CENTRE DE FORMATION PROFESSIONNELLE

BERNE FRANCOPHONE

INSTALLATION D’OPNSENSE

ICH-184

Di Caprio Louis
CEFF  Industrie | Rue Baptiste-Savoye 26 | 22.03.2022

Boulahdjar Ahmed
0/38
TABLE DES MATIÈRES
1. INTRODUCTION
2. SCHEMA RESEAU
3. INSTALLATION - OPNSENSE
4. CONFIGURATION DU ROUTEUR – ADRESSES
5. INTERFACE WEB – CONFIGURATION DU ROUTEUR
6. CREATION DU VLAN
7. INSTALLATION DU MODULE – LLDP
8. CONFIGURATION DU NAS
9. CREATION DE LA DMZ
10. ADRESSAGE LAN
11. DECOUVERTE DU RESEAU
12. MISE EN PLACE D’UN VPN

1/38
1. INTRODUCTION
Dans ce cours, nous allons voir tous les moyens de pouvoir protéger son propre réseau l’aide
des Firewall, des restrictions du WAN.

2/38
2. SCHEMA RESEAU

3/38
3. INSTALLATION - OPNSENSE
Une fois que le routeur est connecté à tous le reste et au PC, il faut allez sur TeraTerm pour
pouvoir se connecter à sa console OPNSENSE.

Sur TeraTerm  Configuration  Port Série  Vitesse à 115200

Normalement le routeur et la carte réseau du PC doivent être sur le même sous-réseau pour
pouvoir se connecter à l’interface Web avec l’adresse IP : 192.168.1.1

4/38
4. CONFIGURATION DU ROUTEUR – ADRESSES
Lan :

172.21.n0.1 /24

Lan : none

tracking --> none

range :

172.21.n0.100

172.21.n0.199

HTTPS -> HTTP : none

Generate new self-signed GUI certificate ? : none

GUI Access default ? : none

Sur le PC client :

adresse donné : 172.21.n0.100 --> première adresse de la plage

Lorsque l'on va sur l'interface web (172.21.n0.1) --> Attention

certificat auto-généré..., c'est pour cela qu'il dit attention

Login site web :

admin...

Configuration interface WEB :

5/38
Nom : routeur

Domaine : zes.ich184

Langue : Anglais

Timezone : Zurich

WAN : DHCP (pas toucher)

Pare-feu (dans l'onglet system) :

Block RFC1918 Private Networks : Block

On bloque car sur Internet, les adresses internet ne circule pas

6/38
5. INTERFACE WEB – CONFIGURATION DU ROUTEUR
Pour configurer le routeur, une fois connecté sur l’interface Web de celui-ci il faut lancer le
Wizard.

Sur System  Wizard, on suit les étapes.

Dans la première étape il est possible de modifier certains paramètres comme : le nom de l’hôte, le
domaine, la langue, l’ip du DNS, etc..

Dans la prochaine étape, il faut modifier le format de la Timezone et la mettre sur Europe/Zurich pourque
l’heure du routeur corresponde à l’heure de la suisse.

7/38
8/38
Ici, il n’y a rien à modifier

Ensuite on laisse l’adresse IP car on l’a déjà modifié auparavant.

9/38
L’étape d’après permet de modifier le mot de passe ROOT

Cliquez ensuite sur Reload pour que les paramètres s’appliquent.

10/38
6. CREATION DU VLAN
Depuis le routeur OPNSENSE, il faut créer un VLAN pour pouvoir connecter le WAN.

 Dans Interfaces  Other Types  VLAN, on va pouvoir cliquer sur la croix pour en
ajouter 1. (Normalement, aucun ne sera déjà créé).

11/38
 Ensuite, on choisit pour quoi on veut créer le VLAN (en l’occurrence on prend le WAN)
 Sur la deuxième ligne (VLAN tag) on choisit avec quel numéro on veut le tagger. (le 8
dans ce cas)
 Dans VLAN priority on laisse par défaut sauf en cas de spécifications
 Description (si on veut rajouter un texte en cas de grands nombre de VLAN pour mieux
se retouver, mais ce n’est pas obligatoire)

12/38
7. INSTALLATION DU MODULE – LLDP
Sur l’onglet Firmware  Updates, on installe les mises à jour pour que le routeur prenne en
compte le modules OS-LLDP.

