Jan 14

Configuration du logiciel Shrew

Logiciel de connexion VPN, il est relativement facile à configurer. Il permet notamment la création de tunnels IPsec, ce qui n’est pas possible nativement avec Windows (uniquement L2TP/IPsec).

Il est téléchargeable gratuitement sur le site officiel.

 

Projet :

 

Client_1 et Client_2 doivent être configurés pour permettre un tunnel IPsec vers le routeur MicroTik. De plus, tout le trafic à destination du LAN 192.168.0.0/24 doit être chiffré alors que le reste doit emprunter la passerelle par défaut. L’authentification client/serveur est réalisée à l’aide de certificats. Nos clients recevront une @ IP du VPN pool.

Pour toutes questions relatives à la création de certificats sur le routeur MicroTik, merci de consulter cet article. Pour consulter l’article relatif à la configuration de routeur proprement dite, c’est ici que ça se passe.

 

Configuration de Shrew

 

Je ne m’éternise pas sur l’installation du soft car il n’ y a rien de bien sorcier.

Dans le cas ne notre configuration, le logiciel doit être exécuté en tant qu’administrateur. Attention, c’est un point essentiel au bon déroulement de la configuration car en effet, le logiciel va devoir créer une connexion réseau ce qui n’est pas possible en simple mode utilisateur.

Nous commençons donc par créer une nouvelle connexion et commençons par configurer le premier onglet.

La partie Remote Host doit être renseignée avec une @ IP ou un  nom de domaine (via DDNS)

On spécifie Adaptator Mode à créer une interface virtuelle (d’où exécution en mode administrateur). J’ai lu dans certains articles qu’il est possible d’utiliser une interface existante. Dans ce cas, plus de besoin de configurer DHCP sur le routeur. Après quelques tests, j’ai pu remarquer que cette configuration est moins stable mais je ne saurais pas expliquer pourquoi.

En fonction du cas de figure nous pouvons utiliser NAT-T (client1) ou non (client2)

Pour le paramètre IKE Fragmentation disons que vous êtes seuls juges. En effet, il s’agit ici de découper de gros paquets en plus petits. Il s’avère cependant que des risques existent, comme chez CISCO.

Les autres options peuvent rester par défaut, notamment DPD.

 

Configurons maintenant l’onglet authentification :

Nous spécifions la méthode à utiliser, ici des certificats. Les paramètres Local Identity et Remote Identity sont configurés de la même manière. Pour plus de renseignements sur le sujet, merci d’aller voir ici.

 

Nous spécifions  les certificats à utiliser :

Nous avons donc la clef publique du CA (pour vérifier la validité du certificat envoyé par le routeur)

Les clefs privées/publiques du client qui ont été au préalable signées par le CA.

 

Nous spécifions les protocoles à utiliser pour les phase 1 et 2 ISAKMP :

Ceci doit être bien entendu configuré de la même manière que les Proposals du routeur.

 

Nous terminons par la partie « routage » du soft :

Nous recevons tous les éléments de configuration du routeur. Pour rappel, nous configurons un split dans Mode conf sur le routeur.

La configuration est terminée. Je conseil de vérifier si tous les paramètres ont été pris en compte (ce n’est pas tout le temps le cas). De même si vous changez des paramètres, relancer complètement le soft pour être certain que les changements ont été appliqués.

 

Il ne reste plus qu’à se connecter. Pour essayer, il est facile de demander à son voisin s’il est possible de se connecter sur sa BOX en WIFI …. .

On obtient une @ IP du Poll du routeur, la 192.168.10.254

On peut pinguer le Rasp 192.168.0.15 situé dans le LAN distant

Vous pouvez me croire sur paroles, je peux toujours surfer sur le NET, le spilt est bien fonctionnel.

 

Remarques :

Il est facile de configurer une clef partagée pour l’authentification. En effet, c’est le seul paramètre à modifier

Il n’est pas fait usage de la résolution de noms (DNS et WINS). Pour l’instant, WINS n’est pas fonctionnel sur ma plateforme, mes répertoires partagés via SMB n’étant pas accessibles via le tunnel chiffré.

 

Que faire en case de problème ?

Shrew propose dans des outils de Debug puissants : VPN Trace Utility.

N’hésitez pas à les utiliser car les quelques lignes affichées par la fenêtre de connexion ne vous aideront pas beaucoup.

 

Bon clic à tous,

 

Lien Permanent pour cet article : http://rsocisco.fr/configuration-du-logiciel-shrew/

(2 commentaires)

    • Edouard ERNOULD on 4 avril 2017 at 16 h 30 min
    • Répondre

    Bonjour,
    je viens de voir cette phrase :
    « mes répertoires partagés via SMB n’étant pas accessibles via le tunnel chiffré »

    C’est une impossibilité, un réglage non terminé ou un choix. J’en suis au même point, ping OK dans les deux sens, navigation OK des deux côtés mais pas de possibilité de se connecter sur un dossier partagé sur mon réseau 192.168.1.xxx

    Je cherche 😀

    Bonne journée.
    Cordialement

    1. Bonjour,

      Mon matos est en carton en ce moment mais je pense que vous pouvez essayer cela :
      https://support.microsoft.com/en-gb/help/204279/direct-hosting-of-smb-over-tcp-ip

      On force alors SMB sur TCP et donc plus de broadcasts qui ne passent pas à travers le VPN.

      Cordialement,

Laisser un commentaire

Your email address will not be published.