TP N°

SUJET :

RESEAU PRIVE VIRTUEL (VPN BRIDGER)

Said Hoceini 

 
OpenVpn TP

Prologue
La complexité des architectures de réseaux d’interconnexion des équipements
informatiques et le manque de sécurité sur Internet a amené l’ensemble des acteurs
spécialistes du domaine à se pencher sur des solutions de surveillance curative et
évolutive afin d’assurer la disponibilité des services en ligne et leur continuité - du
fonctionnement, des débits, de la sécurité des échanges d’information entre sites
distants mais également du contrôle des flux dans les équipements informatiques.

Tout en se basant sur les protocoles TCP/IP, c’est ainsi qu’est apparu les
concepts des réseaux privés virtuels (VPN).

L’objectif de ce TP :
L’objectif de ce TP est d’étudier et mettre en œuvre d’un VPN Bridger utilisant un :
1. Tunnel avec cryptage par clefs privées et certificat d'authentification : On
établit un réseau privé virtuel. Les données qui transitent par ce tunnel sont
cryptées tandis que les clefs privées de cryptages de chaque extrémité ne se
trouvent pas sur l'autre extrémité. Nous utilisons aussi des certificats
d'authentification.

Matériel utilisé :
• 1 PC Station Linux Débian (pc Lan)
• 2 PC Station Linux Débian (serveur VPN et Client VPN)
Remarque :
Vérifier le matériel disponible avec le matériel de la liste ci-dessus.
A chaque fin de séance, il vous est demandé de nettoyer votre maquette et de rendre
le cahier de TP à votre chargé de TP.

S. HOCEINI 2/7
OpenVpn TP

Installation et configuration du réseau

On se propose de configurer le réseau suivant :

Pour le bon fonctionnement de la maquette de TP, les programmes suivants ont été
installés sur les machines Linux:
Pour le serveur VPN : Pour le client VPN :
bridge-utils, openssl, openvpn openssl, openvpn

Les clients et serveurs OPENVPN utilisent des interfaces virtuelles appelées TAP.

Question 1
Vérifier le câblage de la maquette et les adresses IP des interfaces réseaux des
machines.

Mise en place d’une interface TAP et un bridge sur le

serveur VPN
Créer un script pour démarrer et créer le pont et l’interface TAP comme suit :

#!/bin/bash
OPENVPN="/usr/sbin/openvpn"
$OPENVPN --mktun --dev tap0
brctl addbr br0
brctl addif br0 tap0
brctl addif br0 eth0(interface réseau local)
ifconfig eth0 0.0.0.0 promisc up
ifconfig tap0 0.0.0.0 promisc up
ifconfig br0 10.0.0.1 netmask 255.255.255.0
route add default gw passerelle/def

Le script doit être exécutable (chmod (ugo)+x nom_du_script)

Question 2

Quelle est l’utilité de chaque ligne du script de configuration client et serveur ? (man
brctl, man openvpn)
Exécuter le script et activer le routage (fichier /proc/sys/net/ipv4/ip_forward)

Question 3

Donner la liste des interfaces sur votre routeur ? Quels est leurs adresse IP

S. HOCEINI 3/7
VPN Bridger TP

Question 4

Pourquoi l’interface physique cotée LAN n’a pas d’adresse IP ? Comment le pc LAN
communique avec le routeur ?

