Académique Documents
Professionnel Documents
Culture Documents
www.urec.cnrs.fr
Plan
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
• Nomadisme
• Accès distants sécurisés aux données
du laboratoire
• Définir les besoins exacts de chaque
type de nomade :
- Besoin ponctuel (un service: ftp, mail,
ssh…)
- Besoin de plusieurs services en même
temps
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte
Site
Sitedistant
distant
Internet
Internet C/R
C/R Entité
Entiténn
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN
Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte
Site
Sitedistant
distant
Internet
Internet RR C/R
C/R Entité
Entiténn
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN
Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte
Site
Sitedistant
distant
Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
Site
Sitedistant
distant
Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn
Å Envoie commandes
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
Site
Sitedistant
distant
Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn
#---
#---SERVEUR
SERVEUR----
---- #---
#---SERVEUR
SERVEUR----
----
#----------------------
#----------------------Réseau
Réseau-------------------------------- #----------------------
-------------------------------- #----------------------Réseau
Réseau--------------------------------
--------------------------------
dev tun # --- Mode routeur dev tun # --- Mode routeur
dev tun # --- Mode routeur dev tun # --- Mode routeur
# --- Ce tunnel utilisera tcp # --- Ce tunnel utilisera tcp
# --- Ce tunnel utilisera tcp # --- Ce tunnel utilisera tcp
server
server195.195.195.224
195.195.195.224255.255.255.224 server
255.255.255.224 server195.195.195.224
195.195.195.224255.255.255.224
255.255.255.224
# --- Commande envoyé au client pour modifier sa table de # --- Commande envoyé au client pour modifier sa table de
# --- Commande envoyé au client pour modifier sa table de # --- Commande envoyé au client pour modifier sa table de
# --- routage. Dans ce cas, on redirige uniquement les paquets # --- routage. Dans ce cas, on utilise l’interface tunnel
# --- routage. Dans ce cas, on redirige uniquement les paquets # --- routage. Dans ce cas, on utilise l’interface tunnel
# --- à destination de 195.195.195.64/27 vers le tunnel. # --- comme route par défaut
# --- à destination de 195.195.195.64/27 vers le tunnel. # --- comme route par défaut
push
push"route
"route195.195.195.64
195.195.195.64255.255.255.224« push
255.255.255.224« push"redirect-gateway
"redirect-gatewaydef1"
def1"
##remarque
remarque: :
##serveur
serveur195.195.195.224
195.195.195.224255.255.255.224
255.255.255.224
##mode
modeserver
server
## tls-server
tls-server
##ifconfig 195.195.195.225
ifconfig 195.195.195.225195.195.195.226
195.195.195.226
##ifconfig-pool 195.195.195.228 195.195.195.254
ifconfig-pool 195.195.195.228 195.195.195.254
##route 195.195.195.224
route 195.195.195.224255.255.255.224
255.255.255.224
##push "route 195.195.195.224"
push "route 195.195.195.224"
• Sécurisation du serveur
- Encapsuler le serveur (chroot)
- Clé partagée
- Authentification par certificats X509
Site
Sitedistant
distant
Entité
Entiténn
Internet
Internet RR GB
GB C/R
C/R
X509
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
user/group semi-ouverte
semi-ouverte
authentifié
authentifié Script tls-verify
chroot
Zone
Zone
VPN
VPN
Serveur OpenVPN
#Fichier de configuration de OpenVPN partie SERVEUR # Fichier de configuration OpenVPN partie CLIENT
#Fichier de configuration de OpenVPN partie SERVEUR # Fichier de configuration OpenVPN partie CLIENT
… …
… …
# oblige l’extension ns-cert-type dans le certificat du
# oblige l’extension ns-cert-type dans le certificat du
# --- les serveur tourne sous l’utilisateur et sous le groupe # serveur avec la valeur « server »
# --- les serveur tourne sous l’utilisateur et sous le groupe # serveur avec la valeur « server »
# --- openvpn ns-cert-type server
# --- openvpn ns-cert-type server
user openvpn
user openvpn
group openvpn # Clé partagée
group openvpn # Clé partagée
# --- modifie la racine pour le serveur OpenVPN tls-auth "C:\\Program Files\\OpenVPN\\ta.key" 1
# --- modifie la racine pour le serveur OpenVPN tls-auth "C:\\Program Files\\OpenVPN\\ta.key" 1
chroot /etc/openvpn
chroot /etc/openvpn
# --------------------- Certificats ---------------------------
# --------------------- Certificats ---------------------------
# --- clé partagée utilisée lors de l’initialisation du tunnel tls-client
# --- clé partagée utilisée lors de l’initialisation du tunnel tls-client
tls-auth ssl-tls/ta.key 0
tls-auth ssl-tls/ta.key 0
pkcs12 "certif.p12"
pkcs12 "certif.p12"
# --------------------- Certificats --------------------------- …
# --------------------- Certificats --------------------------- …
tls-server
tls-server
# --- Paramètres Diffie-Hellman
# --- Paramètres Diffie-Hellman
dh dh1024.pem
dh dh1024.pem
ca ca.crt
ca ca.crt
cert serveur.pem
cert serveur.pem
key serveur.key
key serveur.key
…
…
• Deux fichiers
Cert certificate.pem
Key key.pem
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte
Site
Sitedistant
distant
Entité
Entiténn
Internet
Internet RR GB
GB C/R
C/R
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
GB sur le serveur OpenVPN
Serveur OpenVPN
Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone11
Zone
Zone
VPN
VPN Zone
Zone22
Serveur OpenVPN
#Fichier /et/openvpn/ccd/prenom_nom
#Fichier /et/openvpn/ccd/prenom_nom
ifconfig-push 195.195.195.229 195.195.195.230
ifconfig-push 195.195.195.229 195.195.195.230
#Fichier /et/openvpn/ccd/prenom_nom
#Fichier /et/openvpn/ccd/prenom_nom
ifconfig-push 195.195.195.229 195.195.195.230
ifconfig-push 195.195.195.229 195.195.195.230
• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages
www.urec.cnrs.fr
Réseau
Réseaudu
dulaboratoire
laboratoire
Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte
Site
Sitedistant
distant
Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN