Vous êtes sur la page 1sur 15

ATELIER 4

VPN REMOTE ACCES

3.4.1 Introduction

L’objectif de cette partie est de mettre en œuvre une solution permettant à des
utilisateurs itinérants d’accéder au réseau privé et d’assurer l’échange de données
entre eux d’une façon sécurisée à travers un tunnel VPN.

3.4.2 Présentation du projet

Il s’agit de mettre en place une solution qui va permettre un accès externe à notre
réseau d’entreprise via une connexion VPN de type OpenVPN qui s’appuiera sur un
équipement de type Firewall Pfsense et se fera via VMware.

Capture 1: Schéma global du réseau VPN


3.4.3 Notion de virtualisation

La virtualisation est une technologie permettant de créer et d’exécuter une ou


plusieurs représentations virtuelles d’un ordinateur ou de ses différentes ressources
sur une même machine physique.
De plus, la virtualisation permet d’exécuter des programmes de façon isolée pour
effectuer des tests en toute sécurité sans risquer de compromettre les autres
machines virtuelles exécutées sur le même serveur hôte.

3.4.4 Installation du pfsense


Une fois que le vmware installé et tous les paramètres configurés, on lance le
démarrage de la machine virtuelle avec la version l'ISO monté. Un menu de boot
apparaît, selon les besoins on peut choisir de démarrer Pfsense avec certaines
options activées. Si aucune touche n'est appuyée, Pfsense bootera avec les options
par défauts (choix 1) au bout de 8 secondes.

Capture 2:Menu boot pfsense

Apres installation du pfsense, on définit les informations liées à notre propre réseau.
Dans ce mode opératoire, nous utiliserons les éléments suivants :
o Adresse IP pfsense (LAN) : 192.168.10.125/24
o Adresse IP réseau internet pfsense (WAN) : 192.168.10.125/24
o DNS 1 : 8.8.8.8 (Google)

Capture 3:Adressage des interfaces du pfsense


L’étape suivante consiste à configurer l’interface web du Pfsense en introduisant
l’adresse IP 192.168.10.125 dans la page web d’une machine connectée au réseau
LAN.

La page d’authentification suivante s’affiche :


Nous introduisons le nom, d’utilisateur « admin » ainsi que le mot de passe « pfsense
».

Capture 4:Interface graphique du pfsense

On clique sur « login».


La page suivante s’affiche

Capture 5:Configuration du pfsense

On clique sur next, une page contenant des informations générales de pfsense
s’affiche. Après l’avoir remplie, la page suivante s’affiche :
Capture 6:Attribution du mot de passe d'authentification de l'admin
Nous allons attribuer un nouveau mot de passe en mesure de sécurité

3.4.5 Configuration du réseau VPN

Le premier élément dont on aura besoin est de définir une autorité de certification
interne avec son propre certificat pour pouvoir ensuite auto signer les différents
certificats que nous allons créer. On aura besoin à la fois d’un certificat pour le
serveur c'est-à-dire au niveau de pfsense et également un certificat pour le client,
ces derniers seront signés par l’autorité de certification interne que nous aurons
créée. Nous allons commencer par créer notre autorité de certification.
a. Installation du client OpenVPN

Nous allons d’abord installer le paquet OpenVPN-client export disponible dans


« System » => « package manger » => available packages.

Capture 7:Installation du paquet openvpn-client-export


Capture 8:Installation du paquet openvpn-client-export

Nous avons installé avec succès l’utilitaire d’exportation Openvpn, maintenant il est
temps d’effectuer la configuration du serveur Openvpn à partir de « VPN » =>
Openvpn => wizards
On choisit le type de serveur «local user access ».

Capture 9:Configuration du serveur openvpn

b. Création de l’autorité de certification

Nous allons remplir le formulaire ci-dessous en choisissant la longueur de la clé puis


les informations du certificat.
Capture 10:Création de l'autorité de certification

Une fois les données enregistrées le certificat d’autorité « CA » sera créé.

c. Création du certificat pour le serveur

Capture 11:Création du certificat du serveur


d. Configuration Générale du serveur OpenVPN

Nous allons choisir l’interface réseau qui est le WAN et nous spécifions le type de
protocole de transmission (UDP), ainsi que le numéro du port (qui est le 1194 par
défaut).

On choisit aussi les algorithmes de cryptographie.

Capture 12:Configuration des interfaces, ports, et de la cryptographie


e. Création et configuration du tunnel VPN

Le champ tunnel network correspond à l’adresse IP privée dans le tunnel VPN qui
fera la liaison entre l’utilisateur et le réseau LAN.
Capture 13:Configuration du tunnel VPN

On va renseigner le DNS au niveau des paramètres clients (Google dans notre cas).

Capture 14:Renseignement du DNS


Pour l’activation des pares-feux par défaut, il faut cocher les cases pour Firewall
rule et OpenVPN rule.
Capture 15:Activation des pares-feux et des règles Openvpn
Cliquer sur « next » puis « finish ».
f. Création d’un utilisateur et de son certificat

A partir de l’onglet « système » on clique sur « user manager » ensuite « user » et


en fin « Add » pour ajouter un utilisateur autorisé à se connecter au VPN, celui-ci
possédera son propre certificat qui sera généré lors de la création de l’utilisateur.
On remplit le formulaire et on clique sur « save ».
Capture 16: Création d'un compte utilisateur

g. Export du client

Pour exporter le client Openvpn, au va au niveau de client export puis on définit


l’accès à distance. Si la machine client possède déjà Openvpn GUI on télécharge
Archive qui contient les fichiers de configuration, sinon on télécharge le client selon
la version et le système d’exploitation de la machine cliente.

