Projet VPN Site à Site Fiore François/Chevalier Christophe 05/06/2013
Version Date Auteur Observations 1 05/06/13 CCE/FFE Document original à partir du cahier des charges Sommaire Paramétrage Routeur VPN Montauban (Serveur)... 3 Paramétrage Routeur VPN Rueil (Client)... 7 Paramétrage Routeur Cerbère... 11 Méthode d authentification OpenVPN/Pfsense... 15 Routes statiques... 18 2
Paramétrage Routeur VPN Montauban (Serveur) Nous nous connectons sur l interface WEB du routeur VPN de Montauban via l adresse 172.20.0.250, le nom d utilisateur est admin avec pour mot de passe Manager1. Pour paramétrer le serveur VPN, nous allons dans le menu: VPN > OpenVPN. Nous arrivons sur la page de configuration d OpenVPN. Cliquez sur l icône pour créer un nouveau serveur OpenVPN. La fenêtre suivante apparaît suite à la création de notre serveur. Nous allons pouvoir le configurer. 3
General Information : Server-mode : Peer to peer (Shared Key) Protocol : UDP Device Mode : tun Interface : WAN Local port : 1195 Description : nom du serveur... Cryptographic Settings : Il faut copier L'INTÉGRALITÉ de la clé que nous avons précédemment générée. (Voir ICI) 4
Encryption algorithm : AES-128-CBC (128bit) Hardware Crypto : No Hardware Crypto Acceleration Tunnel Settings : Tunnel Network : 10.0.8.0/24 Local Network : 172.20.0.0/24 Remote Network : 172.20.92.0/24 Concurrent Connections : 10 Compression : Ne pas cocher Type-of-Service : Ne pas cocher Duplicate Connections : Ne pas cocher 5
N oubliez pas de cliquer sur pour appliquer les modifications. Votre serveur est correctement configuré et fonctionnel! Il est temps de configurer le (ou les) client. (Voir ICI) Vérification de l état du VPN 6
Paramétrage Routeur VPN Rueil (Client) On se connecte sur l interface WEB du client VPN de Rueil via l adresse 172.20.92.250, le nom d utilisateur est admin avec pour mot de passe Manager1. Pour paramétrer le serveur VPN, nous allons dans le menu: VPN > OpenVPN. Nous arrivons sur la page de configuration d OpenVPN. Cliquez sur l icône pour créer un nouveau serveur OpenVPN. La fenêtre suivante apparaît suite à la création de notre client. Nous allons pouvoir le configurer. 7
General Information : Server-mode : Peer to peer (Shared Key) Protocol : UDP Device Mode : tun Interface : WAN Local port : ne rien mettre Server host or address : 192.168.201.202 Server Port : 1194 Proxy host or address : ne rien mettre Proxy port : ne rien mettre Description : nom du client... 8
9
Vérification de l état du VPN: 10
Paramétrage Routeur Cerbère Pour accéder au routeur Cerbère, vous devez vous connecter via l adresse 172.20.0.254, le nom d utilisateur est admin avec pour mot de passe Manager1. Pour faire fonctionner notre VPN précédemment créé, il nous faut rajouter une route statique, mais avant cela, il nous créer une passerelle. Pour cela, il nous faut nous rendre dans System > Routing. Vous allez accéder à la fenêtre suivante, qui recense toute les passerelles (Gateways). Voici celles qui sont déjà disponible : Cependant il faut les créer, et pour cela, nous allons procéder de cette façon : 11
A l extrême droite du tableau, cliquez sur cette icône : pour ajouter une nouvelle passerelle Vous allez arriver sur l interface suivante, qui permet donc de configurer une nouvelle passerelle Nous allons devoir ajouter le routeur de Rueil. Nous allons procéder de cette façon : Interface : LAN Name : Nom de la passerrelle Gateway : 172.20.0.250 Defaut Gateway : Ne pas cocher Disable Gateway Monitoring : Ne pas cocher Monitor IP : Ne rien mettre Description : Facultatif, description de la passerelle 12
N oubliez pas de cliquer sur pour sauvegarder vos changements. Maintenant que la passerelle est faite, il nous reste à mettre en place la route. Revenez sur l écran Gateways, puis cliquez sur l onglet Routes. Vous arrivez sur cette interface : Pour créer une route, cliquez sur l icône Sur l interface suivante... Remplissez les zones suivantes : 13
Destination network : 172.20.92.0 /24 Gateway : Dans le menu déroulant, sélectionnez la passerelle de Rueil précédemment crée Description : Facultatif, description de la route N oubliez pas de cliquer sur afin d appliquer les changements. Le paramétrage du routeur Cerbère a été fait. 14
Méthode d authentification OpenVPN/Pfsense Afin de sécuriser le réseau VPN, nous allons mettre en place une authentification par clés partagées. Le mode pre-shared key (PSK, aussi connu comme Personal mode) a été conçu pour les réseaux individuels ou de PME. Chaque utilisateur doit saisir une phrase secrète pour accéder au réseau. La phrase secrète peut contenir de 8 à 63 caractères ASCII ou 64 symbôles hexadécimaux (256 bits). Pour cela, un des deux boitiers mis en place doit être considéré comme le serveur (ça sera donc celui du côté Montauban), l autre sera donc considéré comme le client. Ces deux là vont donc utiliser une clé partagée. A partir du Dashboard de pfsense, cliquez sur l onglet Diagnostics puis dans le menu déroulant, cliquez sur Command Prompt. Dans le Command Prompt, entrez la commande suivante : openvpn --genkey --secret /dev/stdout 15
Cliquez sur Execute. Sur l image suivante, nous voyons que la clé partagée a été générée, il nous faut la copier! 16
Clé : $ openvpn --genkey --secret /dev/stdout # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- 25db0233cd7c27d7c2a5cc2aff9725d2 b9fc0cfb629e92add51c0887b907030e 9ca63724d0add591f8d8c89d5106e56a bf65627969cb5b7c9a724c8e4514ddb1 c0d165d5e48effc5b65ec993d8340436 37ddaf349df7faed4b4b674007af1db3 666decda74fd0b31a7074618ff0e80f9 249e0c9d68ec06003dad79e9362006dc 24b4d57b72128f3d4ec24bbe4933fe1e fbcb45ac52f2265564dfe826d57d5d21 22ca376f244e182cee2a6e95c06a511e 903fcff809b5a4ef0fe820d64b90784e 7238e36e151f9ef02d5c648a812fe091 a3f6cd3a863d261852d55431c553fd1c cfc5dd9a4f2223bd68a7989cf5ca8cae f4e349cfb513bce7d577e9f7b4025592 -----END OpenVPN Static key V1----- 17
Routes statiques Afin que le VPN fonctionne correctement, ils nous a fallu rajouté une route statique sur chaque serveur (Serveur Active Directory, serveur de fichiers, serveur Owncloud et le serveur GLPI), pour renvoyer directement les paquets vers le réseau de Rueil sans passer par la passerelle par défaut. Sur les serveurs Windows : route -p add 172.20.92.0 mask 255.255.255.0 172.20.0.250 (l'option -p permet de conserver la route persistante. Elle est maintenue lors du redémarrage de la machine) Sur les serveurs Linux, modification du fichier /etc/network/interfaces et rajout de la ligne up route add -net 172.20.92.0/24 gw 172.20.0.250 dev eth0 (cette solution permet que la route soit persistante). 18