Client VPN Cisco gratuit pour Windows et Linux

logo Shrew Soft Voici mon tutoriel pour Shrew, un Logiciel Libre qui permet la connexion à un VPN Remote Access compatible Cisco, comme on peut en faire sur les ASA 5500 Series. J’ai eu l’occasion de l’essayer avec un ASA 5520.

Ce genre de logiciel est plutôt rare, car la technologie Cisco requiers habituellement le client VPN développé par la même entreprise, vendu près de 250$. Shrew est disponible gratuitement, ce qui est loin d’être négligeable !


Shrew est intuitif, il est même plus agréable que le logiciel original et permet une configuration « pas à pas ». Alors avant de vous noyer dans ses nombreux paramètres, assurez vous d’avoir toutes les cartes en main :
- votre nom de groupe
- votre Pre Shared Key
- votre login
- votre mot de passe
- l’IP à contacter
- le type de chiffrement utilisé.

Pour ce tutoriel, j’ai utilisé un accès VPN IPSec utilisant IKE :

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec df-bit clear-df inside
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map dynamic-map 60000 ipsec-isakmp dynamic outside_dyn_map
crypto map dynamic-map interface outside
crypto isakmp enable outside
crypto isakmp policy 10

Téléchargement du logiciel client Shrew pour Windows :

Cliquer sur http://www.shrew.net/download/vpn#download.
Dans la colonne « Download », cliquer sur le premier lien en haut, puis enregistrer le fichier sur le bureau.

Le logiciel fonctionne pour Windows XP, Vista et Seven nativement.

Note de version :

Shrew est un logiciel libre et gratuit. Il est également disponible pour la plateforme Linux à cette adresse : http://www.shrew.net/download/ike#download et dans la Logithèque Ubuntu.

Installation du client VPN Shrew sous Windows :

Lancer l’exécutable et suivre les instructions : le logiciel se lance normalement, sans utiliser le mode de compatibilité pour Windows Vista ou Windows Seven.

Configuration du client :

Cliquer sur File puis Preferences. Changer la valeur de Windows Style sur : Visible in System Tray only.

Shrew Soft VPN Access Manager Shrew Soft User Preferences

Configuration d’une nouvelle connexion :

Cliquer sur Add et dans l’onglet General renseigner le champ Host Name or IP Adress. Laisser les autres options par défaut.

Shrew Soft VPN Access Manager Shrew Soft VPN Site Configuration

Cliquer ensuite sur l’onglet Authentication, cliquer sur la liste déroulante en face de Authentication Method et choisir Mutual PSK + Xauth.

Shrew Soft VPN Site Configuration

L’onglet Authentication contient trois onglets. Dans le premier, Local Identity, sélectionner Key Identifier :

Shrew Soft VPN Site Configuration

Entrer dans le champ Key ID String le nom de votre groupe.

Shrew Soft VPN Site Configuration

Cliquer ensuite sur l’onglet Remote Identity. Sélectionner Any dans la liste déroulante :

Shrew Soft VPN Site Configuration

Passer enfin au dernier onglet Credentials. Renseigner le champ Pre Shared Key avec la clé de votre groupe, en respectant bien les majuscules :

Shrew Soft VPN Site Configuration

Édition : J’ai déniché un bug dans la version Linux de Shrew. Après avoir effectué tout ce qui est expliqué avant, aller dans l’onglet Phase 1 et modifier la valeur de DH Exchange sur group 2.

Cliquer sur SAVE pour terminer la configuration du logiciel.

Connexion au VPN :

Dans la fenêtre principale de Shrew, cliquer sur Connect, rentrer votre identifiant et votre mot de passe puis valider.

Shrew Soft VPN Access Manager Shrew Soft VPN Connect Shrew Soft VPN Connect to

Connexion au VPN sous MAC OSX :

Il n’existe aucune solution pour les versions de Mac OSX 10.5 et inférieure. La seule solution est de passer par la machine virtuelle de Windows XP.

Pour Mac OSX 10.6 et supérieure, la connexion se fait directement dans le gestionnaire des connexions réseaux.

Rédigé le 30 août 2010 dans "Entre-aide"
  1. TimCruz écrit le 30 août 2010 à 9 h 39 min#

    Très bon article! En effet, le problème avec les VPN Cisco/Netasq/etc. c’est le tarif du client VPN!

  2. Vincent écrit le 30 août 2010 à 9 h 45 min#

    Clairement ! Alors quand la rétro ingénierie permet de le faire gratuitement en général je ne fait pas le difficile, mais en plus de ca le logiciel est carrément meilleur que le client vendu par Cisco !

    J’ai réalisé cette documentation pour l’entreprise où je travaille. Dans la mesure où il s’agit exactement du même logiciel pour Linux, les captures sont également valables.

