V.P.N. sous LINUX. Page 1



Documents pareils
Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Mise en place d'un Réseau Privé Virtuel

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité des réseaux sans fil

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

II- Préparation du serveur et installation d OpenVpn :

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

VPN. Réseau privé virtuel Usages :

Installation du client Cisco VPN 5 (Windows)

Installation du client Cisco VPN 5 (Windows)

Sécurité des réseaux wi fi

Installation du client Cisco VPN 5 (Windows)

Installation du point d'accès Wi-Fi au réseau

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Installation et configuration de Vulture Lundi 2 février 2009

Transmission de données

Projet Système & Réseau

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

1. Warm up Activity: Single Node

Accès aux ressources informatiques de l ENSEEIHT à distance

Configuration de l'accès distant

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Sécurité GNU/Linux. Virtual Private Network

Configuration réseau Basique

Installation d'un serveur sftp avec connexion par login et clé rsa.

Table des matières Hakim Benameurlaine 1

pfsense Manuel d Installation et d Utilisation du Logiciel

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

PACK SKeeper Multi = 1 SKeeper et des SKubes

Mettre en place un accès sécurisé à travers Internet

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

Utilisation des ressources informatiques de l N7 à distance

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Itium XP. Guide Utilisateur

Internet. Licence Pro R&S. TD 5 - Wifi / Radius. 1 Sur le réseau de distribution (DS) 1.1 Configuration des routeurs PC6

Installation de la messagerie EMWAC IMS Sur Windows NT4 serveur ou Windows 2000 serveur

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Documentation technique OpenVPN

Protocoles DHCP et DNS

Architecture de la plateforme SBC

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Le rôle Serveur NPS et Protection d accès réseau

Mise en route d'un Routeur/Pare-Feu

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Installation des outils OCS et GLPI

Installer un domaine DNS

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Guide d'installation de l'amplificateur de signal pour périphériques mobiles Wi-Fi WN1000RP

MANUEL UTILISATEUR KIWI BACKUP V 3

MANUEL D INSTALLATION D UN PROXY

TP SECU NAT ARS IRT ( CORRECTION )

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

SQUID Configuration et administration d un proxy

Installation des caméras IP

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Virtualisation de Windows dans Ubuntu Linux

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Devoir Surveillé de Sécurité des Réseaux

Configuration d'un annuaire LDAP

Installer VMware vsphere

Configurer ma Livebox Pro pour utiliser un serveur VPN

Pare-feu VPN sans fil N Cisco RV120W

Les clés d un réseau privé virtuel (VPN) fonctionnel

Réalisation d un portail captif d accès authentifié à Internet

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

Fully Automated Nagios

TP Sur SSH. I. Introduction à SSH. I.1. Putty

TP Service HTTP Serveur Apache Linux Debian

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible


BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Anas Abou El Kalam Sécurité SSH SSH

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

Activité 1 : Création et Clonage d'une première machine virtuelle Linux OpenSuSE.

Augmenter la portée de votre WiFi avec un répéteur

I. Présentation du serveur Samba

Serveur Acronis Backup & Recovery 10 pour Linux. Update 5. Guide d'installation

! "# Exposé de «Nouvelles Technologies Réseaux»

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Figure 1a. Réseau intranet avec pare feu et NAT.

TAGREROUT Seyf Allah TMRIM

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Les messages d erreur d'applidis Client

Procédures informatiques administrateurs Création d un serveur FTP sous Linux

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Guide d'installation de l'amplificateur de signal Wi-Fi WN1000RP pour périphériques mobiles

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Mise en place d un système de Téléphonie sur IP basé sur le logiciel Asterisk

Transcription:

