Cours : Sécurité des Réseaux Classe : IRIC 1

Lab 3 : Mise en place d’un tunnel sécurisé entre

deux réseaux (VPN avec Pfsense)

Introduction :
Plusieurs solutions open source surtout les implémentations de Firewall-Routeur permettent
de réaliser unVPN, on peut citer IPCop, Vyatta, SmoothWall, etc. Dans ce TP nous allons
utiliser PfSense, une distribution basée sur FreeBSD, assez puissante et sophistiquée assurant
une flexibilité incontestable dans la mise en place d’un tunnel OpenVPN. Le but est d'offrir une
solution de VPN pour les utilisateurs nomades leur permettant de disposer d'un accès sécurisé
au réseau local de l'entreprise. Ces utilisateurs peuvent utiliser un ordinateur ou un
smartphone pour se connecter. Dans tous les cas, ils utiliseront un client OpenVPN.
Nous allons utiliser 3 machines virtuelles ; Une machine PfSense jouant le rôle de serveur VPN
et deux machines clientes Kali linux et Windows 10. L’objectif de ce TP est de :
 Sécurisez votre infrastructure grâce à pfSense
 Mettre en place un VPN sécurisé avec OpenVPN
Dans notre exemple de mise en application, nous partirons sur l'infrastructure suivante :

Site de l’entreprise

Utilisateur
nomade
(connecté par
VPN)

10.1.1.11
Desktop
Private
Public Interface
Interface (10.1.1.1)

Internet 10.1.1.10
PfSense
Desktop
VPN

10.1.1.12
Web Server

Virtualbox est choisi pour simuler l'ensemble de la configuration au sein d'un système.
Lorsque vous le faites dans le monde réel, vous pouvez également choisir d'autres options
telles que VMWare ESXi.
1- Installation de Pfsense
pfSense est un routeur / pare-feu basé sur FreeBSD. Il s’administre à distance via une
interface Web. L’installation doit être faite sur une machine virtuelle.
Cette section couvre la configuration réseau de la machine virtuelle pfSense. Cette
configuration est importante pour simuler les utilisateurs publics et les machines internes.
Sélectionnez pfSense VM et naviguez jusqu'à Paramètres->Réseau->Adaptateur 1, puis
choisissez Adaptateur ponté comme indiqué ci-dessous.

Cela garantira que tout appareil connecté au réseau Wi-Fi agira comme un utilisateur public.
Lorsque vous le faites dans le monde réel, cette interface doit être remplacée par une adresse IP
publique. Maintenant, naviguez jusqu'à Paramètres->Réseau->Adaptateur 2, puis
choisissez Réseau interne comme indiqué ci-dessous.
Cela garantira que toute machine connectée à l'adaptateur réseau interne sera directement
connectée au côté LAN de l'instance pfSense. Les machines du réseau sont traitées comme des
machines internes qui seront accessibles au public via le tunnel VPN.

2- configuration des interfaces réseau pour pfSense :

Avec cela, vous avez complété tous les paramètres requis avant de démarrer la machine virtuelle pfSense.
Maintenant, il faut configurer les interfaces réseaux avec les plages d’adressage IP.

Comme vous pouvez le voir sur la figure ci-dessus, les adresses IP des deux interfaces ont été
automatiquement attribuées. L'adresse IP sur l'interface WAN est attribuée par le serveur
DHCP du routeur. Changeons l'adresse IP de l'interface LAN pour une autre série.
Lorsque vous êtes sur l'écran ci-dessus, entrez simplement 2 pour sélectionner "Assigner
les interfaces". Ensuite, nous devrions voir les interfaces disponibles comme indiqué ci-
dessous.

Puisque vous allez configurer la deuxième interface, Vous devez choisir à nouveau "2". Cela devrait nous
permettre de configurer l'interface privée, qui est em1 (LAN). Vous serez alors invités à indiquer l'adresse
IP du réseau local. Dans notre cas, fournissons 10.1.1.1 comme nouvelle adresse IP. Maintenant, entrons.
Le nombre de bits du masque de sous-réseau nous sera demandé. Saisissez 24. Toutes ces étapes expliquées
jusqu'à présent sont illustrées dans la capture d'écran ci-dessous.