Capture 17:Exportation du client OpenVPN

h. Installation d’OpenVPN sur la machine de l’utilisateur

On lance l’installation d’OpenVPN sur la machine.


Si déjà installé, il ne nous suffit juste que copier les fichiers du client au niveau du
dossier de configuration d’Openvpn GUI
Capture 18:Copie du fichier OpenVPN vers le dossier de configuration

Lorsque OpenVPN est en cours d'exécution, nous avons ce petit symbole de


verrouillage et d'écran sur notre barre des tâches. On clique droit dessus et on choisit
"Connecter" pour se connecter à notre serveur vpn.

Pour accéder au VPN, l’utilisateur doit remplir la table d’authentification en utilisant


les mêmes informations configurées dans le certificat.

Capture 19:connexion du client via les identifiants de l'utilisateur crée


Capture 20:Connexion du client VPN

Capture 21:Connexion du client OpenVPN établie


Afin de s’assurer du fonctionnement du VPN, on effectue les tests de connectivité
entre l’utilisateur et le serveur VPN ainsi que le client en utilisant la commande «
ping » sous l’invite de commande. Un premier test « ping » va être effectué au niveau
de l’interface du tunnel du serveur (172.20.0.1) puis un autre au niveau de
l’interface du LAN (192.168.10.125).

Capture 22:Test de connectivité

Au cours de cette dernière partie nous avons réalisé un réseau VPN nous permettant
l’accès à distance vers un réseau LAN.
Nous avons commencé par installer le logiciel de virtualisation « Vmware » afin de
pouvoir créer et configurer notre réseau LAN qui sera constitué d’un pare-feu pfsense
implémenté sur un serveur et un client. Ensuite nous sommes passés à la
configuration du client utilisateur qui pourra se connecter à distance vers notre
réseau.
Nous constatons selon les résultats des « Ping », que l’utilisateur est bien connecté
à notre réseau.
3.5 Synthèse comparative des trois solutions

3.5.1 Solution VPN avec Openvpn

 Avantages

 OpenVPN est capable d’utiliser aussi bien un transport TCP qu’UDP et


fonctionne sans-problème à travers du NAT. De plus, il est capable de
transporter des protocoles non-IP.
 Il permet de passer la plupart des pares-feux et des restrictions
réseaux/FAI. Il peut être exécuté sur n'importe quel port compris entre 1
et 65535. Cette fonctionnalité multiport rend OpenVPN idéal pour
contourner les pares-feux.
 Il garantit une grande sécurité pendant les connexions VPN. Il sécurise
toutes vos communications en utilisant diverses méthodes, telles que les
clés partagées, l'authentification HMAC et le cryptage 256 bits via
OpenSSL.
 Il fournit le meilleur compromis entre sécurité et rapidité.
 Il est compatible avec les principaux systèmes d'exploitation,
notamment Windows, Mac, Linux, Android et iOS.

 Inconvénients
 Nécessite que des logiciels et des applications tiers exécutées sur tous les
systèmes d'exploitation, car ils ne peuvent pas être configurés
directement.
 OpenVPN n’est pas disponible sur les équipements réseaux (routeurs, …)
nativement. Sur les clients mobiles, il nécessitera généralement
l’installation d’une application tierce.
 Parce que c'est libre, tout le monde peut étudier son fonctionnement et
trouver des failles.
 Parfois, il se peut que vous rencontriez des baisses de vitesse de
connexion en raison du cryptage puissant.

3.5.2 Solution VPN avec les routeurs Cisco

 Avantages
 Prise en charge de la tunnellisation et du cryptage en utilisant les protocoles
standard du marché, tels que IPsec (Internet Protocol Security), 3DES
(Digital Encryption Standard 3) et AES.
 Périmètre de sécurité du réseau privé virtuel, avec fonction de filtrage de
session et détection d’intrusion assurée par le logiciel Cisco IOS.
 Qualité de service sensible à l’application et gestion de la bande passante
garantissant la fiabilité du transfert VPN.
 Routage intégral jusqu’à la couche 3, y compris les protocoles de routage
externes, tels que BGP (Border Gateway Protocol) pour l’accès à Internet ou
au réseau privé virtuel.
 Différents interfaçages avec le réseau local (LAN) ou étendu (WAN) pour
l’accès à Internet ou au réseau privé virtuel et la connectivité du réseau
local.
 Inconvénients
 Les traitements réalisés au niveau des paquets IP (ajout d'information dans
le datagramme, masquage des entêtes en mode tunnel) peuvent s'avérer
incompatibles avec les fonctions de translations d'adresses IP (NAT), ou
d'adressage dynamique.
 La mise en place d’une solution VPN sur les routeurs Cisco est assez
complexe et fastidieuse.

3.5.3 Solution VPN avec Pfsense

 Avantages

 Sa Disponibilité (Base FreeBSD, load balancing, etc…)


 Sa confidentialité (HTTPS Web GUI, HTTPS authentification, IPSEC, PPTP,
etc...)
 Ses possibilités de suivi et audits
 Sa mise à jour (système upgradable, packages visibles et téléchargeables
directement depuis l’interface d’administration web, etc…).
 Simplicité d’administration, d’installation avec une interface graphique
montrant le statut du tunnel, aussi, les logs (étape de la connexion du tunnel
vpn)
 Autonomie complète
 Mise en place de la solution beaucoup moins contraignantes que les autres
(routeurs Cisco, OpenVPN, …)

 Inconvénients
 Parce que c'est libre, tout le monde peut étudier son fonctionnement et
trouver des failles.
 Un firewall matériel est plus stable qu'un firewall logiciel comme pfsense.
 Vous n'avez aucune garantie si vous avez un problème matériel ou logiciel,
vous devez vous débrouiller ou alors payer pour du support.