Scribd Logo
Importer

Bienvenue sur Scribd !

  • OPNsense - Configuration D'un VPN SSL Road Warrior Avec PKI - Aukfood

    Transféré par

    Aina Tanjona Randriambolarivo
    77 vues9 pages

    Titre original

    OPNsense _ Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    77 vues9 pages

    OPNsense - Configuration D'un VPN SSL Road Warrior Avec PKI - Aukfood

    Transféré par

    Aina Tanjona Randriambolarivo

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 9

    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    OPNSENSE : CONFIGURATION
    D’UN VPN SSL ROAD WARRIOR
    AVEC PKI

    Le but de cette documentation va être de configurer un serveur VPN dit SSL Road Warrior sur
    OPNsense (Un PFsense en mieux et totalement opensource :P). Les clients VPN pourront accéder à
    des ressources sur le réseau LAN distant de façon sécurisé.
    Le serveur VPN sera OpenVPN et celui-ci sera configuré de façon à accepter les connexions sur le
    port HTTPS (TCP 443). De cette façon, l'accès pourra se faire de n'importe où car ce port n'est pas
    (ou très très très rarement) filtré sur une connexion standard à Internet.
    Une autorité de certification sera créé pour délivrer un certificat afin de sécuriser les échanges.
    Un exemple de configuration d'un client sous Windows 10 est traité à la fin.
    Let's go !!!

    CONTEXTE
    Voici la version utilisée d'OPNsense :
    OPNsense 22.1.2_2-amd64
    FreeBSD 13.0-STABLE
    OpenSSL 1.1.1m 14 Dec 2021
    Au niveau des interfaces de paramétrées :
    LAN = 192.168.56.254/24
    WAN = IP_PUBLIC
    Aucune configuration particulière à été apportée après l'installation d'OPNsense à part l'adressage
    IP des interfaces WAN et LAN.
    Tout le paramétrage sera à réaliser à travers l'interface web d'administration
    d'OPNsense.

    PKI
    CRÉATION DE L'AUTHORITÉ DE CERTIFICATION
    Dans System (1), Trust (2), Authorities (3), cliquer sur + (4) pour ajouter une authorité de
    certification :

    Confidentialité - Conditions

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 1/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    Sélectionner Create an internal Certificate Authority :

    Je ne vais pas traiter la partie algorithme ni de type ou de longueur de clef. Je laisse les
    paramètres par défaut mais dans un contexte de production, il sera important de
    modifier ces différents paramètres.

    Entrer une Descriptive name ainsi que le Common Name et les informations désirées.
    Enregistrer la nouvelle authorité de certification :

    GÉNÉRATION DU CERTIFICAT SERVEUR


    Dans Certificates (1), cliquer sur + (2) pour ajouter un nouveau certificat :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 2/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    Sélectionner Create an internal Certificate :

    Même remarque que précédement concernant la partie algorithme, clef...

    Entrer une Descriptive name. Sélectionner le bon Certificate authority et le type Server
    Certificate.
    Les informations provenant de l'authorité de certification doivent être pré-remplies.
    Renseigner le Common Name :

    Enregistrer le nouveau certificat :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 3/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    OPENVPN
    Dans VPN (1), OpenVPN (2), Servers (3), cliquer sur l'icône du Wizard (4) :

    En passant par le wizard, il y aura la possibilité de créer automatiquement les 2 règles


    nécessaires pour autoriser le flux provenant des clients VPN.Sinon, il faudra les ajouter à
    la main, ça fonctionne très bien aussi.

    Type de serveur d'authentification : Local User Access


    Authorité de certification : OPNsense-CA
    Certificat : OPNsense-VPN-Cert
    Dans la partie General OpenVPN Server Information, renseigner les paramètres suivants :

    Les clients se connecteront sur l'interface WAN d'OPNsense par le protocol TCP sur le port
    443. Par défaut OpenVPN écoute sur le port 1194 en UDP. Pour que la connexion soit possible
    depuis n'importe quel réseau Internet, il faut bien modifier ce paramètre. C'est quasiment
    indétectablement par les pare-feux pour faire la différence avec du flux HTTPS (du stateful
    inspection permet de faire la différence).
    Dans la partie Tunnel Settings, renseigner les paramètres suivants :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 4/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    Dans IPv4 Tunnel Network, entrer le réseau virtuel qui sera attribué aux clients VPN.
    Dans IPv4 Local Network, entrer le réseau LAN qui doit être accessible aux clients VPN.
    Le reste des paramètres sont laissés par défaut. Ils pourront être définis si besoin mais
    ne seront pas traités dans cet article.

