Vous êtes sur la page 1sur 3

OpenVPN site site - Mon bloc-notes

1 sur 3

https://sites.google.com/site/guillaumepriou/serveurs/openvpn

M on b l o c - not es
Accueil
Administration de
Systmes & Rseaux

Serveurs >

OpenVPN site site

Plan du site
Activit rcente sur le site

Windows

Tunnel VPN site site entre 2 pfsense 1.2.3

Maintenance
Scripts MS-DOS
Scripts VBS

Linux

1. Configuration du serveur VPN


2. Configuration du client VPN
3. Vrification de la connexion

Scurit
Serveurs
Systme

Virtualisation
Virtualisation

Tunel SSL avec partage de cl. Pour cel il faut gnrer un certificat SSL sur le serveur. Cette partie n'est pas dcrite dans ce HowTo.
La commande sur la pfsense : #openvpn --genkey --secret shared.key

1. Configuration du serveur VPN


Aller dans VPN > OpenVPN > Server et cliquez sur le plus pour ajouter un nouveau serveur.
La premire partie concerne la configuration de base.
Le port utilis pour monter le tunnel : 1193
Le pool d'adresse destin au VPN distant : 10.0.16.0/24 (doit tre diffrent de l'adressage IP du LAN)
Le rseau distant : 10.145.7.0/24

La deuxime partie est plus complexe. On va renseigner la mthode d'authentification entre client et serveur, le nom de domaine que les
client vont rcuprer, l'adresse IP du serveur DNS, et enfin les options personnalises.
Cryptography :BF-CBC(128-bit)
Authentification method : Shared Key
DHCP-Opt.: DNS-Domainname : nunux.home
DHCP-Opt.: DNS-Server : 10.163.135.14
DHCP-Opt.: NTP-Server : 10.163.135.14
LZO compression : coch
Custom options : --ifconfig 10.0.16.1 10.145.7.4; management 127.0.0.1 1193;
Pour les options de configuration, je prcise les adresses IP des extrmits du Tunel pour viter les confilts d'adresse IP. Par dfaut,
OpenVPN utilise pour les extrmits des tunel les adresses en x.x.x.1 et x.x.x.2. Or sur mon rseau distant, ces 2 adresses sont dj
utilise.
--ifconfig 10.0.16.1 10.145.7.4; > je prsite que l'extrmit du tunel de mon cot (serveur) est 10.0.16.1 et que l'extrmit du cot distant
(client) est 10.145.7.4
management 127.0.0.1 1193 > cette option ne sert que si le plugin OpenVPN status est install (surveillance des connexions VPN)

26/09/2012 14:19

OpenVPN site site - Mon bloc-notes

2 sur 3

https://sites.google.com/site/guillaumepriou/serveurs/openvpn

Le serveur VPN est mont.

2. Configuration du client VPN


Aller dans VPN > OpenVPN > Client et cliquez sur le plus pour ajouter un nouveau client.
La premire partie concerne la configuration de base.
Le protocole utilis : TCP
L'adresse du serveur : Adresse IP fixe
Le port utilis pour monter le tunnel : 1193
L'interface IP sur laquelle on monte le tunnel VPN : 10.145.7.0/24 (l'adressage IP du LAN)
Le rseau distant : 10.163.135.0/24
Pour les paramtres suivants, ils sont identiques la configuration du serveur (Cryptography, cle SSL partage, compression)
Pour les options personnalises, on utilise de nouveau --ifconfig mais dans l'autre sens
--ipconfig 10.145.7.4 10.0.16.1

Rgle de filtrage
Sur chaque pfsense il faut rajouter une rgle de filtrage pour autoriser le port 1193 en TCP sur le WAN.
Cot client, on peut crer cette rgle plus svre, c'est dire qu'elle autorise uniquement l'adresse du serveur).
Si les 2 sites sont en IP fixe, on peut appliquer ce principe sur les 2 pfsense (plus scuris)

3. Vrification de la connexion
Sur la pfsense serveur, on utilise les logs pour vrifier que le tunnel est bien mont.
Pour cel on va dans Status > System logs > OpenVPN
On doit avoir un log dans ce genre :

26/09/2012 14:19

OpenVPN site site - Mon bloc-notes

3 sur 3

https://sites.google.com/site/guillaumepriou/serveurs/openvpn

Un ping d'une machine du rseau principal doit pouvoir pinguer une machine du rseau distant.
Le mieux est de faire un tracert pour bien vrifier que l'on passe par le tunnel (dans le cas d'une double connexion entre les 2 sites)

Le dernier test consiste effectuer un transfert de fichiers entre 2 machines des 2 rseaux diffrents, et d'observer en temps rel de graphe
du traffic.

Se connecter | Signaler un abus | Imprimer la page | Supprimer l'accs | Avec la technologie de Google Sites

26/09/2012 14:19