    La version Linux semble d’ailleurs utiliser Wine, au moins en partie car l’interface graphique du logiciel ressemble fort à Windows 2000. Le logiciel fonctionne cependant très bien.

  3. freem écrit le 22 avril 2011 à 11 h 02 min#

    Bonjour et merci pour ce tutoriel.

    Malheureusement depuis quelques jours et après une mise à jour Windows 7 Pro (64), Shrew ne fonctionne plus. Il semblerait que les requètes soient bloquées par Windows (aucune négociation dans le log du firewall VPN). La même configuration sur un Vista fonctionne correctement.

    Avez-vous eu un tel problème? SI oui avez-vous trouvé une solution?

    Merci.

  4. Vincent écrit le 22 avril 2011 à 12 h 10 min#

    Quelle poisse :( Honnêtement pas la moindre idée, mon tuto est avant tout destiné pour les Windows XP. Moi je travaille sous Linux, donc jamais eu l’occasion de vérifier ce que cela donne sous Windows 7, mais mon maitre de stage n’avait pas de problème et il avait bien un W7. Avez vous une autre machine sous cet OS pour tester éventuellement ? Ou une machine virtuelle ?

  5. chaudgard écrit le 24 mai 2011 à 14 h 55 min#

    Bonjour
    comment faire pour avoir le login et le mot de passe?

  6. Vincent écrit le 25 mai 2011 à 15 h 45 min#

    De quoi ?

  7. AlexxXLeDindon écrit le 12 octobre 2011 à 15 h 23 min#

    Bonjour !!

    Super tutoriel, clair et précis, qui va a l’essentiel quoi !!

    J’en profite pour vous exposer mon souci : dans ma boite on a des personnes qui se connectent à un VPN sur PIX506E (via client vpn cisco sur XP 32bits)

    Là suis en train de trouver n’importe quel logiciel, meme sous XP 32bits, qui fonctionnerait mais c’est pas gagné…
    Voici comment est configuré le client cisco :

    [main]
    UserPassword=
    enc_UserPassword=
    Description=
    Host=X.X.X.X
    AuthType=1
    GroupName=test
    GroupPwd=
    enc_GroupPwd=****************************************************
    EnableISPConnect=0
    ISPConnectType=0
    ISPConnect=WANADOO
    ISPPhonebook=C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk
    ISPCommand=
    Username=
    SaveUserPassword=0
    NTDomain=
    EnableBackup=0
    BackupServer=
    EnableMSLogon=1
    MSLogonType=0
    EnableNat=1
    TunnelingMode=0
    TcpTunnelingPort=10000
    CertStore=0
    CertName=
    CertPath=
    CertSubjectName=
    CertSerialHash=00000000000000000000000000000000
    SendCertChain=0
    PeerTimeout=90
    EnableLocalLAN=0

    Normalement, quand on config un poste pour utiliser le vpn, on parametre juste un « groupe », et un mot de passe, c’est TOUT… or dans le tutoriel lorsqu’on essaye de se connecter il affiche une fenetre login et mot de passe

    Si jamais vous avez une idée, je suis preneur, merci ;)

  8. Vincent écrit le 12 octobre 2011 à 16 h 01 min#

    Bonjour,

    Vous devriez tenter de changer de méthode d’authentification, ou le type d’identification que vous avez configuré sur votre équipement Cisco.

    Je dois reconnaître que je m’y perds un peu dans le trifouilli d’options de Shrew, mais il arrive toujours un moment où ca marche. Tenez moi informé si vous rencontrez toujours des difficultés ;)

  9. lemax écrit le 20 décembre 2012 à 14 h 27 min#

    bonjour en fait moi je veux faire un vpn dans ma boite mais je ne veux pas que mon chef dépense et dans votre tuto vous parlez juste du client vpn avec shrew et pour le serveur vpn avec shrew comment ça se passe vous pouvez me laissez des mails dans ma boite ci dessus ça ne me dérange pas et c’est vraiment urgent et nous sommes dans un environnement w7 merci

  10. Vincent écrit le 20 décembre 2012 à 16 h 07 min#

    Bonjour,

    Cet article parle surtout d’un moyen d’accèder à un VPN qui serait créé par un équipement Cisco, car ce dernier prévoit en effet de faire payer chaque client du VPN.

    Si vous souhaitez mettre en place un VPN gratuit et fiable, tournez vous vers le serveur OpenVPN :)

  11. MICHEL écrit le 1 janvier 2013 à 23 h 59 min#

    Bonjour,
    essai de connexion sur cisco 877 install schew sous windows xp
    apres avoir entre les differents parametres , lors de la tentative de connexion
    le vpn ne monte pas, et affichage network undefined dans la fenetre de dialogue
    si idees je suis preneur
    merci par avance