Différences entre versions de « Openvpn »
(69 versions intermédiaires par 2 utilisateurs non affichées) | |||
Ligne 15 : | Ligne 15 : | ||
* [[resolv.conf|Configuration du client DNS]] | * [[resolv.conf|Configuration du client DNS]] | ||
* [[ifcfg-ethX|Paramétrer sa carte réseau]] | * [[ifcfg-ethX|Paramétrer sa carte réseau]] | ||
− | * [[SELinux|Désactiver SELinux]] | + | * [[SELinux#Changement_d.27.C3.A9tat|Désactiver SELinux]] |
Assurez-vous d'avoir installé le [[Linux_repository | dépôt EPEL]] car ''OpenVPN'' vient de cette source. | Assurez-vous d'avoir installé le [[Linux_repository | dépôt EPEL]] car ''OpenVPN'' vient de cette source. | ||
Ligne 21 : | Ligne 21 : | ||
Une fois ces étapes effectuées, entrons dans le vif du sujet ! | Une fois ces étapes effectuées, entrons dans le vif du sujet ! | ||
− | = Use case 1 : serveur - client = | + | = Use case 1 : client - serveur en mode tunnel (unidirectionnel) - Avec le script (pour CentOS 8 et plus) = |
+ | == Partie serveur == | ||
+ | Téléchargez le script directement depuis GitHub: | ||
+ | <pre> | ||
+ | # curl https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh > openvpn-install.sh | ||
+ | </pre> | ||
+ | Passons le bit d’exécution à ''1'': | ||
+ | <pre> | ||
+ | # chmod +x openvpn-install.sh | ||
+ | </pre> | ||
+ | Si vous êtes dans un conteneur LXC, il faut donner les droits sur le périphérique ''TUN'' comme expliqué [https://pve.proxmox.com/wiki/OpenVPN_in_LXC ici]. | ||
+ | |||
+ | Enfin, lancez le script: | ||
+ | <pre> | ||
+ | # ./openvpn-install.sh | ||
+ | </pre> | ||
+ | Une fois le script démarré, il faut répondre à quelques questions. La première est l'adresse IP d'écoute d'Openvpn. Il faut indiquer l'interface par laquelle les clients VPN vont se connecter: | ||
+ | <pre> | ||
+ | I need to know the IPv4 address of the network interface you want OpenVPN listening to. | ||
+ | Unless your server is behind NAT, it should be your public IPv4 address. | ||
+ | IP address: 192.168.100.130 | ||
+ | </pre> | ||
+ | La deuxième est l'adresse IP publique. Ici, vous avez deux choix, soit: | ||
+ | **vous indiquez l'IP publique de votre routeur (calculée automatiquement par le script) et vous faites du PAT sur votre routeur (habituellement UDP:1194) | ||
+ | **vous indiquez l'IP privée de la question précédente si c'est pour une connexion dans un LAN (comme dans cette exemple) | ||
+ | <pre> | ||
+ | It seems this server is behind NAT. What is its public IPv4 address or hostname? | ||
+ | We need it for the clients to connect to the server. | ||
+ | Public IPv4 address or hostname: 192.168.100.130 | ||
+ | </pre> | ||
+ | Ensuite le script vous propose de faire du NAT IPv6. Cela dépend de votre IP (v4 ou v6): | ||
+ | <pre> | ||
+ | Do you want to enable IPv6 support (NAT)? [y/n]: n | ||
+ | </pre> | ||
+ | Le script vous demande ensuite sur quel port vous voulez que le serveur Openvpn écoute. Vous pouvez laisser le choix par défaut: | ||
+ | <pre> | ||
+ | What port do you want OpenVPN to listen to? | ||
+ | 1) Default: 1194 | ||
+ | 2) Custom | ||
+ | 3) Random [49152-65535] | ||
+ | Port choice [1-3]: 1 | ||
+ | </pre> | ||
+ | Ensuite vient le choix du protocole. La encore, le choix par défaut ''UDP'' est très bien: | ||
+ | <pre> | ||
+ | What protocol do you want OpenVPN to use? | ||
+ | UDP is faster. Unless it is not available, you shouldn't use TCP. | ||
+ | 1) UDP | ||
+ | 2) TCP | ||
+ | Protocol [1-2]: 1 | ||
+ | </pre> | ||
+ | Le script propose plusieurs choix pour le serveur DNS utilisé par le client. Si vous configurez ce VPN dans le cadre d'un entreprise, privilégiez les serveurs DNS internes, si c'est pour un usage personnel, vous pouvez utiliser les serveurs de Google ou autres: | ||
+ | <pre> | ||
+ | What DNS resolvers do you want to use with the VPN? | ||
+ | 1) Current system resolvers (from /etc/resolv.conf) | ||
+ | 2) Self-hosted DNS Resolver (Unbound) | ||
+ | 3) Cloudflare (Anycast: worldwide) | ||
+ | 4) Quad9 (Anycast: worldwide) | ||
+ | 5) Quad9 uncensored (Anycast: worldwide) | ||
+ | 6) FDN (France) | ||
+ | 7) DNS.WATCH (Germany) | ||
+ | 8) OpenDNS (Anycast: worldwide) | ||
+ | 9) Google (Anycast: worldwide) | ||
+ | 10) Yandex Basic (Russia) | ||
+ | 11) AdGuard DNS (Anycast: worldwide) | ||
+ | 12) NextDNS (Anycast: worldwide) | ||
+ | 13) Custom | ||
+ | DNS [1-12]: 9 | ||
+ | </pre> | ||
+ | Vous pouvez activer la compression ou non. Il est recommandé de ne pas le faire puisque l'attaque ''VORACLE'' exploite des vulnérabilités liées au algorithme de compression: | ||
+ | <pre> | ||
+ | Do you want to use compression? It is not recommended since the VORACLE attack make use of it. | ||
+ | Enable compression? [y/n]: n | ||
+ | </pre> | ||
+ | Pour le choix du chiffrement utilisé, laissez tout par défaut: | ||
+ | <pre> | ||
+ | Do you want to customize encryption settings? | ||
+ | Unless you know what you're doing, you should stick with the default parameters provided by the script. | ||
+ | Note that whatever you choose, all the choices presented in the script are safe. (Unlike OpenVPN's defaults) | ||
+ | See https://github.com/angristan/openvpn-install#security-and-encryption to learn more. | ||
+ | |||
+ | Customize encryption settings? [y/n]: n | ||
+ | </pre> | ||
+ | Le script vous prévient que tout est terminé est qu'il va procéder à l'installation: | ||
+ | <pre> | ||
+ | Okay, that was all I needed. We are ready to setup your OpenVPN server now. | ||
+ | You will be able to generate a client at the end of the installation. | ||
+ | Press any key to continue... | ||
+ | </pre> | ||
+ | |||
+ | == Partie cliente== | ||
+ | Après l'installation du serveur, le script vous propose de créer un fichier de configuration pour un client. Indiquez le nom du client et validez: | ||
+ | <pre> | ||
+ | Tell me a name for the client. | ||
+ | The name must consist of alphanumeric character. It may also include an underscore or a dash. | ||
+ | Client name: tala | ||
+ | </pre> | ||
+ | On vous propose ensuite de protéger le fichier par un mot de passe, faites comme vous voulez: | ||
+ | <pre> | ||
+ | Do you want to protect the configuration file with a password? | ||
+ | (e.g. encrypt the private key with a password) | ||
+ | 1) Add a passwordless client | ||
+ | 2) Use a password for the client | ||
+ | Select an option [1-2]: 1 | ||
+ | </pre> | ||
+ | Et voila, le fichier client portant l'extension ''ovpn'' et dans le répertoire du script ! | ||
+ | Avant d'aller plus loin, n'oubliez pas de démarrer le serveur Openvpn: | ||
+ | <pre> | ||
+ | # systemctl start openvpn-server@server | ||
+ | </pre> | ||
+ | Et de l'activer au démarrage si besoin: | ||
+ | <pre> | ||
+ | # systemctl enable openvpn-server@server | ||
+ | </pre> | ||
+ | Vous pouvez récupérer la configuration du client avec un programme comme WinSCP et aller directement [[#Mise_en_place_2 | ici]] pour le déploiement sur Windows. | ||
+ | |||
+ | = Use case 1 : client - serveur en mode tunnel (unidirectionnel) - Manuellement (jusqu'à CentOS 7) = | ||
