OpenVPN

• Installation et configuration sécurisée

• Politique de sécurité associée

www.urec.cnrs.fr
 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 2

 Problématique

• Nomadisme
• Accès distants sécurisés aux données
du laboratoire
• Définir les besoins exacts de chaque
type de nomade :
- Besoin ponctuel (un service: ftp, mail,
ssh…)
- Besoin de plusieurs services en même
temps

OpenVPN – Lyon – 24 janvier 2006 – 3

 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 4

 Architecture 1/3
Réseau
Réseaudu
dulaboratoire
laboratoire

Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Site
Sitedistant
distant

Internet
Internet C/R
C/R Entité
Entiténn

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 5

 Architecture 2/3
Réseau
Réseaudu
dulaboratoire
laboratoire

Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Site
Sitedistant
distant

Internet
Internet RR C/R
C/R Entité
Entiténn

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 6

 Architecture 3/3
Réseau
Réseaudu
dulaboratoire
laboratoire

Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Site
Sitedistant
distant

Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 7

 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 8

 Principes d’OpenVPN 1/2

• Système de réseau privé virtuel

développé sur le protocole SSL
• Chiffrement + authentification des
paquets (librairie OpenSSL)
• Clients et serveurs sur Unix, Windows
et MacOS X

OpenVPN – Lyon – 24 janvier 2006 – 9

 Principes d’OpenVPN 2/2
1.1. Connexion
Connexionclient/serveur
client/serveur(authentification)
(authentification)
2.2. Serveur
Serveur: : Réseau
Réseaudu
dulaboratoire
laboratoire
•• Alloue
Alloueles
lesadresses
adressesIP
IP(zone
(zoneVPN)
VPN)
•• Envoie
Envoiedesdescommandes
commandes(créer
(créer Entité
interface Entité11
interface réseau + modifierlalatable
réseau + modifier table Zone
de routage)
de routage) Zone
semi-ouverte
semi-ouverte
3.3. Le
Letunnel
tunnelest
estétabli.
établi.

Site
Sitedistant
distant

Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn

Å Envoie commandes
Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN

Allocation adresse IP Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 10

 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 11

 Configuration de base

• Protocole (TCP ou UDP ?)

• Méthodes d’authentification :
- Login/password
- Certificat x509
- …
• Choix du tunnel
- Mode routeur
- Mode pont (paquets non IP)

OpenVPN – Lyon – 24 janvier 2006 – 12

 Fichiers de configuration

#--- SERVEUR ---- #---- CLIENT ----

#--- SERVEUR ---- #---- CLIENT ----
# -- Spécifie la partie client
# -- Spécifie la partie client
client
client
#---------------------- Réseau -------------------------------- #---------------------- Réseau --------------------------------
#----------------------
dev tun # --- Mode Réseaurouteur -------------------------------- # #----------------------
--- Utiliser les mêmes Réseau --------------------------------
options que sur la partie serveur
dev tun # --- Mode routeur # ---
dev tun Utiliser les mêmes options que sur la partie serveur
# --- Ce tunnel utilisera tcp dev tun
proto tcp
# --- tcp
proto Ce tunnel utilisera tcp # proto
--- Forcer tcp la récupération de la configuration donné par le serveur
proto tcp #
pull --- Forcer la récupération de la configuration donné par le serveur
# --- OpenVPN va assigner la 1ere adresse (.225) a l'extrémité locale # pull
--- le hostname/IP et port du serveur.
# #------duOpenVPN va assigner
tunnel (serveur) et la 1ere adresse (.225) a l'extrémité locale # #------il le
esthostname/IP et port
possible d'avoir du serveur.
plusieurs entrées
# --- va fournir aux clientset
# --- du tunnel (serveur) une adresse dans ce réseau en incrémentant # --- il est possible d'avoir
remote openvpnserver.monlabo.fr 1194 plusieurs entrées
# --- va
server fournir aux clients
195.195.195.224 une adresse dans ce réseau en incrémentant
255.255.255.224 remote openvpnserver.monlabo.fr
resolv-retry 1194 le nom
infinite # --- Essaie de résoudre
server 195.195.195.224 255.255.255.224 # resolv-retry
--- La plupartinfinite # --- Essaie
des clients n’ont pasde résoudre
besoin delefairenomun bind
# --- Options de persistance pour permettre l’accès à certaines ressources # --- La plupart des clients n’ont pas besoin de faire un bind
nobind
# #------lors
Options de persistance pour permettre l’accès à certaines ressources
d’un re-démarrage nobind
# ---
persist-keylors d’un re-démarrage persist-key # --- Préserve certains états entre deux exécutions
persist-key
persist-tun persist-key
persist-tun # ---
# --- Préserve
Préserve certains
certains états
états entre
entre deux
deux exécutions
exécutions
persist-tun
keepalive 10 60 persist-tun # --- Préserve certains états entre deux exécutions
keepalive 10 60

