Académique Documents
Professionnel Documents
Culture Documents
Compétences visées :
• Installer un VPN
• Configurer un VPN pour une implémentation
sécurisée
Recommandations clés :
OpenVPN
Exercices
Maintenant que pfsense est installé, une chose facile à configurer sur pfSense est votre propre serveur OpenVPN. Lorsqu'un
serveur VPN s'exécute sur votre routeur, vous pouvez vous connecter à votre réseau domestique en toute sécurité et, de
n'importe où, accéder à votre machine locale et même utiliser votre connexion Internet domestique à partir de votre appareil
distant. Et c'est ce que nous allons voir dans cette activité. Nous allons à travers toutes les étapes à suivre configurer notre
propre serveur OpenVPN sur pfSense. Il faut utiliser une autre machine dans le même réseau que pfsense pour se connecter
en interface web avec l’ip de pfsense. Les identifiants à utiliser sont : admin/pfsense.
1. Installer le plugin OpenVPN Client pour générer la configuration.
2. Créer la CA (Certification Authority).
3. Créer le certificat du serveur OpenVPN (choisissez le certificat interne).
4. Créer l’utilisateur OpenVPN et le certificat de l’utilisateur.
5. Créer et Configurer le serveur OpenVPN.
6. Configurer les règles sur le firewall pour autoriser l'accès.
PARTIE 2
OpenVPN
Corrigé
1- Installer le plugin OpenVPN Client pour générer la configuration.
• Dans les menus en haut de l'écran, sélectionnez Système > Packages Manager. Vous êtes redirigé vers le Packages Manager
• Sélectionnez le Available Packages sous-menus
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Faites défiler vers le bas jusqu'à ce que vous voyiez openVPN-client-export et cliquez sur le bouton Installer à sa droite. Vous
êtes redirigé vers la page Package Installer.
PARTIE 2
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
OpenVPN
Corrigé
Installer le plugin OpenVPN Client pour générer la configuration.
• Une fois l'installation terminée, la barre de progression devient verte et vous devriez voir Success affiché dans la fenêtre
package.
PARTIE 2
OpenVPN
Corrigé
2- Créer la CA (Certification Authority).
• La première chose que nous devons faire est de générer notre autorité de certification (CA), qui validera l'identité du
serveur OpenVPN et authentifiera les certificats utilisateurs (si activés). Dans les menus en haut de l'écran, sélectionnez
Système > Cert. Manager.
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority) :
• Cliquez sur le bouton Ajouter en bas à droite
• Saisissez un nom pour votre autorité de certification
• Assurez-vous que Méthode est définie sur « Create an internal Certificate Authority. »
• Sélectionnez votre type de clé. RSA par exemple, mais vous pouvez également utiliser ECDSA
• Définissez la longueur de votre clé sur au moins 2048
• Réglez votre algorithme Digest sur au moins sha256
• Choisissez un nom commun pour votre certificat ou laissez la valeur par défaut interne-ca
PARTIE 2
OpenVPN
Corrigé
Créer la CA (Certification Authority).
OpenVPN
Corrigé
Cliquer sur save pour sauvegarder votre CA.
PARTIE 2
OpenVPN
Corrigé
3- Créer le certificat du serveur OpenVPN (choisissez le certificat interne) :
• Sélectionnez Système > Cert. Manager
• Sélectionnez le sous-menu Certificats
PARTIE 2
OpenVPN
Corrigé
• Dans le sous-menu Certificats, cliquez sur le bouton Ajouter/Signer en bas à droite
• Assurez-vous que Méthode est défini sur Créer un certificat interne
• Entrez un nom descriptif pour votre certificat
• Utilisez les mêmes valeurs que vous avez définies pour l'autorité de certification pour le type et la longueur de la clé, ainsi
que pour l'algorithme Digest
• Définissez la durée de vie sur 365 jours
• Sélectionnez Certificat de serveur comme type de certificat
• Cliquez sur Save. Vous avez créé votre certificat de serveur
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
4- Créer l’utilisateur OpenVPN et le certificat de l’utilisateur :
• Nous devons maintenant créer un utilisateur pour accéder au serveur OpenVPN. Dans ce corrigé, nous allons créer un seul
utilisateur, mais vous pouvez créer autant d'utilisateurs que nécessaire. Répétez simplement ces étapes
• Dans les menus en haut de l'écran, sélectionnez Système > User Manager. Vous êtes redirigé vers User Manager :
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
• Si vous avez choisi de configurer votre serveur pour une authentification basée sur un certificat ou une authentification basée
sur un certificat et un mot de passe, cliquez sur l'icône en forme de crayon à droite de votre nouvel utilisateur. Vous êtes
ramené à la fenêtre Edit User
• Cliquez sur le bouton Add sous User certificates. Vous êtes redirigé vers le Certificate Manager et vous êtes invité à saisir les
paramètres de votre certificat utilisateur
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
5- Créer et Configurer le serveur OpenVPN :
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN. Vous êtes redirigé vers le sous-menu Serveurs OpenVPN
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
Entrez un nom pour votre serveur dans le champ Description
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Informations générales / Mode Configuration / Endpoint Configuration
Définissez le mode server sur Accès à distance (SSL/TLS), Accès à distance (Authentification de l'utilisateur) ou Accès
à distance (SSL/TLS + Authentification de l'utilisateur)
Remplacez le port local par un port différent si la topologie de votre réseau l'exige ou laissez-le par défaut (1194)
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN
• Paramètres cryptographiques :
Assurez-vous que Use a TLS Key et Automatically generate a TLS key sont activés
Assurez-vous que votre autorité de certification homologue est définie sur l'autorité de certification que nous avons
créée précédemment
Définissez le champ Server Certificat sur le certificat de serveur que nous avons créé précédemment
Sélectionnez 4096 pour le réglage de la longueur du paramètre DH(Diffie-Hellman)
Définissez l'algorithme Auth digest sur RSA-SHA512 (512 bits)
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Paramètres des tunnels :
Dans le champ IPv4 Tunnel Network, entrez un sous-réseau qui n'est pas présent sur votre réseau à utiliser comme
sous-réseau interne du réseau OpenVPN. Dans notre exemple : 192.168.2.0/24
Si votre réseau prend également en charge IPv6 et que vous souhaitez que votre tunnel OpenVPN prenne également
en charge IPv6, saisissez un sous-réseau IPv6 inutilisé dans le champ Réseau de tunnel IPv6. Dans cet exemple, je
configure mon serveur pour IPv4 uniquement.
