CFA Commerce et services - BLAGNAC BTS Services Informatiques aux Organisations option SISR Epreuve E4 : Conception et Maintenance de solutions Informatiques Documentation Technique Projet 2 : Mise en place d un tunnel VPN Client/ Serveur Valentin BROUSSARD Session 2017
Sommaire I/ Configuration du VPN sur le routeur NETGEAR... 4 A. Génération d une clé de cryptage... 4 B. Connexion et configuration du routeur Netgear... 5 C. Vérification... 6 II/ Configuration de la connexion VPN... 7 A. Configuration de la Phase 1... 7 B. Configuration de la phase 2... 9 III/ Ajout de l authentification par utilisateur... 11 A. Comptes utilisateurs sur le routeur... 11 Conclusion... 17 Valentin BROUSSARD Projet 2 : Documentation Technique Page 2/17
Liste des figures Figure 1 : Clé de cryptage... 4 Figure 2 : Page accueil routeur... 5 Figure 3 : Configuration VPN Wisard... 6 Figure 4 : Vérification IKE Policies... 6 Figure 5 : Vérification VPN Policies... 7 Figure 6 : Ouverture panneau de configuration Netgear Prosafe VPN Client... 7 Figure 7 : Création nouvelle Phase 1... 8 Figure 8 : Configuration 1 ère partie Phase 1... 8 Figure 9 : Configuration 2 ème partie Phase 1... 9 Figure 10 : Création Phase 2... 10 Figure 11 : Configuration Phase 2... 10 Figure 12 : Sauvegarde des données configurées... 11 Figure 13 : Création groupe utilisateur... 12 Figure 14 : Configuration groupe utilisateur... 12 Figure 15 : Création utilisateur... 12 Figure 16 : Configuration utilisateur... 13 Figure 17 : Confirmation création utilisateur... 13 Figure 18 : Désactivation Phase 2 (VPN Policies)... 14 Figure 19 : Confirmation désactivation... 14 Figure 20 : Editer phase 1 (IKE Policies)... 14 Figure 21 : Paramétrage authentification étendue... 15 Figure 22 : Réactivation Phase 2... 15 Figure 23 : Confirmation réactivation... 15 Figure 24 : Ouverture panneau de configuration Netgear Prosafe VPN Client... 16 Figure 25 : Configuration Phase 1 pour authentification lors connexion... 16 Valentin BROUSSARD Projet 2 : Documentation Technique Page 3/17
Pour me permettre aux utilisateurs de la Maison des Ligues de la Lorraine de se connecter à distance sur le serveur et ainsi accéder à leurs données réseaux, j ai décidé de faire un projet dans lequel je vais mettre en place un tunnel VPN entre un routeur et un ordinateur à distance équipé du client VPN. Je vais utiliser un routeur NETGEAR, et l ordinateur client aura donc le client VPN Netgear. Le serveur créer en Projet 1 me servira comme contrôleur de domaine. Je vais utiliser un ordinateur fixe qui me servira de client qui est déjà ajouté dans le domaine de mon serveur, il appartient à un bâtiment. I/ Configuration du VPN sur le routeur NETGEAR A. Génération d une clé de cryptage Afin de limiter l accès à la Maison des Ligues aux personnes faisant partie de cet établissement il est primordial de définir un mot de passe pour finaliser l accès, nous pouvons choisir nous même un mot de passe avec un risque de vulnérabilité ou choisir un site internet qui nous génère automatiquement une clé de cryptage. J ai donc choisis pour raison de sécurité de prendre le site «Strong Password Generator» pour qu il me génère une clé. J ai choisis une clé de taille 20 comprenant des ponctuations. Figure 1 : Clé de cryptage Valentin BROUSSARD Projet 2 : Documentation Technique Page 4/17