    Passer à la prochaine étape en cliquant sur Next.


    Cocher Firewall Rule et OpenVPN Rule pour générer les 2 règles adéquats dans le pare-feu :

    Valider en cliquant sur Next puis Finish pour terminer le paramétrage du serveur VPN.

    UTILISATEUR
    CRÉATION D'UN UTILISATEUR
    Dans System (1), Access (2), Users (3), cliquer sur + (4) pour ajouter un nouveau utilisateur :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 5/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    Renseigner un Username et un Password :

    Plus bas, cocher Click to create a user certificate :

    Terminer en cliquant sur Save. Cela déclenche la génération d'un certificat.


    GÉNÉRATION DU CERTIFICAT UTILISATEUR
    Sélectionner Create an internal Certificate :

    Entrer une Descriptive name. Sélectionner le bon Certificate authority et le type Client
    Certificate.
    Les informations provenant de l'authorité de certification doivent être pré-remplies.
    Renseigner le Common Name.
    Enregistrer le nouveau certificat.
    Le certificat est maintenant associé à l'utilisateur :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 6/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    (https://www.aukfood.fr)

    Terminer en cliquant sur Save.

    CLIENT WINDOWS
    EXPORTATION DE LA CONFIGURATION CLIENT
    Dans VPN (1), OpenVPN (2), Client Export (3), télécharger l'archive contenant la confirmation
    client d'OpenVPN avec le certificat utilisateur correspondant :

    En cochant Windows Certificate System Store, un certificat .crt est récupéré. Malgré le
    faites de l'inscrire (ou d'inscrire le CA) dans le magasin (des certificats de l'ordinateur) des
    autorités de certification racines de confiance, celui-ci ne sera pas approuvé.

    Le contenu de l'archive récupérée contient les éléments suivant :

    OPNsense_VPN_Server_batman_vpn-tls.key
    OPNsense_VPN_Server_batman_vpn.ovpn
    OPNsense_VPN_Server_batman_vpn.p12

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 7/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood

    INSTALLATION DU CLIENT
    (https://www.aukfood.fr)
    Sur le poste client en Windows 10 :
    Télécharger le client OpenVPN Community :
    https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.7-I602-amd64.msi
    (https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.7-I602-amd64.msi)
    Installer le client OpenVPN (Attention, il faudra des droits d'administrateur sur le poste
    Windows).
    Un message d'avertissement indique qu'il n'y a aucun profil de connexion.
    Copier le contenu de l'archive préalablement exporter dans le répertoire
    %USERPROFILE%\OpenVPN\config :

    Se connecter :

    Un message peut survenir indiquant que l'utilisateur Windows doit faire partie du groupe local
    de la machine OpenVPN Administrators :

    Si contexte de domaine, une GPO peut appliquer ce paramètre automatiquement.

    S'identifier avec le compte utilisateur créé précédement dans OPNsense :

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 8/9
    28/09/2023 09:30 OPNsense : Configuration d'un VPN SSL Road Warrior avec PKI - Aukfood
    La connexion VPN est établie :
    (https://www.aukfood.fr)

    (htt
    ps:
    //w
    ww. (htt (htt
    link ps: /ps: /p
    SUIVEZ-NOUS
    edi //t eer
    n.c witt tub
    om er.c e.a
    /co om ukf
    mp /auSARL
    AUKFOOD ood
    any kfod’Angleterre
    101 boulevard .net
    /auLa od)
    85000 Roche Sur Yon
    /)
    kfo
    od/ UTILES
    LIENS
    )
    Offres de stage
    Mentions Légales
    Exercer vos droits personnelles

    CONTACTEZ-NOUS
    « * » indique les champs nécessaires
    E-mail *

    Saisissez votre adresse mail pour que nous puissions vous recontacter dans les plus
    brefs délais.
    Votre message *

    Formuler le message que vous souhaitez nous faire parvenir.


    Consentement *
    J'accepte que mon mail soit utilisé par Aukfood pour me recontacter

    ENVOYER

    https://www.aukfood.fr/opnsense-configuration-dun-vpn-ssl-road-warrior-avec-pki/ 9/9

    Vous aimerez peut-être aussi