Serveur VPN (Virtual Private Network) IPsec
Transcription
Serveur VPN (Virtual Private Network) IPsec
Serveur VPN (Virtual Private Network) IPsec On s’assure d’obtenir les paquets nécessaires : root@vpn:~# apt-get install ppp xl2tpd libgmp3-dev bison flex make Une fois les paquets téléchargés et installés, on installe openswan, qui va permettre la liaison entre nos réseaux. root@vpn:# apt-get install openswan On choisit d’utiliser le protocole Une fois que tout cela est exécuté, on s’assurer de garder les fichiers originaux sur le serveur en cas de problème … root@vpn:~# mv /etc/ipsec.conf /etc/ipsec.conf.old Ensuite, nous éditons le fichier /etc/ipsec.conf root@vpn:/etc# vim ipsec.conf On enregistre et quitte, On édite le fichier /etc/ipsec.d/l2tp-psk.conf conn L2TP-PSK-NAT rightsubnet=vhost:%priv also=L2TP-PSK-noNAT conn L2TP-PSK-noNAT authby=secret pfs=no auto=add keyingtries=3 rekey=no ikelifetime=8h keylife=1h type=transport # Remplacer par IP publique de votre serveur left=80.13.188.142 leftprotoport=17/1701 leftnexthop=%defaultroute # # The remote user. right=%any rightprotoport=17/%any # Evite un bug a la deconnexion empechant la reconnexion avec OSX et iOs dpddelay=15 dpdtimeout=30 dpdaction=clear conn passthrough-for-non-l2tp type=passthrough # Remplacer par IP publique de votre serveur left=80.13.188.142 leftnexthop=%defaultroute right=0.0.0.0 rightsubnet=0.0.0.0/0 auto=route On enregistre et quitte, Puis on édite le fichier du mot de passe partagé : root@vpn:/etc# vim ipsec.secrets On rajoute la ligne qui définit l’adresse IP du routeur VPN et le mot de passe pour l’authentification 80.xxx.xxx.xxx %any: PSK "vpnarnaud" Nous allons ensuite configurer le daemon L2TP ou LTTP On déplace les fichiers originaux : root@vpn:/etc# mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.old Puis on édite : root@vpn:/etc# vim /etc/xl2tpd/xl2tpd.conf Et on y rajoute : [global] ipsec saref = yes [lns default] ip range = 192.168.1.2-192.168.1.9 local ip = 192.168.1.1 length bit = yes require chap = yes refuse pap = yes require authentication = yes ppp debug = no pppoptfile = /etc/ppp/options.xl2tpd root@vpn:/etc# vim /etc/ppp/options.xl2tpd Et on le complète par : require-mschap-v2 ms-dns 8.8.8.8 asyncmap 0 auth crtscts lock hide-password modem debug name l2tpd proxyarp lcp-echo-interval 30 lcp-echo-failure 4 On enregistre et quitte. Maintenant nous allons éditer le fichier /etc/ppp/chap-secrets Ce fichier contient la liste des utilisateurs autorisés à se connecter. Pour chaque machine cliente, il faut renseigner son identifiant, son mot de passe et l’adresse IP privé qui lui sera attribué au sein du réseau VPN. On commence par sauvegarder les fichiers de configurations originaux : root@vpn:/etc# cp /etc/ppp/chap-secrets /etc/ppp/chap-secrets.old Puis on l’édite : Ouvrir les ports d’écoute dans le firewall Si vous utilisez un firewall, sur la machine serveur hébergeant le serveur VPN (Fortement recommandé), il est nécessaire d’ouvrir les ports d’écoute suivant : 500 en UDP 4500 en UDP 1701 en UDP Démarrage du VPN Le grand moment de vérité est arrivé ! Si vous avez tout correctement configuré, vous pouvez démarrer le serveur VPN en lançant les commandes suivantes : sudo service pppd-dns restart sudo service xl2tpd restart sudo service ipsec restart Forcer le démarrage de IPSec au boot du serveur Il y a un bug au niveau de Ubuntu 11.04, pour forcer le démarrage de IPSec au boot du serveur, il faut lancer, une fois, les commandes suivantes : sudo update-rc.d -f ipsec remove sudo update-rc.d ipsec defaults