B. Connexion et configuration du routeur Netgear Une fois le câblage entre le routeur et mon ordinateur réalisé, je me connecte à l interface web du routeur via l adresse http://192.168.1.1 et je m authentifie (identifiant par défaut : admin password). Une fois connecté j arrive sur l accueil de mon routeur. Figure 2 : Page accueil routeur Je me rends ensuite dans VPN IPSec VPN VPN Wizard afin de créer mon VPN sur le routeur. Pour commencer, je spécifie qu il s agit d un accès de type «Ordinateur à Routeur», ensuite je donne un nom à cette nouvelle connexion et je rentre le mot de passe qui permettra aux ordinateurs de se connecter sur le routeur, j indique que le tunnel sera créé sur le port WAN1. Pour les champs de la partie «End Point Information», je laisse comme proposés. Pour finir j applique. Valentin BROUSSARD Projet 2 : Documentation Technique Page 5/17
Figure 3 : Configuration VPN Wisard C. Vérification En naviguant dans IKE Policies et VPN Policies, je dois voir apparaitre le nom de mon tunnel VPN ainsi que l algorithme de cryptage (3DES) et l algorithme d authentification (SHA-1). Figure 4 : Vérification IKE Policies Valentin BROUSSARD Projet 2 : Documentation Technique Page 6/17
Figure 5 : Vérification VPN Policies II/ Configuration de la connexion VPN Par défaut l application NETGEAR VPN Client Lite se lance automatiquement sur les postes une fois que nous sommes sur un session valide, je fais donc un clic droit sur l icone qui est apparu dans la barre système qui se situe en bas à droite et je sélectionne «Panneau de Configuration» Figure 6 : Ouverture panneau de configuration Netgear Prosafe VPN Client A. Configuration de la Phase 1 Une fois le panneau de configuration ouvert, je fais un clic droit sur «Configuration VPN» et choisis «Nouvelle Phase 1». Valentin BROUSSARD Projet 2 : Documentation Technique Page 7/17
Figure 7 : Création nouvelle Phase 1 Dans la section «Gateway» je remplis les informations demandées : Figure 8 : Configuration 1 ère partie Phase 1 Valentin BROUSSARD Projet 2 : Documentation Technique Page 8/17
- 1) Je choisis de laisser l interface en automatique pour ne pas être avoir de connexion spécifique. - 2) J indique l adresse IP publique de mon routeur qui est dans notre cas 192.168.1.17. - 3) Je saisie la clef de cryptage que j ai généré précédemment. - 4) Pour la section IKE, je vérifie que j ai les même paramètres que ceux spécifiés sur le routeur Netgear, c est-à-dire «3DES» «SHA-1» et «DH2». Je vais ensuite dans l onglet «Avancé» : Figure 9 : Configuration 2 ème partie Phase 1-1) Je coche le mode agressif pour être à l identique de la configuration du routeur - 2) Je remplis avec les noms spécifiés lors de la configuration du routeur en inversant entre «Local» et «Remote». B. Configuration de la phase 2 Pour créer la phase 2, je fais un clic droit sur l élément «Gateway», et choisis «Nouvelle phase 2» et sélectionne l élément «Tunnel». Valentin BROUSSARD Projet 2 : Documentation Technique Page 9/17
Figure 10 : Création Phase 2 Une fois dans cette nouvelle section, je remplis les éléments demandés : Figure 11 : Configuration Phase 2 Valentin BROUSSARD Projet 2 : Documentation Technique Page 10/17
- 1) Je choisis une adresse IP (dans notre cas 172.16.10.1) qui sera utilisée par l ordinateur connecté en VPN. De préférence j évite de choisir une adresse comprise dans la plage IP du site M2L et dans la plage IP de la box où je me connecte sur le site distant. - 2) J indique l adresse IP (172.16.0.254) qui me permettra de joindre mon serveur et je précise son masque de sous-réseau (255.255.255.0). - 3) Comme pour la phase 1 je vérifie que le chiffrement et l authentification soit configuré comme sur le routeur - 4) Je vérifie que le groupe est correct. Pour finir, je clic sur sauver pour enregistrer ma configuration. Figure 12 : Sauvegarde des données configurées III/ Ajout de l authentification par utilisateur Pour accroitre la sécurité des connexions VPN sur le site M2L, je vais ajouter une authentification supplémentaire avec le couple Login/Mot de passe en créant une base d utilisateurs locale sur le routeur. A. Comptes utilisateurs sur le routeur Pour me permettre de créer ma base utilisateur, je vais créer un groupe dédié à cet effet. Pour cela je vais aller dans l onglet «Users» «Groups» et cliquer sur «Add». Valentin BROUSSARD Projet 2 : Documentation Technique Page 11/17