Dans ce cas d'utilisation (use case), nous allons utiliser un serveur ''CentOS'' et un client ''Seven''. Le client, situé sur Internet, pourra accéder aux services de l'entreprise comme s'il était physiquement connecté au ''LAN''. | Dans ce cas d'utilisation (use case), nous allons utiliser un serveur ''CentOS'' et un client ''Seven''. Le client, situé sur Internet, pourra accéder aux services de l'entreprise comme s'il était physiquement connecté au ''LAN''. | ||
Ligne 28 : | Ligne 143 : | ||
== Partie serveur == | == Partie serveur == | ||
=== Installation === | === Installation === | ||
− | Premièrement, installons les packages nécessaires: | + | Premièrement, installons les packages nécessaires. |
+ | * Pour CentOS 6, il suffit d'installer les packages de base: | ||
<pre> | <pre> | ||
# yum -y install openvpn easy-rsa | # yum -y install openvpn easy-rsa | ||
</pre> | </pre> | ||
− | ''OpenVPN'' est livré avec un fichier de configuration | + | * Pour CentOS 7, il faut télécharger la version 2 de [[media:easy-rsa_2.0.tar.gz | easy-rsa]], qui contient tous les scripts de création de certificats: |
+ | <pre> | ||
+ | # yum -y install openvpn | ||
+ | # curl -k https://www.tala-informatique.fr/wiki/images/1/1b/Easy-rsa_2.0.tar.gz -o easy-rsa_2.0.tar.gz | ||
+ | # mkdir -p /etc/openvpn/easy-rsa | ||
+ | # tar -zxf easy-rsa_2.0.tar.gz -C /etc/openvpn/easy-rsa | ||
+ | </pre> | ||
+ | ''OpenVPN'' est livré avec un fichier de configuration exemple que nous allons copier dans le bon répertoire: | ||
<pre> | <pre> | ||
# cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn | # cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn | ||
Ligne 39 : | Ligne 162 : | ||
=== Configuration === | === Configuration === | ||
Éditons le fichier maintenant qu'il est au bon endroit: | Éditons le fichier maintenant qu'il est au bon endroit: | ||
+ | * Sur CentOS 6: | ||
<pre> | <pre> | ||
# vi /etc/openvpn/server.conf | # vi /etc/openvpn/server.conf | ||
</pre> | </pre> | ||
+ | * Sur CentOS 7 | ||
+ | <pre> | ||
+ | #vi /etc/openvpn/server/server.conf | ||
+ | </pre> | ||
+ | * CentOS 6: | ||
Nous allons dé-commenter la ligne suivante qui permet de router le trafic qui vient du client à travers le tunnel VPN: | Nous allons dé-commenter la ligne suivante qui permet de router le trafic qui vient du client à travers le tunnel VPN: | ||
<pre> | <pre> | ||
push "redirect-gateway def1 bypass-dhcp" | push "redirect-gateway def1 bypass-dhcp" | ||
+ | </pre> | ||
+ | * CentOS 7 : | ||
+ | Nous allons ajouter les lignes suivantes: | ||
+ | <pre> | ||
+ | push "redirect-gateway autolocal def1" | ||
+ | push "redirect-gateway def1" | ||
</pre> | </pre> | ||
La ligne suivante doit être décommentée car elle permet de préciser quel serveur ''DNS'' le client doit utiliser. Si vous avez un serveur ''DNS'' sur votre réseau, mettez son ''IP'' ici, sinon utilisez le serveur de ''Google'': | La ligne suivante doit être décommentée car elle permet de préciser quel serveur ''DNS'' le client doit utiliser. Si vous avez un serveur ''DNS'' sur votre réseau, mettez son ''IP'' ici, sinon utilisez le serveur de ''Google'': | ||
Ligne 56 : | Ligne 191 : | ||
</pre> | </pre> | ||
Pour résumer: | Pour résumer: | ||
+ | {| | ||
+ | |- | ||
+ | || CentOS6 || CentOS 7 | ||
+ | |- | ||
+ | || | ||
<pre> | <pre> | ||
port 1194 | port 1194 | ||
Ligne 78 : | Ligne 218 : | ||
verb 3 | verb 3 | ||
</pre> | </pre> | ||
+ | || | ||
+ | <pre> | ||
+ | port 1194 | ||
+ | proto udp | ||
+ | dev tun | ||
+ | ca ca.crt | ||
+ | cert server.crt | ||
+ | key server.key # This file should be kept secret | ||
+ | dh dh2048.pem | ||
+ | server 10.8.0.0 255.255.255.0 | ||
+ | ifconfig-pool-persist ipp.txt | ||
+ | push "redirect-gateway autolocal def1" | ||
+ | push "redirect-gateway def1" | ||
+ | push "dhcp-option DNS 8.8.8.8" | ||
+ | keepalive 10 120 | ||
+ | tls-auth ta.key 0 # This file is secret | ||
+ | cipher AES-256-CBC | ||
+ | user nobody | ||
+ | group nobody | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | status openvpn-status.log | ||
+ | log openvpn.log | ||
+ | verb 3 | ||
+ | explicit-exit-notify 1 | ||
+ | </pre> | ||
+ | |} | ||
=== Création des clés === | === Création des clés === | ||
Ligne 89 : | Ligne 256 : | ||
# mkdir -p /etc/openvpn/easy-rsa/keys | # mkdir -p /etc/openvpn/easy-rsa/keys | ||
</pre> | </pre> | ||
− | Copions les fichiers nécessaires : | + | Copions les fichiers nécessaires ('''à faire uniquement sur CentOS 6''') : |
<pre> | <pre> | ||
# cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa | # cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa | ||
Ligne 194 : | Ligne 361 : | ||
=== Démarrage et enregistrement du serveur === | === Démarrage et enregistrement du serveur === | ||
+ | * CentOS 6: | ||
<pre> | <pre> | ||
# service openvpn start | # service openvpn start | ||
# chkconfig openvpn on | # chkconfig openvpn on | ||
+ | </pre> | ||
+ | * CentOS 7: | ||
+ | <pre> | ||
+ | # systemctl start openvpn@server | ||
+ | # systemctl enable openvpn@server | ||
</pre> | </pre> | ||
Ligne 294 : | Ligne 467 : | ||
comp-lzo | comp-lzo | ||
verb 3 | verb 3 | ||
+ | remote-cert-tls server | ||
<ca> | <ca> | ||
!!!! Contenu du fichier ca.crt !!!! | !!!! Contenu du fichier ca.crt !!!! | ||
Ligne 314 : | Ligne 488 : | ||
[[Fichier:ovpn client connexion ok.png|centré]] | [[Fichier:ovpn client connexion ok.png|centré]] | ||
− | = Use case 2 : site-to-site unidirectionnel = | + | = Use case 2 : client - serveur bidirectionnel = |
− | Dans ce cas de figure, nous avons un ou plusieurs sites secondaires qui ont besoin d'accéder aux ressources | + | Dans ce cas d'utilisation, nous allons utiliser un serveur ''CentOS'' et un client ''Seven''. Le client, situé sur Internet, pourra accéder aux services de l'entreprise comme s'il était physiquement connecté au ''LAN''. |
+ | La différence avec le mode tunnel, c'est que le client est dans le même sous-réseau que le serveur OpenVPN et non sur un réseau virtuel interne. | ||
+ | |||
+ | == Partie serveur == | ||
+ | Les parties suivantes sont identiques au mode tunnel: | ||
+ | *[[Openvpn#Installation | Installation]] | ||
+ | *[[Openvpn#Openvpn#Cr.C3.A9ation_des_cl.C3.A9s | Création ds clés]] | ||
+ | *[[Openvpn#D.C3.A9marrage_et_enregistrement_du_serveur | Démarrage et enregistrement du serveur]] | ||
+ | |||
+ | La partie [[Openvpn#Activation_du_routage | activation du routage]] n'est plus utile puisque le client termine l'extrémité de tunnel dans le même sous-réseau que le serveur OpenVPN. | ||
+ | |||
+ | === Création du pont === | ||
+ | |||
+ | Voyons maintenant ce qui change. L'adaptateur ''tap0'' va servir d’extrémité de tunnel et sera ponté (''bridge'') avec l'adaptateur ''eth0''. Ce mécanisme, détaillé [[Bridge | ici]], va rassembler les deux interfaces précédentes sous une troisième interface nommée ''br0''. | ||
+ | |||
+ | On va donc créer les trois interfaces comme suit : | ||
+ | {| | ||
+ | |- | ||
+ | |valign="top"| | ||
+ | <pre> | ||
+ | DEVICE=br0 | ||
+ | TYPE=Bridge | ||
+ | ONBOOT=yes | ||