 Une fois la mise à jour terminée, on va sur Plugins et on recherche LLPD.

 On l’installe et une fois installer il se retrouve sur l’onglet Services  LLDP

Pour pouvoir ensuite communiquer avec ses voisins, il faut activer Daemon.

On pourra ensuite sur l’onglet Neighbors, voir sur quel port on est.

13/38
14/38
8. CONFIGURATION DU NAS
Pour attribuer une adresse IP statique sur le NAS, une fois connecté dessus il faut :

 Panneau de configuration  Système  Réseau et services  Network & Virtual

Switch  Adapter 2 (Configurer)  Et on va pouvoir attribuer ici une adresse IP

statique

15/38
9. CREATION DE LA DMZ
Sur le routeur, en allant dans la catégorie : Interfaces  Assignments, on va pouvoir créér un
DMZ.

 En cliquant sur le « + », on peut ensuite choisir quelle connexion on veut le OPT1

 On clique ensuite sur OPT1 pour pouvoir activer l’interface et la renommer en DMZ.

16/38
 En cochant la case Enable, une série de paramètres va s’ouvrir. On clique sur la liste
déroulant IPv4 Connection Type  Static IPv4 et on va la définir un peu plus bas
 172.21.31.1/24

 Ensuite sur Services DHCPv4  DMZ on va activer le DHCP et définir une plage
d’adresse.

17/38
10. ADRESSAGE LAN
Il faut maintenant définir des adresses IP fixe pour chacun de nos composants connectés au
réseau.

18/38
11. DECOUVERTE DU RESEAU
Sur la VM du serveur ESXI, après l’installation du logiciel spiceworks, on veut scanner le réseau
pour voir toutes nos adresses IP liées à notre réseau.

 Une fois le logiciel installé, on va le lancer.

 On se connecte ensuite avec ce compte :

 Ensuite on entre les informations par rapport au groupe : A3

 On choisit ensuite l’option du

scan

19/38
20/38
 Ensuite on vien spécifier des credentials lié au domaine A3\

21/38
12. MISE EN PLACE D’UN VPN
12.1. SÉLECTION DU TYPE D’AUTHENTIFICATION DES UTILISATEURS
La première étape consiste à sélectionner comment authentifier les utilisateurs du VPN.

Dans notre cas nous utiliseron le choix par défaut : « Local User Access ».

A titre d’information, voici les choix possibles :

 Local User Access : utilisateurs créés localement dans le routeur

 LDAP (Lightweight Directory Access Protocol) : serveur LDAP (p.ex.un contrôleur de
domaine Active Directory)
 Radius (Remote Authentication Dial-In User Service) : serveur Radius (p.ex. Microsoft
NPS)

12.2. SÉLECTION / CRÉATION D’UNE AUTORITÉ DE CERTIFICATION (CA)

Pour pouvoir délivrer des certificats, il faut préalablement créer une autorité de certification.
L’assistant vous propose soit de sélectionner une autorité existante ou d’ans créer une
nouvelle. Normalement, on n’a besoin que d’une autorité de certification pour l’entreprise. Donc
si vous en avez déjà créé une, sélectionnez celle-là, sinon créez en une nouvelle :

22/38
Dans la capture d’écran ci-dessus, une autorité de certification est déjà existante, on pourrait
donc simplement cliquer sur « Next ». Si vous n’avez pas encore créé d’autorité, cliquez sur
« Add new CA » pour en créer une nouvelle.