Appuyez 3 fois sur Entrée pour que l'écran configure le service DHCP pour le réseau local privé.
Lorsque vous voyez l'écran ci-dessus, entrez "y" et appuyez sur Entrée. Ensuite, nous devons entrer la plage
d'adresses IP. Selon le nombre de systèmes internes de votre réseau, vous pouvez indiquer une plage
spécifique d'adresses IP. Dans notre cas, nous donnons de 10.1.1.10 à 10.1.1.20

Une fois terminé, appuyez sur Entrée et tapez à nouveau "Y" pour obtenir le configurateur Web pour la
configuration pfSense à partir d'une interface graphique, puis appuyez sur Entrée.

3- Mise en place d’un Serveur OpenVPN sous PfSense

Côté serveur OpenVPN, vous devez créer les éléments suivants :

1. une autorité de certification CA
2. un certificat serveur
3. un certificat client
4. les accès utilisateurs (login et mot de passe)
5. le serveur OpenVPN en tant que tel
6. la configuration des clients nomades

Configurer un serveur VPN sur pfSense vous permettra d’accéder à l’ensemble de votre
réseau à distance de façon sécurisée. Pour la sécurité vous êtes amenés à utiliser des
certificats autosignés.
3.1 Création d’une autorité de Certificat CA

1. Rendez-vous dans la partie : Système > Gestionnaire de certificats.

2. Restez dans l’onglet “ACs” et cliquez sur Ajouter.
3. Remplissez les informations suivantes (en remplaçant par la localité de votre serveur
et votre adresse mail) :
Une fois enregistré, vous devriez avoir, ceci :
3.2 Création d’un certificat pour le serveur:

1. Restez dans le Gestionnaire de certificats mais rendez-vous dans

l’onglet Certificats.
2. Remplissez les informations suivantes (en remplaçant l’ip par celle de votre routeur
pfSense) :

3.3 Création de certificat pour les utilisateurs:

1. Rendez-vous dans la partie : Système > Gestionnaire d’usagers.

2. Nous allons ajouter un utilisateur pour le VPN, cliquez donc sur Ajouter.
3. Remplissez les informations suivantes (en remplaçant votre utilisateur et son mot de
passe)

3.4 Installation et configuration d’OpenVPN

Une fois les certificats créés, nous pouvons attaquer l’installation et la configuration sur
serveur OpenVPN.
Pour cela nous allons avoir besoin d’un paquet qui n’est pas installé par défaut :
 1. Rendez vous dans la partie : Système > Gestionnaire de paquets puis dans
l’onglet Paquets disponibles.
2. Il nous faut le paquet : openvpn-client-export, descendez jusqu’à le trouver et
cliquez sur +Install :

3. Une fois installé, vous devriez le retrouver dans l’onglet Paquets installés.

3.5 Connexion au VPN

Afin de pouvoir vous connectez à ce VPN, il va falloir exporter la configuration et l’importer
dans votre client que ça soit sur Windows, MacOS, Linux, Android ou encore iOS. Vous devez
par la suite exporter votre configuration.
1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Client Export“.

Laissez la configuration de base et dirigez-vous vers le bas de la page.

Il ne vous reste plus qu’à choisir votre plateforme :

Pour Windows, je vous conseille directement le Windows Installer qui, même si vous avez
déjà le client, placera les fichiers de configuration au bon endroit.

3.6Configuration du serveur OpenVPN

1. Rendez-vous dans la partie : VPN > OpenVPN puis dans l’onglet “Assistants“.
2. sélectionnez “Local User Access“.
3. sélectionnez le certificat VPN précédemment créé
Il faut par la suite specifier les addresses IP du tunnel et réseau local (à remplacer par les
adresses WAN et LAN).
 4. Cochez “Firewall rule” et “OpenVPN rule“.

Maintenant le serveur est bien configuré, reste à connecter un client.

3.7 Se connecter au VPN :

Une fois installé, vous allez trouver un nouveau logiciel : OpenVPN GUI.

5. Lancez-le et sélectionnez, dans la barres des tâches, le serveur VPN que vous venez de
configurer.
6. Rentrez les identifiants de l’utilisateur créé précédemment dans pfSense.

Vous devriez voir ceci :

Re-testez avec un client Linux.