+ | NM_CONTROLLED=yes | ||
+ | BOOTPROTO=static | ||
+ | IPADDR=192.168.1.200 | ||
+ | NETMASK=255.255.255.0 | ||
+ | </pre> | ||
+ | |valign="top"| | ||
+ | <pre> | ||
+ | DEVICE=eth0 | ||
+ | TYPE=Ethernet | ||
+ | ONBOOT=yes | ||
+ | NM_CONTROLLED=yes | ||
+ | BOOTPROTO=none | ||
+ | BRIDGE=br0 | ||
+ | </pre> | ||
+ | |valign="top"| | ||
+ | <pre> | ||
+ | DEVICE=tap0 | ||
+ | TYPE=tap | ||
+ | ONBOOT=yes | ||
+ | NM_CONTROLLED=yes | ||
+ | BOOTPROTO=none | ||
+ | BRIDGE=br0 | ||
+ | </pre> | ||
+ | |- | ||
+ | |align="center"| | ||
+ | Fichier ifcfg-br0 | ||
+ | |align="center"| | ||
+ | Fichier ifcfg-eth0 | ||
+ | |align="center"| | ||
+ | Fichier ifcfg-tap0 | ||
+ | |} | ||
+ | |||
+ | Pour que la configuration automatique de ''tap0'' se fasse, il faut installer le paquetage ''tunctl'' : | ||
+ | <pre> | ||
+ | #yum -y install tunctl | ||
+ | </pre> | ||
+ | |||
+ | {|style="width:650px" align="center" | ||
+ | | | ||
+ | [[Fichier:Warning manual.jpg|centré|300px]] | ||
+ | |valign="top"| | ||
+ | Dans cet exemple, le sous-réseau de destination est 192.168.1.0/24, ce qui force le client à ne pas se trouver dans le même sous-réseau lors de l'établissement du tunnel. | ||
+ | |||
+ | Si c'est le cas, le client aura deux adaptateurs dans le même sous-réseau ce qui posera des problèmes de routage évident... | ||
+ | |} | ||
+ | |||
+ | On redémarre la partie réseau : | ||
+ | <pre> | ||
+ | # service network restart | ||
+ | </pre> | ||
+ | |||
+ | On peut utiliser les commandes habituelle pour s'assurer du bon fonctionnement des interfaces réseaux : | ||
+ | <pre> | ||
+ | # brctl show br0 | ||
+ | bridge name bridge id STP enabled interfaces | ||
+ | br0 8000.000c29d7745a no eth0 | ||
+ | tap0 | ||
+ | |||
+ | # ip a | ||
+ | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN | ||
+ | link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 | ||
+ | inet 127.0.0.1/8 scope host lo | ||
+ | inet6 ::1/128 scope host | ||
+ | valid_lft forever preferred_lft forever | ||
+ | 2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 | ||
+ | link/ether 00:0c:29:d7:74:5a brd ff:ff:ff:ff:ff:ff | ||
+ | inet6 fe80::20c:29ff:fed7:745a/64 scope link | ||
+ | valid_lft forever preferred_lft forever | ||
+ | 3: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 | ||
+ | link/ether 5e:52:54:72:ab:6d brd ff:ff:ff:ff:ff:ff | ||
+ | inet6 fe80::5c52:54ff:fe72:ab6d/64 scope link | ||
+ | valid_lft forever preferred_lft forever | ||
+ | 10: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN | ||
+ | link/ether 00:0c:29:d7:74:5a brd ff:ff:ff:ff:ff:ff | ||
+ | inet 192.168.1.200/24 brd 192.168.50.255 scope global br0 | ||
+ | inet6 fe80::20c:29ff:fed7:745a/64 scope link | ||
+ | valid_lft forever preferred_lft forever | ||
+ | </pre> | ||
+ | |||
+ | === Configuration === | ||
+ | Éditons le fichier de configuration du serveur : | ||
+ | <pre> | ||
+ | # vi /etc/openvpn/server.conf | ||
+ | </pre> | ||
+ | Le fichier doit contenir les lignes suivantes : | ||
+ | <pre> | ||
+ | ; Partie sur le tunnel | ||
+ | port 1194 | ||
+ | proto udp | ||
+ | dev tap0 | ||
+ | |||
+ | ; Partie sur les clés / certificats | ||
+ | ca ca.crt | ||
+ | cert server.crt | ||
+ | key server.key # This file should be kept secret | ||
+ | dh dh2048.pem | ||
+ | |||
+ | server-bridge 192.168.50.253 255.255.255.0 192.168.50.50 192.168.50.60 | ||
+ | |||
+ | ; Partie sur la sécurité | ||
+ | user nobody | ||
+ | group nobody | ||
+ | keepalive 10 120 | ||
+ | cipher AES-256-CBC | ||
+ | comp-lzo | ||
+ | persist-key | ||
+ | |||
+ | ; Partie sur les logs | ||
+ | status openvpn-status.log | ||
+ | log openvpn.log | ||
+ | verb 5 | ||
+ | </pre> | ||
+ | |||
+ | On termine par le démarrage du serveur et son enregistrement dans le chargeur de démarrage. | ||
+ | |||
+ | == Partie cliente == | ||
+ | Les parties suivantes sont identiques au mode tunnel: | ||
+ | *[[Openvpn#Installation_du_client | Installation du client]] | ||
+ | *[[Openvpn#G.C3.A9n.C3.A9ration_du_certificat_client | Génération du certificat client]] | ||
+ | *[[Openvpn#Mise_en_place_2 | Mise en place]] | ||
+ | |||
+ | === Fichier de configuration === | ||
+ | Il faut créer le fichier de configuration, ''client.ovpn'', qui va nous permettre de nous connecter au serveur dont voici le contenu: | ||
+ | <pre> | ||
+ | client | ||
+ | dev tap0 | ||
+ | proto udp | ||
+ | remote !!!adresse IP du serveur OpenVPN!!! 1194 | ||
+ | |||
+ | cipher AES-256-CBC | ||
+ | resolv-retry infinite | ||
+ | nobind | ||
+ | persist-key | ||
+ | comp-lzo | ||
+ | |||
+ | verb 3 | ||
+ | <ca> | ||
+ | !!!! Contenu du fichier ca.crt !!!! | ||
+ | </ca> | ||
+ | <cert> | ||
+ | !!!! Contenu du fichier client.crt !!!! | ||
+ | </cert> | ||
+ | <key> | ||
+ | !!!! Contenu du fichier client.key!!!! | ||
+ | </key> | ||
+ | </pre> | ||
+ | Adaptez: | ||
+ | * l'adresse IP du serveur OpenVPN; | ||
+ | * les contenus des fichiers commencent par le mot ''BEGIN'' et se terminent par le mot ''END'' | ||
+ | |||
+ | = Use case 3 : passerelle site-to-site unidirectionnel = | ||
+ | Dans ce cas de figure, nous avons un ou plusieurs sites secondaires qui ont besoin d'accéder aux ressources disponibles sur un site principal. | ||
C'est le cas d'utilisation de tous les magasins franchisés ou grandes enseignes. Leurs stocks, informations de paiement, etc... remontent à Paris, au niveau de la maison mère. | C'est le cas d'utilisation de tous les magasins franchisés ou grandes enseignes. Leurs stocks, informations de paiement, etc... remontent à Paris, au niveau de la maison mère. | ||
Dans ce cas précis, nous allons minimiser l'impact de la mise en place du tunnel VPN sur le réseau existant. C'est souvent l'attitude à adopter quand on est prestataire externe et qu'il faut intégrer un nouveau service dans une architecture réseau existante et non maîtrisée. | Dans ce cas précis, nous allons minimiser l'impact de la mise en place du tunnel VPN sur le réseau existant. C'est souvent l'attitude à adopter quand on est prestataire externe et qu'il faut intégrer un nouveau service dans une architecture réseau existante et non maîtrisée. | ||
+ | |||
+ | Nous allons placer un client ''OpenVPN'' dans la DMZ publique pour ne pas intervenir sur le routeur déjà en place, excepté pour ajouter une règle de routage. | ||
[[Fichier:site-to-site-uni-vpn.png|centré]] | [[Fichier:site-to-site-uni-vpn.png|centré]] | ||
== Partie serveur == | == Partie serveur == | ||
− | Suivez exactement les | + | Suivez exactement les mêmes instructions que dans le [[Openvpn#Partie_serveur | use case 1]]. |
+ | === Redirection du trafic vers la passerelle === | ||
+ | N'oubliez pas de mettre une règle ''Iptables'' sur le pare-feu pour rediriger le trafic UDP 1194 : | ||
+ | <pre> | ||
+ | # iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1194 -j DNAT --to 192.168.1.200 | ||
+ | </pre> | ||
== Partie cliente == | == Partie cliente == | ||
Ligne 335 : | Ligne 690 : | ||
=== Configuration === | === Configuration === | ||
