OpenVPN Site à Site - Mon Bloc-notes
Content
OpenVPN site à site - Mon bloc-notes
1 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
M on b l o c - not es
Accueil
Administration de
Systèmes & Réseaux
Serveurs >
OpenVPN site à site
Plan du site
Activité récente sur le site
Windows
Tunnel VPN site à site entre 2 pfsense 1.2.3
Maintenance
Scripts MS-DOS
Scripts VBS
Linux
1. Configuration du serveur VPN
2. Configuration du client VPN
3. Vérification de la connexion
Sécurité
Serveurs
Système
Virtualisation
Virtualisation
Tunel SSL avec partage de clé. Pour celà il faut générer un certificat SSL sur le serveur. Cette partie n'est pas décrite dans ce HowTo.
La commande sur la pfsense : #openvpn --genkey --secret shared.key
1. Configuration du serveur VPN
Aller dans VPN > OpenVPN > Server et cliquez sur le plus pour ajouter un nouveau serveur.
La première partie concerne la configuration de base.
Le port utilisé pour monter le tunnel : 1193
Le pool d'adresse destiné au VPN distant : 10.0.16.0/24 (doit être différent de l'adressage IP du LAN)
Le réseau distant : 10.145.7.0/24
La deuxième partie est plus complexe. On va renseigner la méthode d'authentification entre client et serveur, le nom de domaine que les
client vont récupérer, l'adresse IP du serveur DNS, et enfin les options personnalisées.
Cryptography :BF-CBC(128-bit)
Authentification method : Shared Key
DHCP-Opt.: DNS-Domainname : nunux.home
DHCP-Opt.: DNS-Server : 10.163.135.14
DHCP-Opt.: NTP-Server : 10.163.135.14
LZO compression : coché
Custom options : --ifconfig 10.0.16.1 10.145.7.4; management 127.0.0.1 1193;
Pour les options de configuration, je précise les adresses IP des extrémités du Tunel pour éviter les confilts d'adresse IP. Par défaut,
OpenVPN utilise pour les extrémités des tunel les adresses en x.x.x.1 et x.x.x.2. Or sur mon réseau distant, ces 2 adresses sont déjà
utilisée.
--ifconfig 10.0.16.1 10.145.7.4; > je présite que l'extrémité du tunel de mon coté (serveur) est 10.0.16.1 et que l'extrémité du coté distant
(client) est 10.145.7.4
management 127.0.0.1 1193 > cette option ne sert que si le plugin OpenVPN status est installé (surveillance des connexions VPN)
26/09/2012 14:19
OpenVPN site à site - Mon bloc-notes
2 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
Le serveur VPN est monté.
2. Configuration du client VPN
Aller dans VPN > OpenVPN > Client et cliquez sur le plus pour ajouter un nouveau client.
La première partie concerne la configuration de base.
Le protocole utilisé : TCP
L'adresse du serveur : Adresse IP fixe
Le port utilisé pour monter le tunnel : 1193
L'interface IP sur laquelle on monte le tunnel VPN : 10.145.7.0/24 (l'adressage IP du LAN)
Le réseau distant : 10.163.135.0/24
Pour les paramêtres suivants, ils sont identiques à la configuration du serveur (Cryptography, clée SSL partagée, compression)
Pour les options personnalisées, on utilise de nouveau --ifconfig mais dans l'autre sens
--ipconfig 10.145.7.4 10.0.16.1
Règle de filtrage
Sur chaque pfsense il faut rajouter une règle de filtrage pour autoriser le port 1193 en TCP sur le WAN.
Coté client, on peut créer cette règle plus sévère, c'est à dire qu'elle autorise uniquement l'adresse du serveur).
Si les 2 sites sont en IP fixe, on peut appliquer ce principe sur les 2 pfsense (plus sécurisé)
3. Vérification de la connexion
Sur la pfsense serveur, on utilise les logs pour vérifier que le tunnel est bien monté.
Pour celà on va dans Status > System logs > OpenVPN
On doit avoir un log dans ce genre :
26/09/2012 14:19
OpenVPN site à site - Mon bloc-notes
3 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
Un ping d'une machine du réseau principal doit pouvoir pinguer une machine du réseau distant.
Le mieux est de faire un tracert pour bien vérifier que l'on passe par le tunnel (dans le cas d'une double connexion entre les 2 sites)
Le dernier test consiste à effectuer un transfert de fichiers entre 2 machines des 2 réseaux différents, et d'observer en temps réel de graphe
du traffic.
