Retour au Portfolio

Tunnel VPN Site-à-Site (IPsec)

Environnement de production 2ème année — Proxmox VE & Matériel Cisco
Situation : Projet de deuxième année (Infrastructure ITWay). L'objectif est d'interconnecter de manière sécurisée les réseaux distants de Marseille (Siège) et Lille via un tunnel VPN IPsec. Le trafic doit être encapsulé et chiffré pour permettre l'interconnexion transparente des réseaux LAN pour le trafic métier et l'administration. L'infrastructure repose sur un routeur physique Cisco 1841 à Marseille et un routeur virtuel OPNsense sous Proxmox à Lille.

1 Configuration Phase 1 (ISAKMP) - Canal de contrôle

Définition de la politique de sécurité en mode IKEv1 et de la clé partagée (Mutual PSK). Configuration des algorithmes cryptographiques pointant vers les IP publiques respectives des deux sites.

Routeur CISCO 1841 Preuve de fonctionnement du HTTPS Preuve de fonctionnement du HTTPS Routeur OPNSense (FreeBSD) Preuve de fonctionnement du HTTPS

2 Configuration Phase 2 (IPsec) - Tunnel de données

Définition du trafic "intéressant" (ACL 100 sur le Cisco et réseaux locaux/distants sur l'OPNsense avec AES-128) pour définir quels réseaux LAN doivent communiquer à travers le tunnel. Création du Transform-set (ESP-AES-SHA).

Routeur CISCO 1841 Preuve de fonctionnement du HTTPS Routeur OPNSense (FreeBSD) Preuve de fonctionnement du HTTPS

3 Gestion du Routage, Filtrage et Exclusion NAT

Création d'une route-map sur Cisco et passage en Mode Hybrid Outbound NAT sur OPNsense pour empêcher le routeur de modifier les adresses privées lors de leur passage dans le tunnel (conservation des IP sources). Application du principe du moindre privilège via des règles de firewalling (règle Pass) limitant les flux IPsec au strict nécessaire. Validation via un Ping de bout en bout.

Routeur CISCO 1841 Preuve de fonctionnement du HTTPS Routeur OPNSense (FreeBSD) Preuve de fonctionnement du HTTPS Preuve de fonctionnement du HTTPS

Bilan du Projet

Ce projet illustre l'interconnexion hybride entre du matériel réseau physique et une solution de pare-feu virtuelle. L'exclusion du NAT garantit un audit précis des connexions et le chiffrement assure la confidentialité des données transitant sur le réseau public WAN.

TopologieCisco 1841 (Marseille) ↔ OPNsense (Lille)
Flux autorisésUDP 500 (ISAKMP), UDP 4500 (NAT-T), IP 50 (ESP)
SécuritéChiffrement AES-128 et intégrité SHA-1
×