🔐

VPN IPSec Site à Site

Procédure complète et chronologique · Tunnel chiffré · IKE Phase 1 & 2 · ESP AES-256 · Cisco 1841

📚 Matière

Cyber-Sécurité

📅 Date

12 janvier 2026

☑️ État

✓ Terminé

🔧 Équipements

Cisco 1841 x3Wireshark

🌐 Sites

Site A — 192.168.1.0/24Site B — 192.168.3.0/24

🎯

Objectif : mettre en place un VPN IPSec Site à Site entre deux réseaux distants. Observer les phases IKE Phase 1 et Phase 2 et visualiser avec Wireshark le passage d'un trafic en clair à un trafic chiffré ESP.

📋 Table des matières

§1Théorie — VPN IPSec, IKE Phase 1 & 2 §2Plan d'adressage §3Configuration du routeur R1 (Site A) §4Configuration du routeur R2 (transit Internet) §5Configuration du routeur R3 (Site B) §6Configuration des hôtes (PC et Serveur Web) §7Tests pré-VPN — Vérifier la connectivité en clair §8Port Mirroring (SPAN) sur SW1 §9Configuration VPN IPSec sur R1 §10Configuration VPN IPSec sur R3 §11Vérifications et tests du tunnel §12Observation Wireshark ✅Récapitulatif

🔵 Théorie — VPN IPSec, IKE Phase 1 & 2

Principe · Protocoles · Négociation

VPN IPSecPrincipe et phases de négociation

Un VPN Site à Site crée un tunnel chiffré entre deux routeurs. Les hôtes communiquent avec l'IP locale du site distant comme s'ils étaient sur le même LAN. Seuls R1 et R3 participent au chiffrement — R2 (Internet) ne voit que des paquets ESP chiffrés.

🔑 IKE Phase 1 — Main Mode

Établit une relation de confiance entre R1 et R3

Chiffrement : AES-256

Intégrité : MD5

Échange de clés : DH Groupe 2

Auth : clé pré-partagée (PSK)

Durée : 21600 s (6h)

Résultat : SA ISAKMP (état QM_IDLE)

🔒 IKE Phase 2 — Quick Mode

Définit le chiffrement réel du trafic

Protocole : ESP

Chiffrement : AES-256

Intégrité : SHA-HMAC

Mode : Tunnel (encapsule tout le paquet IP)

Résultat : SA IPSec — trafic chiffré

⚠️

Clé pré-partagée : la clé (flute) doit être strictement identique sur R1 et R3 — sensible à la casse. Une seule différence empêche l'établissement de la Phase 1.

🟢 Plan d'adressage

Site A · Site B · Réseaux de transit /30

AdressageTableau complet des adresses IP

Équipement	Interface	Adresse IP	Masque	Rôle
PC (Site A)	NIC	192.168.1.1	/24	Client — GW : 192.168.1.254
R1	Gi0/1 (LAN)	192.168.1.254	/24	Passerelle Site A
R1	Gi0/0 (WAN)	10.1.1.1	/30	Lien vers R2 · Crypto map ici
R2	Fa0/0	10.1.1.2	/30	Lien vers R1
R2	Fa0/1	10.2.2.2	/30	Lien vers R3
R3	Gi0/1 (WAN)	10.2.2.1	/30	Lien vers R2 · Crypto map ici
R3	Gi0/0 (LAN)	192.168.3.254	/24	Passerelle Site B
Serveur Web	NIC	192.168.3.1	/24	Cible — GW : 192.168.3.254
PC Wireshark	NIC	192.168.3.2	/24	Analyse — GW : 192.168.3.254

ℹ️

Les réseaux de transit 10.1.1.0/30 et 10.2.2.0/30 utilisent un masque /30 — seulement 2 adresses hôtes utiles entre 2 routeurs.

🔵 Configuration du routeur R1 — Site A

Hostname · Interfaces · RIPv2

R1Interfaces et routage RIPv2

Cisco IOS — R1

conf t
hostname R1

! Interface LAN — côté réseau client Site A
interface GigabitEthernet0/1
  ip address 192.168.1.254 255.255.255.0
  no shutdown
exit

! Interface WAN — lien vers R2 (la crypto map VPN sera ici)
interface GigabitEthernet0/0
  ip address 10.1.1.1 255.255.255.252
  no shutdown
exit

! Routage RIPv2
router rip
  version 2
  network 10.0.0.0
  network 192.168.1.0
  no auto-summary
exit

end
write memory

GigabitEthernet0/0 (WAN)Interface tournée vers Internet — la crypto map VPN sera appliquée sur cette interface uniquement.
no auto-summaryDésactive la summarisation — indispensable pour que les réseaux /24 et /30 soient annoncés correctement via RIP.