Création des certificats sur le serveur

Suivez la procédure ci-dessous :

1- Préparation des répertoires de configuration

# cd /root
# mkdir CAVPN
# cd CAVPN
# mkdir signed_certs
# mkdir private
# chmod 700 private/
# cp /etc/ssl/openssl.cnf ./

2- Edition du fichier de configuration /root/CAVPN/openssl.conf

Editez la section [ CA_default ]

 dir = /root/CAVPN
 new_certs_dir = $dir/signed_certs

Editez la section [ req_distinguished_name ]

 countryName = Country Name (2 letter code)

 countryName_default = FR
 stateOrProvinceName = State or Province Name (full name)
 stateOrProvinceName_default = IDF
 localityName = Locality Name (eg, city)
 localityName_default = VITRY
 0.organizationName = Organization Name (eg, company)
 0.organizationName_default = UPEC
 organizationalUnitName = Organizational Unit Name (eg, section)
 organizationalUnitName_default = IUT CRETEIL-VITRY

3- création d’un indexe

# cd /root/CAVPN
# touch index.txt

S. HOCEINI 4/7
VPN Bridger TP

4- génération des certificats (mot de passe : vitrygtr)

# cd /root/CAVPN
Création d'une autorité de certification (CA) : cacert.pem
# openssl req -nodes -new -x509 -keyout private/cakey.pem -out cacert.pem –
day 365 -config ./openssl.cnf
Création de la clé serveur : server.key avec le commun name : server
# openssl req –nodes -new -keyout server.key -out server.csr -config
./openssl.cnf
auto-signature de la clé serveur: server.cert
# openssl ca -out server.cert -in server.csr -config ./openssl.cnf

5- installation des certificats

# cd /etc/openvpn/certs/
# cp /root/CAVPN/cacert.pem ./
# cp /root/CAVPN/server.cert ./
# cp /root/CAVPN/server.key ./
# openssl dhparam -out dh 1024

Question 5
Quel sera le rôle de chacun de ces certificats dans l’architecture VPN ?

En utilisant les deux dernières commandes utilisées, créer la clef et le certificat à

faire signer par votre autorité pour les clients VPN.

Vérifier et signer le certificat des clients.

Question 6

Quelles sont les commandes utilisées ?

Copier les fichiers .crt, .key et .pem dans le répertoire /etc/openvpn/certs/ de chaque
machine client VPN.

S. HOCEINI 5/7
VPN Bridger TP

Créer un VPN Bridger

Soit les fichiers de configuration des clients VPN et du serveur VPN en mode routé

remote adesse_serv dev tun

dev tun ifconfig 10.9.0.1 10.9.0.2
ifconfig 10.9.0.2 10.9.0.1 cipher none
port 2000 port 3000
cipher none auth none
auth none verb 2
verb 2 tls-server
tls-client ca /etc/openvpn/certs/cacert.pem
ca /etc/openvpn/certs/ cacert.pem cert /etc/openvpn/certs/serveur.crt
cert /etc/openvpn/certs/client.crt key /etc/openvpn/certs/serveur.key
key /etc/openvpn/certs/client.key dh /etc/openvpn/certs/dh1024.pem
verb 2

Fichier client Fichier serveur

Remarque : pour la directive remote vous donnez l’adresse IP et le
port du serveur VPN
Question 7

Quelle est la différence entre un VPN routé et un VPN pont?

Question 8

Quelle est la modification a effectué sur ces fichiers de configuration pour utiliser une
interface TAP?
Modifier le fichier de configuration

Question 9

Quelle est la modification a effectué sur ces fichiers de configuration pour attribuer
des adresses ip dynamiques ? (voir man openvpn (serveur, server-bridge, mode)

Question 10

Cette modification doit être mise en place sur le client, le serveur ou les deux à la
fois? Pourquoi ?
Après la modification, redémarrer le serveur et le client VPN.
#openvpn --config fichier_de_config

Question 11

Comment vérifier que la connexion VPN fonctionne ?

S. HOCEINI 6/7
VPN Bridger TP

Question 12

Le client VPN et le PC LAN sont-ils dans le même réseau virtuel ou dans deux
réseaux différents ? Justifier.
Lancer la capture de trames sur le pc serveur vpn sur l’interface coté internet puis
lancer un ping du client VPN vers le PC LAN

Question 13

Les informations échangées sont-elles sécurisées ?

Remarque : appeler votre enseignant pour lui faire une

démonstration.

S. HOCEINI 7/7