+ | Dans ce use case, on peut reprendre la même configuration que pour la [[Openvpn#Fichier_de_configuration | partie précédente]] | ||
− | = Use case 2 : site-to-site bidirectionnel = | + | Renommez le fichier ''client.ovpn'' en ''client.conf'' et placez-le dans le répertoire ''/etc/openvpn''. |
+ | |||
+ | === Démarrage === | ||
+ | Pour démarrer notre client ''OpenVPN'' nous allons utiliser la commande suivante : | ||
+ | * CentOS 6: | ||
+ | <pre> | ||
+ | # service openvpn start | ||
+ | </pre> | ||
+ | * CentOS 7: | ||
+ | <pre> | ||
+ | # systemctl start openvpn@client | ||
+ | # systemctl enable openvpn@client | ||
+ | </pre> | ||
+ | Le tunnel est maintenant monté, il ne reste plus qu'à informer le routeur des réseaux qui se trouvent derrière le client ''OpenVPN''. | ||
+ | |||
+ | === Configuration du routage === | ||
+ | |||
+ | Sur le routeur/pare-feu de sortie, il nous faut ajouter une règle de routage pour rediriger correctement le trafic à l'intérieur du tunnel VPN. | ||
+ | |||
+ | Nous allons partir du postulat suivant: | ||
+ | * le réseau derrière le tunnel est 192.168.50.0/24; | ||
+ | * l'adresse ''IP'' du client ''OpenVPN'' est 192.168.1.200/24; | ||
+ | * l'interface réseau du pare-feu connecté à la DMZ publique est ''eth1'' ou ''FastEthernet0/1''. | ||
+ | |||
+ | ==== Sur CentOS ==== | ||
+ | Avec la commande ''ip'': | ||
+ | <pre> | ||
+ | # ip route add 192.168.50.0/24 via 192.168.1.200 | ||
+ | </pre> | ||
+ | Pour rendre ce paramètre persistant, il faut créer le fichier ''/etc/sysconfig/network-scripts/route-eth1'': | ||
+ | <pre> | ||
+ | 192.168.50.0/24 via 192.168.30.1 dev eth1 | ||
+ | </pre> | ||
+ | ==== Sur Cisco ==== | ||
+ | Vous pouvez trouver plus d'informations [[ISR-basics#Ajout_d.27une_route_statique | ici ]]: | ||
+ | <pre> | ||
+ | (config) ip route 192.168.50.0 255.255.255.0 192.168.1.200 | ||
+ | </pre> | ||
+ | |||
+ | === Camouflage des réseaux du site secondaire === | ||
+ | |||
+ | Les réseaux présents sur le site secondaire ne sont pas connus du serveur ''OpenVPN'', il faut donc les camoufler: | ||
+ | <pre> | ||
+ | # iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE | ||
+ | </pre> | ||
+ | |||
+ | = Use case 3 : routeur de sortie site-to-site unidirectionnel = | ||
+ | Dans ce use case, nous avons la main sur le routeur de sortie et nous allons le configurer pour y déployer le client ''OpenVPN''. | ||
+ | [[Fichier:site-to-site-router-uni-vpn.png|centré]] | ||
+ | == Partie serveur == | ||
+ | Suivez exactement les mêmes instructions que dans le [[Openvpn#Partie_serveur | use case 1]]. | ||
+ | |||
+ | La seule différence et que nous allons désactiver la fonction de passerelle par défaut du serveur ''OpenVPN''. En effet, si vous avez bien remarqué, dès que le tunnel est monté, tout le trafic qui sort du client ''OpenVPN'' passe forcement par le tunnel et sort donc au niveau du site principal... Ce qui risque de ne pas être très optimisé pour le trafic Internet issu du site secondaire. | ||
+ | |||
+ | Pour réaliser cela, nous allons laisser la ligne suivante commentée: | ||
+ | <pre> | ||
+ | push "redirect-gateway def1 bypass-dhcp" | ||
+ | </pre> | ||
+ | Cependant, il faut annoncer les réseaux qui se trouvent derrière le serveur ''OpenVPN'', pour que le trafic soit routé correctement: | ||
+ | <pre> | ||
+ | push "route 192.168.1.0 255.255.255.0" | ||
+ | push "route 192.168.2.0 255.255.255.0" | ||
+ | push "route 192.168.3.0 255.255.255.0" | ||
+ | </pre> | ||
+ | Dans ce cas, nous annonçons les réseaux 192.168.1.0/24, 192.168.2.0/24 et 192.168.3.0/24 derrière le serveur ''OpenVPN''. | ||
+ | J'attire votre attention sur le fait que ces réseaux ne doivent pas être utilisés sur le site secondaire. Sinon, dès que le tunnel sera monté, le trafic sera redirigé vers le site principal. | ||
+ | |||
+ | Cela donne le fichier ''server.conf'' suivant: | ||
+ | <pre> | ||
+ | port 1194 | ||
+ | proto udp | ||
+ | dev tun | ||
+ | ca ca.crt | ||
+ | cert server.crt | ||
+ | key server.key # This file should be kept secret | ||
+ | dh dh2048.pem | ||
+ | server 10.8.0.0 255.255.255.0 | ||
+ | ifconfig-pool-persist ipp.txt | ||
+ | push "route 192.168.1.0 255.255.255.0" | ||
+ | push "route 192.168.2.0 255.255.255.0" | ||
+ | push "route 192.168.3.0 255.255.255.0" | ||
+ | push "dhcp-option DNS 8.8.8.8" | ||
+ | keepalive 10 120 | ||
+ | comp-lzo | ||
+ | user nobody | ||
+ | group nobody | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | log openvpn.log | ||
+ | status openvpn-status.log | ||
+ | verb 3 | ||
+ | </pre> | ||
+ | |||
+ | == Partie cliente == | ||
+ | Nous allons suivre les mêmes instructions que pour la partie [[Openvpn#Use_case_2_:_passerelle_site-to-site_unidirectionnel | passerelle]]. | ||
+ | |||
+ | = Use case 4 : site-to-site bidirectionnel = | ||
+ | Rien de plus simple, pour avoir une communication bidirectionnelle, il suffit de répéter les étapes des parties serveur et client sur les deux machines ''OpenVPN''. | ||
+ | |||
+ | Vous aurez donc deux fichiers de configuration dans le répertoire ''/etc/openvpn'': ''client.conf'' et ''server.conf''. | ||
= Les logs = | = Les logs = | ||
Ligne 344 : | Ligne 799 : | ||
</pre> | </pre> | ||
− | = | + | = Liste de révocation = |
− | + | == Configuration du serveur == | |
+ | La liste de révocation permet ''d'invalider'' les certificats qui ne sont plus autorisés à se connecter au serveur VPN. | ||
+ | |||
+ | Pour cela, il faut tout d'abord ajouter la ligne suivante à la fin du fichier ''/etc/openvpn/server.conf'' : | ||
<pre> | <pre> | ||
− | + | crl-verify /etc/openvpn/easy-rsa/keys/crl.pem | |
</pre> | </pre> | ||
+ | == Révocation == | ||
+ | Pour révoquer un certificat il faut utiliser le script suivant qui se trouve dans le répertoire ''/etc/openvpn/easy-rsa'' : | ||
+ | <pre> | ||
+ | # cd /etc/openvpn/easy-rsa | ||
+ | # ./revoke-full client-a-revoquer | ||
+ | </pre> | ||
+ | Remplacez juste ''client-a-revoquer'' par le nom du client à révoquer pour que : | ||
+ | * la ligne correspondante dans ''/etc/openvpn/easy-rsa/keys/index.txt'' débute pas un ''R'' (REVOKE); | ||
+ | Ci-dessous un extrait du fichier ''index.txt'' avec un premier certificat révoqué (''R'') et un deuxième valide (''V'') | ||
+ | <pre> | ||
+ | # cat keys/index.txt | ||
+ | R 251220225949Z 151223230021Z 0A unknown /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=tomasini/name=EasyRSA/emailAddress=root@tala.informatique.fr | ||
+ | V 251221042518Z 0C unknown /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=jcf/name=EasyRSA/emailAddress=root@tala.informatique.fr | ||
+ | </pre> | ||
+ | * le fichier ''/etc/openvpn/easy-rsa/keys/crl.pem'' soit généré avec les informations de révoquation. | ||
+ | Pour le lire utilisez la commande suivante: | ||
+ | <pre> | ||
+ | # openssl crl -in keys/crl.pem -text | ||
+ | Certificate Revocation List (CRL): | ||
+ | Version 1 (0x0) | ||
+ | Signature Algorithm: sha256WithRSAEncryption | ||
+ | Issuer: /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=Tala Informatique CA/name=EasyRSA/emailAddress=root@tala.informatique.fr | ||