V.P.N. sous LINUX Table des matières V.P.N. sous LINUX......1 Introduction aux Réseaux Privés Virtuels......2 Définition d'un VPN (Virtual Private Network) :......2 Quelques explications :...2 Quelles possibilités pour le VPN?......3 Royaume : «realm»...4 Qui fait une demande de «realm»?...4 Quels sont les «realms» actifs?...4 Obtenir un certificat, des droits......4 Rencontrer son correspondant réseau/wifi......5 Délivrance du certificat......5 Droits......5 Les serveurs VPN en usage à l'ufc......5 Configuration du client Linux en mode terminal......6 Les fichiers de configuration importants pour le client Linux :...6 Installation d'ipsec Openswan......6 Mise en place du certificat......6 Configuration d'openswan......6 ipsec.conf......7 ipsec.secrets......7 vérification des interfaces et des routes......8 lancement d'openswan......8 vérification......8 Montage du tunnel L2TP......9 Conseil :...10 Rappel : lancement d'une connexion......11 Page 1

Introduction aux Réseaux Privés Virtuels L'objectif d'un VPN est simple. Il s'agit de sécuriser des échanges de données en utilisant comme support un réseau non sécurisé comme par exemple le réseau Internet. Un VPN est également un bon candidat pour la sécurisation de flux informatiques à travers un réseau WIFI. Définition d'un VPN (Virtual Private Network) : Décomposons l expression VPN. Network : un réseau est constitué de plusieurs machines qui peuvent communiquer entre elles d une façon ou d une autre. Ces machines peuvent être dans un même endroit physiquement ou dispersées, et les méthodes de communication sont diverses. Private : privé veut dire que les communications entre deux ou plusieurs machines sont secrètes et donc inaccessibles pour une machine ne participant pas à la communication privée. Virtual : dans le concept de virtuel, nous retiendrons l émulation d une fonction d un objet qui n est pas vraiment là. Un réseau virtuel n'est pas un réseau physique, mais émuler pour faire croire à un réseau physique. Un réseau privé virtuel est donc l'association de ces trois concepts. Une fois en place, il vous offre la possibilité d'utiliser un réseau public non sécurisé pour créer un réseau privé (données cryptées) et y faire circuler des données. Quelques explications : En général, les RPV permettent à des utilisateurs de se servir de leur connexion Internet de type ADSL pour accéder à leur réseau professionnel de manière transparente. Un fois connecté, l'utilisateur peut atteindre les ressources (espaces disques, imprimantes, etc) fournies par ce réseau. Dans le schéma ci dessous, nous voyons un utilisateur travaillant depuis son ordinateur personnel. Il emprunte donc son accès Internet personnel pour se connecter à travers un VPN à son réseau universitaire. Les traits rouges montrent les liens physiques réels. La zone «Réseau virtuel» montre le réseau virtuel mis en place entre son domicile et le réseau interne après l'établissement de la connexion. Une autre connexion est établie entre un poste utilisant le réseau WIFI universitaire. L'utilisation du réseau WIFI "ufc vpn" permet de créer un réseau virtuel entre ce poste nomade et un réseau interne. Tout comme le premier exemple, le poste fait partie du réseau interne et peut user de toutes les ressources mises à sa disposition. Page 2

Quelles possibilités pour le VPN? Concrètement, que pourra faire l utilisateur accédant au réseau de l'ufc en utilisant le VPN? Tout simplement, exactement ce qu il peut faire sur son PC lorsque celui ci est branché physiquement au réseau lorsqu il est au bureau, par exemple récupérer ses courriers électroniques sur le serveur de messagerie, consulter des sites Intranet (ceux qui ne sont pas accessibles depuis l extérieur de l UFC), accéder à ses fichiers sur les serveurs de fichiers, etc. Tout ceci via Internet et de façon sécurisée. La sécurité du VPN mise en place à l'ufc dépend de trois éléments : l authentification machine ; le cryptage des données ; l'authentification de l'utilisateur. L authentification machine : les deux machines s assurent mutuellement qu elles ont les droits pour communiquer entre elles (vérification du certificat). Le cryptage des données s'effectue par l'échange de clefs. L'authentification de l'utilisateur est faite à travers l'annuaire LDAP de l'ufc ou d'un serveur d'authentification cascadé (laboratoires, UFR...). Parmi les termes fréquemment employés, nous retrouverons «realm», «certificat». Page 3