23/38
Voici le dialogue de création d’une autorité de certification :

Les champs encadrés en rouges sont à modifier, pour les autres nous laisserons les valeurs
par défaut. Voici quelques explications :

1. Nom descriptif de l’autorité de certification

2. Longueur de la clé de cryptage, la valeur par défaut (2048 bits) est un bon compromis
entre sécurité et charge CPU

24/38
 3. La durée de vie de l’autorité de certification est par défaut 2 ans, il n’est pas rare de
choisir des durées plus longues, p.ex. 3650 jours (10 ans)
4. Code ISO du pays, « CH » pour la Suisse
5. En Suisse, on utilise généralement le canton pour le champ état ou province
6. Localité du siège de l’autorité
7. Nom de l’entreprise gérant l’autorité
8. Email permettant de contacter l’entreprise

12.3. SÉLECTION / CRÉATION D’UN CERTIFICAT POUR LE SERVEUR OPENVPN

A cette étape, vous pouvez choisir ou créer un certificat pour votre serveur VPN :

Lors de l’installation de OPNsense, un certificat est automatiquement généré pour l’interface

Web de gestion du routeur « Web GUI TLS Certificate ». N’utilisez pas ce certificat, mais créez
en un dédié à votre serveur. Il est important que ce certificat soit émis par votre autorité de
certification. Cliquez donc sur « Add new Certificate » pour lancez l’assistant :

25/38
A part pour le champ encadré en rouge, les valeurs par défaut peuvent utilisées sans autres. A
titre indicatif, voici la signification de ces champs :

1. Nom descriptif de certificat : cette valeur est purement descriptive, entrez un texte qui a
du sens pour vous permettre d’identifier ce certificat par la suite
2. Longueur de la clé de cryptage du certificat : 2048 bits est une valeur raisonnable
3. Durée de vie du certificat : 397 jours (un peu plus d’un an) est suffisant pour cet
exercice, mais pour un serveur réel une valeur plus élevée (p.ex. 5 ans) évitera d’avoir à
redéployer ce certificat trop fréquemment
4. Code ISO du pays, « CH » pour la Suisse
5. En Suisse, on utilise généralement le canton pour le champ état ou province

26/38
 6. Localité du siège de l’autorité
7. Nom de l’entreprise gérant l’autorité
8. Email permettant de contacter l’entreprise
Les champs 4-8 sont simplement repris de ceux de l’autorité de certification. S’ils ne
correspondent pas, adaptez-les à votre situation.

1. Définition des paramètres du serveur OpenVPN

12.4. DÉFINITION DES PARAMÈTRES DU SERVEUR OPENVPN

Le serveur OpenVPN a de nombreux paramètres possibles et il n’est pas possible de les
regrouper sur une seule capture d’écran. Ils ont donc été répartis sur plusieurs pages. Comme
d’habitude dans ce document, les champs à modifiés sont encadrés en rouges. Pour les autres,
les valeurs par défaut conviennent très bien. Vu le nombre élevé de champs, nous nous
limiterons à décrire les plus importants.

27/38
 1. Par défaut, le serveur OpenVPN est activé sur toutes les interfaces réseau du routeur.
Dans notre cas nous nous limiterons à l’interface « WAN »
2. Le protocole par défaut est « UDP ». Il est plus performant que « TCP » mais il est
parfois bloqué par certain routeur. Sauf problème de compatibilité, il est recommandé de
laisser « UDP »
3. Le port par défaut est 1194. En laissant ce champ vide, le l’assistant prendra
automatiquement le premier port libre en partant de 1194
4. Nom descriptif de votre serveur
La capture suivante montre les paramètres cryptographiques du serveur. A moins que vous
maîtrisiez bien ces valeurs, laissez-les par défaut :

28/38
Sur la page suivante, vous trouverez les paramètres IP du tunnel. Parmi ceux-ci, seuls « IPv4
Tunnel Network » et « IPv4 Local Network » sont important pour nous :

1. IPv4 Tunnel Network : définit le sous-réseau à utiliser entre le client et le serveur VPN. Il
est important de choisir une plage d’adresse privée qui ne soit pas utilisée si du côté du
client, ni du côté du serveur. Typiquement, on évitera la plage 192.168.1.0/24 souvent
utilisée par les routeurs d’accès Internet, ainsi que celles utilisées dans l’entreprise
(172.21.30.0/23 dans cet exemple)
2. Ne cochez pas la case « Redirect Gatewa » à moins que vous vous souhaitiez rediriger
tout le trafic Internet du client au travers du VPN
3. IPv4 Local Network : liste des plages d’adresses du réseau de l’entreprise auxquelles
vous souhaitez accéder via le VPN. Dans cet exemple, nous souhaitons pouvoir accéder
au LAN (172.21.30.0/24) et à la DMZ (172.21.31.0/24). On indiquera donc les deux