➡️ R1 est opérationnel — il route entre 192.168.1.0/24 et 10.1.1.0/30.

⚪ Configuration du routeur R2 — Transit (Internet simulé)

Ne chiffre pas · Assure le transit uniquement

R2Interfaces et routage RIPv2

R2 simule Internet. Il ne participe pas au chiffrement — il assure uniquement le transit. Une fois le VPN actif, R2 ne verra que des paquets ESP chiffrés.

Cisco IOS — R2

conf t
hostname R2

interface fa0/0
  ip address 10.1.1.2 255.255.255.252
  no shutdown
exit

interface fa0/1
  ip address 10.2.2.2 255.255.255.252
  no shutdown
exit

router rip
  version 2
  network 10.1.1.0
  network 10.2.2.0
  no auto-summary
exit

end
write memory

➡️ R2 assure le transit — il ne connaît pas les réseaux 192.168.x.x des sites.

🟠 Configuration du routeur R3 — Site B

Hostname · Interfaces · RIPv2 · passive-interface

R3Interfaces et routage RIPv2

Cisco IOS — R3

conf t
hostname R3

! Interface LAN — côté réseau serveur Site B
interface GigabitEthernet0/0
  ip address 192.168.3.254 255.255.255.0
  no shutdown
exit

! Interface WAN — lien vers R2 (la crypto map VPN sera ici)
interface GigabitEthernet0/1
  ip address 10.2.2.1 255.255.255.252
  no shutdown
exit

router rip
  version 2
  network 10.0.0.0
  network 192.168.3.0
  passive-interface GigabitEthernet0/0
  no auto-summary
exit

end
write memory

passive-interface Gi0/0Empêche R3 d'envoyer des annonces RIP vers le réseau serveur — les serveurs n'ont pas besoin de recevoir des mises à jour de routage.

➡️ R3 est opérationnel — second point d'extrémité du tunnel VPN.

🟢 Configuration des hôtes

PC Site A · Serveur Web · PC Wireshark

HôtesAdresses IP et passerelles

Machine	Adresse IP	Masque	Passerelle
PC (Site A)	192.168.1.1	255.255.255.0	192.168.1.254 (R1)
Serveur Web (Site B)	192.168.3.1	255.255.255.0	192.168.3.254 (R3)
PC Wireshark	192.168.3.2	255.255.255.0	192.168.3.254 (R3)

➡️ Les hôtes sont configurés avec les bonnes passerelles.

🟢 Tests pré-VPN — Vérifier la connectivité en clair

Ping · Valider adressage et routage avant VPN

Test 1Valider la connectivité complète AVANT d'activer le VPN

Ces tests sont obligatoires — si le routage ne fonctionne pas en clair, le tunnel ne s'établira pas non plus.

Windows / Cisco IOS — Tests de connectivité

! Depuis le PC (192.168.1.1) :
ping 192.168.1.254   ! PC → R1 (passerelle)
ping 10.1.1.2        ! PC → R2 (WAN)
ping 10.2.2.1        ! PC → R3 (WAN)
ping 192.168.3.1   ! PC → Serveur Web

! Depuis R1 :
ping 10.1.1.2    ! R1 → R2
ping 10.2.2.1    ! R1 → R3

! Résultat attendu (tous les pings) :
Reply from 192.168.3.1: bytes=32 time<1ms TTL=125

🧪Test 1 : Tous les pings doivent répondre. Si un ping échoue, corriger l'adressage ou le routage RIPv2 avant de continuer.

👁️

À ce stade, Wireshark montre le trafic en clair (ICMP lisible, IPs sources/destinations visibles). Après VPN, seul ESP sera visible.

➡️ Adressage et routage validés — on peut passer à la configuration du VPN.

🟣 Port Mirroring (SPAN) sur SW1

Observer les échanges IPSec · Wireshark

SPANConfigurer le port mirroring sur SW1

Cisco IOS — SW1

conf t

! Source : port connecté vers R1
monitor session 1 source interface g0/23

! Destination : port connecté au PC Wireshark
monitor session 1 destination interface g0/1

end

monitor session 1 sourcePort dont le trafic sera copié — ici le port relié à R1.
monitor session 1 destinationPort vers lequel la copie est envoyée — ici le PC Wireshark (en lecture seule).

➡️ Le trafic entre R1 et R2 est copié vers Wireshark — IKE et ESP seront observables.

