IMS INTERNET Paramétrage de l offre Gateway CISCO DRS/DTS/DCRT/CID/04 078 05/04/04 Page 1
SOMMAIRE 1. Introduction 3 1.1 OBJECTIFS DU DOCUMENT 3 1.2 VERSIONS INSTALLÉES 3 2. Connectique physique 3 3. Configuration du VPN 3030 4 4. Configuration du Client VPN 4.0 24 4.1 INSTALLATION DU C LIENT VPN 4.0 24 4.2 CONFIGURATION DU CLIENT VPN 4.0 27 DRS/DTS/DCRT/CID/04 078 05/04/04 Page 2
1. Introduction 1.1 Objectifs du document IMS INTERNET /Paramétrage de l offre / Gateway Cisco Ce document fait suite à l installation de l architecture de sécurité correspondant au projet VPN. Ce rapport d installation constitue une référence quant à l installation et la configuration initiale de l architecture qui a été mise en place, et peut être utilisé dans l intention de réinstaller une des composantes de la solution. 1.2 Versions installées Voici les différentes versions des produits qui ont été utilisés pour la maquette : Cisco VPN Concentrator 3030 o Model : VPN Concentrator 3030 o Software version : 4.00 du 15 avril 2003 Cisco VPN Client o Cisco VPN Client v4.00 du 15 avril 2003 2. Connectique physique Private Intf = Interface privée (lan interne) Public Intf = Interface publique (terminaison des tunnels VPN) External Intf = Interface dmz DRS/DTS/DCRT/CID/04 078 05/04/04 Page 3
3. Configuration du VPN 3030 Cette section décrit les principales étapes de la configuration du concentrateur VPN 3030. 3.1.1 Installation et configuration minimale par le port Console Afin de configurer les boîtiers, il faut connecter le port Console sur le port série d un équipement informatique disposant d une émulation type VT100 paramétrée comme suit : 8 bits de donnée, pas de parité, un bit de stop, débit à 9600 bauds Allumer alors le concentrateur VPN 3030. A l invite saisir le couple login/password (par défaut : admin/admin respectivement). Le menu suivant apparaît alors : Boot-ROM Initializing... Boot configured 128Mb of RAM.... Loading image... Verifying image checksum... Active image loaded and verified... Starting loaded image... Starting power-up diagnostics...... psh+ Copyright (c) Integrated Systems, Inc., 1992. Cisco Systems, Inc./VPN 3000 Concentrator Version 3.6.5.Rel Nov 07 2002 16:55:00 Features: Initializing VPN 3000 Concentrator... Initialization Complete...Waiting for Network... 1 04/24/2003 09:05:02.520 SEV=1 EVENT/37 RPT=1 Reset Reason : 15 (Powerup-Reset) Password: Login: admin DRS/DTS/DCRT/CID/04 078 05/04/04 Page 4
Réglage de l horloge interne (heure/date/fuseau): IMS INTERNET /Paramétrage de l offre / Gateway Cisco Welcome to Cisco Systems VPN 3000 Concentrator Series Command Line Interface Copyright (C) 1998-2002 Cisco Systems, Inc. -- : Set the time on your device. The correct time is very important, -- : so that logging and accounting entries are accurate. -- : Enter the system time in the following format: -- : HH:MM:SS. Example 21:30:00 for 9:30 PM > Time Quick -> [ 09:13:29 ] -- : Enter the date in the following format. -- : MM/DD/YYYY Example 06/12/1999 for June 12th 1999. > Date Quick -> [ 04/24/2003 ] -- : Set the time zone on your device. The correct time zone is very -- : important so that logging and accounting entries are accurate. -- : Enter the time zone using the hour offset from GMT: DRS/DTS/DCRT/CID/04 078 05/04/04 Page 5
-- : -12 : Kwajalein -11 : Samoa -10 : Hawaii -9 : Alaska -- : -8 : PST -7 : MST -6 : CST -5 : EST -- : -4 : Atlantic -3 : Brasilia -2 : Mid-Atlantic -1 : Azores -- : 0 : GMT +1 : Paris +2 : Cairo +3 : Kuwait -- : +4 : Abu Dhabi +5 : Karachi +6 : Almaty +7 : Bangkok -- : +8 : Singapore +9 : Tokyo +10 : Sydney +11 : Solomon Is. -- : +12 : Marshall Is. > Time Zone Quick -> [ 1 ] +1 1) Enable Daylight Savings Time Support 2) Disable Daylight Savings Time Support Quick -> [ 1 ] DRS/DTS/DCRT/CID/04 078 05/04/04 Page 6