# --------------------- Certificats --------------------------- # --------------------- Certificats ---------------------------

# --------------------- Certificats ---------------------------
tls-server # --------------------- Certificats ---------------------------
tls-client
# tls-server
--- clé partagée utilisée lors de l’initialisation du tunnel # tls-client
--- paramètres SSL/TLS
# --- cléssl-tls/ta.key
tls-auth partagée utilisée
0 lors de l’initialisation du tunnel # --- paramètres
pkcs12 SSL/TLS
"certificat.p12"
dhtls-auth ssl-tls/ta.key #0 --- Paramètres Diffie-Hellman
ssl-tls/dh1024.pem # pkcs12 "certificat.p12"
--- Ou alors, remplacer le fichier p12 par les trois fichiers
cadh ssl-tls/dh1024.pem # --- Paramètres Diffie-Hellman
ssl-tls/ca.crt # ---
#ca Ou alors, remplacer le fichier p12 par les trois fichiers
ca.crt
ca ssl-tls/serveur.pem
cert ssl-tls/ca.crt #ca client.crt
#cert ca.crt
cert
key ssl-tls/serveur.pem
ssl-tls/serveur.key # Fichier à protéger #cert
#key client.crt
client.key
key ssl-tls/serveur.key # Fichier à protéger #key client.key
# --------------------- Logs --------------------- # --------------------- Logs ---------------------
# ---------------------
log-append Logs ---------------------
log/openvpn.log # --- Fichier de log # #------------------------ Logs ---------------------
active la compression LZO pour optimiser les échanges.
# log-append
--- Fichier des log/openvpn.log # --- Fichier
connexions actuelles de log
du serveur # --- active la compression LZO pour optimiser les échanges.
comp-lzo
# --- Fichier des connexions
status log/openvpn-status.log actuelles du serveur # comp-lzo
status log/openvpn-status.log
comp-lzo # --- Utiliser la librarie LZO # #--- Niveau de log
# comp-lzo
--- Niveau#de ---log
Utiliser la librarie LZO # ---4Niveau de log
verb
# ---4Niveau de log
verb verb 4
verb 4

OpenVPN – Lyon – 24 janvier 2006 – 13

 Routage
Choix du routage :
ÆUtilisation du tunnel : Réseau
Réseaudu
dulaboratoire
laboratoire
• comme route vers le laboratoire
uniquement
push "route 195.195.195.64 255.255.255.224" Entité
Entité11
• comme route par dédéfaut Zone
Zone
(tout passe par le tunnel) semi-ouverte
semi-ouverte
push "redirect-gateway def1"

Site
Sitedistant
distant

Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn

Client OpenVPN Serveurs

Serveurs
Internes
Internes
Zone
Zone 195.195.195.64/27
195.195.195.64/27
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
ZoneVPN
VPN
195.195.195.224/27
195.195.195.224/27
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 14