+ | Last Update: Dec 23 23:13:54 2015 GMT | ||
+ | Next Update: Jan 22 23:13:54 2016 GMT | ||
+ | Revoked Certificates: | ||
+ | Serial Number: 0A | ||
+ | Revocation Date: Dec 23 23:00:21 2015 GMT | ||
+ | Serial Number: 0B | ||
+ | Revocation Date: Dec 23 23:02:54 2015 GMT | ||
+ | Signature Algorithm: sha256WithRSAEncryption | ||
+ | 9f:02:36:c6:a1:85:7f:1c:9a:b2:19:36:ad:8b:c1:4a:d1:5a: | ||
+ | 96:32:91:f3:19:06:99:d4:88:d7:98:3a:fd:7c:b9:cd:e2:97: | ||
+ | da:e1:26:42:df:e2:a7:d0:fd:cd:be:40:ba:32:22:5a:6a:c6: | ||
+ | 96:28:61:af:40:f2:65:47:54:36:6c:50:4d:f4:79:21:a8:80: | ||
+ | 58:6c:20:60:bd:d1:d7:83:70:53:84:0f:f7:8b:21:5d:0b:a7: | ||
+ | 56:e6:73:60:96:7c:b4:d4:08:54:0d:08:33:db:0a:e5:85:a1: | ||
+ | f8:05:fb:2a:11:ed:e4:ac:d2:5b:4c:e0:a0:5a:df:77:bc:22: | ||
+ | a4:9b:79:e2:9b:1a:05:c9:ad:73:5d:05:6c:f9:71:fc:62:dc: | ||
+ | 2b:b3:11:31:c8:b0:64:30:f1:93:b9:8d:f8:f2:06:d0:06:78: | ||
+ | 2d:c8:0d:90:c4:a1:c9:22:a6:85:68:a7:18:95:35:92:35:f1: | ||
+ | ca:32:35:fb:bd:dc:aa:bd:e2:41:09:14:a1:f0:39:7f:1b:de: | ||
+ | 92:89:a4:33:73:4f:36:2a:90:a7:18:b6:f5:db:b6:e3:f5:0d: | ||
+ | 35:e7:38:07:87:0a:71:db:de:c9:c1:19:9d:fd:b6:e1:b1:03: | ||
+ | 15:ee:24:be:bd:e3:06:aa:bb:ac:d5:d6:cc:af:50:4e:78:53: | ||
+ | a9:ba:4f:9c | ||
+ | -----BEGIN X509 CRL----- | ||
+ | MIICMjCCARowDQYJKoZIhvcNAQELBQAwgcAxCzAJBgNVBAYTAkZSMRAwDgYDVQQI | ||
+ | EwdIZXJhdWx0MREwDwYDVQQHEwhKdXZpZ25hYzEaMBgGA1UEChMRVGFsYSBJbmZv | ||
+ | cm1hdGlxdWUxFTATBgNVBAsTDEluZm9ybWF0aXF1ZTEdMBsGA1UEAxMUVGFsYSBJ | ||
+ | bmZvcm1hdGlxdWUgQ0ExEDAOBgNVBCkTB0Vhc3lSU0ExKDAmBgkqhkiG9w0BCQEW | ||
+ | GXJvb3RAdGFsYS5pbmZvcm1hdGlxdWUuZnIXDTE1MTIyMzIzMTM1NFoXDTE2MDEy | ||
+ | MjIzMTM1NFowKDASAgEKFw0xNTEyMjMyMzAwMjFaMBICAQsXDTE1MTIyMzIzMDI1 | ||
+ | NFowDQYJKoZIhvcNAQELBQADggEBAJ8CNsahhX8cmrIZNq2LwUrRWpYykfMZBpnU | ||
+ | iNeYOv18uc3il9rhJkLf4qfQ/c2+QLoyIlpqxpYoYa9A8mVHVDZsUE30eSGogFhs | ||
+ | IGC90deDcFOED/eLIV0Lp1bmc2CWfLTUCFQNCDPbCuWFofgF+yoR7eSs0ltM4KBa | ||
+ | 33e8IqSbeeKbGgXJrXNdBWz5cfxi3CuzETHIsGQw8ZO5jfjyBtAGeC3IDZDEocki | ||
+ | poVopxiVNZI18coyNfu93Kq94kEJFKHwOX8b3pKJpDNzTzYqkKcYtvXbtuP1DTXn | ||
+ | OAeHCnHb3snBGZ39tuGxAxXuJL694waqu6zV1syvUE54U6m6T5w= | ||
+ | -----END X509 CRL----- | ||
+ | </pre> | ||
+ | |||
+ | == Finalisation == | ||
+ | N'oublions pas de redémarrer le serveur pour prendre en compte tous ces paramètres: | ||
+ | *CentOS 6: | ||
+ | <pre> | ||
+ | # service openvpn restart | ||
+ | </pre> | ||
+ | *CentOS 7: | ||
+ | <pre> | ||
+ | # systemctl restart openvpn@server | ||
+ | </pre> | ||
+ | Au niveau du client, quand on veut se connecter avec le certificat révoqué on obtient cette ligne : | ||
+ | <pre> | ||
+ | Thu Dec 24 18:57:46 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed | ||
+ | </pre> | ||
+ | |||
+ | Un '''joli''' : ''certificate verify failed'' |
Version actuelle datée du 12 octobre 2021 à 09:30
Serveur | |
---|---|
Protocole | udp |
Port | 1194 |
Configuration Iptables | iptables -I INPUT 2 -p udp --dport 1194 -j ACCEPT |
Préparation
Dans un premier temps, il faudra avoir une connexion à Internet, utiliser un serveur DNS et désactiver SELinux.
Pour ceux qui auraient manqué des étapes, les voici:
Assurez-vous d'avoir installé le dépôt EPEL car OpenVPN vient de cette source.
Une fois ces étapes effectuées, entrons dans le vif du sujet !
Use case 1 : client - serveur en mode tunnel (unidirectionnel) - Avec le script (pour CentOS 8 et plus)
Partie serveur
Téléchargez le script directement depuis GitHub:
# curl https://raw.githubusercontent.com/Angristan/openvpn-install/master/openvpn-install.sh > openvpn-install.sh
Passons le bit d’exécution à 1:
# chmod +x openvpn-install.sh
Si vous êtes dans un conteneur LXC, il faut donner les droits sur le périphérique TUN comme expliqué ici.
Enfin, lancez le script:
# ./openvpn-install.sh
Une fois le script démarré, il faut répondre à quelques questions. La première est l'adresse IP d'écoute d'Openvpn. Il faut indiquer l'interface par laquelle les clients VPN vont se connecter:
I need to know the IPv4 address of the network interface you want OpenVPN listening to. Unless your server is behind NAT, it should be your public IPv4 address. IP address: 192.168.100.130
La deuxième est l'adresse IP publique. Ici, vous avez deux choix, soit:
- vous indiquez l'IP publique de votre routeur (calculée automatiquement par le script) et vous faites du PAT sur votre routeur (habituellement UDP:1194)
- vous indiquez l'IP privée de la question précédente si c'est pour une connexion dans un LAN (comme dans cette exemple)
It seems this server is behind NAT. What is its public IPv4 address or hostname? We need it for the clients to connect to the server. Public IPv4 address or hostname: 192.168.100.130
Ensuite le script vous propose de faire du NAT IPv6. Cela dépend de votre IP (v4 ou v6):
Do you want to enable IPv6 support (NAT)? [y/n]: n
Le script vous demande ensuite sur quel port vous voulez que le serveur Openvpn écoute. Vous pouvez laisser le choix par défaut:
What port do you want OpenVPN to listen to? 1) Default: 1194 2) Custom 3) Random [49152-65535] Port choice [1-3]: 1
Ensuite vient le choix du protocole. La encore, le choix par défaut UDP est très bien:
What protocol do you want OpenVPN to use? UDP is faster. Unless it is not available, you shouldn't use TCP. 1) UDP 2) TCP Protocol [1-2]: 1
Le script propose plusieurs choix pour le serveur DNS utilisé par le client. Si vous configurez ce VPN dans le cadre d'un entreprise, privilégiez les serveurs DNS internes, si c'est pour un usage personnel, vous pouvez utiliser les serveurs de Google ou autres:
What DNS resolvers do you want to use with the VPN? 1) Current system resolvers (from /etc/resolv.conf) 2) Self-hosted DNS Resolver (Unbound) 3) Cloudflare (Anycast: worldwide) 4) Quad9 (Anycast: worldwide) 5) Quad9 uncensored (Anycast: worldwide) 6) FDN (France) 7) DNS.WATCH (Germany) 8) OpenDNS (Anycast: worldwide) 9) Google (Anycast: worldwide) 10) Yandex Basic (Russia) 11) AdGuard DNS (Anycast: worldwide) 12) NextDNS (Anycast: worldwide) 13) Custom DNS [1-12]: 9
Vous pouvez activer la compression ou non. Il est recommandé de ne pas le faire puisque l'attaque VORACLE exploite des vulnérabilités liées au algorithme de compression:
Do you want to use compression? It is not recommended since the VORACLE attack make use of it. Enable compression? [y/n]: n
Pour le choix du chiffrement utilisé, laissez tout par défaut:
Do you want to customize encryption settings? Unless you know what you're doing, you should stick with the default parameters provided by the script. Note that whatever you choose, all the choices presented in the script are safe. (Unlike OpenVPN's defaults) See https://github.com/angristan/openvpn-install#security-and-encryption to learn more. Customize encryption settings? [y/n]: n
Le script vous prévient que tout est terminé est qu'il va procéder à l'installation:
Okay, that was all I needed. We are ready to setup your OpenVPN server now. You will be able to generate a client at the end of the installation. Press any key to continue...
