M on b l o c - not es Accueil Administration de Systmes & Rseaux
Serveurs >
OpenVPN site site
Plan du site Activit rcente sur le site
Windows
Tunnel VPN site site entre 2 pfsense 1.2.3
Maintenance Scripts MS-DOS Scripts VBS
Linux
1. Configuration du serveur VPN
2. Configuration du client VPN 3. Vrification de la connexion
Scurit Serveurs Systme
Virtualisation Virtualisation
Tunel SSL avec partage de cl. Pour cel il faut gnrer un certificat SSL sur le serveur. Cette partie n'est pas dcrite dans ce HowTo. La commande sur la pfsense : #openvpn --genkey --secret shared.key
1. Configuration du serveur VPN
Aller dans VPN > OpenVPN > Server et cliquez sur le plus pour ajouter un nouveau serveur. La premire partie concerne la configuration de base. Le port utilis pour monter le tunnel : 1193 Le pool d'adresse destin au VPN distant : 10.0.16.0/24 (doit tre diffrent de l'adressage IP du LAN) Le rseau distant : 10.145.7.0/24
La deuxime partie est plus complexe. On va renseigner la mthode d'authentification entre client et serveur, le nom de domaine que les client vont rcuprer, l'adresse IP du serveur DNS, et enfin les options personnalises. Cryptography :BF-CBC(128-bit) Authentification method : Shared Key DHCP-Opt.: DNS-Domainname : nunux.home DHCP-Opt.: DNS-Server : 10.163.135.14 DHCP-Opt.: NTP-Server : 10.163.135.14 LZO compression : coch Custom options : --ifconfig 10.0.16.1 10.145.7.4; management 127.0.0.1 1193; Pour les options de configuration, je prcise les adresses IP des extrmits du Tunel pour viter les confilts d'adresse IP. Par dfaut, OpenVPN utilise pour les extrmits des tunel les adresses en x.x.x.1 et x.x.x.2. Or sur mon rseau distant, ces 2 adresses sont dj utilise. --ifconfig 10.0.16.1 10.145.7.4; > je prsite que l'extrmit du tunel de mon cot (serveur) est 10.0.16.1 et que l'extrmit du cot distant (client) est 10.145.7.4 management 127.0.0.1 1193 > cette option ne sert que si le plugin OpenVPN status est install (surveillance des connexions VPN)
Aller dans VPN > OpenVPN > Client et cliquez sur le plus pour ajouter un nouveau client. La premire partie concerne la configuration de base. Le protocole utilis : TCP L'adresse du serveur : Adresse IP fixe Le port utilis pour monter le tunnel : 1193 L'interface IP sur laquelle on monte le tunnel VPN : 10.145.7.0/24 (l'adressage IP du LAN) Le rseau distant : 10.163.135.0/24 Pour les paramtres suivants, ils sont identiques la configuration du serveur (Cryptography, cle SSL partage, compression) Pour les options personnalises, on utilise de nouveau --ifconfig mais dans l'autre sens --ipconfig 10.145.7.4 10.0.16.1
Rgle de filtrage Sur chaque pfsense il faut rajouter une rgle de filtrage pour autoriser le port 1193 en TCP sur le WAN. Cot client, on peut crer cette rgle plus svre, c'est dire qu'elle autorise uniquement l'adresse du serveur). Si les 2 sites sont en IP fixe, on peut appliquer ce principe sur les 2 pfsense (plus scuris)
3. Vrification de la connexion Sur la pfsense serveur, on utilise les logs pour vrifier que le tunnel est bien mont. Pour cel on va dans Status > System logs > OpenVPN On doit avoir un log dans ce genre :
Un ping d'une machine du rseau principal doit pouvoir pinguer une machine du rseau distant. Le mieux est de faire un tracert pour bien vrifier que l'on passe par le tunnel (dans le cas d'une double connexion entre les 2 sites)
Le dernier test consiste effectuer un transfert de fichiers entre 2 machines des 2 rseaux diffrents, et d'observer en temps rel de graphe du traffic.
Se connecter | Signaler un abus | Imprimer la page | Supprimer l'accs | Avec la technologie de Google Sites
![[CISCO Protocoles et concepts de routage].pdf](https://imgv2-1-f.scribdassets.com/img/document/150322306/149x198/de61511634/1595351626?v=1)