 Fichiers de configuration

#---
#---SERVEUR
SERVEUR----
---- #---
#---SERVEUR
SERVEUR----
----

#----------------------
#----------------------Réseau
Réseau-------------------------------- #----------------------
-------------------------------- #----------------------Réseau
Réseau--------------------------------
--------------------------------
dev tun # --- Mode routeur dev tun # --- Mode routeur
dev tun # --- Mode routeur dev tun # --- Mode routeur
# --- Ce tunnel utilisera tcp # --- Ce tunnel utilisera tcp
# --- Ce tunnel utilisera tcp # --- Ce tunnel utilisera tcp
server
server195.195.195.224
195.195.195.224255.255.255.224 server
255.255.255.224 server195.195.195.224
195.195.195.224255.255.255.224
255.255.255.224
# --- Commande envoyé au client pour modifier sa table de # --- Commande envoyé au client pour modifier sa table de
# --- Commande envoyé au client pour modifier sa table de # --- Commande envoyé au client pour modifier sa table de
# --- routage. Dans ce cas, on redirige uniquement les paquets # --- routage. Dans ce cas, on utilise l’interface tunnel
# --- routage. Dans ce cas, on redirige uniquement les paquets # --- routage. Dans ce cas, on utilise l’interface tunnel
# --- à destination de 195.195.195.64/27 vers le tunnel. # --- comme route par défaut
# --- à destination de 195.195.195.64/27 vers le tunnel. # --- comme route par défaut
push
push"route
"route195.195.195.64
195.195.195.64255.255.255.224« push
255.255.255.224« push"redirect-gateway
"redirect-gatewaydef1"
def1"

##remarque
remarque: :
##serveur
serveur195.195.195.224
195.195.195.224255.255.255.224
255.255.255.224

##mode
modeserver
server
## tls-server
tls-server
##ifconfig 195.195.195.225
ifconfig 195.195.195.225195.195.195.226
195.195.195.226
##ifconfig-pool 195.195.195.228 195.195.195.254
ifconfig-pool 195.195.195.228 195.195.195.254
##route 195.195.195.224
route 195.195.195.224255.255.255.224
255.255.255.224
##push "route 195.195.195.224"
push "route 195.195.195.224"

OpenVPN – Lyon – 24 janvier 2006 – 15

 Configuration sécurisée

• Sécurisation du serveur
- Encapsuler le serveur (chroot)
- Clé partagée
- Authentification par certificats X509

OpenVPN – Lyon – 24 janvier 2006 – 16

 Sécurisation du serveur
1.1. Connexion
Connexionclient/serveur
client/serveur
2.2. Serveur
Serveur: : Réseau
Réseaudu
dulaboratoire
laboratoire
•• Alloue
Alloueles
lesadresses
adressesIP
IP
•• Envoie
Envoiedesdescommandes
commandes(créer
(créer Entité
Entité11
interface
interface réseau + modificationde
réseau + modification de
table de routage) Zone
Zone
table de routage)
semi-ouverte
semi-ouverte
3.3. Le
Letunnel
tunnelest
estétabli.
établi.

Site
Sitedistant
distant

Entité
Entiténn
Internet
Internet RR GB
GB C/R
C/R
X509

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
user/group semi-ouverte
semi-ouverte
authentifié
authentifié Script tls-verify
chroot
Zone
Zone
VPN
VPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 17

 Configuration serveur

#Fichier de configuration de OpenVPN partie SERVEUR # Fichier de configuration OpenVPN partie CLIENT
#Fichier de configuration de OpenVPN partie SERVEUR # Fichier de configuration OpenVPN partie CLIENT