Paramétrage des adresses IP des interfaces privée et publique : This table shows current IP addresses. Intf Status IP Address/Subnet Mask MAC Address -------------------------------------------------------------------- ----------- Ether1-Pri Not Configured 0.0.0.0/0.0.0.0 Ether2-Pub Not Configured 0.0.0.0/0.0.0.0 Ether3-Ext Not Configured 0.0.0.0/0.0.0.0 -------------------------------------------------------------------- ----------- DNS Server(s): DNS Server Not Configured DNS Domain Name: Default Gateway: Default Gateway Not Configured ** An address is required for the private interface. ** > Enter IP Address Quick Ethernet 1 -> [ 0.0.0.0 ] 192.168.1.178 Waiting for Network Initialization... > Enter Subnet Mask Quick Ethernet 1 -> [ 255.255.255.0 ] 1) Ethernet Speed 10 Mbps 2) Ethernet Speed 100 Mbps 3) Ethernet Speed 10/100 Mbps Auto Detect DRS/DTS/DCRT/CID/04 078 05/04/04 Page 7
Quick Ethernet 1 -> [ 3 ] 1) Enter Duplex - Half/Full/Auto 2) Enter Duplex - Full Duplex 3) Enter Duplex - Half Duplex Quick Ethernet 1 -> [ 1 ] > MTU (68-1500) Quick Ethernet 1 -> [ 1500 ] 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) 4) Save changes to Config file 5) Continue 6) Exit Quick -> 2 This table shows current IP addresses. Intf Status IP Address/Subnet Mask MAC Address -------------------------------------------------------------------- ----------- Ether1-Pri UP 192.168.1.178/255.255.255.0 00.90.A4.00.4C.68 Ether2-Pub Not Configured 0.0.0.0/0.0.0.0 Ether3-Ext Not Configured 0.0.0.0/0.0.0.0 -------------------------------------------------------------------- ----------- DRS/DTS/DCRT/CID/04 078 05/04/04 Page 8
DNS Server(s): DNS Server Not Configured DNS Domain Name: Default Gateway: Default Gateway Not Configured > Enter IP Address Quick Ethernet 2 -> [ 0.0.0.0 ] 195.115.96.178 > Enter Subnet Mask Quick Ethernet 2 -> [ 255.255.255.0 ] 255.255.255.224 1) Ethernet Speed 10 Mbps 2) Ethernet Speed 100 Mbps 3) Ethernet Speed 10/100 Mbps Auto Detect Quick Ethernet 2 -> [ 3 ] 1) Enter Duplex - Half/Full/Auto 2) Enter Duplex - Full Duplex 3) Enter Duplex - Half Duplex Quick Ethernet 2 -> [ 1 ] > MTU (68-1500) Quick Ethernet 2 -> [ 1500 ] 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) DRS/DTS/DCRT/CID/04 078 05/04/04 Page 9
4) Save changes to Config file 5) Continue 6) Exit Quick -> 4 1) Modify Ethernet 1 IP Address (Private) 2) Modify Ethernet 2 IP Address (Public) 3) Modify Ethernet 3 IP Address (External) 4) Save changes to Config file 5) Continue 6) Exit Quick -> 6 Done Login: A partir de ce point, la configuration peut être effectuée par l interface Web. DRS/DTS/DCRT/CID/04 078 05/04/04 Page 10
3.1.2 Configuration par l interface Web IMS INTERNET /Paramétrage de l offre / Gateway Cisco 1.1.1.1 Paramètres globaux Au moyen d un navigateur HTML, il suffit de se connecter sur l adresse IP de l interface privée configurée précédemment. L utilisateur est «admin» et le mot de pass e «admin» La page d accueil suivante s affiche, on sélectionne «start Quick Configuration» : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 11
Paramétrage du System Name, du DNS Server et du domaine et de la gateway par défaut On décoche «PPTP» et «L2TP», on ne laisse qu IPSec DRS/DTS/DCRT/CID/04 078 05/04/04 Page 12
Création du pool d adresses IP qui sera utilisé par les clients VPN : Les authentifications des clients VPN seront effectuées à partir la base d utilisateurs interne au concentrateur (possibilité de choisir aussi Radius, NT Domain ou SDI (SecureID)) DRS/DTS/DCRT/CID/04 078 05/04/04 Page 13
Création de l utilisateur «user01» : Création d un groupe pour l utilisateur «user01» DRS/DTS/DCRT/CID/04 078 05/04/04 Page 14
Changement du mot de passe par défaut «admin» en «ciscovp» La configuration de base est terminée, on sauvegarde en cliquant «Save needed» DRS/DTS/DCRT/CID/04 078 05/04/04 Page 15
DRS/DTS/DCRT/CID/04 078 05/04/04 Page 16
On va dans «Monitoring / System Status» afin de vérifier la version de software installée : il s agit d une 3.6.5, nous allons donc faire un update et passer à la version 4.0 On installe la version 4.0 par «Administration / Software Update / Concentrator» : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 17
