Table des matières

OpenVPN-Bridge

Ce menu permet de configurer le serveur OpenVPN. Le nom Bridge (ou pont en français) est utilisé pour illustrer le fait que le VPN crée un pont entre l'utilisateur et le réseau de l'entreprise. Une fois connecté au VPN 1), l'utilisateur se retrouve connecté à son réseau. Le VPN agit alors comme un câble réseau virtuel.

OpenVPN est un serveur de connexion distantes sécurisées. Ce serveur permet de se connecter au réseau interne depuis l'extérieur, en créant un tunnel chiffré et authentifié.

OpenVPN utilise la couche SSL/TLS 2) pour le chiffrement et l'authentification. Cette technique lui apporte des avantages par rapport à d'autres solutions comme Ipsec ou PPTP, par exemple, OpenVPN fonctionne très bien à travers une communication NATée, car il n'utilise qu'un seul port (UDP 1194 par défaut).

Configuration du serveur

La configuration par défaut assure une sécurité maximale:

Le serveur VPN est pré-configuré, vous pouvez cependant modifier certains paramètres si vous le désirez

Accueil VPN

La page d'accueil vous permet d'accéder aux différents menus de configuration

Création d'une règle de configuration

Voici les champs à saisir lors de la création d'une règle de configuration:

Exemple de configuration

Liste des clients connectés

Configuration du service VPN

Configuration des clients

Pour qu'un poste puisse se connecter à distance au réseau de l'entreprise, il faut tout d'abord créer un certificat. Pour cela, vous pouvez utiliser l'interface de gestion des certificats:

Interface de gestion des certificats

Sur cette page, cliquez sur le bouton Create a New Certificate

Dans le formulaire suivant, vous devrait remplir les champs suivants:

Après avoir validé, vous obtiendrez une page de confirmation. Vous n'avez qu'à valider une nouvelle fois pour que le certificat soit généré. Après la génération du certificat, vous reviendrez sur le formulaire de création (utile si vous devez créer plusieurs certificats)

Vous devez maintenant télécharger le certificat nouvellement créé. Pour cela, cliquez à nouveau sur le menu Gestion des certificats, puis allez sur le menu Manage Certificates

Gestion des certificats

Cliquer sur le lien de téléchargement (le lien de téléchargement est entouré en rouge sur la capture d'écran ci-dessus)

Formulaire de téléchargement

Dans le menu déroulant de cette page, sélectionnez le format PKCS#12 Bundle puis cliquez sur Download

Vous devez également télécharger la clef partagée, qui est accessible sur la page d'accueil du gestionnaire de certificats, en cliquant sur l'option Download the static pre-shared key

Attention: ces deux fichiers (fichier de certificat et clef partagée) doivent être gardés secret. Il ne faut jamais les transmettre par mail, et les supprimer rapidement des supports USB dès qu'ils ne sont plus nécessaires. La compromission des ces fichiers peut avoir de graves conséquences sur la sécurité de votre réseau.

Client sous Microsoft Windows

Maintenant que vous avez les fichiers d'authentification, il ne reste plus qu'à préparer le fichier de configuration. Créez un fichier nommé config.ovpn, et coller l'exemple de fichier de configuration disponible dans le menu de configuration du serveur VPN

Le fichier de configuration doit porter l'extension .ovpn et non pas .txt (par défaut, l'extension des fichiers est masquée sur les postes Microsoft Windows)

Dans ce fichier de configuration, modifiez simplement le nom du certificat (dans l'exemple, le certificat se nomme user.p12, remplacez simplement user par le nom du fichier .p12 que vous avez téléchargé tout à l'heure).

Maintenant, il faut installer le client OpenVPN. Ce client est accessible en téléchargement sur le site officiel:

http://openvpn.net/index.php/open-source/downloads.html

L'installation doit être faite en tant qu'administrateur.

L'installation crée un dossier C:\Pogram Files\OpenVPN\config dans lequel vous devrait placer:

Une fois ces 3 fichiers placés dans le répertoire, vous pouvez lancer le client OpenVPN et initier la connexion.

Sous Windows XP, le client VPN peut être exécuté sans les droits d'administrateurs. Il faut tout de même être membre du groupe Opérateur de configuration réseau. Sous Windows Vista et 7, l'application doit être lancée en tant qu'administrateur

Linux (avec Network-Manager)

Le logiciel de gestion des connexions réseaux par défaut sous linux s'appel NetworkManager. Il supporte plusieurs technologies de VPN, dont OpenVPN.

La première étape est de vérifier si le support d'OpenVPN est déjà présent, sinon, il faut l'installer. Sous debian et ses dérivés (comme ubuntu), le paquet s'appelle network-manager-openvpn-gnome ou network-manager-openvpn-kde (selon votre environnement de bureau). S'il n'est pas déjà installé, c'est le moment de le faire:

sudo apt-get install network-manager-openvpn-gnome

Pour les distribution Fedora et dérivées (RHEL, CentOS, Scientific Linux, ClearOS):

su -c 'yum install NetworkManager-openvpn'

Il faut créer un répertoire qui contiendra les certificats. Par exemple, le répertoire ~/vpn. On peut ensuite créer un sous répertoire par VPN configuré (il est possible d'avoir plusieurs connexions VPN):

Il faut maintenant récupérer les certificats au format PEM (PCKS12 est aussi supporté avec une version récente de NetworkManager, mais seulement si le certificat est protégé par un mot de passe)

Il vous faudra récupérer:

On peut afficher ce certificat depuis le lien “Display the root certificate (PEM encoded)” dans PHPki (Gestion des certificats). Il suffit ensuite de copier le contenu dans un fichier texte que l'on sauvegarde en tant que cacert.pem

Après avoir généré un certificat pour notre machine (de type “VPN Client Only” de préférence), on peut le télécharger depuis le lien de téléchargement correspondant, puis dans le menu déroulant, choisir “PEM certificate”

Une fois que tout ces fichiers sont placés dans le répertoire créé plus haut (~/vpn/), on peut commencer la configuration de NetworkManager

Cliquer sur l'icône de NetworkManager, puis, sous menu VPN, et Configurer le VPN.

Dans le fenêtre ouverte, choisir “ajouter”

Dans le menu déroulant, sélectionner OpenVPN

Dans le nouvelle fenêtre, il faut entrer les paramètres de base:

Ensuite, cliquer sur le bouton “Avancé…” Dans l'onglet Général, cocher les cases “Utilisez la compression de données LZO” ainsi que “Utiliser un périphérique TAP”

Ensuite, sur l'onglet “Authentification TLS”, cocher la case “utiliser une authentification TLS supplémentaire”, sélectionner le fichier takey.pem récupéré précédemment, et choisir 1 comme direction.

Il ne reste plus qu'à sauvegarder, et se connecter.

Le site officiel du projet: http://openvpn.net/

1)
Virtual Private Network, signifiant Réseau privé virtuel, parfois appelé RPV
2)
Secure Socket Layer et Transport Layer Security sont des protocoles utilisées pour sécuriser des connexions, voir cette page pour plus d'informations