Tuto sur l'installation du logiciel/configuration du routeur et sur son fonctionnement.
On peut différencier deux types d'installation.
- A partir d'un WebVPN en proposant à un utilisateur connecté de télécharger le logiciel à partir du routeur et d'exécuter un installation via Java. Je ne vais pas m'étendre sur le sujet car ça beug beug et rebeug, alertes de sécurité et j'en passe.
- La deuxième option est d'installer le logiciel sur la machine cliente, à l'aide d'un pre-deployed pack et c'est ce que nous allons faire.
Il faut d'abord trouver le logiciel : la version 3.1 est assez facilement localisable en lançant une recherche sur google.fr.
Pour ce lab, j'utiliserai la version 4.1 (aussi téléchargeable depuis la toile) sur un client Windows. Mon routeur est un Cisco 1841 IOS 15.1 ; je ne peux pas faire dans ce lab de démo de connexion en IKEv2 (disponible à partir de la version 15.2)
Installation
On lance l'installation de la bête :
quelques clics plus loin, on termine le processus :
Pour information, le logiciel a créer une connexion réseau :
Celle-ci sera bien entendu activée automatiquement lors d'une authentification sur le routeur.
Configuration
Notre routeur
On créer une policy group adaptée aux besoins de cette connexion. Pour la configuration complète de la Web gateway, merci de se référer à cet article.
webvpn gateway Home
hostname Home
ip interface FastEthernet0/1 port 443
ssl encryption rc4-md5
ssl trustpoint HomePKI
logging enable
inservice
hostname Home
ip interface FastEthernet0/1 port 443
ssl encryption rc4-md5
ssl trustpoint HomePKI
logging enable
inservice
webvpn context Home
ssl encryption aes-sha1
ssl authenticate verify all
!
policy group Anyconnect
functions svc-enabled
svc address-pool "SSL"
svc split dns XXXX.XXXX.me"
svc split include 192.168.0.0 255.255.255.0
svc wins-server primary 192.168.0.20
svc dtls
ssl encryption aes-sha1
ssl authenticate verify all
!
policy group Anyconnect
functions svc-enabled
svc address-pool "SSL"
svc split dns XXXX.XXXX.me"
svc split include 192.168.0.0 255.255.255.0
svc wins-server primary 192.168.0.20
svc dtls
Avec comme points particuliers :
- L'utilisation du protocole aes dans le contexte pour la protection des données
- Un routage qui va être effectué par le logiciel sur le client. Ici dans mon exemple, seul le trafic à destination du réseau 192.168.0.0 sera encapsulé, le reste ne sera pas protégé. Cette option est très utile si vous voulez continuer à surfer sur le Net tout en étant connecter à votre serveur via le VPN. Vous pouvez voir qui il est aussi possible de spliter via un nom de domaine.
- Protocole dtls activé, configuration d'un serveur wins.
Une question brûlante : pourquoi laisser ssl encryption rc4-md5 dans la gateway alors que nous avons ssl encryption aes-sha1 dans le contexte ?
Je ne sais tout simplement pas !!!!!! Mais sans cette ligne rc4-md5, j'ai des erreurs DNS quand j'essaie de me connecter. Après de multiples recherches sur les Forums CISCO, je sèche .... Il est toute fois important de bien spécifier un cryptage/hashage aes via la seconde commande, rc4 et md5 étant considérés comme faibles
Le pool d'adresses IP
Quand votre station va se connecter une adresse IP va lui être attribuée
Pour cela, ip local pool @ip début @ip fin. Dans mon exemple le pool porte le nom de SSL
Une interface virtuelle
Une loopback avec une adresse IP dans le range du pool pour des questions de routage.
interface Loopback100
description SSL
ip address 10.3.20.1 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
description SSL
ip address 10.3.20.1 255.255.255.255
no ip redirects
no ip unreachables
no ip proxy-arp
La station
Tout d'abord installer le certificat de votre routeur VPN sur votre client pour que ce dernier puisse checker son identité.
Voici les quelques options disponibles dans le soft (dépend de la version) :
Rien de bien méchant, ça parle même aux non anglophones ! Nous allons voir le restant des onglets une fois en ligne.
Il ne reste plus qu'à lancer notre connexion.
Pour cela, entrez le nom de domaine et lancer le soft. Après vous avoir demandé vos credentials, vous voilà connecter si tout c'est bien passé.
A savoir que : avec ma version du soft je ne peux pas avoir plus d'un utilisateur logué sur l'ordinateur autrement échec de connexion.
Nous sommes donc bien connectés avec comme @IP 10.3.20.9
On peut voir d'ailleurs le cryptage utilisé, AES/SHA.
La compression n'est pas disponible sur les routeurs, uniquement sur les ASA.
Notre "routage" : on remarque ici que seul le réseau 192.168.0.0 sera routé vers notre tunnel. Tout le reste du trafic sera dirigé vers la passerelle nominale de la station.
Quel sont donc les avantages de ce logiciel par rapport au portail Web ?
- cryptage qui est ici en aes alors que le web est limité à rc4
- accès à toutes les applications du Lan comme si on y était
- accès au routeur via SSH. Il suffit d'ajouter les adresses du pool dans une ACL configurée sur les Line VTY et le tour est joué
- le logiciel CISCO est multiplateforme, gratuit sur Androïd. On peut facilement connecter sa tablette, son téléphone au VPN. Delà de multiples applications sont possibles comme par exemple téléphoner à travers son VPN (avec un IPX configuré)
- Cet exemple utilise SSL pour la connexion donc à priori pas plus de problèmes de pare-feu.
- Vitesse de surf : si par exemple je télécharge un fichier depuis mon NAS, elle est bien supérieure.
Bon clic à tous,
Aucun commentaire:
Enregistrer un commentaire