Scribd Logo
Importer

Bienvenue sur Scribd !

  • Rep Port

    Transféré par

    Hajar CHABBOUT
    32 vues22 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    32 vues22 pages

    Rep Port

    Transféré par

    Hajar CHABBOUT

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 22

    Objectif :

    -Configurer un VPN SSL (Secure Socket Layer)client-to-site sous PfSense via


    openVPN pour que un ordinateur peut accéder à distance aux ressources d’une
    entreprise.

    Outils :
    -Interface web.
    -OpenVPN.
    L’architecture :

    Figure 1 Schéma de l'architecture

    I. Crée l’autorité de certification :


    -On se connecte d’abord au notre pare feu PfSense via le lien :
    http://192.168.10.1/
    -On va accéder au menu system > Cert. Manager comme il est afficher dans
    l’image ci-dessus :
    Figure 2 l'interface PfSense

    Puis on choisit Cas et on clique sur le bouton Add :

    Figure 3 la page Cas

    Puis on remplit le certificat avec les informations nécessaires :


    La mèthode sera Create an internat Certificate Authority
    Figure 4 page Cas

    Puis on clique sur Save pour crée l’autorité certificat comme il est montré ce dessus
    Figure 5 La certificat bien enregistrer

    II. Créer le certificat Server :


    Sur la même page on va à l’onglet Certificates puis on clique sur Add/Sign :

    Figure 6 L'onglet Certificates

    On crée une certificat interne puis on le donne un nom, ensuite en remplis les
    champs restant avec les informations de notre pays :
    Figure 7 Page certificates

    Puis pour le type de certificat on choisit Server Certificate :


    Figure 8 Certificate Attributes

    On clique save et on obtient le résultat suivant :

    Figure 9 Le résultat obtenus

    On a bien créé les certificats nécessaires on passe à l’utilisateur locaux.


    III. Créer les utilisateurs locaux :
    -On vas à system puis User Manager :

    Figure 10 User Manager

    On clique sur Add :

    Figure 11 Page user

    On obtient la page suivante, on remplit le nom, le mot de passe et on couche la case


    de : click to create user certificat pour afficher la liste de Create Cetificate For
    User:
    Figure 12 Page user

    On remplit le nom :

    Figure 13 Page user

    On clique save et on obtient la page suivante:


    Figure 14 Admin crée

    IV. Crée une configuration OpenVPN :


    On va à VPN > OpenVPN on obtient la page suivante :

    Figure 15 Page OpenVPN

    On clique sur Add et on passe à la configuration :


    On choisit Remote Access (SSL/TLS + User Auth ) puise que c’est un accés distant
    qui va sa baser sur une authentification par certificat et par compte utilisateur .
    Figure 16 Général information

    Pour le chiffrement :
    -On choisit les certificats qu’on a déjà crée
    -Pour l’algorithme de la cryptographie on choisit AES-256-CBC(256 bit key ,128
    bit blocks)
    Figure 17 La partie de chiffrement

    Puis on va au paramètres du tunnel VPN :


    IPv4 Tunnel Network : adresse du réseau VPN, c'est-à-dire que lorsqu'un client va
    se connecter en VPN il obtiendra une adresse IP dans ce réseau au niveau de la carte
    réseau locale du PC
    - Redirect IPv4 Gateway : si on coche cette option, on passe sur un full tunnel c'est-
    à-dire que tous les flux réseau du PC distant vont passer dans le VPN, sinon nous
    sommes en split-tunnel
    - IPv4 Local network : les adresses réseau des LAN qu’on souhaite rendre
    accessibles via ce tunnel VPN. Dans notre exemple, On souhaite rendre accessible le
    réseau 192.168.1.0/24 via le VPN.
    - Concurrent connections : le nombre de connexions VPN simultanés que nous
    autorisons.
    Figure 18 Tunnel settings

    Puis on trouve les paramètres du client :


    On couche l'option "Dynamic IP" : si l'adresse IP publique d'un client change, il
    pourra maintenir sa connexion VPN.
    Pour la topologie on choisit "net30 - isolated /30 network per client" pour que
    chaque client sera isolé dans un sous-réseau de la plage VPN.

    Figure 19 Les paramètres du client

    Descendant dans la page. Dans la zone "Custom options", on indique : auth-


    nocache. Cette option offre une protection supplémentaire contre le vol des
    identifiants en refusant la mise en cache.
    Figure 20 Advanced Configuration

    On clique sur Save et voilà la configuration VPN est prête .

    Figure 21 Configuration VPN

    V. Exporter la configuration OpenVPN :


    Pour télécharger la configuration au format openVPN, il est nécessaire d'installer
    un paquet supplémentaire sur notre pare-feu.
    Dans le menu suivant : System > Package Manager > Available Packages.
    On cherche "openvpn" et installez le paquet : openvpn-client-export.
    Figure 22 Packages manager

    Puis on va a VPN> OpenVPN dans l’onglet Client Export :


    On choisit l'option "Interface IP Address" pour l'option "Host Name Résolution"
    car on veut utiliser une adresse IP publique :

    Figure 23 Client export

    Les autres options sont laissées par défaut.


    Il y a seulement notre option "auth-nocache" à reporter dans la section des options
    additionnelles.
    Figure 24 Client export

    Puis on clique Save as default.


    Tout en bas de la page on a la possibilité d’exporter la configuration pour le client
    qu’on a déjà créé on va à Bundled Configurations et on clique sur Archive.

    Figure 25 Exporter la configuration

    Voici le contenu de l'archive ZIP téléchargée :


    Figure 26 Le contenu du ZIP

    VI. Les règles de firewall pour OpenVPN


    On passe maintenant à la création des règles firewall pour autoriser la connexion au
    VPN : Firewall>Rules>WAN>Add
    Pour l’interface WAN on choisit le protocole UDP

    Figure 27 Rules firewall

    Ensuite on configure la destination pour cette dernier on met l’adresse WAN de


    notre firewall et le port c’est celui qu’on a déjà définit 1194
    Figure 28 Rules firewall

    On sauvegarde et on applique les changements on a donc l’accès au tunnel VPN


    mais pas au ressource de l’entreprise.
    On va maintenant à l’onglet OpenVPN pour qu’on donne accès a notre ressource
    d’entreprise.
    Figure 29 Configuration d'openVPN

    VII. Tester l’accès distant :


    -On commence d’abord par télécharger OpenVPN
    Dans le dossier "C:\Programmes\OpenVPN\Config" on doit extraire le contenu
    de l'archive ZIP téléchargée depuis le Pfsense et qui contient la configuration.
    Ensuite, sur l'icône OpenVPN effectuez un clic droit on clique sur "Connecter".
    Figure 30 l'icône OpenVPN

    On doit saisi le nom et le mot de passe pour le client qu’on a déjà créé :

    Figure 31 Interface OpenVPN

    Lorsque le tunnel VPN est monté et actif, l'icône devient vert :


    Figure 32 tunnel VPN actif

    Si l'on effectue un ipconfig sur le PC, nous pouvons voir que l'on a bien une adresse
    IP sur la plage 10.10.10.0, avec un sous-réseau en /30 pour l'isolation des clients.

    Figure 33 ipConfig

    Donc la connexion au ressources entreprise est bien crée.

    Vous aimerez peut-être aussi