Les VPN : OpenVPN configuration Server sur Ubuntu 16.04, 14.04

-
VPN ou réseau privé virtuel est un groupe d'ordinateurs connectés au réseau privé sur le réseau public (Internet). De nos jours, la sécurité est la principale préoccupation de tous et elle est plus nécessaire lorsque vous travaillez sur le réseau public.
Comme si vous avez un groupe d'ordinateurs dans un endroit distant. Vous devez maintenant accéder à ces ordinateurs en tant que réseau LAN dans votre système. En outre, toutes les données doivent être cryptées lors du transfert entre ordinateurs. La solution est un VPN. Vous pouvez utiliser un réseau VPN pour connecter deux systèmes de localisation distants car ils sont sur le même réseau local. Ce tutoriel vous aidera à installer et à maîtriser OpenVPN configuration sur les systèmes Ubuntu, Debian et Linux Mint.
figure 1.1: Architecture d'implémentation

1. Etape 1 Prérequis

Connectez-vous à votre système Ubuntu mettez à jour le cache apt du système et mettez à jour vos paquets système avec les dernières versions.

sudo apt-get update
sudo apt-get upgrade
Install OpenVPN Server 
Maintenant, installez le paquet OpenVPN en tapant la commande ci-dessous. 
En outre, installez les packages easy-rsa pour gérer les certificats SSL requis pour le cryptage des données entre le serveur et le client et bridge-utils pour gérer les interfaces virtuelles (ponts).

sudo apt-get install openvpn easy-rsa bridge-utils
Le fichier /etc/openvpn/server.conf est le fichier principal de votre OpenVPN configuration.
Décompresser et copier le fichier server.conf.gz dans le fichier server.conf avec la commande suivante :
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf 
Modifiez le fichier de configuration du serveur OpenVPN avec votre éditeur de texte préféré :
vim /etc/openvpn/server.conf
fichier de configuration du serveur OPENVPN
La ligne push ‘’ route /etc/openvpn/bridge-start’’ permet la découverte des différentes machines
Définissez certains paramètres réseau pour permettre aux utilisateurs d’accéder au serveur sur le même réseau que le serveur OpenVPN.
Tout d’abord, Autoriser le transfert IP sur le serveur en décommantant la ligne ci-dessous comme le montre la figure ci-après :

 Ensuite exécutez la commande : sysctl -p 

OpenVPN configuration : Autorité de certification

OpenVPN fournit un service VPN sécurisé utilisant le cryptage TLS / SSL du trafic entre le serveur et le client. Pour cela, vous devez émettre des certificats sécurisés pour que le serveur et les clients fonctionnent. Pour émettre des certificats, vous devez configurer l'autorité de certification sur votre système.
Créons un répertoire pour l’autorité de certification à l’aide de la commande make-cadir. Cette commande initialise également le répertoire avec les fichiers requis :
make-cadir /etc/openvpn/openvpn-ca/
cd /etc/openvpn/openvpn-ca/

 Éditer le fichier vars avec votre éditeur de texte préféré comme le montre la figure ci-dessous :

Chargez les valeurs dans l'environnement système avec la commande ci-dessous : 
source vars 
Utilisez maintenant ./clean-all pour supprimer les clés existantes, puis exécutez ./build-ca pour créer des certificats d'autorité de certification dans /etc/openvpn/openvpn-ca/
./clean-all
./build-ca 

 Exemple de sortie de la commande ci-dessus
Generating a 2048 bit RSA private key
...+++..........................................+++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [SN]:
State or Province Name (full name) [SENEGAL]:
Locality Name (eg, city) [Dakar]:
Organization Name (eg, company) [RTN]:
Organizational Unit Name (eg, section) [Security]:
Common Name (eg, your name or your server's hostname) [ec2lt]:
Name [EasyRSA]:
Email Address [alytirera@ec2lt.sn]:
Votre système est maintenant une autorité de certification pour émettre les certificats.