… …
… …
# oblige l’extension ns-cert-type dans le certificat du
# oblige l’extension ns-cert-type dans le certificat du
# --- les serveur tourne sous l’utilisateur et sous le groupe # serveur avec la valeur « server »
# --- les serveur tourne sous l’utilisateur et sous le groupe # serveur avec la valeur « server »
# --- openvpn ns-cert-type server
# --- openvpn ns-cert-type server
user openvpn
user openvpn
group openvpn # Clé partagée
group openvpn # Clé partagée
# --- modifie la racine pour le serveur OpenVPN tls-auth "C:\\Program Files\\OpenVPN\\ta.key" 1
# --- modifie la racine pour le serveur OpenVPN tls-auth "C:\\Program Files\\OpenVPN\\ta.key" 1
chroot /etc/openvpn
chroot /etc/openvpn
# --------------------- Certificats ---------------------------
# --------------------- Certificats ---------------------------
# --- clé partagée utilisée lors de l’initialisation du tunnel tls-client
# --- clé partagée utilisée lors de l’initialisation du tunnel tls-client
tls-auth ssl-tls/ta.key 0
tls-auth ssl-tls/ta.key 0
pkcs12 "certif.p12"
pkcs12 "certif.p12"
# --------------------- Certificats --------------------------- …
# --------------------- Certificats --------------------------- …
tls-server
tls-server
# --- Paramètres Diffie-Hellman
# --- Paramètres Diffie-Hellman
dh dh1024.pem
dh dh1024.pem
ca ca.crt
ca ca.crt
cert serveur.pem
cert serveur.pem
key serveur.key
key serveur.key

…
…

OpenVPN – Lyon – 24 janvier 2006 – 18

 Certificat client

• Deux fichiers
Cert certificate.pem
Key key.pem

• Certificat dans fichier pkcs12

pkcs12 "C:\\Program Files\\OpenVPN\\config\\certificat.p12"

• Magasin de certificats Windows (machine)

cryptoapicert "THUMB:a9 54 e9 35 e2 53 33 c9 d0 54 4c f8 33 34 57 8c a8 a5 14 b9"

• Token USB ou carte

OpenVPN – Lyon – 24 janvier 2006 – 19

 Certificat client

• Certificat dans fichier pkcs12

pkcs12 "C:\\Program Files\\OpenVPN\\config\\certificat.p12«

• Magasin de certificats Windows (machine)

cryptoapicert "THUMB:a9 54 e9 35 e2 53 33 c9 d0 54 4c f8 33 34 57 8c a8 a5 14 b9"

OpenVPN – Lyon – 24 janvier 2006 – 20

 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 21

 Politique de sécurité

• Utilisation d’une zone pour les clients

• Maîtriser les flux Æ filtrages (serveur
OpenVPN, garde-barrière, routeur, etc.)
• Sous-zones par profil d’utilisateurs

OpenVPN – Lyon – 24 janvier 2006 – 22

 Politique de sécurité
Réseau
Réseaudu
dulaboratoire
Le(s) routeur(s) et garde barrière laboratoire

Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Site
Sitedistant
distant

Entité
Entiténn
Internet
Internet RR GB
GB C/R
C/R

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
GB sur le serveur OpenVPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 23

 Politique de sécurité
allocation des adresse IP par profil :
Réseau
Réseaudu
dulaboratoire
laboratoire
• sur adresse fixe
• dans une sous-zone Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn

Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone11
Zone
Zone
VPN
VPN Zone
Zone22
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 24

