OpenVPN est un logiciel libre permettant de créer facilement une liaison VPN site à site.
Il fonctionne sur un mode client/serveur, et doit donc être installé sur les 2 sites distants, l'un en client, l'autre en serveur.
Tout se passe en ligne de commande, éventuellement par SSH.
Installation d'OpenVPN :
sudo apt-get install openvpn
Installation d'OpenSSL pour la sécurisation des données :
sudo apt-get install openssl
L'installation d'OpenVPN crée un dossier /usr/share/doc/openvpn/easy-rsa/ contenant les scripts permettant de générer facilement les certificats et clés d'authentification nécessaires au fonctionnement d'OpenVPN.
Créer dans le répertoire d'OpenVPN un dossier easy-rsa
et y copier les fichiers et scripts originaux
sudo mkdir /etc/openvpn/easy-rsa/ sudo mkdir /etc/openvpn/easy-rsa/keys sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ sudo chown -R $USER /etc/openvpn/easy-rsa/
Toujours en ligne de commande sur le Raspi, Se placer dans le répertoire /etc/openvpn/easy-rsa/ et éditer le fichier vars
:
cd /etc/openvpn/easy-rsa/ sudo nano /etc/openvpn/easy-rsa/vars
Renseigner au moins les lignes suivantes (vers la fin du fichier) :
... export KEY_COUNTRY=FR export KEY_PROVINCE=IdF export KEY_CITY=Paris export KEY_ORG=MaCompagnie export KEY_EMAIL="your@email.com"
Pays :
Région :
Ville :
Compagnie :
Sauvegarder (Ctrl+O), ↵ Entrée pour accepter le nom de fichier, enfin Ctrl+X pour sortir de nano.
OpenVPN fonctionne en mode PKI (Public Key Infrastructure) : le serveur et chaque client possèdent une clé publique (certificat) et une clé privée qui leur sont propres.
Pour générer le certificat et la clé correspondante, il faut exécuter les commandes suivantes :
source vars ./clean-all ./build-dh ./pkitool --initca ./pkitool --server server sudo openvpn --genkey --secret keys/ta.key
Une fois ce long processus terminé, copier les clés et certificats utiles pour le serveur dans le répertoire /etc/openvpn/ :
sudo cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key keys/dh1024.pem /etc/openvpn/
Créer un répertoire /etc/openvpn/jail dans lequel le processus OpenVPN sera chrooté (afin de limiter les dégâts en cas de faille dans OpenVPN) et un autre répertoire /etc/openvpn/clientconf qui contiendra la configuration des clients :
sudo mkdir /etc/openvpn/jail sudo mkdir /etc/openvpn/clientconf
Editer le fichier de configuration server.conf :
sudo nano server.conf
et lui donner le contenu suivant :
# Serveur TCP/443 mode server proto tcp port 443 dev tun # Cles et certificats ca ca.crt cert server.crt key server.key dh dh1024.pem tls-auth ta.key 0 cipher AES-256-CBC # Reseau server 10.8.0.0 255.255.255.0 push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS 8.8.4.4" push "dhcp-option DNS 8.8.8.8" keepalive 10 120 # Securite user nobody group nogroup chroot /etc/openvpn/jail persist-key persist-tun comp-lzo # Log verb 3 mute 20 status openvpn-status.log log-append /var/log/openvpn.log
Ce fichier permet de créer un serveur VPN SSL routé basé sur le protocole TCP et utilisant le port HTTPS (443) qui est le port sécurisé, pour une accessibilité depuis des réseaux sécurisés par des Firewalls.
Les clients obtiendront une nouvelle adresse IP dans la palette 10.8.0.0/24.
On peut maintenant lancer le service OpenVpn avec la commande suivante :
sudo service openvpn start
A ce stade les machines clientes peuvent se connecter au serveur VPN qui est à présent fonctionnel.
Par contre impossible d'aller plus loin que le serveur car l'adresse 10.8.0.x n'est par routée en dehors du serveur.