🟣 Configuration VPN IPSec sur R1 — Site A

Phase 1 IKE · Clé partagée · Phase 2 · ACL · Crypto Map

🔑

La configuration VPN se fait en 4 étapes dans l'ordre : Phase 1 (ISAKMP) → Clé partagée → Phase 2 (transform-set + ACL) → Crypto Map → Application sur l'interface WAN.

Phase 1IKE / ISAKMP — Politique de sécurité (Main Mode)

Cisco IOS — R1 · Phase 1 ISAKMP

conf t

crypto isakmp policy 10
  authentication pre-share
  encr aes 256
  hash md5
  group 2
  lifetime 21600
exit

! Clé pré-partagée — DOIT être identique sur R3 !
! "flute" = clé · 10.2.2.1 = IP WAN de R3 (le peer)
crypto isakmp key flute address 10.2.2.1

authentication pre-shareAuthentification par clé pré-partagée (PSK).
encr aes 256Chiffrement AES 256 bits pour le canal ISAKMP.
group 2Diffie-Hellman 1024 bits — échange de clés sans transmettre le secret sur le réseau.
crypto isakmp key fluteClé flute associée à l'IP WAN du peer R3 (10.2.2.1).

Phase 2IPSec — Transform-set, ACL et Crypto Map (Quick Mode)

Cisco IOS — R1 · Phase 2 IPSec complète

! 1. Transform-set
crypto ipsec transform-set TS_VPN ah-sha-hmac esp-aes 256
  mode tunnel
exit

! 2. ACL : trafic à chiffrer (Site A → Site B)
ip access-list extended VPN
  10 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
exit

! 3. Crypto map
crypto map MAP_VPN 1 ipsec-isakmp
  set peer 10.2.2.1
  set transform-set TS_VPN
  match address VPN
exit

! 4. Appliquer sur l'interface WAN (Gi0/0)
interface GigabitEthernet0/0
  crypto map MAP_VPN
exit

end
write memory

ah-sha-hmacAH avec SHA — assure l'intégrité et l'authenticité des paquets.
esp-aes 256ESP avec AES-256 — assure le chiffrement du contenu.
mode tunnelEncapsule le paquet IP entier (en-tête + données) — adapté aux VPN Site à Site.
permit ip .1.0 → .3.0Trafic "intéressant" — seul le trafic entre les deux LAN sera chiffré.
crypto map sur Gi0/0S'applique sur l'interface WAN uniquement — jamais sur le LAN.

➡️ R1 est entièrement configuré pour le VPN — en attente de R3.

🟠 Configuration VPN IPSec sur R3 — Site B

Configuration symétrique à R1 · Peer et ACL inversés

R3VPN complet sur R3 — 2 différences vs R1

Paramètre	R1 (Site A)	R3 (Site B)
Clé → peer	`key flute address 10.2.2.1`	`key flute address 10.1.1.1`
ACL source	192.168.1.0/24	192.168.3.0/24
ACL destination	192.168.3.0/24	192.168.1.0/24
set peer	10.2.2.1 (WAN R3)	10.1.1.1 (WAN R1)
Crypto map sur	Gi0/0	Gi0/1

Cisco IOS — R3 · VPN complet

conf t

! Phase 1 ISAKMP (identique à R1)
crypto isakmp policy 10
  authentication pre-share
  encr aes 256
  hash md5
  group 2
  lifetime 21600
exit

! Clé → peer = IP WAN de R1 (inversé)
crypto isakmp key flute address 10.1.1.1

! Transform-set (identique à R1)
crypto ipsec transform-set TS_VPN ah-sha-hmac esp-aes 256
  mode tunnel
exit

! ACL : source et destination INVERSÉES
ip access-list extended VPN
  10 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
exit

! Crypto map → peer = IP WAN de R1
crypto map MAP_VPN 1 ipsec-isakmp
  set peer 10.1.1.1
  set transform-set TS_VPN
  match address VPN
exit

! Appliquer sur WAN de R3 (Gi0/1 et non Gi0/0 !)
interface GigabitEthernet0/1
  crypto map MAP_VPN
exit

end
write memory

➡️ R3 est configuré — le tunnel s'établit dès que du trafic intéressant transite.