Figure 13 : Création groupe utilisateur Une fois sur la nouvelle page je donne un nom à mon nouveau groupe «M2L», je laisse les autres champs à l identique. Je valide en cliquant sur «Apply» Figure 14 : Configuration groupe utilisateur Maintenant que j ai créé mon groupe, je vais créer un utilisateur, pour cela je reste dans «Users» et l onglet «Users» une fois dessus je clic sur «Add» Figure 15 : Création utilisateur Valentin BROUSSARD Projet 2 : Documentation Technique Page 12/17
Dans la nouvelle fenêtre je renseigne les informations demandées, et valide en cliquant sur «Apply» : Figure 16 : Configuration utilisateur - 1) J indique le nom d utilisateur à utiliser pour l authentification (dans notre cas : «Utilisateur1») - 2) Je spécifie le type de l utilisateur pour correspondre à mon VPN (dans notre cas : IPsec VPN User) - 3) Je donne un mot de passe, de préférence, pour plus de sécurité, long avec des caractères spéciaux. Voila ce que j obtiens : Figure 17 : Confirmation création utilisateur Valentin BROUSSARD Projet 2 : Documentation Technique Page 13/17
Maintenant, je dois modifier les paramètres IKE pour pouvoir avoir une fenêtre d authentification lors de la connexion au tunnel VPN. Il faut d abord que je désactive la phase VPN POLICIES (Phase 2) avant de pouvoir modifier la phase IKE POLICIES (Phase 1). Figure 18 : Désactivation Phase 2 (VPN Policies) J obtiens la confirmation : Figure 19 : Confirmation désactivation Maintenant, je peux éditer la phase 1 : Figure 20 : Editer phase 1 (IKE Policies) Valentin BROUSSARD Projet 2 : Documentation Technique Page 14/17
En descendant en bas de la page, je vais paramétrer l authentification étendue, pour cela je coche dans «XAUTH Configuration» la case «Edge Device». Ensuite dans le type d authentification je choisis la base de données utilisateur. Figure 21 : Paramétrage authentification étendue - 1) En sélectionnant «Edge Device» sous XAUTH Configuration, j active le routeur en tant que concentrateur VPN. - 2) Je sélectionne la base utilisateur locale au routeur. - 3) Je valide en appliquant les paramètres Maintenant je peux réactiver la phase 2. L interface nous confirme le succès de l opération. Figure 22 : Réactivation Phase 2 Figure 23 : Confirmation réactivation Valentin BROUSSARD Projet 2 : Documentation Technique Page 15/17
Maintenant que j ai fini de configurer le routeur, je dois modifier mes paramètres sur le client VPN, pour cela j ouvre le panneau de configuration : Figure 24 : Ouverture panneau de configuration Netgear Prosafe VPN Client Une fois ouvert je vais dans «Gateway» «Avancé» et je coche «X-Auth Popup» : Je valide en sauvegardant. Figure 25 : Configuration Phase 1 pour authentification lors connexion Valentin BROUSSARD Projet 2 : Documentation Technique Page 16/17
Conclusion Grâce à cette solution, les personnes qui voudront travailler depuis leur domicile où depuis un autre lieu que celui du site de M2L pourront le faire. Ainsi les personnes pourront accéder à leur donnée réseau tout en ayant une sécurité sur la connexion. Valentin BROUSSARD Projet 2 : Documentation Technique Page 17/17