29/38
 réseaux déparés par une virgule ou la plage 172.21.30.0/23 qui regroupe les deux sous-
réseaux
4. Si vous cochez cette case les clients VPN pourrons se voir >

 (accéder aux autres PC connectés au VPN). Cette option n’est généralement pas
souhaitable

30/38
31/38
Sur la page suivante vous trouverez les options spécifiques au client VPN :

1. Suffixe DNS de votre entreprise. Evite d’avoir à entre les noms complets des machines
du réseau de l’entreprise
2. Serveur DNS interne de l’entreprise

12.5.

CRÉATION DES RÈGLES DU PARE-FEU

L’assistant vous propose ensuite de créer les deux règles nécessaires au fonctionnement du
VPN dans le pare-feu du routeur. Il est vivement recommandé de cocher les deux cases à
moins que vous soyez capable de créer ces règles manuellement :

32/38
 1. Cette règle permet l’établissement de la connexion VPN. Elle autorise les connexions
entrantes sur l’adresse WAN du routeur sur le port du serveur VPN (p.ex. UDP 1194)
2. Permet au trafic entrant par le VPN d’accéder au réseau interne du routeur. Cette règle
est par défaut assez permissive : elle autorise le trafic entrant par le VPN sans
restriction de destination

12.6. CRÉATION DES UTILISATEURS VPN

Maintenant que le serveur VPN est configuré, il faut créer les utilisateurs autorisés à se
connecter. Pour cela, rendez-vous dans le menu System -> Access -> Users et cliquez sur le
bouton « +Add » (en haut à droite). Vu le nombre élevé de champs du formulaire, seuls les
champs importants sont visibles dans les captures d’écran suivantes :

33/38
 1. Nom de login de l’utilisateur
2. Mot de passe et confirmation
3. Mont complet de l’utilisateur (optionnel)

! Il est indispensable de sélectionner l’option de création de certificat pour l’utilisateur, sinon il

n’apparaîtra pas dans la liste des utilisateurs VPN.

Répétez cette opération pour chaque utilisateur désirant utiliser le VPN.

12.7. EXPORTATION DU FICHIER DE CONFIGURATION DES CLIENTS VPN

Pour se connecter au VPN, les clients auront besoin d’un fichier de configuration, d’un certificat
et d’une clé. Ces 3 objets peuvent être regroupés en un seul fichier en sélectionnant l’option
« File only » dans le menu d’exportation.

Pour accéder à l’exportation, dans l’interface de gestion Web du routeur, sélectionnez le menu
VPN -> OpenVPN -> Client Export :

34/38
1. Si vous avez plusieurs serveurs VPN, sélectionnez celui que vous souhaitez
2. Choisissez « File Only » pour regrouper toutes les informations dans un seul fichier$

35/38
 3. Normalement, on indique ici le nom DNS qui pointe sur l’adresse WAN du routeur, mais
pour cet exercice, on se contentera d’entrer l’adresse IP de l’interface WAN
4. Cliquez sur l’icône à droite du nom de l’utilisateur pour lequel vous désirez exporter la
configuration

12.8. CONFIGURATION DU CLIENT VPN SUR LE PC EXTERNE

Il existe de multiples clients pour OpenVPN. Dans notre cas nous allons utiliser le client de la
version community que vous pouvez télécharger ici :

https://openvpn.net/community-downloads/

Une fois le client installé sur le PC externe (typiquement votre PC à la maison), copiez le fichier
de configuration exporté précédemment dans le dossier de configuration du client OpenVPN,
par défaut, si l’utilisateur s’appelle Thierry :

C:\Utilisateurs\Thierry\OpenVPN\config.

Le client OpenVPN est accessible via le « systray ». En effectuant un clic droit sur l’icône
OpenVPN vous accédez au menu de l’application :

Si vous n’avez qu’une seule configuration VPN dans le dossier « config », vous ne verrez que
l’option « Connecter », sinon vous aurez la liste des VPN configurés.

36/38
Cliquez simplement sur connecter pour établir la connexion.

37/38