Il faut donc configurer le serveur pour qu'il joue le rôle de routeur entre l'interface VPN (tun0) et l'interface physique (eth0) et rediriger les adresses 10.8.0.x sur son adresse IP réelle.
Autrement dit, il faut interfacer le serveur et internet, pour que le client connecté au serveur ait plein accès à internet.
Pour configurer le routage, taper la ligne de commande suivante :
sudo sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
Pour rendre ce paramétrage de routage permanent (même après un reboot), éditer le fichier /etc/sysctl.conf :
sudo nano /etc/sysctl.conf
et faut donc modifier la ligne suivante :
#net.ipv4.ip_forward = 1
en la dé-commentant (enlever le #) :
net.ipv4.ip_forward = 1
Pour configurer la translation d'adresse (NAT), taper en ligne de commande:
sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Pour rendre cette règle de NAT persistante après un reboot du serveur, il faut :
sudo sh -c "iptables-save > /etc/iptables.rules"
sudo nano /etc/network/interfaces
en y ajoutant la ligne suivante après la définition de l' interface réseau principale (“iface eth0 inet…”) :
pre-up iptables-restore < /etc/iptables.rules
Le serveur est maintenant prêt à accueillir les clients. Nous allons donc voir à présent comment déclarer un client sur le serveur.
Pour créer une clé pour le client pcDistant (à remplacer par le vrai nom du compte voulu), saisir les commandes suivantes sur le RasPi (remplacer pcDistant par le nom du client) :
source vars ./build-key PCDISTANT
<note tip>pour protéger l'accès aux clés par un mot de passe (c'est à dire qu'un mot de passe sera demandé à la mise en place du tunnel VPN), il faut utiliser la commande ./build-key-pass au lieu de ./buil-key</note>
Le script ./build-key génère 3 fichiers dans le répertoire /etc/openvpn/easy-rsa/keys:
Copier les fichiers nécessaires un sous répertoire du répertoire /etc/openvpn/clientconf/ préalablement créé:
sudo mkdir /etc/openvpn/clientconf/PCDISTANT/ sudo cp /etc/openvpn/ca.crt /etc/openvpn/ta.key keys/PCDISTANT.crt keys/PCDISTANT.key /etc/openvpn/clientconf/PCDISTANT/
Créer le fichier client.conf dans le répertoire /etc/openvpn/clientconf/PCDISTANT/
sudo nano /etc/openvpn/clientconf/PCDISTANT/client.conf
Copier l'exemple ci-dessous (remplacer A.B.C.D par l'adresse publique du serveur VPN que l'on peut obtenir par la commande :
wget -qO- ifconfig.me/ip):
# Client client dev tun proto tcp-client remote A.B.C.D 443 resolv-retry infinite cipher AES-256-CBC # Cles ca ca.crt cert pcDistant.crt key pcDistant.key tls-auth ta.key 1 # Securite nobind persist-key persist-tun comp-lzo verb 3
Pour assurer la compatibilité avec le client Windows OpenVPN, on fait une copie du fichier client.conf vers client.ovpn
sudo cp client.conf client.ovpn
On doit avoir les fichiers suivants dans le répertoire /etc/openvpn/clientconf/pcDistant/ :
Il ne reste plus qu'à mettre ces fichiers dans une archive ZIP (installer zip si besoin) et de la transmettre sur le PC client:
cd /etc/openvpn/clientconf/PCDISTANT/ sudo apt-get install zip sudo zip pcDistant.zip *.*
Utiliser la solution libre “OpenVPN Windows” à télécharger sur leur site officiel http://openvpn.net.
Une fois installé, il suffit de décompresser l'archive pcDistant.zip dans le répertoire C:\Program Files\OpenVPN\config et de se connecter en utilisant OpenVPN GUI, (dans le menu Démarrer). Une fois OpenVPN GUI lancé, il apparaîtra en bas à droite de la barre de tâche. Un clic droit dessus, puis sur connect, et la connexion est établie.