Lyce G. Eiffel - Armentires Page 1 sur 7 22/05/2006
Configuration de la liaison VPN
Sommaire
1. Prsentation du besoin....................................................................................................................................2 2. Prsentation du VPN.......................................................................................................................................2 3. Interconnexion des rseaux dArmentires et Bthune : Mode Tunnel ....................................................3 3.1. Mthode et matriels utiliss.......................................................................................................................3 3.2. Paramtrage du routeur BEWAN dArmentires.........................................................................................3 3.2.1. Paramtrage de la cl IKE / IPSec .........................................................................................................3 3.2.2. Paramtrage de linterconnexion des rseaux .......................................................................................4 3.3. Paramtrage du routeur BEWAN de Bthune ............................................................................................5 3.3.1. Paramtrage de la cl IKE / IPSec .........................................................................................................5 3.3.2. Paramtrage de linterconnexion des rseaux .......................................................................................6 4. Validation de linterconnexion de rseau.........................................................................................................6 4.1. Visualisation de ltat de la connexion VPN................................................................................................6 4.2. Tests de validation ......................................................................................................................................7 5. Evolutions envisages.....................................................................................................................................7
Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 2 sur 7 22/05/2006
1. Prsentation du besoin Dans le cadre du projet de BTS iris entre les sections de Bthune et dArmentires, nous avons configur linterconnexion de nos deux rseaux via internet. Pour scuriser cette interconnexion, nous avons mis en uvre une liaison VPN entre les deux sites. Cette liaison est ralise par deux routeurs ADSL Bewan LanBooster 2104P. Dautre part, lutilisation des applications OPC demande davoir une base utilisateurs commune. Nous avons choisi de grer les utilisateurs de manire unique sur un contrleur de domaine Windows 2003 Server dArmentires.
2. Prsentation du VPN Le VPN (Virtual Private Network) est une liaison scurise entre 2 sites dune organisation via un rseau public, en gnral Internet. Il vous permet denvoyer et de partager des donnes ou des ressources entre des sites distants.
Les rseaux privs virtuels (VPN) permettent lutilisateur de crer un chemin virtuel scuris entre une source et une destination. Grce un principe de tunnel (tunnelling) dont chaque extrmit est identifie, les donnes transitent aprs avoir t chiffres. Cest la mthode utilise pour faire transiter des informations prives sur un rseau public. Cette technique assure donc lauthentification des 2 parties, lintgrit des donnes et le chiffrage de celles-ci.
Pour communiquer au travers du VPN, plusieurs protocoles peuvent tre utiliss : le PPTP (Point to Point Tunneling Protocol), le protocole L2TP (Layer 2 Tunneling Protocol) et enfin le protocole IPSec.
Il existe deux modes de VPN distincts :
le Mode Tunnel : il cre des tunnels en encapsulant chaque trame dans une enveloppe qui protge tous les champs de la trame. Il est utilis entre 2 quipements grant linterconnexion (exemple : la connexion VPN entre deux routeurs ou passerelles). Les donnes peuvent tre chiffres (mode ESP) ou non (mode AH). le Mode Transport : il protge le contenu dune trame IP en ignorant len-tte. Ce mode est gnralement utilis entre deux quipements dont au moins un de type terminal (exemple : la connexion VPN dun utilisateur isol SOHO vers une passerelle ou un routeur).
En fonction du mode VPN choisi et du protocole de connexion slectionn, diffrentes configurations sont possibles. Tout dabord, en pralable pour que la connexion VPN puisse stablir, il est ncessaire que les administrateurs des 2 sites distants schangent leurs paramtres de connexion (nom dutilisateur, mot de passe, numro composer ou nom dhte ou adresse IP du serveur, voire cl IPSec). Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 3 sur 7 22/05/2006
3. Interconnexion des rseaux dArmentires et Bthune : Mode Tunnel 3.1. Mthode et matriels utiliss Pour interconnecter les deux rseaux nous utilisons le Mode Tunnel entre les deux routeurs BEWAN LanBooster 2104P et nous avons cr un tunnel VPN IPSec.