Partie cliente
Après l'installation du serveur, le script vous propose de créer un fichier de configuration pour un client. Indiquez le nom du client et validez:
Tell me a name for the client. The name must consist of alphanumeric character. It may also include an underscore or a dash. Client name: tala
On vous propose ensuite de protéger le fichier par un mot de passe, faites comme vous voulez:
Do you want to protect the configuration file with a password? (e.g. encrypt the private key with a password) 1) Add a passwordless client 2) Use a password for the client Select an option [1-2]: 1
Et voila, le fichier client portant l'extension ovpn et dans le répertoire du script ! Avant d'aller plus loin, n'oubliez pas de démarrer le serveur Openvpn:
# systemctl start openvpn-server@server
Et de l'activer au démarrage si besoin:
# systemctl enable openvpn-server@server
Vous pouvez récupérer la configuration du client avec un programme comme WinSCP et aller directement ici pour le déploiement sur Windows.
Use case 1 : client - serveur en mode tunnel (unidirectionnel) - Manuellement (jusqu'à CentOS 7)
Dans ce cas d'utilisation (use case), nous allons utiliser un serveur CentOS et un client Seven. Le client, situé sur Internet, pourra accéder aux services de l'entreprise comme s'il était physiquement connecté au LAN.
C'est le use case le plus commun comme, par exemple, des commerciaux qui veulent accéder à leur PGI (Progiciel de Gestion Intégré) alors qu'ils sont à l'autre bout du monde.
Partie serveur
Installation
Premièrement, installons les packages nécessaires.
- Pour CentOS 6, il suffit d'installer les packages de base:
# yum -y install openvpn easy-rsa
- Pour CentOS 7, il faut télécharger la version 2 de easy-rsa, qui contient tous les scripts de création de certificats:
# yum -y install openvpn # curl -k https://www.tala-informatique.fr/wiki/images/1/1b/Easy-rsa_2.0.tar.gz -o easy-rsa_2.0.tar.gz # mkdir -p /etc/openvpn/easy-rsa # tar -zxf easy-rsa_2.0.tar.gz -C /etc/openvpn/easy-rsa
OpenVPN est livré avec un fichier de configuration exemple que nous allons copier dans le bon répertoire:
# cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn
Configuration
Éditons le fichier maintenant qu'il est au bon endroit:
- Sur CentOS 6:
# vi /etc/openvpn/server.conf
- Sur CentOS 7
#vi /etc/openvpn/server/server.conf
- CentOS 6:
Nous allons dé-commenter la ligne suivante qui permet de router le trafic qui vient du client à travers le tunnel VPN:
push "redirect-gateway def1 bypass-dhcp"
- CentOS 7 :
Nous allons ajouter les lignes suivantes:
push "redirect-gateway autolocal def1" push "redirect-gateway def1"
La ligne suivante doit être décommentée car elle permet de préciser quel serveur DNS le client doit utiliser. Si vous avez un serveur DNS sur votre réseau, mettez son IP ici, sinon utilisez le serveur de Google:
push "dhcp-option DNS 8.8.8.8"
Les lignes suivantes doivent être décommenteés pour signifier à OpenVPN d'utiliser l'utilisateur et le group nobody. Cela permet d'augmenter la sécurité.
user nobody group nobody
Pour résumer:
CentOS6 | CentOS 7 |
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun log openvpn.log status openvpn-status.log verb 3 |
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway autolocal def1" push "redirect-gateway def1" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 tls-auth ta.key 0 # This file is secret cipher AES-256-CBC user nobody group nobody persist-key persist-tun status openvpn-status.log log openvpn.log verb 3 explicit-exit-notify 1 |
Création des clés
Mise en place
Le serveur utilise un certificat pour monter un tunnel SSL avec le client. Cela nécessite une autorité de certification, pour délivrer des certificats, une paire certificat/clé pour le serveur et une paire certificat/clé pour le client.
Nous allons utiliser une librairie qui nous permet de créer tous les fichiers dont nous allons avoir besoin: easy-rsa.
Tout d'abord, créons un dossier pour stocker tous ces fichiers:
# mkdir -p /etc/openvpn/easy-rsa/keys
Copions les fichiers nécessaires (à faire uniquement sur CentOS 6) :
# cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa
Informations du certificat
Nous allons inscrire les informations du certificat dans le fichier /etc/openvpn/easy-rsa/vars pour ne pas avoir à les saisir à chaque fois:
export KEY_COUNTRY="FR" export KEY_PROVINCE="Herault" export KEY_CITY="Juvignac" export KEY_ORG="Tala Informatique" export KEY_EMAIL="root@tala.informatique.fr" export KEY_OU="Informatique"
Création de l'autorité de certification
# cd /etc/openvpn/easy-rsa # source ./vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys # ./clean-all # ./build-ca Generating a 2048 bit RSA private key ...................................................+++ ...................................................................................+++ writing new private key to 'ca.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Herault]: Locality Name (eg, city) [Juvignac]: Organization Name (eg, company) [Tala Informatique]: Organizational Unit Name (eg, section) [Informatique]: Common Name (eg, your name or your server's hostname) [Tala Informatique CA]: Name [EasyRSA]: Email Address [root@tala.informatique.fr]:
Génération du certificat serveur
Pour le serveur, ne pas mettre de mot de passe lorsque l'on vous pose la question.
# ./build-key-server server Generating a 2048 bit RSA private key .............+++ .........+++ writing new private key to 'server.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Herault]: Locality Name (eg, city) [Juvignac]: Organization Name (eg, company) [Tala Informatique]: Organizational Unit Name (eg, section) [Informatique]: Common Name (eg, your name or your server's hostname) [server]: Name [EasyRSA]: Email Address [root@tala.informatique.fr]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'Herault' localityName :PRINTABLE:'Juvignac' organizationName :PRINTABLE:'Tala Informatique' organizationalUnitName:PRINTABLE:'Informatique' commonName :PRINTABLE:'server' name :PRINTABLE:'EasyRSA' emailAddress :IA5STRING:'root@tala.informatique.fr' Certificate is to be certified until Oct 14 17:16:17 2025 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated
Nous allons également avoir besoin de clés Diffie Hellman pour procéder à la vérification des certificats de manière sécurisée. Pour les générer, nous allons utiliser le script build-dh et copier tous les fichiers dans /etc/openvpn:
# ./build-dh Generating DH parameters, 2048 bit long safe prime, generator 2 This is going to take a long time ... # cd /etc/openvpn/easy-rsa/keys # cp dh2048.pem ca.crt server.crt server.key /etc/openvpn
Démarrage et enregistrement du serveur
- CentOS 6:
# service openvpn start # chkconfig openvpn on
- CentOS 7:
# systemctl start openvpn@server # systemctl enable openvpn@server
Activation du routage
Il faut activer le routage, comme on le ferait sur un pare-feu, pour que les clients qui sont sur le sous-réseau du VPN puissent accéder au réseau sur lequel se trouve la passerelle OpenVPN.
Tout d'abord paramétrons le pare-feu pour faire du NAT:
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # iptables -F FORWARD # service iptables save
Enfin, activons le routage dans le fichier /etc/sysctl.conf:
net.ipv4.ip_forward = 1
Rechargeons les paramètres du noyau:
# sysctl -p
Partie cliente
Installation du client
Premièrement, installez le client OpenVPN sur la machine Windows, Mac ou Linux en récupérant l’exécutable ici : https://openvpn.net/index.php/open-source/downloads.html
Génération du certificat client
Comme pour la partie serveur, la première étape est la génération des clés.
