Voici mon tutoriel pour Shrew, un Logiciel Libre qui permet la connexion à un VPN Remote Access compatible Cisco, comme on peut en faire sur les ASA 5500 Series. J’ai eu l’occasion de l’essayer avec un ASA 5520.
Ce genre de logiciel est plutôt rare, car la technologie Cisco requiers habituellement le client VPN développé par la même entreprise, vendu près de 250$. Shrew est disponible gratuitement, ce qui est loin d’être négligeable !
Shrew est intuitif, il est même plus agréable que le logiciel original et permet une configuration « pas à pas ». Alors avant de vous noyer dans ses nombreux paramètres, assurez vous d’avoir toutes les cartes en main :
– votre nom de groupe
– votre Pre Shared Key
– votre login
– votre mot de passe
– l’IP à contacter
– le type de chiffrement utilisé.
Pour ce tutoriel, j’ai utilisé un accès VPN IPSec utilisant IKE :
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec df-bit clear-df inside
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map dynamic-map 60000 ipsec-isakmp dynamic outside_dyn_map
crypto map dynamic-map interface outside
crypto isakmp enable outside
crypto isakmp policy 10
Téléchargement du logiciel client Shrew pour Windows :
Cliquer sur http://www.shrew.net/download/vpn#download.
Dans la colonne « Download », cliquer sur le premier lien en haut, puis enregistrer le fichier sur le bureau.
Le logiciel fonctionne pour Windows XP, Vista et Seven nativement.
Note de version :
Shrew est un logiciel libre et gratuit. Il est également disponible pour la plateforme Linux à cette adresse : http://www.shrew.net/download/ike#download et dans la Logithèque Ubuntu.
Installation du client VPN Shrew sous Windows :
Lancer l’exécutable et suivre les instructions : le logiciel se lance normalement, sans utiliser le mode de compatibilité pour Windows Vista ou Windows Seven.
Configuration du client :
Cliquer sur File puis Preferences. Changer la valeur de Windows Style sur : Visible in System Tray only.
Configuration d’une nouvelle connexion :
Cliquer sur Add et dans l’onglet General renseigner le champ Host Name or IP Adress. Laisser les autres options par défaut.
Cliquer ensuite sur l’onglet Authentication, cliquer sur la liste déroulante en face de Authentication Method et choisir Mutual PSK + Xauth.
L’onglet Authentication contient trois onglets. Dans le premier, Local Identity, sélectionner Key Identifier :
Entrer dans le champ Key ID String le nom de votre groupe.
Cliquer ensuite sur l’onglet Remote Identity. Sélectionner Any dans la liste déroulante :
Passer enfin au dernier onglet Credentials. Renseigner le champ Pre Shared Key avec la clé de votre groupe, en respectant bien les majuscules :
Édition : J’ai déniché un bug dans la version Linux de Shrew. Après avoir effectué tout ce qui est expliqué avant, aller dans l’onglet Phase 1 et modifier la valeur de DH Exchange sur group 2.
Cliquer sur SAVE pour terminer la configuration du logiciel.
Connexion au VPN :
Dans la fenêtre principale de Shrew, cliquer sur Connect, rentrer votre identifiant et votre mot de passe puis valider.
Connexion au VPN sous MAC OSX :
Il n’existe aucune solution pour les versions de Mac OSX 10.5 et inférieure. La seule solution est de passer par la machine virtuelle de Windows XP.
Pour Mac OSX 10.6 et supérieure, la connexion se fait directement dans le gestionnaire des connexions réseaux.
Très bon article! En effet, le problème avec les VPN Cisco/Netasq/etc. c’est le tarif du client VPN!
Clairement ! Alors quand la rétro ingénierie permet de le faire gratuitement en général je ne fait pas le difficile, mais en plus de ca le logiciel est carrément meilleur que le client vendu par Cisco !
J’ai réalisé cette documentation pour l’entreprise où je travaille. Dans la mesure où il s’agit exactement du même logiciel pour Linux, les captures sont également valables.
