Académique Documents
Professionnel Documents
Culture Documents
SUJET :
Said Hoceini
OpenVpn TP
Prologue
La complexité des architectures de réseaux d’interconnexion des équipements
informatiques et le manque de sécurité sur Internet a amené l’ensemble des acteurs
spécialistes du domaine à se pencher sur des solutions de surveillance curative et
évolutive afin d’assurer la disponibilité des services en ligne et leur continuité - du
fonctionnement, des débits, de la sécurité des échanges d’information entre sites
distants mais également du contrôle des flux dans les équipements informatiques.
Tout en se basant sur les protocoles TCP/IP, c’est ainsi qu’est apparu les
concepts des réseaux privés virtuels (VPN).
L’objectif de ce TP :
L’objectif de ce TP est d’étudier et mettre en œuvre d’un VPN Bridger utilisant un :
1. Tunnel avec cryptage par clefs privées et certificat d'authentification : On
établit un réseau privé virtuel. Les données qui transitent par ce tunnel sont
cryptées tandis que les clefs privées de cryptages de chaque extrémité ne se
trouvent pas sur l'autre extrémité. Nous utilisons aussi des certificats
d'authentification.
Matériel utilisé :
• 1 PC Station Linux Débian (pc Lan)
• 2 PC Station Linux Débian (serveur VPN et Client VPN)
Remarque :
Vérifier le matériel disponible avec le matériel de la liste ci-dessus.
A chaque fin de séance, il vous est demandé de nettoyer votre maquette et de rendre
le cahier de TP à votre chargé de TP.
S. HOCEINI 2/7
OpenVpn TP
Pour le bon fonctionnement de la maquette de TP, les programmes suivants ont été
installés sur les machines Linux:
Pour le serveur VPN : Pour le client VPN :
bridge-utils, openssl, openvpn openssl, openvpn
Les clients et serveurs OPENVPN utilisent des interfaces virtuelles appelées TAP.
Question 1
Vérifier le câblage de la maquette et les adresses IP des interfaces réseaux des
machines.
#!/bin/bash
OPENVPN="/usr/sbin/openvpn"
$OPENVPN --mktun --dev tap0
brctl addbr br0
brctl addif br0 tap0
brctl addif br0 eth0(interface réseau local)
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 10.0.0.1 netmask 255.255.255.0
route add default gw passerelle/def
Question 2
Quelle est l’utilité de chaque ligne du script de configuration client et serveur ? (man
brctl, man openvpn)
Exécuter le script et activer le routage (fichier /proc/sys/net/ipv4/ip_forward)
Question 3
Donner la liste des interfaces sur votre routeur ? Quels est leurs adresse IP
S. HOCEINI 3/7
VPN Bridger TP
Question 4
Pourquoi l’interface physique cotée LAN n’a pas d’adresse IP ? Comment le pc LAN
communique avec le routeur ?
# cd /root
# mkdir CAVPN
# cd CAVPN
# mkdir signed_certs
# mkdir private
# chmod 700 private/
# cp /etc/ssl/openssl.cnf ./
dir = /root/CAVPN
new_certs_dir = $dir/signed_certs
# cd /root/CAVPN
# touch index.txt
S. HOCEINI 4/7
VPN Bridger TP
# cd /root/CAVPN
Création d'une autorité de certification (CA) : cacert.pem
# openssl req -nodes -new -x509 -keyout private/cakey.pem -out cacert.pem –
day 365 -config ./openssl.cnf
Création de la clé serveur : server.key avec le commun name : server
# openssl req –nodes -new -keyout server.key -out server.csr -config
./openssl.cnf
auto-signature de la clé serveur: server.cert
# openssl ca -out server.cert -in server.csr -config ./openssl.cnf
# cd /etc/openvpn/certs/
# cp /root/CAVPN/cacert.pem ./
# cp /root/CAVPN/server.cert ./
# cp /root/CAVPN/server.key ./
# openssl dhparam -out dh 1024
Question 5
Quel sera le rôle de chacun de ces certificats dans l’architecture VPN ?
Question 6
S. HOCEINI 5/7
VPN Bridger TP
Question 8
Quelle est la modification a effectué sur ces fichiers de configuration pour utiliser une
interface TAP?
Modifier le fichier de configuration
Question 9
Quelle est la modification a effectué sur ces fichiers de configuration pour attribuer
des adresses ip dynamiques ? (voir man openvpn (serveur, server-bridge, mode)
Question 10
Cette modification doit être mise en place sur le client, le serveur ou les deux à la
fois? Pourquoi ?
Après la modification, redémarrer le serveur et le client VPN.
#openvpn --config fichier_de_config
Question 11
S. HOCEINI 6/7
VPN Bridger TP
Question 12
Le client VPN et le PC LAN sont-ils dans le même réseau virtuel ou dans deux
réseaux différents ? Justifier.
Lancer la capture de trames sur le pc serveur vpn sur l’interface coté internet puis
lancer un ping du client VPN vers le PC LAN
Question 13
S. HOCEINI 7/7