 Configuration serveur
#Fichier de configuration de OpenVPN partie SERVEUR # --- Commande envoyé au client pour modifier sa table
#Fichier de configuration de OpenVPN partie SERVEUR # --- de
Commande
routage envoyé au client pour modifier sa table
#----------------------Securite------------------------------ de routage
#----------------------Securite------------------------------ # --- Dans ce cas, on redirige tous les paquets à
# --- destination
Dans ce cas,deon redirige tous les paquets à
# ---------------- Vérification sur les clients ---------------- destination de
# ---------------- Vérification sur les clients ---------------- # --- 195.195.195.64/27 vers le tunnel.
# --- Script appelé lors de l’établissement de la connexion # --- 195.195.195.64/27 vers le tunnel.
# --- Script appelé lors de l’établissement de la connexion push "route 195.195.195.64 255.255.255.224"
client-connect "/script/connect" push "route 195.195.195.64 255.255.255.224"
client-connect "/script/connect"
client-config-dir /ccd
client-config-dir /ccd
#---------------------- Réseau --------------------------------
#---------------------- Réseau --------------------------------
dev tun # --- Mode routeur
dev tun # --- Mode routeur
# --- OpenVPN va assigner la 1ere adresse (.1) a
# --- l'extrémité
OpenVPN va assigner la 1ere adresse (.1) a
l'extrémité
# --- locale du tunnel (serveur) et va fournir aux clients
# --- locale du tunnel (serveur) et va fournir aux clients
# --- une adresse dans ce réseau en incrémentant
# --- une adresse dans ce réseau en incrémentant
server 195.195.195.224 255.255.255.240
server 195.195.195.224 255.255.255.240
# --- Ajoute la route suivante (zone VPN des
# --- administrateurs)
Ajoute la route suivante (zone VPN des
administrateurs)
# --- à la table de routage locale une fois le tunnel établi
# --- à la table de routage locale une fois le tunnel établi
# --- route réseau masque [passerelle] [metric]
# --- route réseau masque [passerelle] [metric]
route 195.195.195.240 255.255.255.240
route 195.195.195.240 255.255.255.240

OpenVPN – Lyon – 24 janvier 2006 – 25

 Exemples
#!/bin/bash
#!/bin/bash
#script /etc/openvpn/script/connect
#script /etc/openvpn/script/connect
LDAPSEARCH="/usr/bin/ldapsearch –x –s sub "
LDAPSEARCH="/usr/bin/ldapsearch –x –s sub "
LDAP_SERVER="ldap.monlabo.fr"
LDAP_SERVER="ldap.monlabo.fr"
LDAP_PORT=389
LDAP_PORT=389
LDAP_BASE="dc=monlabo,dc=fr"
LDAP_BASE="dc=monlabo,dc=fr"
DISPLAY_ATTRIBUTE="cn"
DISPLAY_ATTRIBUTE="cn"
CN=`expr "$tls_id_0" : '.*CN=\([^\/^,]*\)'`
CN=`expr "$tls_id_0" : '.*CN=\([^\/^,]*\)'`
RESULT=`$LDAPSEARCH -h $LDAP_SERVER -p $LDAP_PORT -b "$LDAP_BASE" cn="$CN"
RESULT=`$LDAPSEARCH -h $LDAP_SERVER -p $LDAP_PORT -b "$LDAP_BASE" cn="$CN"
$DISPLAY_ATTRIBUTE`
$DISPLAY_ATTRIBUTE`
NBRESULT=`echo "$RESULT" | grep "# numEntries: " | awk '{print $3}'`
NBRESULT=`echo "$RESULT" | grep "# numEntries: " | awk '{print $3}'`
if [ -n "$RESULT" ]
if [ -n "$RESULT" ]
then
then
if [ -n "$NBRESULT" ]
if [ -n "$NBRESULT" ]
then
then
if [ "$NBRESULT" -gt 0 ]
if [ "$NBRESULT" -gt 0 ]
then
then
exit 0;
exit 0;
fi
fi
fi
fi
fi
fi
exit 1;
exit 1;

#Fichier /et/openvpn/ccd/prenom_nom
#Fichier /et/openvpn/ccd/prenom_nom
ifconfig-push 195.195.195.229 195.195.195.230
ifconfig-push 195.195.195.229 195.195.195.230