La version Linux semble d’ailleurs utiliser Wine, au moins en partie car l’interface graphique du logiciel ressemble fort à Windows 2000. Le logiciel fonctionne cependant très bien.
Bonjour et merci pour ce tutoriel.
Malheureusement depuis quelques jours et après une mise à jour Windows 7 Pro (64), Shrew ne fonctionne plus. Il semblerait que les requètes soient bloquées par Windows (aucune négociation dans le log du firewall VPN). La même configuration sur un Vista fonctionne correctement.
Avez-vous eu un tel problème? SI oui avez-vous trouvé une solution?
Merci.
Quelle poisse 🙁 Honnêtement pas la moindre idée, mon tuto est avant tout destiné pour les Windows XP. Moi je travaille sous Linux, donc jamais eu l’occasion de vérifier ce que cela donne sous Windows 7, mais mon maitre de stage n’avait pas de problème et il avait bien un W7. Avez vous une autre machine sous cet OS pour tester éventuellement ? Ou une machine virtuelle ?
Bonjour
comment faire pour avoir le login et le mot de passe?
De quoi ?
Bonjour !!
Super tutoriel, clair et précis, qui va a l’essentiel quoi !!
J’en profite pour vous exposer mon souci : dans ma boite on a des personnes qui se connectent à un VPN sur PIX506E (via client vpn cisco sur XP 32bits)
Là suis en train de trouver n’importe quel logiciel, meme sous XP 32bits, qui fonctionnerait mais c’est pas gagné…
Voici comment est configuré le client cisco :
[main]
UserPassword=
enc_UserPassword=
Description=
Host=X.X.X.X
AuthType=1
GroupName=test
GroupPwd=
enc_GroupPwd=****************************************************
EnableISPConnect=0
ISPConnectType=0
ISPConnect=WANADOO
ISPPhonebook=C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk
ISPCommand=
Username=
SaveUserPassword=0
NTDomain=
EnableBackup=0
BackupServer=
EnableMSLogon=1
MSLogonType=0
EnableNat=1
TunnelingMode=0
TcpTunnelingPort=10000
CertStore=0
CertName=
CertPath=
CertSubjectName=
CertSerialHash=00000000000000000000000000000000
SendCertChain=0
PeerTimeout=90
EnableLocalLAN=0
Normalement, quand on config un poste pour utiliser le vpn, on parametre juste un « groupe », et un mot de passe, c’est TOUT… or dans le tutoriel lorsqu’on essaye de se connecter il affiche une fenetre login et mot de passe
Si jamais vous avez une idée, je suis preneur, merci 😉
Bonjour,
Vous devriez tenter de changer de méthode d’authentification, ou le type d’identification que vous avez configuré sur votre équipement Cisco.
Je dois reconnaître que je m’y perds un peu dans le trifouilli d’options de Shrew, mais il arrive toujours un moment où ca marche. Tenez moi informé si vous rencontrez toujours des difficultés 😉
bonjour en fait moi je veux faire un vpn dans ma boite mais je ne veux pas que mon chef dépense et dans votre tuto vous parlez juste du client vpn avec shrew et pour le serveur vpn avec shrew comment ça se passe vous pouvez me laissez des mails dans ma boite ci dessus ça ne me dérange pas et c’est vraiment urgent et nous sommes dans un environnement w7 merci
Bonjour,
Cet article parle surtout d’un moyen d’accèder à un VPN qui serait créé par un équipement Cisco, car ce dernier prévoit en effet de faire payer chaque client du VPN.
Si vous souhaitez mettre en place un VPN gratuit et fiable, tournez vous vers le serveur OpenVPN 🙂
Bonjour,
essai de connexion sur cisco 877 install schew sous windows xp
apres avoir entre les differents parametres , lors de la tentative de connexion
le vpn ne monte pas, et affichage network undefined dans la fenetre de dialogue
si idees je suis preneur
merci par avance