Accéder au contenu principal

Configuration d'un VPN IPsec sur Mikrotik


Introduction

En supposant que vous avez déjà une bonne connaissance concernant la technologie VPN et des termes s'y afférents, je vais simplement présenter quelques étapes de configuration du VPN sur un mikrotik.
C'est donc un coup de pouce pour ceux qui débutent sur les technologie Mikrotik.

Je me limiterai à l'utilisation des interfaces graphiques et pour la ligne de commande, je reste toujours disponible pour plus de détails.

Ce document ne s'étend pas sur des détail liés à l'utilisation d'un routeur/firewall Mikrotik. Pour plus de détails dans ce sens, je vous invite à visiter le site de Mikrotik www.mikrotik.com



Environnement requis :  Windows (pour ce tutoriel) et système Unix (non pris en charge dans ce tutoriel).




Architecture :





Tout le long de ce tutoriel, nous allons considérer que les deux sites distants sont équipés chacun d'un routeur Mikrotik. Toutefois, au cas où l'un des sites aura un autre routeur (Cisco par exemple), la configuration sur le site ayant Mikrotik restera sensiblement la même.

Les adresses utilisées ici le sont à titre indicatif. Il faut les adapter à votre contexte opérationnel.

Le site A :  
sur l'interface LAN, l'adresse sera 192.168.0.1/24
Sur l'interface publique : 10.15.15.1/24

Le site B :  
sur l'interface LAN, l'adresse sera 192.168.1.1/24
Sur l'interface publique : 10.15.15.2/24


Configurations

Nous allons utiliser winbox,  l'interface graphique pour les configurations.
Vous pouvez télécharger winbox en allant sur http://www.mikrotik.com/download.html

Vous pouvez directement l'avoir en tapant l'adresse de votre votre routeur sur votre navigateur.

Nous configurerons uniquement le premier site du LAN 1. La configuration sera simplement transposée sur le site du LAN 2 en incluant les adresses du site.


Configuration de la stratégie IPsec.

1. Une fois connecté sur le routeur, cliquer sur le menu IP puis le sous-menu IPsec.





Ensuite la fenêtre suivante s'affiche listant les différents LAN pris en compte dans le lien VPN. Cliquer sur le bouton "+" en rouge sur le coin haut de la fenêtre. Cela nous permettra d'ajouter une nouvelle stratégie IPsec.



 
La fenêtre suivante s'affiche puis renseigner les valeur.

Sur l'onglet General :

Src. Address : adresses réseau du site A.

Dst. Address : adresse réseau du site B


Sur l'onglet Action :

Sélectionner l'option Tunnel
SA Src. Address : l'adresse de l'interface LAN 1
SA Dst. Address : l'adresse de l'interface LAN2


 L'action reste à encrypt pour autoriser le cryptage de la communication.

 Nous allons laisser le Proposal à Default. C'est ici que le choix de l'algorithme d'authentification et celui de cryptage sont choisis.




Configuration du Pair (Peer) :

Aller sur l'onglet "Peer" de la fénêtre IPsec.



Cliquer sur e bouton "+" en rouge pour indiquer au routeur du site A la configuration attendue provenant du routeur distant sur le site 2.

La fénêtre suivant s'affiche: 




Address : specfier l'adresse de l'interface publique du routeur distant.
Auth Method :selectionner la methode d'authentification. Elle doit être identique sur les deux routeurs.
Secret : le mot de passe utiliser par les deux routeur durant la communication.
 Sélectionner l'option NAT Traversal au cas où votre routeur sreait dans du NAT.

L'option Generate Policy permet au routeur d'être maitre sur la génération de la stratégie lors de la négociation d'authentification et de choix d'algorithme de cryptage/decryptage.

Dès la fin de cette étape, votre routeur est configuré et il faut faire la même chose sur le routeur distant.

N.B général :

  • Vous devez faire toute cette démarche sur le routeur de l'autre site distant.
  • Vous devez vous assurer que les mots de passe utilisé sont les mêmes sur les deux sites
  • Toujours s'assurer que les mêmes hash sont utilisés sur les deux sites.

Configuration terminée :

Arrivée à cette étape vous pouvez controler graphiquement sur votre interface de configuration que les deux routeur se reconnaissent. 


L'onglet "Installed SAs" de la fenêtre IPsec permet de visualiser les pairs mis en contribution dans cette liaison. Si toutes les configurations sont bonnes, vous aurez les décomptes des paquets échanges entre les routeurs au niveau de la colonne "Current Bytes".

