Serveur VPN (Virtual Private Network) IPsec

Serveur VPN (Virtual Private Network) IPsec
On s’assure d’obtenir les paquets nécessaires :
root@vpn:~# apt-get install ppp xl2tpd libgmp3-dev bison flex make
Une fois les paquets téléchargés et installés, on installe openswan, qui va permettre la liaison entre nos réseaux.
root@vpn:# apt-get install openswan
On choisit d’utiliser le protocole
Une fois que tout cela est exécuté, on s’assurer de garder les fichiers originaux sur le serveur en cas de problème …
root@vpn:~# mv /etc/ipsec.conf /etc/ipsec.conf.old
Ensuite, nous éditons le fichier /etc/ipsec.conf
root@vpn:/etc# vim ipsec.conf
On enregistre et quitte,
On édite le fichier /etc/ipsec.d/l2tp-psk.conf
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
# Remplacer par IP publique de votre serveur
left=80.13.188.142
leftprotoport=17/1701
leftnexthop=%defaultroute
#
# The remote user.
right=%any
rightprotoport=17/%any
# Evite un bug a la deconnexion empechant la reconnexion avec OSX et iOs
dpddelay=15
dpdtimeout=30
dpdaction=clear
conn passthrough-for-non-l2tp
type=passthrough
# Remplacer par IP publique de votre serveur
left=80.13.188.142
leftnexthop=%defaultroute
right=0.0.0.0
rightsubnet=0.0.0.0/0
auto=route
On enregistre et quitte,
Puis on édite le fichier du mot de passe partagé :
root@vpn:/etc# vim ipsec.secrets
On rajoute la ligne qui définit l’adresse IP du routeur VPN et le mot de passe pour l’authentification
80.xxx.xxx.xxx %any: PSK "vpnarnaud"
Nous allons ensuite configurer le daemon L2TP ou LTTP
On déplace les fichiers originaux :
root@vpn:/etc# mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.old
Puis on édite :
root@vpn:/etc# vim /etc/xl2tpd/xl2tpd.conf
Et on y rajoute :
[global]
ipsec saref = yes
[lns default]
ip range = 192.168.1.2-192.168.1.9
local ip = 192.168.1.1
length bit = yes
require chap = yes
refuse pap = yes
require authentication = yes
ppp debug = no
pppoptfile = /etc/ppp/options.xl2tpd
root@vpn:/etc# vim /etc/ppp/options.xl2tpd
Et on le complète par :
require-mschap-v2
ms-dns 8.8.8.8
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
name l2tpd
proxyarp
lcp-echo-interval 30
lcp-echo-failure 4
On enregistre et quitte.
Maintenant nous allons éditer le fichier /etc/ppp/chap-secrets
Ce fichier contient la liste des utilisateurs autorisés à se connecter. Pour chaque machine cliente, il faut renseigner
son identifiant, son mot de passe et l’adresse IP privé qui lui sera attribué au sein du réseau VPN. On commence par
sauvegarder les fichiers de configurations originaux :
root@vpn:/etc# cp /etc/ppp/chap-secrets /etc/ppp/chap-secrets.old
Puis on l’édite :
Ouvrir les ports d’écoute dans le firewall
Si vous utilisez un firewall, sur la machine serveur hébergeant le serveur VPN (Fortement recommandé), il est
nécessaire d’ouvrir les ports d’écoute suivant :
500 en UDP
4500 en UDP
1701 en UDP
Démarrage du VPN
Le grand moment de vérité est arrivé ! Si vous avez tout correctement configuré, vous pouvez démarrer le serveur
VPN en lançant les commandes suivantes :
sudo service pppd-dns restart
sudo service xl2tpd restart
sudo service ipsec restart
Forcer le démarrage de IPSec au boot du serveur
Il y a un bug au niveau de Ubuntu 11.04, pour forcer le démarrage de IPSec au boot du serveur, il faut lancer, une
fois, les commandes suivantes :
sudo update-rc.d -f ipsec remove
sudo update-rc.d ipsec defaults