OpenVPN – Lyon – 24 janvier 2006 – 26

 Exemples
#!/bin/bash
#!/bin/bash
#script /etc/openvpn/script/connect
#script /etc/openvpn/script/connect
LDAPSEARCH="/usr/bin/ldapsearch –x –s sub "
LDAPSEARCH="/usr/bin/ldapsearch –x –s sub "
LDAP_SERVER="ldap.monlabo.fr"
LDAP_SERVER="ldap.monlabo.fr"
LDAP_PORT=389
LDAP_PORT=389
LDAP_BASE="dc=monlabo,dc=fr"
LDAP_BASE="dc=monlabo,dc=fr"
DISPLAY_ATTRIBUTE="cn"
DISPLAY_ATTRIBUTE="cn"
CN=`expr "$tls_id_0" : '.*CN=\([^\/^,]*\)'`
CN=`expr "$tls_id_0" : '.*CN=\([^\/^,]*\)'`
RESULT=`$LDAPSEARCH $LDAP_OPT -h $LDAP_SERVER -p $LDAP_PORT -b "$LDAP_BASE" cn="$CN" DISPLAY_ATTRIBUTE`
RESULT=`$LDAPSEARCH $LDAP_OPT -h $LDAP_SERVER -p $LDAP_PORT -b "$LDAP_BASE" cn="$CN" DISPLAY_ATTRIBUTE`
NBRESULT=`echo "$RESULT" | grep "# numEntries: " | awk '{print $3}'`
NBRESULT=`echo "$RESULT" | grep "# numEntries: " | awk '{print $3}'`
if [ -n "$RESULT" ]
if [ -n "$RESULT" ]
then
then
if [ -n "$NBRESULT" ]
if [ -n "$NBRESULT" ]
then
then
if [ "$NBRESULT" -gt 0 ]
if [ "$NBRESULT" -gt 0 ]
then
then
exit 0;
exit 0;
fi
fi
fi
fi
Fi
Fi
if [ $tls_id_0 = "la valeur du DN" ]
if [ $tls_id_0 = "la valeur du DN" ]
then
then
echo ‘ifconfig-push 195.195.195.229 195.195.195.230’ > $1
echo ‘ifconfig-push 195.195.195.229 195.195.195.230’ > $1
fi
fi
exit 1;
exit 1;

#Fichier /et/openvpn/ccd/prenom_nom
#Fichier /et/openvpn/ccd/prenom_nom
ifconfig-push 195.195.195.229 195.195.195.230
ifconfig-push 195.195.195.229 195.195.195.230

OpenVPN – Lyon – 24 janvier 2006 – 27

 Plan

• Problématique
• Architectures possibles
• Principes d’OpenVPN
• Configuration
- De base
- Sécurisée
• Politique de sécurité
• Inconvénients / Avantages

OpenVPN – Lyon – 24 janvier 2006 – 28

 Inconvénients
• Gaspillage d’adresses : un subnet /30 par client

[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]

[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]

OpenVPN – Lyon – 24 janvier 2006 – 29

 Inconvénients

• Utilisation du client Windows possible

selon trois cas :
- Utilisateur est aussi un administrateur de
son ordinateur
- Utilisateur connaît le mot de passe d’un
administrateur Æ « exécuter sous »
- Utilisateur ne connaît pas le mot de passe
d’un administrateur

OpenVPN – Lyon – 24 janvier 2006 – 30

 Avantages

- Facile à utiliser, robuste, sécurisé, rapide,

portable et configurable sur tous les
systèmes d'exploitations.
- Compatible avec le NAT et l'adressage
dynamique.
- Hautement configurable
- Evolutif ( OpenSSL et pilote TUN/TAP )

OpenVPN – Lyon – 24 janvier 2006 – 31

 Liens utiles

• Lien officiel : http://openvpn.net

• Documentation (français) :
http://lehmann.free.fr/openvpn/OpenVPNIndex
• Interfaces graphiques :
http://openvpn.net/gui.html

OpenVPN – Lyon – 24 janvier 2006 – 32

Questions ?

www.urec.cnrs.fr
 Réseau
Réseaudu
dulaboratoire
laboratoire

Entité
Entité11
Zone
Zone
semi-ouverte
semi-ouverte

Site
Sitedistant
distant

Internet
Internet RR GB
GB C/R
C/R Entité
Entiténn

Client OpenVPN
Serveurs
Serveurs
Zone
Zone internes
internes
semi-ouverte
semi-ouverte
authentifié
authentifié
Zone
Zone
VPN
VPN
Serveur OpenVPN

OpenVPN – Lyon – 24 janvier 2006 – 34