Générer des fichiers de certificat de serveur


OpenVPN configuration nécessite la génération de certificats à l’aide de la commande :
./build-key-server
suivie du mot-clé serveur pour générer des certificats pour le serveur. Cela créera les certificats requis, fichier de clé sous le répertoire des clés.
cd /etc/openvpn/openvpn-ca/
./build-key-server server
Générez maintenant une clé Diffie-Hellman puissante à utiliser pour l'échange de clés à l'aide de la commande. Cette commande peut prendre un certain temps
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Après cela, générez une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur.
openvpn --genkey --secret /etc/openvpn/openvpn-ca/keys/ta.key
Après avoir créé tous les fichiers, copiez-les dans le répertoire /etc/openvpn.
cd /etc/openvpn/openvpn-ca/key
sudo cp ca.crt ta.key server.crt server.key /etc/openvpn
Redémarrer le service OPENVPN avec la commande comme le montre la figure ci-dessous:

Générer la configuration du client 

A cette étape votre OpenVPN configuration est terminée. Le serveur est prêt à être utilisé. 
Générez maintenant les fichiers de configuration du client, y compris la clé privée, les certificats. J'ai rendu ce processus plus facile pour vous de générer un nombre quelconque de fichiers de configuration à l'aide d'un simple script. Suivez les étapes ci-dessous pour générer des fichiers de configuration. Assurez-vous d'utiliser la structure de répertoire correcte.
mkdir /etc/openvpn/clients
cd /etc/openvpn/clients
Créez un fichier de script shell comme ci-dessous
vim make-vpn-client.sh
copier le contenu ci-dessous. Mettez à jour la variable OPENVPN_SERVER avec l'adresse IP du serveur OpenVPN correcte et enregistrez-la.
Rendez le fichier exécutant
chmod +x ./make-vpn-client.sh

 Utilisez maintenant ce script pour générer le fichier de configuration des clients VPN, y compris les certificats et les clés. 
Vous devez passer le nom du client en tant que paramètre de ligne de commande.
./make-vpn-client.sh vpnclient1
Appuyez sur Entrée pour obtenir les valeurs par défaut du certificat. À la fin, il vous demandera de signer le certificat et de valider. Appuyez sur y pour les deux entrées.
Téléchargez le logiciel client OpenVPN GUI à partir de sa page de téléchargement officielle https://openvpn.net/community-downloads/ et installez-le sur votre système. 
Maintenant, copiez les fichiers .ovpn dans le répertoire c:\Program Files\OpenVPN\config

Lancez maintenant le client Openvpn et connectez-vous. Une fois la connexion établie, une icône verte apparaît dans les notifications en bas à droite. Vous pouvez voir l'état en cliquant sur

Connecter VPN à partir de clients Linux

Après avoir fini votre OpenVPN configuration, sur les clients Linux, vous devez d’abord installer les packages OpenVPN. Après cela, utilisez la commande suivante pour vous connecter au serveur OpenVPN à l'aide du fichier de configuration du client donné :
openvpn --config client1.ovpn

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Le Service DHCP (Dynamic Host Configuration Protocol)

-
Image
Un réseau informatique est un ensemble de nœuds (machines) interconnectés par des supports de transmission dans le but de fournir des services à des utilisateurs finaux que nous sommes. Pour que deux machines puissent communiquer en réseaux chaque machine doit être identifiée par le couple adresse IP et masque de réseau. L’opération qui consiste à affecter à chaque machine les différents éléments TCP/IP (adresse IP, masque de réseau, Passerelle par défaut et serveur DNS) peut se faire de deux manières : Statique c'est-à-dire que c'est l'administrateur du réseau qui passe sur chaque machine une à une pour fixez une adresse IP, le masque de réseau, la passerelle par défaut et serveur DNS. Ce problème qui se pose avec cette méthode est que si le nombre de machine est important la tâche devient extrêmement difficile et on peut noter le  risque de se tromper avec les adresses IP. Dynamique : c'est-à-dire que c'est une machine que sera configurée de telle sor
Lire la suite

ACL: Access Control List

-
Image
Une ACL est une liste de règles permettant de filtrer ou d’autoriser du trafic sur un réseau en fonction de certains critères (IP source, IP destination, port source, port destination, protocole, ...). Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny). Il est possible d’appliquer au maximum une ACL par interface et par sens (input/output). Une ACL est analysée par l’IOS de manière séquentielle. Dès qu’une règle correspond au trafic, l’action définie est appliquée, le reste de l’ACL n’est pas analysé. Toute ACL par défaut bloque tout trafic. Donc tout trafic ne correspondant à aucune règle d’une ACL est rejeté. Remarque: Les ACLs servent également à identifier un trafic afin d’être traité par un processus, dans ce cas le trafic correspondant à un « permit » est traité, et celui correspondant à un « deny » est ignoré. Il existe deux types d'ACL: ACL standard  : Permet d’analyser du trafic en fonction de: Adresse IP source ACL étendue: permet
Lire la suite