Pour ces routeurs, le routage ncessaire pour linterconnexion des deux rseaux est activ en mme temps que la configuration du tunnel VPN. Evidemment, il faut configurer les passerelles par dfaut de toutes les machines pour quelles pointent vers ladresse IP locale du routeur.
Routeur Armentires Routeur Bthune Nom du domaine ARMBET ARMBET Adresse IP locale du routeur 192.168.33.1 192.168.22.1 Adresse rseau du LAN 192.168.33.0 192.168.22.0 Adresse IP publique 193.152.XX.YY 83.192.WW.ZZ Cl IKE sortante CleA CleB Cl IKE entrante CleB CleA
3.2. Paramtrage du routeur BEWAN dArmentires 3.2.1. Paramtrage de la cl IKE / IPSec Dans linterface web dadministration du routeur, choisissez : Menu principal > Paramtrage des accs distants et RPV (VPN) > Paramtrage IKE / IPSec
CleB
Dans un premier temps, vous pouvez choisir une mthode de scurit moyenne (AH) et aprs validation du fonctionnement du tunnel, il est conseill daugmenter la scurit (ESP) Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 4 sur 7 22/05/2006
3.2.2. Paramtrage de linterconnexion des rseaux Dans linterface web dadministration du routeur, choisissez : Menu principal > Paramtrage des accs distants et RPV (VPN) > Paramtrage d'interconnexion de rseaux
Cration dun nouveau profil dinterconnexion en cliquant sur un numro de libre 1 2 3 4 5 - CleA 83.192.ww.zz Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 5 sur 7 22/05/2006
3.3. Paramtrage du routeur BEWAN de Bthune 3.3.1. Paramtrage de la cl IKE / IPSec Dans linterface web dadministration du routeur, choisissez : Menu principal > Paramtrage des accs distants et RPV (VPN) > Paramtrage IKE / IPSec
Dans un premier temps, vous pouvez choisir une mthode de scurit moyenne (AH) et aprs validation du fonctionnement du tunnel, il est conseill daugmenter la scurit (ESP) Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 6 sur 7 22/05/2006
3.3.2. Paramtrage de linterconnexion des rseaux Dans linterface web dadministration du routeur, choisissez : Menu principal > Paramtrage des accs distants et RPV (VPN) > Paramtrage d'interconnexion de rseaux
Crez un nouveau profil dinterconnexion en cliquant sur un numro de libre
Remplissez les champs en respectant lordre du paragraphe prcdent :
1. Activez le profil et donnez lui un nom 2. Appel Entrant / sortant, sans dconnexion 3. Validez le tunnel IPSec 4. Adresse routeur distant = 193.152.xx.yy 5. Cl IKE = CleB ; Scurit = moyenne 6. Validez le tunnel IPSec 7. Adresse du serveur = 193.152.xx.yy 8. Cl IKE = CleA ; Scurit = moyenne 9. IP WAN = 83.192.ww.zz ; passerelle distante = 193.152.xx.yy ; rseau distant = 192.168.33.0 /24 10. Adresse IP prive
4. Validation de linterconnexion de rseau 4.1. Visualisation de ltat de la connexion VPN Dans linterface web dadministration dun des routeurs, choisissez : Menu principal > Etat de la connexion RPV (VPN)
Exemple pour le routeur dArmentires :
Choisissez le profil dinterconnexion cr prcdemment et cliquez sur Appeler 83.192.ww.zz Vrifiez que le Tunnel est actif Configuration de la liaison VPN Lyce G. Eiffel - Armentires Page 7 sur 7 22/05/2006
4.2. Tests de validation
Une fois le tunnel activ, vous pouvez vrifier que le routage IP est bien activ aussi en effectuant un PING sur une machine du rseau distant. Intgration des machines de Bthune dans le domaine gr par le contrleur de domaine dArmentires Ouverture de session sur une machine de Bthune avec un login du contrleur de domaine dArmentires. Accs aux fichiers distants laide de lexplorateur de fichiers Test des applications clientes OPC sur le serveur OPC distant (ncessit davoir une configuration DCOM identique)
5. Evolutions envisages Installation dun contrleur de domaine secondaire Bthune pour pallier aux problmes de dconnexion internet. Cette solution nous offrirait une plus grande souplesse pour raliser les TP locaux.