partagée. Il sert à déterminer la force de la clé prépartagée par le biais de barres de couleurs.

· mesure de l'intensité de la clé pré-partagée : indique l'intensité de la clé pré-partagée à travers des barres colorées. Le rouge indique une résistance faible, le jaune indique une résistance acceptable et le vert indique une résistance forte.

Étape 12. Cliquez sur Save pour enregistrer les paramètres.

Note: Si vous voulez configurer les options disponibles dans la section Advanced pour Gateway to Gateway VPN, reportez-vous à l'article Configurer les paramètres avancés pour Gateway to Gateway VPN sur RV016, RV042, RV042G et RV082 VPN Routers.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco