Configuration d'un serveur VPN IPSec sur RV130 et RV130W
Objectif
Le VPN IPSec (Virtual Private Network) vous permet d'obtenir un accès à distance sécurisé aux ressources de l'entreprise en établissant un tunnel crypté sur Internet.
L'objectif de ce document est de vous montrer comment configurer un serveur VPN IPSec sur RV130 et RV130W.
Remarque: Pour plus d'informations sur la configuration d'un serveur VPN IPSec avec le client VPN logiciel Shrew sur RV130 et RV130W, référez-vous à l'article Utiliser le client VPN logiciel Shrew avec le serveur VPN IPSec sur RV130 et RV130W.
Périphériques pertinents
Pare-feu VPN sans fil N · RV130W
Pare-feu VPN · RV130
Version du logiciel
•v 1.0.1.3
Configuration du serveur VPN IPSec
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez VPN > IPSec VPN Server > Setup. La page Setup s'ouvre.
Étape 2. Cochez la case Server Enable pour activer le certificat.
Étape 3. (Facultatif) Si votre routeur VPN ou votre client VPN se trouve derrière une passerelle NAT, cliquez sur Edit pour configurer NAT Traversal. Sinon, laissez NAT Traversal désactivé.
Remarque: Pour plus d'informations sur la configuration des paramètres NAT Traversal, référez-vous à Paramètres de stratégie IKE (Internet Key Exchange) sur les routeurs VPN RV130 et RV130W.
Étape 4. Entrez une clé de 8 à 49 caractères qui sera échangée entre votre périphérique et le point de terminaison distant dans le champ Clé prépartagée.
Étape 5. Dans la liste déroulante Mode Exchange, sélectionnez le mode de connexion VPN IPSec. Main est le mode par défaut. Toutefois, si la vitesse de votre réseau est faible, sélectionnez le mode agressif.
Remarque: Le mode agressif échange les ID des points d'extrémité du tunnel en texte clair pendant la connexion, ce qui nécessite moins de temps pour l'échange mais est moins sécurisé.
Étape 6. Dans la liste déroulante Encryption Algorithm, choisissez la méthode de chiffrement appropriée pour chiffrer la clé prépartagée dans la phase 1. AES-128 est recommandé pour sa sécurité élevée et ses performances rapides.Le tunnel VPN doit utiliser la même méthode de cryptage pour ses deux extrémités.
Les options disponibles sont définies comme suit :
· DES - Data Encryption Standard (DES) est une ancienne méthode de cryptage 56 bits qui n'est pas très sécurisée, mais qui peut être requise pour la rétrocompatibilité.
· 3DES - La norme 3DES (Triple Data Encryption Standard) est une méthode de cryptage simple de 168 bits utilisée pour augmenter la taille de la clé, car elle chiffre les données trois fois. Cela offre plus de sécurité que DES, mais moins de sécurité qu'AES.
· AES-128 — Advanced Encryption Standard avec clé 128 bits (AES-128) utilise une clé 128 bits pour le chiffrement AES. AES est plus rapide et plus sécurisé que DES. En général, AES est également plus rapide et plus sécurisé que 3DES. La norme AES-128 est plus rapide mais moins sécurisée que les normes AES-192 et AES-256.
· AES-192 — AES-192 utilise une clé 192 bits pour le chiffrement AES. La norme AES-192 est plus lente mais plus sécurisée que la norme AES-128, et plus rapide mais moins sécurisée que la norme AES-256.
· AES-256 — AES-256 utilise une clé de 256 bits pour le chiffrement AES. AES-256 est plus lent mais plus sécurisé que AES-128 et AES-192.
Étape 7. Dans la liste déroulante Authentication Algorithm, choisissez la méthode d'authentification appropriée pour déterminer comment les paquets d'en-tête de protocole ESP (Encapsulating Security Payload) sont validés au cours de la phase 1. Le tunnel VPN doit utiliser la même méthode d'authentification pour les deux extrémités de la connexion.
Les options disponibles sont définies comme suit :
· MD5 — MD5 est un algorithme de hachage unidirectionnel qui produit un résumé de 128 bits. MD5 calcule plus rapidement que SHA-1, mais est moins sécurisé que SHA-1. MD5 n'est pas recommandé.
· SHA-1 — SHA-1 est un algorithme de hachage unidirectionnel qui produit un résumé de 160 bits. SHA-1 calcule plus lentement que MD5, mais est plus sécurisé que MD5.
· SHA2-256 — Spécifie l'algorithme de hachage sécurisé SHA2 avec le résumé 256 bits.
Étape 8. Dans la liste déroulante Groupe DH, sélectionnez le groupe Diffie-Hellman (DH) approprié à utiliser avec la clé dans la phase 1. Diffie-Hellman est un protocole d'échange de clés cryptographiques utilisé dans la connexion pour échanger des ensembles de clés pré-partagés. La force de l’algorithme est déterminée par des bits.
Les options disponibles sont définies comme suit :
· Group1 (768 bits) : calcule la clé le plus rapidement, mais est la moins sécurisée.