Activez Redirect IPv4 Gateway afin d'acheminer tout le trafic IPv4 via le tunnel VPN
Activez Redirect IPv6 Gateway afin d'acheminer tout le trafic IPv6 via le tunnel VPN, si nécessaire
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN :
• Configuration avancée :
Activez UDP Fast I/O
Si vous utilisez uniquement IPv4, sélectionnez IPv4 only dans le champ Gateway Creation. Si vous utilisez à la fois
IPv4 et IPv6, laissez-le défini sur Les deux.
Cliquez sur Save. Vous avez créé votre serveur OpenVPN.
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
Créer et Configurer le serveur OpenVPN.
OpenVPN
Corrigé
Vérification des logs
PARTIE 2
OpenVPN
Corrigé
6- Configurer les règles sur le firewall pour autoriser l'accès :
Cette règle autorisera le trafic du sous-réseau OpenVPN vers Internet.
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu OpenVPN
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par
défaut d'IPv4.
• Définissez le champ Protocole sur Any
• Définissez la Source sur Network
• Entrez le sous-réseau OpenVPN que vous avez spécifié précédemment dans le champ Adresse source mais sans le /24. Par
exemple : 192.168.2.0
• Sélectionnez 24 dans le menu déroulant à droite du champ Adresse source
• Entrez une description pour cette règle dans le champ Description
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès :
• Cliquez sur Save. Et cliquez Apply Changes. Le trafic sera désormais autorisé à sortir du pare-feu à partir du sous-réseau
OpenVPN.
PARTIE 2
OpenVPN
Corrigé
Configurer les règles sur le firewall pour autoriser l'accès.
Afin de vous connecter à votre serveur OpenVPN depuis l’extérieur (c'est-à-dire Internet), vous devrez ouvrir le port sur lequel
votre serveur fonctionne (1194, dans cet exemple) sur votre interface WAN. Cette règle permettra à votre client de se
connecter à votre serveur OpenVPN depuis Internet :
• Dans les menus en haut de l'écran, sélectionnez Firewall > Rules
• Sélectionnez le sous-menu WAN (par défaut)
• Cliquez sur le bouton Add pour créer une nouvelle règle en haut de la liste
• Définissez la famille d'adresses sur IPv4 + IPv6 si votre système utilise à la fois IPv4 et IPv6. Sinon, laissez-le à la valeur par
défaut d'IPv4
• Assurez-vous que Source est défini sur Any
• Définissez le champ Protocole sur UDP
• Définissez la plage de ports de destination sur 1194
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
PARTIE 2
OpenVPN
Corrigé
7- Exporter le fichier de configuration OpenVPN pour les clients
• Dans les menus en haut de l'écran, sélectionnez VPN > OpenVPN
• Sélectionnez le sous-menu client export
• Assurez-vous que le bon serveur OpenVPN est sélectionné à côté de Remote Access Server
• Si vous utilisez le DNS dynamique pour accéder à votre pfSense WAN, sélectionnez Other dans le menu déroulant
Résolution du nom d'hôte. Entrez ensuite le nom d'hôte dans la zone Nom d'hôte qui apparaît ci-dessous. Cela vous permet
d'accéder à votre pfSense WAN par nom d'hôte plutôt que par adresse IP, ce qui signifie que vous ne perdrez pas l'accès à
votre serveur OpenVPN si votre FAI modifie votre adresse IP WAN. Si vous n'utilisez pas le DNS dynamique, laissez la
résolution du nom d'hôte définie sur l'adresse IP de l'interface
PARTIE 2
OpenVPN
Corrigé
Exporter le fichier de configuration OpenVPN pour les clients
• Faites défiler vers le bas de la page et vous trouverez des configurations générées pour divers systèmes et applications.
Cliquez sur la configuration appropriée pour votre ou vos appareils pour la télécharger sur votre ordinateur.
PARTIE 2
OpenVPN
Corrigé
8- Vérifier l'état du service en testant la connexion depuis une autre VM où le client OpenVPN est installé :
• Après l'importation de la configuration adaptée dans le gestionnaire de réseau de Linux, il suffit de saisir le nom d'utilisateur
et le mot de passe (ils ne sont pas inclus dans le fichier de configuration) et vous pouvez vous connecter au serveur
OpenVPN sécurisé.
PARTIE 2