Cela se fait sur le serveur OpenVPN:
# cd /etc/openvpn/easy-rsa # ./build-key client Generating a 2048 bit RSA private key ...........+++ ............+++ writing new private key to 'client.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [FR]: State or Province Name (full name) [Herault]: Locality Name (eg, city) [Juvignac]: Organization Name (eg, company) [Tala Informatique]: Organizational Unit Name (eg, section) [Informatique]: Common Name (eg, your name or your server's hostname) [client]: Name [EasyRSA]: Email Address [root@tala.informatique.fr]: Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: Using configuration from /etc/openvpn/easy-rsa/openssl-1.0.0.cnf Check that the request matches the signature Signature ok The Subject's Distinguished Name is as follows countryName :PRINTABLE:'FR' stateOrProvinceName :PRINTABLE:'Herault' localityName :PRINTABLE:'Juvignac' organizationName :PRINTABLE:'Tala Informatique' organizationalUnitName:PRINTABLE:'Informatique' commonName :PRINTABLE:'client' name :PRINTABLE:'EasyRSA' emailAddress :IA5STRING:'root@tala.informatique.fr' Certificate is to be certified until Oct 14 17:22:18 2025 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated
Récupération des fichiers
Il va falloir maintenant récupérer les trois fichiers suivants:
- ca.crt
- client.crt
- client.key
Ils se trouvent dans le répertoire /etc/openvpn/easy-rsa/keys du serveur.
Fichier de configuration
Il faut créer le fichier de configuration, client.ovpn, qui va nous permettre de nous connecter au serveur dont voici le contenu:
client dev tun proto udp remote !!!adresse IP du serveur OpenVPN!!! 1194 resolv-retry infinite nobind persist-key persist-tun comp-lzo verb 3 remote-cert-tls server <ca> !!!! Contenu du fichier ca.crt !!!! </ca> <cert> !!!! Contenu du fichier client.crt !!!! </cert> <key> !!!! Contenu du fichier client.key!!!! </key>
Adaptez:
- l'adresse IP du serveur OpenVPN;
- les contenus des fichiers commencent par le mot BEGIN et se terminent par le mot END
Mise en place
Dans cet exemple, nous allons utiliser un client Windows Seven. Il faut copier le fichier précédent dans le répertoire C:\Program Files\OpenVPN\config, puis démarrer la connexion:
Une fois la connexion montée, le message suivant devrait apparaître:
Use case 2 : client - serveur bidirectionnel
Dans ce cas d'utilisation, nous allons utiliser un serveur CentOS et un client Seven. Le client, situé sur Internet, pourra accéder aux services de l'entreprise comme s'il était physiquement connecté au LAN. La différence avec le mode tunnel, c'est que le client est dans le même sous-réseau que le serveur OpenVPN et non sur un réseau virtuel interne.
Partie serveur
Les parties suivantes sont identiques au mode tunnel:
La partie activation du routage n'est plus utile puisque le client termine l'extrémité de tunnel dans le même sous-réseau que le serveur OpenVPN.
Création du pont
Voyons maintenant ce qui change. L'adaptateur tap0 va servir d’extrémité de tunnel et sera ponté (bridge) avec l'adaptateur eth0. Ce mécanisme, détaillé ici, va rassembler les deux interfaces précédentes sous une troisième interface nommée br0.
On va donc créer les trois interfaces comme suit :
DEVICE=br0 TYPE=Bridge ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=static IPADDR=192.168.1.200 NETMASK=255.255.255.0 |
DEVICE=eth0 TYPE=Ethernet ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none BRIDGE=br0 |
DEVICE=tap0 TYPE=tap ONBOOT=yes NM_CONTROLLED=yes BOOTPROTO=none BRIDGE=br0 |
Fichier ifcfg-br0 |
Fichier ifcfg-eth0 |
Fichier ifcfg-tap0 |
Pour que la configuration automatique de tap0 se fasse, il faut installer le paquetage tunctl :
#yum -y install tunctl
Dans cet exemple, le sous-réseau de destination est 192.168.1.0/24, ce qui force le client à ne pas se trouver dans le même sous-réseau lors de l'établissement du tunnel. Si c'est le cas, le client aura deux adaptateurs dans le même sous-réseau ce qui posera des problèmes de routage évident... |
On redémarre la partie réseau :
# service network restart
On peut utiliser les commandes habituelle pour s'assurer du bon fonctionnement des interfaces réseaux :
# brctl show br0 bridge name bridge id STP enabled interfaces br0 8000.000c29d7745a no eth0 tap0 # ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:0c:29:d7:74:5a brd ff:ff:ff:ff:ff:ff inet6 fe80::20c:29ff:fed7:745a/64 scope link valid_lft forever preferred_lft forever 3: tap0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100 link/ether 5e:52:54:72:ab:6d brd ff:ff:ff:ff:ff:ff inet6 fe80::5c52:54ff:fe72:ab6d/64 scope link valid_lft forever preferred_lft forever 10: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN link/ether 00:0c:29:d7:74:5a brd ff:ff:ff:ff:ff:ff inet 192.168.1.200/24 brd 192.168.50.255 scope global br0 inet6 fe80::20c:29ff:fed7:745a/64 scope link valid_lft forever preferred_lft forever
Configuration
Éditons le fichier de configuration du serveur :
# vi /etc/openvpn/server.conf
Le fichier doit contenir les lignes suivantes :
; Partie sur le tunnel port 1194 proto udp dev tap0 ; Partie sur les clés / certificats ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem server-bridge 192.168.50.253 255.255.255.0 192.168.50.50 192.168.50.60 ; Partie sur la sécurité user nobody group nobody keepalive 10 120 cipher AES-256-CBC comp-lzo persist-key ; Partie sur les logs status openvpn-status.log log openvpn.log verb 5
On termine par le démarrage du serveur et son enregistrement dans le chargeur de démarrage.
Partie cliente
Les parties suivantes sont identiques au mode tunnel:
Fichier de configuration
Il faut créer le fichier de configuration, client.ovpn, qui va nous permettre de nous connecter au serveur dont voici le contenu:
client dev tap0 proto udp remote !!!adresse IP du serveur OpenVPN!!! 1194 cipher AES-256-CBC resolv-retry infinite nobind persist-key comp-lzo verb 3 <ca> !!!! Contenu du fichier ca.crt !!!! </ca> <cert> !!!! Contenu du fichier client.crt !!!! </cert> <key> !!!! Contenu du fichier client.key!!!! </key>
Adaptez:
- l'adresse IP du serveur OpenVPN;
- les contenus des fichiers commencent par le mot BEGIN et se terminent par le mot END
Use case 3 : passerelle site-to-site unidirectionnel
Dans ce cas de figure, nous avons un ou plusieurs sites secondaires qui ont besoin d'accéder aux ressources disponibles sur un site principal.
C'est le cas d'utilisation de tous les magasins franchisés ou grandes enseignes. Leurs stocks, informations de paiement, etc... remontent à Paris, au niveau de la maison mère.
Dans ce cas précis, nous allons minimiser l'impact de la mise en place du tunnel VPN sur le réseau existant. C'est souvent l'attitude à adopter quand on est prestataire externe et qu'il faut intégrer un nouveau service dans une architecture réseau existante et non maîtrisée.
Nous allons placer un client OpenVPN dans la DMZ publique pour ne pas intervenir sur le routeur déjà en place, excepté pour ajouter une règle de routage.
Partie serveur
Suivez exactement les mêmes instructions que dans le use case 1.
Redirection du trafic vers la passerelle
N'oubliez pas de mettre une règle Iptables sur le pare-feu pour rediriger le trafic UDP 1194 :
# iptables -t nat -A PREROUTING -i eth0 -p udp --dport 1194 -j DNAT --to 192.168.1.200
Partie cliente
Dans ce use case nous allons utiliser un CentOS comme client OpenVPN.
Installation
# yum -y install openvpn
Configuration
Dans ce use case, on peut reprendre la même configuration que pour la partie précédente
Renommez le fichier client.ovpn en client.conf et placez-le dans le répertoire /etc/openvpn.
Démarrage
Pour démarrer notre client OpenVPN nous allons utiliser la commande suivante :
- CentOS 6:
# service openvpn start
- CentOS 7:
# systemctl start openvpn@client # systemctl enable openvpn@client
Le tunnel est maintenant monté, il ne reste plus qu'à informer le routeur des réseaux qui se trouvent derrière le client OpenVPN.
Configuration du routage
Sur le routeur/pare-feu de sortie, il nous faut ajouter une règle de routage pour rediriger correctement le trafic à l'intérieur du tunnel VPN.
Nous allons partir du postulat suivant:
- le réseau derrière le tunnel est 192.168.50.0/24;
- l'adresse IP du client OpenVPN est 192.168.1.200/24;
- l'interface réseau du pare-feu connecté à la DMZ publique est eth1 ou FastEthernet0/1.