· Group2 (1024 bits) : calcule la clé plus lentement, mais elle est plus sécurisée que Group1.
· Group5 (1536 bits) : calcule la clé le plus lentement, mais c'est la clé la plus sécurisée.
Étape 9. Dans le champ Durée de vie de l'association de sécurité IKE, saisissez la durée, en secondes, de validité de la clé IKE automatique. Une fois cette durée écoulée, une nouvelle clé est négociée automatiquement.
Étape 10. Dans la liste déroulante Local IP, sélectionnez Single si vous souhaitez qu'un seul utilisateur LAN local accède au tunnel VPN ou sélectionnez Subnet si vous souhaitez que plusieurs utilisateurs puissent y accéder.
Étape 11. Si Subnet a été sélectionné à l'étape 10, saisissez l'adresse IP réseau du sous-réseau dans le champ IP Address (Adresse IP). Si Single a été sélectionné à l'étape 10, saisissez l'adresse IP de l'utilisateur unique et passez à l'étape 13.
Étape 12. (Facultatif) Si Subnet a été sélectionné à l'étape 10, saisissez le masque de sous-réseau du réseau local dans le champ Subnet Mask.
Étape 13. Dans le champ IPSec SA Lifetime, saisissez la durée en secondes pendant laquelle la connexion VPN reste active dans la phase 2. Une fois cette durée écoulée, l'association de sécurité IPSec pour la connexion VPN est renégociée.
Étape 14. Dans la liste déroulante Encryption Algorithm, choisissez la méthode de chiffrement appropriée pour chiffrer la clé prépartagée dans la phase 2. AES-128 est recommandé pour sa sécurité élevée et ses performances rapides.Le tunnel VPN doit utiliser la même méthode de cryptage pour ses deux extrémités.
Les options disponibles sont définies comme suit :
· DES - Data Encryption Standard (DES) est une ancienne méthode de cryptage 56 bits la moins sécurisée, mais peut être requise pour la compatibilité descendante.
· 3DES - La norme 3DES (Triple Data Encryption Standard) est une méthode de cryptage simple de 168 bits utilisée pour augmenter la taille de la clé, car elle chiffre les données trois fois. Cela offre plus de sécurité que DES, mais moins de sécurité qu'AES.
· AES-128 — Advanced Encryption Standard avec clé 128 bits (AES-128) utilise une clé 128 bits pour le chiffrement AES. AES est plus rapide et plus sécurisé que DES. En général, AES est également plus rapide et plus sécurisé que 3DES. La norme AES-128 est plus rapide mais moins sécurisée que les normes AES-192 et AES-256.
· AES-192 — AES-192 utilise une clé 192 bits pour le chiffrement AES. La norme AES-192 est plus lente mais plus sécurisée que la norme AES-128, et plus rapide mais moins sécurisée que la norme AES-256.
· AES-256 — AES-256 utilise une clé de 256 bits pour le chiffrement AES. AES-256 est plus lent mais plus sécurisé que AES-128 et AES-192.
Étape 15. Dans la liste déroulante Authentication Algorithm, choisissez la méthode d'authentification appropriée pour déterminer comment les paquets d'en-tête de protocole ESP (Encapsulating Security Payload) sont validés dans la phase 2.Le tunnel VPN doit utiliser la même méthode d'authentification pour les deux extrémités.
Les options disponibles sont définies comme suit :
· MD5 — MD5 est un algorithme de hachage unidirectionnel qui produit un résumé de 128 bits. MD5 calcule plus rapidement que SHA-1, mais est moins sécurisé que SHA-1. MD5 n'est pas recommandé.
· SHA-1 — SHA-1 est un algorithme de hachage unidirectionnel qui produit un résumé de 160 bits. SHA-1 calcule plus lentement que MD5, mais est plus sécurisé que MD5.
· SHA2-256 — Spécifie l'algorithme de hachage sécurisé SHA2 avec le résumé 256 bits.
Étape 16. (Facultatif) Dans le champ Groupe de clés PFS, cochez la case Activer. Perfect Forward Secrecy (PFS) crée une couche de sécurité supplémentaire pour protéger vos données en assurant une nouvelle clé DH dans la phase 2. Le processus est effectué au cas où la clé DH générée lors de la phase 1 serait compromise en transit.
Étape 17. Dans la liste déroulante DH Group, sélectionnez le groupe Diffie-Hellman (DH) approprié à utiliser avec la clé dans la phase 2.
Les options disponibles sont définies comme suit :
· Group1 (768 bits) : calcule la clé le plus rapidement, mais est la moins sécurisée.
· Group2 (1024 bits) : calcule la clé plus lentement, mais elle est plus sécurisée que Group1.
· Group5 (1536 bits) : calcule la clé le plus lentement, mais c'est la clé la plus sécurisée.
Étape 18. Cliquez sur Enregistrer pour enregistrer vos paramètres.
Pour plus d'informations, consultez la documentation suivante :
- Fiche technique RV130 : explique les fonctionnalités VPN des routeurs de la gamme RV130
- Page produit RV130 : inclut des liens pour tous les articles RV130 de Cisco
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)