🟢 Vérifications et tests du tunnel VPN

Déclencher le tunnel · show crypto · États ACTIVE

Test 2Déclencher le tunnel et vérifier son état

Windows — PC Site A (déclencher le tunnel)

! Ping vers le Serveur Web — déclenche Phase 1 puis Phase 2
ping 192.168.3.1

Reply from 192.168.3.1: bytes=32 time=2ms TTL=125

Cisco IOS — R1 · Vérifier Phase 1

show crypto isakmp sa detail

! État QM_IDLE = Phase 1 établie :
dst         src         state     conn-id  status
10.2.2.1    10.1.1.1    QM_IDLE   1001     ACTIVE

Cisco IOS — R1 · Vérifier Phase 2

show crypto ipsec sa

interface: GigabitEthernet0/0
  Crypto map tag: MAP_VPN, local addr: 10.1.1.1
  local  ident: (192.168.1.0/255.255.255.0/0/0)
  remote ident: (192.168.3.0/255.255.255.0/0/0)
  current_peer: 10.2.2.1

  #pkts encaps: 10, #pkts encrypt: 10, #pkts digest: 10
  #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10

QM_IDLE / ACTIVEPhase 1 établie — SA ISAKMP opérationnelle entre R1 et R3.
#pkts encaps / encryptNombre de paquets chiffrés envoyés — doit augmenter à chaque ping.
#pkts decaps / decryptNombre de paquets déchiffrés reçus — confirme le chiffrement dans les deux sens.

🧪Test 2 : Relancer plusieurs pings → vérifier que #pkts encrypt augmente. Si les compteurs n'augmentent pas, le tunnel n'est pas actif — vérifier la clé PSK et les ACL.

✅

Si #pkts encrypt augmente à chaque ping, le tunnel est pleinement opérationnel et les données sont chiffrées avant de traverser R2.

🟣 Observation Wireshark du tunnel VPN

IKE Phase 1 · Phase 2 · Trafic chiffré ESP

WiresharkCe qu'on observe dans les captures

Phase	Protocole Wireshark	Ce qu'on voit
Phase 1 — IKE	`ISAKMP`	6 messages Main Mode — négociation des paramètres
Phase 2 — IPSec	`ISAKMP`	3 messages Quick Mode — SA IPSec
Trafic chiffré	`ESP`	Paquets opaques — données applicatives invisibles
AVANT VPN	`ICMP / HTTP`	Trafic en clair — IPs hôtes et contenu visibles

Wireshark — Filtres utiles

-- Observer les échanges IKE
isakmp

-- Observer le trafic ESP chiffré
esp

-- Tout le trafic IPSec
isakmp || esp || ah

-- Filtrer sur les deux routeurs VPN
ip.addr == 10.1.1.1 && ip.addr == 10.2.2.1

🔬

Résultat attendu :
— AVANT VPN : paquets ICMP avec IPs 192.168.1.1 et 192.168.3.1 en clair
— APRÈS VPN : seul ESP entre 10.1.1.1 et 10.2.2.1 — IPs des hôtes et données invisibles

➡️ Le trafic entre le PC du Site A et le Serveur Web du Site B est désormais chiffré et protégé.

✅

Récapitulatif — Toutes les étapes et tests

BTS SIO SISR — Cyber-Sécurité · VPN IPSec

§	Action	Test / Vérification
1	Théorie IKE Phase 1 & 2	Comprendre les paramètres avant de les saisir
2	Plan d'adressage	Tableau de référence pour toute la procédure
3	Config R1 : hostname + interfaces + RIPv2	`show ip route` → routes RIP apprises
4	Config R2 : hostname + interfaces + RIPv2 (transit)	`show ip route` → routes 10.x.x.x présentes
5	Config R3 : hostname + interfaces + RIPv2 + passive-interface	`show ip route` → routes RIP apprises
6	Config hôtes : PC (.1.1), Serveur Web (.3.1), Wireshark (.3.2)	IPs et passerelles configurées
7	—	🧪 Test 1 : ping PC → Serveur Web → Reply from 192.168.3.1
8	SPAN SW1 : source g0/23 → destination g0/1	Wireshark capture le trafic
9	VPN R1 : ISAKMP + clé + transform-set + ACL + crypto map + Gi0/0	Configuration sans erreur
10	VPN R3 : idem R1 avec peer 10.1.1.1 + ACL inversée + Gi0/1	Configuration sans erreur
11	—	🧪 Test 2 : ping → `show crypto isakmp sa` → ACTIVE · #pkts encrypt augmente
12	—	🧪 Test 3 : Wireshark → ISAKMP visible puis ESP uniquement

🔑

Points clés à retenir :
— Clé PSK identique sur R1 et R3 — sensible à la casse
— ACL inversée sur R3 (source et destination échangées)
— Crypto map sur WAN uniquement — jamais sur le LAN
— QM_IDLE / ACTIVE = Phase 1 opérationnelle
— #pkts encrypt augmente = tunnel actif et chiffrement effectif
— ESP dans Wireshark = données chiffrées et invisibles

BTS SIO SISR — Cyber-Sécurité · VPN IPSec Site à Site · Cisco 1841 · 12 janvier 2026