Documentation technique VPN client web

Protection des réseaux
Documentation technique VPN client web
Documentation technique VPN client web
1. Serveur
On va utiliser le logiciel openvpn sous une distribution Mageia. Les commandes d’installation
et de configuration vous s’utiliser en tant que super-utilisateur c’est-à-dire en « root ».
1.1 Installation
On installe le paquet openvpn.
urpmi openvpn
On créer le répertoire easy-rsa qui va nous servir par la suite à créer les certificats.
sudo mkdir /etc/openvpn/easy-rsa/
On va utiliser les fichiers qui sont fournis lors de l’installation de openvpn. Pour cela on copie
les fichiers d’exemples dans le répertoire que l’on vient de créer.
cp -r /usr/share/openvpn/easy-rsa/* /etc/openvpn/easy-rsa/
1.2 Configuration
On édite le fichier vars présent dans /etc/openvpn/easy-ras/ et on modifie les variables
nécessaire à la génération du certificats.
export KEY_COUNTRY=«FR»
export KEY_PROVINCE=«Seine Saint Denis»
export KEY_CITY=«Villetaneuse»
export KEY_ORG=«IUT»
export KEY_EMAIL=«[email protected]»
On initialise les variable, on nettoie les clés et certificats existants et on génère les clés (.key)
et les certificats (.crt).
source vars
./clean-all
./build-dh
./pkitool –initca
./pkitool –server server
On copie les clés et les certificats utiles pour le serveur dans le répertoire /etc/openvpn/.
cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key keys/dh1024.pem /etc/openvpn/
On créer un répertoire qui va servir à la configuration des clients.
sudo mkdir /etc/openvpn/clientconf
On édite le fichier server.conf.
1
Protection des réseaux
Documentation technique VPN client web
# Serveur TCP/443
mode server
proto tcp
port 443
dev tun
# Cles et certificats
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
tls-auth ta.key 1
key-direction 0
cipher AES-256-CBC
# Reseau
server <réseau_IP_du_serveur_web> 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
keepalive 10 120
# Securite
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo
# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log #Enregistrement des logs
On lance le serveur :
/usr/sbin/openvpn /etc/openvpn/server.conf &
2. Client
2.1 Coté serveur
Génération du certificat client.
./build-key web
2
Protection des réseaux
Documentation technique VPN client web
On créer un répertoire propre qui va contenir notre certificat et notre clé du serveur web et on
copie les clés et certificats générés dans le répertoire.
sudo mkdir /etc/openvpn/clientconf/pcportablenicolargo/
sudo cp /etc/openvpn/ca.crt /etc/openvpn/ta.key /etc/openvpn/keys/web.crt keys/web.key
/etc/openvpn/clientconf/web/
On créer dans ce répertoire le fichier de configuration client.
# Client
client
dev tun
proto tcp-client
remote <adresse_IP_publique_du serveur> 443
resolv-retry infinite
cipher AES-256-CBC
; client-config-dir ccd
# Cles
ca ca.crt
cert pcportablenicolargo.crt
key pcportablenicolargo.key
tls-auth ta.key 1
key-direction 1
# Securite
nobind
persist-key
persist-tun
comp-lzo
verb 3
On attribue une adresse IP statique au client VPN. Pour cela on créer un répertoire contenant
les configurations statiques.
mkdir /etc/openvpn/ccs/web
nano /etc/openvpn/ccd/web
On entre la ligne suivante.
ifconfig-push 192.168.30.1.2 192.168.30.1
3
Protection des réseaux
Documentation technique VPN client web
2.2 Coté client
Sur la machine client on installe les paquets nécessaire et o redémarre la machine cliente pour
que les paramètres prennent effet.
sudo aptitude install openvpn resolvconf network-manager-openvpn-gnome
Ensuite on clique l'icone Tableau de bord > Connexions VPN > Configurer le VPN.
On clique sur le bouton Importer.
On va dans le répertoire /etc/openvpn/pcportablenicolargo et on sélectionne le fichier
client.conf. Cela importe automatiquement le certificat et la clé.
4