Académique Documents
Professionnel Documents
Culture Documents
I – Premiers tests
Dans un premier temps je vais mettre en place un VPN non chiffré entre 2 machines, juste afin
de se familiarisé avec les paramètres d’un VPN.
MACHINE SERVEUR
Pour le moment nous avons deux interfaces réseau.
Je passe en root afin de créer un tunnel (ici tun1 mais on le nomme comme on veut).
- 1ère adresse IP (ici 10.0.0.1) interface ip du serveur.
- 2ème adresse IP (ici 10.0.0.2) interface ip distante (client).
Un message de mis en garde est affiché car le VPN n’est pas chiffré. Si je suis victime d’une
attaque MITM, l’attaquant pourra observer les différents messages échangés.
Je remarque que l’adresse IP du tunnel a bien été ajoutée. Le ping fonctionne de l’interface
de Bob vers celle de Nicolas et inversement.
II - Deuxièmes tests : Utilisation d’une clé partagée
Je vais créer un nouveau tunnel qui, cette fois, sera chiffré grâce à une clef partagée entre le
serveur et le client.
MACHINE SERVEUR
Cependant en démarrant ma machine je remarque qu’un VPN est déjà en fonctionnement. Je
le stop avec la commande kill.
MACHINE CLIENT
Depuis la machine client j’initie la connexion en précisant l’adresse IP du serveur, la même
clef et le même protocole de chiffrement.
MACHINE SERVEUR
III – Création d’un VPN SSL avec OpenVPN
Le sujet du TP utilisant une autre version d’openvpn easy-rsa, le lien suivant est très utile.
https://ubuntu.com/server/docs/service-openvpn
MACHINE SERVEUR
Mise en place de l’autorité de certification (CA) afin de générer des certificats et clefs pour
un serveur Openvpn et plusieurs clients. Pour cela il faut copier le dossier easy-rsa sous
/etc/openvpn. Je le fait grâce à la commande suivante :
make-cadir /etc/openvpn/easy-rsa
Autorité de certification
Ensuite lancer les deux commandes suivantes afin d’initier le PKI et créer sa clef privée.
./easyrsa init-pki
./easyrsa build-ca
Un mot de passe est demandé pour protéger la clef du pki puis un Common Name est à
préciser.
Je continue en générant le défi Diffie Hellman qui est stocké dans /etc/openvpn/easy-rsa/pki :
./easyrsa gen-dh
Tout ce dont j’ai besoin a été généré (dans des sous répertoires) je les copie donc sous
/etc/openvpn :
CLIENT
Le client a également besoin d’un certificat pour s’authentifier auprès du serveur. Il y a 2
manières de faire :
- Le serveur créer le certificat puis le distribue au(x) client(s).
- Le client créer une demande de certificat qu’il fait signer au serveur
Je décompresse ce fichier
gzip -d /etc/openvpn/soares.conf.gz
Les clients voulant utiliser le TLS doivent également posséder une copie de ta.key, je l’envoie
donc vers mon client de manière sécurisé.
MACHINE CLIENT
Je passe à la configuration du client :
sudo apt-get install openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf
/etc/openvpn/