Sur CentOS
Avec la commande ip:
# ip route add 192.168.50.0/24 via 192.168.1.200
Pour rendre ce paramètre persistant, il faut créer le fichier /etc/sysconfig/network-scripts/route-eth1:
192.168.50.0/24 via 192.168.30.1 dev eth1
Sur Cisco
Vous pouvez trouver plus d'informations ici :
(config) ip route 192.168.50.0 255.255.255.0 192.168.1.200
Camouflage des réseaux du site secondaire
Les réseaux présents sur le site secondaire ne sont pas connus du serveur OpenVPN, il faut donc les camoufler:
# iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
Use case 3 : routeur de sortie site-to-site unidirectionnel
Dans ce use case, nous avons la main sur le routeur de sortie et nous allons le configurer pour y déployer le client OpenVPN.
Partie serveur
Suivez exactement les mêmes instructions que dans le use case 1.
La seule différence et que nous allons désactiver la fonction de passerelle par défaut du serveur OpenVPN. En effet, si vous avez bien remarqué, dès que le tunnel est monté, tout le trafic qui sort du client OpenVPN passe forcement par le tunnel et sort donc au niveau du site principal... Ce qui risque de ne pas être très optimisé pour le trafic Internet issu du site secondaire.
Pour réaliser cela, nous allons laisser la ligne suivante commentée:
push "redirect-gateway def1 bypass-dhcp"
Cependant, il faut annoncer les réseaux qui se trouvent derrière le serveur OpenVPN, pour que le trafic soit routé correctement:
push "route 192.168.1.0 255.255.255.0" push "route 192.168.2.0 255.255.255.0" push "route 192.168.3.0 255.255.255.0"
Dans ce cas, nous annonçons les réseaux 192.168.1.0/24, 192.168.2.0/24 et 192.168.3.0/24 derrière le serveur OpenVPN. J'attire votre attention sur le fait que ces réseaux ne doivent pas être utilisés sur le site secondaire. Sinon, dès que le tunnel sera monté, le trafic sera redirigé vers le site principal.
Cela donne le fichier server.conf suivant:
port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key # This file should be kept secret dh dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 192.168.1.0 255.255.255.0" push "route 192.168.2.0 255.255.255.0" push "route 192.168.3.0 255.255.255.0" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 comp-lzo user nobody group nobody persist-key persist-tun log openvpn.log status openvpn-status.log verb 3
Partie cliente
Nous allons suivre les mêmes instructions que pour la partie passerelle.
Use case 4 : site-to-site bidirectionnel
Rien de plus simple, pour avoir une communication bidirectionnelle, il suffit de répéter les étapes des parties serveur et client sur les deux machines OpenVPN.
Vous aurez donc deux fichiers de configuration dans le répertoire /etc/openvpn: client.conf et server.conf.
Les logs
On peut voir dans les logs les connexions des clients:
Sun Oct 18 20:27:01 2015 192.168.100.129:49196 [client] Peer Connection Initiated with [AF_INET]192.168.100.129:49196
Liste de révocation
Configuration du serveur
La liste de révocation permet d'invalider les certificats qui ne sont plus autorisés à se connecter au serveur VPN.
Pour cela, il faut tout d'abord ajouter la ligne suivante à la fin du fichier /etc/openvpn/server.conf :
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
Révocation
Pour révoquer un certificat il faut utiliser le script suivant qui se trouve dans le répertoire /etc/openvpn/easy-rsa :
# cd /etc/openvpn/easy-rsa # ./revoke-full client-a-revoquer
Remplacez juste client-a-revoquer par le nom du client à révoquer pour que :
- la ligne correspondante dans /etc/openvpn/easy-rsa/keys/index.txt débute pas un R (REVOKE);
Ci-dessous un extrait du fichier index.txt avec un premier certificat révoqué (R) et un deuxième valide (V)
# cat keys/index.txt R 251220225949Z 151223230021Z 0A unknown /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=tomasini/name=EasyRSA/emailAddress=root@tala.informatique.fr V 251221042518Z 0C unknown /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=jcf/name=EasyRSA/emailAddress=root@tala.informatique.fr
- le fichier /etc/openvpn/easy-rsa/keys/crl.pem soit généré avec les informations de révoquation.
Pour le lire utilisez la commande suivante:
# openssl crl -in keys/crl.pem -text Certificate Revocation List (CRL): Version 1 (0x0) Signature Algorithm: sha256WithRSAEncryption Issuer: /C=FR/ST=Herault/L=Juvignac/O=Tala Informatique/OU=Informatique/CN=Tala Informatique CA/name=EasyRSA/emailAddress=root@tala.informatique.fr Last Update: Dec 23 23:13:54 2015 GMT Next Update: Jan 22 23:13:54 2016 GMT Revoked Certificates: Serial Number: 0A Revocation Date: Dec 23 23:00:21 2015 GMT Serial Number: 0B Revocation Date: Dec 23 23:02:54 2015 GMT Signature Algorithm: sha256WithRSAEncryption 9f:02:36:c6:a1:85:7f:1c:9a:b2:19:36:ad:8b:c1:4a:d1:5a: 96:32:91:f3:19:06:99:d4:88:d7:98:3a:fd:7c:b9:cd:e2:97: da:e1:26:42:df:e2:a7:d0:fd:cd:be:40:ba:32:22:5a:6a:c6: 96:28:61:af:40:f2:65:47:54:36:6c:50:4d:f4:79:21:a8:80: 58:6c:20:60:bd:d1:d7:83:70:53:84:0f:f7:8b:21:5d:0b:a7: 56:e6:73:60:96:7c:b4:d4:08:54:0d:08:33:db:0a:e5:85:a1: f8:05:fb:2a:11:ed:e4:ac:d2:5b:4c:e0:a0:5a:df:77:bc:22: a4:9b:79:e2:9b:1a:05:c9:ad:73:5d:05:6c:f9:71:fc:62:dc: 2b:b3:11:31:c8:b0:64:30:f1:93:b9:8d:f8:f2:06:d0:06:78: 2d:c8:0d:90:c4:a1:c9:22:a6:85:68:a7:18:95:35:92:35:f1: ca:32:35:fb:bd:dc:aa:bd:e2:41:09:14:a1:f0:39:7f:1b:de: 92:89:a4:33:73:4f:36:2a:90:a7:18:b6:f5:db:b6:e3:f5:0d: 35:e7:38:07:87:0a:71:db:de:c9:c1:19:9d:fd:b6:e1:b1:03: 15:ee:24:be:bd:e3:06:aa:bb:ac:d5:d6:cc:af:50:4e:78:53: a9:ba:4f:9c -----BEGIN X509 CRL----- MIICMjCCARowDQYJKoZIhvcNAQELBQAwgcAxCzAJBgNVBAYTAkZSMRAwDgYDVQQI EwdIZXJhdWx0MREwDwYDVQQHEwhKdXZpZ25hYzEaMBgGA1UEChMRVGFsYSBJbmZv cm1hdGlxdWUxFTATBgNVBAsTDEluZm9ybWF0aXF1ZTEdMBsGA1UEAxMUVGFsYSBJ bmZvcm1hdGlxdWUgQ0ExEDAOBgNVBCkTB0Vhc3lSU0ExKDAmBgkqhkiG9w0BCQEW GXJvb3RAdGFsYS5pbmZvcm1hdGlxdWUuZnIXDTE1MTIyMzIzMTM1NFoXDTE2MDEy MjIzMTM1NFowKDASAgEKFw0xNTEyMjMyMzAwMjFaMBICAQsXDTE1MTIyMzIzMDI1 NFowDQYJKoZIhvcNAQELBQADggEBAJ8CNsahhX8cmrIZNq2LwUrRWpYykfMZBpnU iNeYOv18uc3il9rhJkLf4qfQ/c2+QLoyIlpqxpYoYa9A8mVHVDZsUE30eSGogFhs IGC90deDcFOED/eLIV0Lp1bmc2CWfLTUCFQNCDPbCuWFofgF+yoR7eSs0ltM4KBa 33e8IqSbeeKbGgXJrXNdBWz5cfxi3CuzETHIsGQw8ZO5jfjyBtAGeC3IDZDEocki poVopxiVNZI18coyNfu93Kq94kEJFKHwOX8b3pKJpDNzTzYqkKcYtvXbtuP1DTXn OAeHCnHb3snBGZ39tuGxAxXuJL694waqu6zV1syvUE54U6m6T5w= -----END X509 CRL-----
Finalisation
N'oublions pas de redémarrer le serveur pour prendre en compte tous ces paramètres:
- CentOS 6:
# service openvpn restart
- CentOS 7:
# systemctl restart openvpn@server
Au niveau du client, quand on veut se connecter avec le certificat révoqué on obtient cette ligne :
Thu Dec 24 18:57:46 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Un joli : certificate verify failed