La mise à jour s est déroulé correctement, il nous reste à rebooter le concentrateur pour activer la nouvelle version : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 18
Lors du reboot, si l on regarde sur la console, on peut voir que la nouvelle version a bien été prise en compte : Rebooting VPN 3000 Concentrator now. Resetting System... Boot-ROM Initializing... Boot configured 128Mb of RAM.... Loading image... Verifying image checksum... Active image loaded and verified... Starting loaded image... Starting power-up diagnostics...... psh+ Copyright (c) Integrated Systems, Inc., 1992. Cisco Systems, Inc./VPN 3000 Concentrator Version 4.0.Rel Apr 10 2003 09:53:20 Features: Initializing VPN 3000 Concentrator... Waiting for CAPI initialization to complete... Initialization Complete...Waiting for Network... 1 04/24/2003 09:58:29.240 SEV=1 EVENT/37 RPT=1 Reset Reason : 2 (Hardware-Reset) Login: 6 04/24/2003 09:58:30.310 SEV=3 IP/1 RPT=1 IP Interface 1 status changed to Link Up. DRS/DTS/DCRT/CID/04 078 05/04/04 Page 19
7 04/24/2003 09:58:30.330 SEV=3 IP/1 RPT=2 IP Interface 2 status changed to Link Up. 8 04/24/2003 09:58:30.960 SEV=3 IP/2 RPT=1 IP Interface 1 status changed to Link Down. 9 04/24/2003 09:58:30.960 SEV=3 IP/2 RPT=2 IP Interface 2 status changed to Link Down. 10 04/24/2003 09:58:31.960 SEV=3 IP/1 RPT=3 IP Interface 1 status changed to Link Up. Login: admin Password: Welcome to Cisco Systems VPN 3000 Concentrator Series Command Line Interface Copyright (C) 1998-2003 Cisco Systems, Inc. 1) Configuration 2) Administration 3) Monitoring 4) Save changes to Config file 5) Help Information DRS/DTS/DCRT/CID/04 078 05/04/04 Page 20
6) Exit vpn3000: Main -> 3 1) Routing Table 2) Event Log 3) System Status 4) Sessions 5) General Statistics 6) Dynamic Filters 7) Back vpn3000: Monitor -> 3 System Status ------------- VPN Concentrator Type: 3030 Serial Number: Bootcode Rev: Cisco Systems, Inc./VPN 3000 Concentrator Series Version 2.5.Rel Jun 21 2000 18:57:52 Software Rev: Cisco Systems, Inc./VPN 3000 Concentrator Version 4.0.Rel Apr 10 2003 09:53:20 Up For 0:00:28 Up Since 04/24/2003 09:58:20 RAM Size: 128 MB (Memory Status: Green) Fan Temperature Fan 1 Fan 2 CPU Cage --------------------------------------- 3689 RPM 3709 RPM 35C/95F 36C/96F DRS/DTS/DCRT/CID/04 078 05/04/04 Page 21
1) Refresh System Status 2) View Card Status 3) View LED Status 4) View Memory Status 5) Back vpn3000: Status -> DRS/DTS/DCRT/CID/04 078 05/04/04 Page 22
_ IMS INTERNET /Paramétrage de l offre / Gateway Cisco DRS/DTS/DCRT/CID/04 078 05/04/04 Page 23
4. Configuration du Client VPN 4.0 Cette section décrit la procédure d installation et de configuration du client VPN 4.0 Cisco. 4.1 Installation du Client VPN 4.0 Lancer le fichier «vpnclient-win-is-4.0.rel-k9.exe», c est une archive auto-extractible : une foi s décompacté dans un répertoire, il suffit de cliquer «setup.exe» et la fenêtre suivante s affiche : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 24
On choisit le répertoire de destination et le groupe pour placer les icônes DRS/DTS/DCRT/CID/04 078 05/04/04 Page 25
DRS/DTS/DCRT/CID/04 078 05/04/04 Page 26
Il reste à redémarrer le poste client pour terminer l installation : 4.2 Configuration du Client VPN 4.0 Double-cliquer sur l icône Cisco VPN Client pour lancer l application : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 27
On créé un profil de connexion en cliquant «New» sur la fenêtre principale : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 28
On renseigne l adresse du concentrateur VPN ainsi que le groupe d authentification précédemment créé sur ce dernier : On va maintenant tester la connexion avec ce profil, on sélectionne notre profil «test vpn cegetel» et on clique «Connect» DRS/DTS/DCRT/CID/04 078 05/04/04 Page 29
On s authentifie avec «user01» : IMS INTERNET /Paramétrage de l offre / Gateway Cisco La connexion est OK, le tunnel IPSec est «monté» : On fait un clic droit sur le cadenas jaune et on choisit «Statistics» afin d avoir des informations sur la connexion en cours : DRS/DTS/DCRT/CID/04 078 05/04/04 Page 30