VPN avec routeurs Zyxel 650 HW
Configuration du Firewall :
Deuxième partie : Les diverses possibilités de créer un tunnel VPN
VPN avec routeurs Zyxel 650 HW |
| Avec un routeur de ce type on peut facilement créer un tunnel VPN entre deux réseaux, ce qui veut dire qu'on pourra accéder aux machines de l'autre réseau comme s'il faisait partie du réseau où on se trouve. |
| Ce type de VPN est bien plus rapide et sûr que le VPN intégré à Windows, on va créer un tunnel avec encapsulation entre deux routeurs en ayant la possibilité de crypter les données au moyen d'une clé partagée. |
| Cette méthode est bien sécurisée et rend très difficile toute intrusion ou capture des données échangées par le réseau internet qui n'est pas protégé lui-même. |
| La méthode la plus simple est de mettre en place deux routeurs identiques ou compatibles prenant en charge le mode VPN avec IPSEC. |
| Le protocole IPSEC permet de mettre en connexion deux réseaux avec comme identification les adresses IP des machines à relier. Il y a deux protocoles VPN, le ESP et le AH. |
| On utilise préférentiellement le ESP qui permet une plus grande sécurité car il utilise un algorithme de cryptage. |
| Ce cryptage peut être de deux type : DES permet un cryptage de 56 bits , 3DES permet un encryptage de 128 bits plus sûr encore. |
| Ce cryptage sera basé sur une clé partagée par les deux routeurs. |
| La mise en oeuvre du tunnel VPN est simple, mais il faudra faire très attention à paramétrer les deux machines de la même façon sinon ça ne marchera pas. |
| De plus il faudra penser aux éventuels firewall (pare-feu) installés sur les machine et sur les routeurs. |
Configuration du Firewall : |
| Les routeurs Zyxel Prestige 650 HW possèdent un firewall intégré qu'il faudra configurer pour pouvoir utiliser le VPN. Si on ne sait pas comment faire, il est possible de désactiver ce pare-feu, mais c'est fortement déconseillé. |
| Mieux vaut prendre le temps de le configurer correctement pour laisser passer le traffic VPN. |
| La première chose à faire est alors d'aller dans l'interface web de configuration du routeur et de choisir Firewall |
|
| On va ouvrir le lien Rule Summary dans Internet to Local Network |
|
| On a dix règles possible dans le menu, ici celle que j'ai créé pour le VPN est la numéro 6 |
| Si on n'a pas encore créé de règles on clique sur le lien 1. |
| Ici on va cliquer sur le lien 6 pour ouvrir l'éditeur de règle. |
|
| Dans Selected Services on commence par enlever les deux Any qui s'y trouvent par défaut au moyen d'un des deux petits boutons au milieu. |
| Ensuite on va ajouter : IPSEC_TUNNEL(ESP:0) et IKE(UDP:500) |
| Ce sont les deux service dont on a besoin, on peut rajouter le PPTP_TUNNEL(GRE:0) le IPSEC_TRANSPORT/TUNNEL(AH:0) et le PPTP(TCP:1723) pour les autres type de VPN. |
| PPTP_TUNNEL(GRE:0) et PPTP(TCP:1723) sont les services nécessaires pour les VPN de Windows si on veut les essayer. |
| IPSEC_TRANSPORT/TUNNEL(AH:0) c'est le service pour l'IPSEC du routeur sans cryptage. |
| Si vous voulez pouvoir faire un PING au travers du routeur, il faudra aussi créer une règle pour laisser passer le ping. |
| Dans mon exemple c'est la règle 7. |
Deuxième partie : Les diverses possibilités de créer un tunnel VPN |
| Première possibilité : les deux réseaux ont des connexions à internet avec des adresses IP fixes |
| C'est le cas pour des réseaux professionnels ou pour des utilisateurs privés hébergeant des sites web à domicile. |
| Dans ce cas on va utiliser deux routeurs configurés de façon à pouvoir se connecter grâce à une adresse IP. |
| On prend comme cas pour notre exemple, un utilisateur privé ( Monsieur Glandu ) ayant une adresse IP fixe : 87.233.190.56 et qui veut se connecter au réseau de son entreprise ( Dugland SA ) avec adresse IP fixe également : 245.129.22.33 |
| On va devoir configurer les deux routeurs avec des paramètres symétriques pour pouvoir les relier, commençons par le premier routeur, celui qui se trouve dans l'entreprise. On va le désigner sous le nom de Dugland SA. |
| Le routeur Zyxel Prestige 650HW de Dugland SA : |
| On ouvre maintenant VPN dans le menu de l'interface web du routeur qui est chez Dugland SA: |
|
| On va cliquer sur Setup pour afficher la liste des VPN existants ou à créer. |
|
| Si on n'a pas encore créé de tunnels VPN, la liste est vide et on clique alors sur le 1 sinon on prend le premier qui est libre, ici le 4. |
| On se trouve devant une fenêtre avec toute une série de paramètres possibles. On va les remplir comme suit: |
|
| On commence par donner un nom à la connexion VPN, on met ce qu'on veut! |
| Ensuite dans Local on va fixer les adresses IP des machines auquelles Monsieur Glandu pourra accéder de chez lui : Range permet de définir une plage d'adresses. Dans notre exemple de 192.168.100.2 à 192.168.100.10, l'adresse 192.168.100.1 étant celle du routeur, normalement on ne la partage pas. |
