P2 Act-2 CorrigÃ©

ACTIVITÉ n° 2
Appliquer les règles de durcissement

VPN sur un firewall
Compétences visées :
• Installer un VPN
• Configurer un VPN pour une implémentation
sécurisée
Recommandations clés :
• L’exemple donné est un VPN OpenSource, il

est recommandé de passer aussi du temps à
refaire les mêmes activités avec les VPNs du
lab disponibles
Activité n° 2
Appliquer les règles de durcissement VPN sur un firewall
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un
serveur VPN s'exécute sur votre routeur, vous pouvez vous connecter à votre réseau domestique en toute sécurité et, de
n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet domestique à partir de votre appareil
distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre
propre serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter
en interface web avec l’ip de pfsense. Les identifiants à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
PARTIE 2
7. Exporter le fichier de configuration OpenVPN pour les clients.

8. Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé.
Copyright - Tout droit réservé - OFPPT 2

Activité n° 2
OpenVPN
Corrigé
1- Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous
êtes redirigé vers la page Package Installer.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Cliquer sur Confirm et l’installation commencera

PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre
package.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
2- Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du
serveur OpenVPN et authentifiera les certificats utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez
Système > Cert. Manager.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
Choisir un nom de certificat :

PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
3- Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi
que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
4- Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul
utilisateur, mais vous pouvez créer autant d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

• Entrez un nom d'utilisateur et un mot de passe pour votre utilisateur
• Cliquez sur Save. Vous avez créé votre utilisateur OpenVPN et êtes redirigé vers User Manager

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée
sur un certificat et un mot de passe, cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes
ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les
paramètres de votre certificat utilisateur
• Assurez-vous que Méthode est défini sur "Créer un certificat interne"

PARTIE 2
• Entrez un nom descriptif pour votre certificat

• Définissez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi
que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Assurez-vous que Type de certificat est défini sur Certificat utilisateur
Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
5- Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
• Cliquez sur le bouton Add en bas à droite

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
 Entrez un nom pour votre serveur dans le champ Description
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Informations générales / Mode Configuration / Endpoint Configuration
 Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès
à distance (SSL/TLS + Authentification de l'utilisateur)
 Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
 Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
 Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons
créée précédemment
 Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
 Sélectionnez 4096 pour le réglage de la longueur du paramètre DH(Diffie-Hellman)
 Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Paramètres des tunnels :
 Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme
sous-réseau interne du réseau OpenVPN. Dans notre exemple : 192.168.2.0/24
 Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également
en charge IPv6, saisissez un sous-réseau IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je
configure mon serveur pour IPv4 uniquement.
 Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
 Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
• Configuration avancée :
 Activez UDP Fast I/O
 Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois
IPv4 et IPv6, laissez-le défini sur Les deux.
 Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
• Vérification de la configuration du serveur OpenVPN :

 Pour vous assurer que notre serveur est correctement configuré, sélectionnez Status > system logs dans les menus
supérieurs
 Sélectionnez le sous-menu OpenVPN. Les journaux OpenVPN s'affichent.
 Si tout est configuré correctement, vous devriez voir Initialization Sequence Completed dans les journaux
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Vérification des logs
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
6- Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par
défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par
exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau
OpenVPN.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel
votre serveur fonctionne (1194, dans cet exemple) sur votre interface WAN. Cette règle permettra à votre client de se
connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par
défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
PARTIE 2
• Entrez une description pour cette règle dans le champ Description

• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé depuis internet vers le serveur OpenVPN.

Activité 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
7- Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant
Résolution du nom d'hôte. Entrez ensuite le nom d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet
d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que vous ne perdrez pas l'accès à
votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la
résolution du nom d'hôte définie sur l'adresse IP de l'interface
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications.
Cliquez sur la configuration appropriée pour votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2

Activité n° 2
OpenVPN
Corrigé
8- Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur
et le mot de passe (ils ne sont pas inclus dans le fichier de configuration) et vous pouvez vous connecter au serveur
OpenVPN sécurisé.
PARTIE 2

P2 Act-2 CorrigÃ©

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

P2 Act-2 CorrigÃ©

Transféré par

Droits d'auteur :

Formats disponibles

ACTIVITÉ n° 2

Appliquer les règles de durcissement

• L’exemple donné est un VPN OpenSource, il

7. Exporter le fichier de configuration OpenVPN pour les clients.

Copyright - Tout droit réservé - OFPPT 2

Copyright - Tout droit réservé - OFPPT 3

Copyright - Tout droit réservé - OFPPT 4

• Cliquer sur Confirm et l’installation commencera

Copyright - Tout droit réservé - OFPPT 5

Copyright - Tout droit réservé - OFPPT 6

Copyright - Tout droit réservé - OFPPT 7

Copyright - Tout droit réservé - OFPPT 8

Choisir un nom de certificat :

Copyright - Tout droit réservé - OFPPT 9

Copyright - Tout droit réservé - OFPPT 10

Copyright - Tout droit réservé - OFPPT 11

Copyright - Tout droit réservé - OFPPT 12

Copyright - Tout droit réservé - OFPPT 13

Copyright - Tout droit réservé - OFPPT 14

• Cliquez sur le bouton Add en bas à droite

Copyright - Tout droit réservé - OFPPT 15

Copyright - Tout droit réservé - OFPPT 16

• Assurez-vous que Méthode est défini sur "Créer un certificat interne"

• Entrez un nom descriptif pour votre certificat

Copyright - Tout droit réservé - OFPPT 18

Copyright - Tout droit réservé - OFPPT 19

Copyright - Tout droit réservé - OFPPT 20

• Cliquez sur le bouton Add en bas à droite

Copyright - Tout droit réservé - OFPPT 21

Copyright - Tout droit réservé - OFPPT 22

Copyright - Tout droit réservé - OFPPT 23

Copyright - Tout droit réservé - OFPPT 24

Copyright - Tout droit réservé - OFPPT 25

Copyright - Tout droit réservé - OFPPT 26

Copyright - Tout droit réservé - OFPPT 27

Copyright - Tout droit réservé - OFPPT 28

Copyright - Tout droit réservé - OFPPT 29

Copyright - Tout droit réservé - OFPPT 30

• Vérification de la configuration du serveur OpenVPN :

Copyright - Tout droit réservé - OFPPT 31

Copyright - Tout droit réservé - OFPPT 32

Copyright - Tout droit réservé - OFPPT 33

Copyright - Tout droit réservé - OFPPT 34

Copyright - Tout droit réservé - OFPPT 35

Copyright - Tout droit réservé - OFPPT 36

Copyright - Tout droit réservé - OFPPT 37

• Entrez une description pour cette règle dans le champ Description

Copyright - Tout droit réservé - OFPPT 38

Copyright - Tout droit réservé - OFPPT 39

Copyright - Tout droit réservé - OFPPT 40

Copyright - Tout droit réservé - OFPPT 41

Copyright - Tout droit réservé - OFPPT 42

Copyright - Tout droit réservé - OFPPT 43

Vous aimerez peut-être aussi