Vitrification de la communication au niveau logique :

En se postionnement sur l'un des routeurs, verifier que vous arrivez à faire un ping de l'autre routeur.
par exemple, se mettre sur le routeur du LAN 1. Puis faire un ping sur l'adresse privée 192.168.1.1 du LAN 2.

SI le ping réussi, alors votre VPN est correctement configuré.
Les deux site sites distants peuvent donc communiquer de manière sécurisée.



Conclusion :

La mise en oeuvre du VPN est relativement simple que ce soit en ligne de commande où à l'aide des interfaces graphiques pour le Mikrotik. La principale difficulté reside sur le niveau de comprehension qu'on a de la technologie VPN.Ceci devient indispensable surtout en cas de problème dans la configuration.

Nous nous focalisé uniquement sur du VPN Ipsec du niveau 3. Elle est plus répandu et est plus facile et rapide à mettre en œuvre.

La démarche serait autre lorsqu'il s'agit de du VPN 2 niveau ATM.cette dernière fait intervenir un opérateur intermédiaire et devient très vite difficile à maintenir. Mais elle demeure l'une des solution les plus sécurisée.











Commentaires

  1. Unknown14 juin 2019 à 04:11

    Bonjour,
    Je suis tombé sur cet publication en recherchant comment configurer l'utilisation de mon abonnement à ExpressVPN directement dans mon routeur Mikrotik hAP ac lite via une configuration manuelle avec Winbox.
    Ceci afin de pouvoir cacher la localisation géographique de mon réseau domestique wifi et utiliser mon Apple TV pour n'importe quelle appli georestreinte.
    J'ai trouvé plusieurs tutoriels en anglais mais pas assez explicite pour le novice que je suis.
    Pourriez-vous m'aider svp
    Merci
    Xavier

    RépondreSupprimer
  2. Unknown27 juin 2019 à 02:33

    C,est vraiment explicite pour les débutants merci bien

    RépondreSupprimer
  3. junky18 septembre 2019 à 22:21

    bonjour svp besoin d'aide ma version de mikrotik ne correspond pas a celle d'ecrit dans le tuto je ne mis retrouve pas. j'ai une version plus récente

    RépondreSupprimer
  4. Unknown2 avril 2020 à 18:37


    salut, je voudrais une certification en MIKROTIK quels sont vos modules? Merci.

    RépondreSupprimer

Enregistrer un commentaire

Posts les plus consultés de ce blog

Du centre d'appel à un centre de contact unifié, les enjeux ?

Longtemps considérées comme des moulins à parole, les centres d'appels suivent fortement l'évolution technologique et les besoins des clients. Les entreprises exerçant dans ce secteurs sont intermédiaire entre le clients distant et le donneur d'ordre. Cependant, nous connaissons depuis quelques années un grand boom dans l'apparition de nouveaux canaux de communication utilisés par les clients. Ainsi, pour rester compétitif et répondre efficacement au besoin des clients, les centres d'appels doivent se reformer, innover et s'adapter pour progressivement devenir des véritables centre de contacts. Particularité d'un centre d'appel Un centre d'appel axe tout son métier dans la gestion de la relation client en utilisant comme canal principal le téléphone. Cela peut être fait par l'utilisation des lignes téléphoniques classiques, des liaisons louées ou la téléphonie IP. En fonction de la taille, et de la solution envisagée, l'infrastructure p...
Enregistrer un commentaire
Lire la suite

Problème de transport "Unknow Transports" et TLS liés à la version de socket.io sur AWS

J'utilise Socket.io depuis quelques années comme serveur pour des flux bidirectionnels en temps réels. Je me croyais suffisamment dans la création des instances socket.io jusqu'à ce que je me retrouve à boucler depuis plusieurs jours pour monter un nouveau serveur sur AWS. En effet, j'ai procédé à la création d'un nouvel EC2 dédié pour l'hébergement de mon serveur socket.io. J'ai installé un disto debian, installé toutes les dépendances ainsi qu'apache2 et cerbot pour du TLS. J'ai réservé avec confiance mon IP elastic.  J'ai installé bien entendu nodejs, npm et bien sure : socketio. (début du problème). Je croyais à ce niveau que l'installation de socketio via la commande npm install socketio installerait la dernière version (la dernière version au moment de l'écriture de ce message etait la 4.7.5). C'était ma première erreur. Mais npm a plutôt installé une ancienne version, la 1.7.x. Sans me rendre compte de ce fait, j'ai tranquillem...
Enregistrer un commentaire
Lire la suite