Se connecter | Signaler un abus | Imprimer la page | Supprimer l'accès | Avec la technologie de Google Sites
26/09/2012 14:19
1 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
M on b l o c - not es
Accueil
Administration de
Systèmes & Réseaux
Serveurs >
OpenVPN site à site
Plan du site
Activité récente sur le site
Windows
Tunnel VPN site à site entre 2 pfsense 1.2.3
Maintenance
Scripts MS-DOS
Scripts VBS
Linux
1. Configuration du serveur VPN
2. Configuration du client VPN
3. Vérification de la connexion
Sécurité
Serveurs
Système
Virtualisation
Virtualisation
Tunel SSL avec partage de clé. Pour celà il faut générer un certificat SSL sur le serveur. Cette partie n'est pas décrite dans ce HowTo.
La commande sur la pfsense : #openvpn --genkey --secret shared.key
1. Configuration du serveur VPN
Aller dans VPN > OpenVPN > Server et cliquez sur le plus pour ajouter un nouveau serveur.
La première partie concerne la configuration de base.
Le port utilisé pour monter le tunnel : 1193
Le pool d'adresse destiné au VPN distant : 10.0.16.0/24 (doit être différent de l'adressage IP du LAN)
Le réseau distant : 10.145.7.0/24
La deuxième partie est plus complexe. On va renseigner la méthode d'authentification entre client et serveur, le nom de domaine que les
client vont récupérer, l'adresse IP du serveur DNS, et enfin les options personnalisées.
Cryptography :BF-CBC(128-bit)
Authentification method : Shared Key
DHCP-Opt.: DNS-Domainname : nunux.home
DHCP-Opt.: DNS-Server : 10.163.135.14
DHCP-Opt.: NTP-Server : 10.163.135.14
LZO compression : coché
Custom options : --ifconfig 10.0.16.1 10.145.7.4; management 127.0.0.1 1193;
Pour les options de configuration, je précise les adresses IP des extrémités du Tunel pour éviter les confilts d'adresse IP. Par défaut,
OpenVPN utilise pour les extrémités des tunel les adresses en x.x.x.1 et x.x.x.2. Or sur mon réseau distant, ces 2 adresses sont déjà
utilisée.
--ifconfig 10.0.16.1 10.145.7.4; > je présite que l'extrémité du tunel de mon coté (serveur) est 10.0.16.1 et que l'extrémité du coté distant
(client) est 10.145.7.4
management 127.0.0.1 1193 > cette option ne sert que si le plugin OpenVPN status est installé (surveillance des connexions VPN)
26/09/2012 14:19
OpenVPN site à site - Mon bloc-notes
2 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
Le serveur VPN est monté.
2. Configuration du client VPN
Aller dans VPN > OpenVPN > Client et cliquez sur le plus pour ajouter un nouveau client.
La première partie concerne la configuration de base.
Le protocole utilisé : TCP
L'adresse du serveur : Adresse IP fixe
Le port utilisé pour monter le tunnel : 1193
L'interface IP sur laquelle on monte le tunnel VPN : 10.145.7.0/24 (l'adressage IP du LAN)
Le réseau distant : 10.163.135.0/24
Pour les paramêtres suivants, ils sont identiques à la configuration du serveur (Cryptography, clée SSL partagée, compression)
Pour les options personnalisées, on utilise de nouveau --ifconfig mais dans l'autre sens
--ipconfig 10.145.7.4 10.0.16.1
Règle de filtrage
Sur chaque pfsense il faut rajouter une règle de filtrage pour autoriser le port 1193 en TCP sur le WAN.
Coté client, on peut créer cette règle plus sévère, c'est à dire qu'elle autorise uniquement l'adresse du serveur).
Si les 2 sites sont en IP fixe, on peut appliquer ce principe sur les 2 pfsense (plus sécurisé)
3. Vérification de la connexion
Sur la pfsense serveur, on utilise les logs pour vérifier que le tunnel est bien monté.
Pour celà on va dans Status > System logs > OpenVPN
On doit avoir un log dans ce genre :
26/09/2012 14:19
OpenVPN site à site - Mon bloc-notes
3 sur 3
https://sites.google.com/site/guillaumepriou/serveurs/openvpn
Un ping d'une machine du réseau principal doit pouvoir pinguer une machine du réseau distant.
Le mieux est de faire un tracert pour bien vérifier que l'on passe par le tunnel (dans le cas d'une double connexion entre les 2 sites)
Le dernier test consiste à effectuer un transfert de fichiers entre 2 machines des 2 réseaux différents, et d'observer en temps réel de graphe
du traffic.
Se connecter | Signaler un abus | Imprimer la page | Supprimer l'accès | Avec la technologie de Google Sites
26/09/2012 14:19