| Dans Remote on va définir l'adresse de la machine chez monsieur Glandu qui pourra se connecter, on met Single pour une adresse unique, ici 192.168.1.2 |
| Puis dans Address Information on va définir les adresses IP fixes des connexions internet des deux réseaux. |
| Local ID Type est IP puisqu'on va utiliser une adresse IP fixe, on peut ensuite définir l'adresse 245.129.22.33 ou laisser vide car cette adresse est reçue automatiquement par le routeur lorsque la connexion internet est établie. |
| Mais il faut impérativement définir la Secure Gateway Address , l'adresse IP fixe de Monsieur Glandu : 87.233.190.56 |
| On va ensuite choisir le protocole VPN : ESP |
| Définir une clé partagée sensée être secrète : fautbosserplusvite |
| Si on est paranoïaque ou si on tavaille pour la CIA on peut choisir l'Encription Algorithm 3DES de 128 bits au lieu de DES à 56 bits. |
| Avant de cliquer sur Apply en bas au centre pour enregistrer, il faut encore mettre la coche dans Active tout en haut de la page pour activer la connexion VPN. La case Keep Alive peut être utilisée pour maintenir la connexion même si on ne l'utilise pas pendant un moment. |
| Maintenant que Dugland SA est au point on va se rendre chez Monsieur Glandu qui nous attend avec impatience pour les réglages de son routeur. |
| Le routeur Zyxel Prestige 650HW de Monsieur Glandu : |
| On procède de la même manière que pour Dugland SA, mais on va bien entendu permuter certains paramètres dans la configuration du VPN |
|
| On choisi un joli nom pour la connexion, on met la coche dans Active bien sûr puis on configure les adresses IP. |
| Les paramètres dans Local et Remote sont inversés et dans Address Information les adresses IP sont permutées. |
| Finalement on enregistre avec Apply en bas au centre et on a terminé. |
| Il faut bien entendu également configurer le Firewall sur les deux routeurs . Il faut également vérifier s'il y a un Firewall sur les machines des deux réseaux. |
| Normalement après avoir configuré les deux routeurs, le tunnel VPN doit pouvoir être établi. Mais comme le monde est cruel et impitoyable, il se peut que ça ne se passe pas bien. Il faut impérativement bien définir les mêmes plages d'adresses IP dans les deux routeurs, parfois si on définit l'adresse IP dans My IP Address ça coince, si on laisse vide parfois c'est mieux. Il faudra faire un test en faisant des Pings sur les machines reliées. |
| Comme on se trouve chez Monsieur Glandu, on va faire un ping sur une machine de Dugland SA, par exemple la machine 192.168.100.2. |
| Dans le menu : Démarrer / Exécuter |
| Tapez : ping 192.168.100.2 et appuyer sur Enter |
| Si tout est bien configuré, vous devez voir ceci : |
|
| Si il y a un problème de connexion vous aurez ceci : |
|
| En cas de non réponse au ping, il faut aller voir les logs VPN dans le routeur. |
| Avec l'interface web on choisi VPN puis Logs dans la fenêtre qui apparaît. |
| Normalement en cas de succès vous devriez avoir quelque chose comme ceci : |
|
| C'est le log d'un ping sur la connexion de test VPN de Studerus SA |
| Si vous recevez quelque chose comme ceci : |
|
| Ca signifie que la négociation n'a pas réussi, vous avez bien atteint le routeur, mais l'autentification ne s'est pas faite. En effet pour cet exemple j'ai modifié la clé partagée, ce qui fait que le routeur chez Studerus n'a pas pu m'accepter. |
| Si on va voir les logs de l'autre routeur on verra qu'il y a un message d'erreur sur la clé, quelque chose qui ressemble à PYLD_MALFORMED. |
| Si la fenêtre de log reste vide, ça veut dire que l'adresse IP du routeur recherché est fausse, ou le routeur est hors service. Ou encore vous avez défini une adresse IP Remote hors de celles acceptés par l'autre routeur. |
| Un autre cas de refus de connexion : |
|
| Dans ce cas le protocole IKE n'a pas été accepté par l'autre routeur, l'explication est que son firewall ne laisse pas passer le IKE(UDP:500) |
| C'est une erreur de configuration du firewall, il faut ajouter ce service dans la règle choisie pour le VPN, ou désactiver le firewall. |
| Lorsque vous regardez les logs, recherchez des messages d'erreur sur les deux routeurs, le routeur d'où provient l'appel n'aura pas les même logs que l'appelé. Pour faire des tests mieux vaut qu'il y ait une personne devant chaque routeur avec un moyen de communication, sinon vous allez vous ruiner en frais de transport!! |
| Et surtout si vous êtes deux, évitez de modifier un paramètre sans en avertir l'autre sinon c'est la migraine assurée!! |
| Voyons maintenant les autre possibilités de connexion VPN avec routeurs Zyxel 650HW |
| Il y a le cas le plus fréquent où un des deux réseaux ne possède pas un accès internet avec adresse IP fixe. |
| Un autre cas tout aussi fréquent, c'est le cas où aucun des deux n'a un accès internet avec adresse IP fixe. |
| Une dernière possibilité c'est de se connecter en VPN à un routeur sans avoir de routeur chez soi. |