Royaume : «realm» Un «royaume» («realm» dans le monde de Radius) est, d'une manière plus restrictive pour le projet VPN de l'ufc, l'association d'un nom vis à vis d'un réseau de l'ufc. Lors d'une connexion VPN, vous indiquerez le «realm» auquel vous voulez rattacher votre session VPN. Par exemple, si je crée une session VPN avec l'identifiant «monnom@lifc edu» et que je suis autorisé à me connecter sur le «realm» «@lifc edu», ma machine obtiendra une adresse IP du réseau «lifc edu», c'est à dire, une adresse dans le réseau 172.20.128.0/24. Qui fait une demande de «realm»? Les demandes de «realms» seront effectuées par les correspondants réseaux de l'ufc. Le CRI étudiera avec eux les besoins et créera si nécessaire le «realm» proposé. La création d'un «realm» est une opération lourde et ne se justifie que pour des besoins importants. Quels sont les «realms» actifs? Pour l'ensemble des personnels et étudiants de l'université de Franche Comté, il existe un «realm» par défaut «@ufc» qui donne accès à un réseau interne de l'ufc, comme le faisait le service du PPP. Pour les laboratoires, des royaumes spécifiques sont créés, en voici quelques exemples : à Besançon : à Belfort : «@lifc edu» sur le réseau 172.20.128.0/24 (vlan 7) «@lifc lab» sur le réseau 172.20.65.0/24 (vlan 9) «@femto st» sur le réseau 172.20.208.64/26 (vlan 44) «@iutbm» Obtenir un certificat, des droits L'utilisation du VPN n'est pas anonyme, ni anodine. Ce service vous permet de vous connecter dans l'un des réseaux de l'université de Franche Comté depuis n'importe quel réseau extérieur ayant la possibilité de créer un VPN IPSEC (protocole ESP). Cette connexion doit s'établir sans problème depuis chez vous ou depuis un accès WiFi (SSID ufcvpn) de l'ufc. Vos droits s'acquièrent en deux phases : 1) récupérer un certificat pour accéder à la machine VPN ; 2) obtenir des droits sur un «realm». Page 4

Rencontrer son correspondant réseau/wifi Il est impératif que votre demande de certificat passe par le correspondant informatique de votre laboratoire ou de votre UFR, car il nous faut des renseignements sur votre identité et la machine pour laquelle le certificat sera délivré (PC windows/linux, MacOs). Délivrance du certificat Le certificat est généré par le CRI qui le fournira directement à l'utilisateur ou au correspondant réseau. Ce certificat de machine permet ensuite à la machine sur lequel il est installé, de se connecter et surtout d'être reconnu par le serveur VPN comme une machine valide. Vous pouvez installer un même certificat sur plusieurs machines, mais une seule à la fois pourra effectuer une connexion sur le serveur VPN. Si vous avez des besoins multiples, il faudra demander plusieurs certificats. Droits Les droits sont attribués par le correspondant réseau qui est en charge des «realms» qui lui sont confiés. Le CRI pourra aussi vous attribuer des droits, mais ne le fera que sur le «realm» générique «@ufc». Les serveurs VPN en usage à l'ufc le serveur de test test vpn 194.57.91.251 actif jusqu'à fin juin 2008 le serveur de Besançon vpn1 194.57.91.250 actif début juin 2008 le serveur de Montbéliard vpn2 194.57.89.97 actif début juin 2008 le serveur de Belfort vpn3 194.57.89.105 actif début juin 2008 Page 5

Configuration du client Linux en mode terminal Les fichiers de configuration importants pour le client Linux : /etc : sysctl.conf ipsec.conf ipsec.secrets /etc/ppp : options.l2tpd.client pap secrets /etc/xl2tpd : xl2tpd.conf Installation d'ipsec Openswan Pour pouvoir créer un tunnel IPSec, nous devons installer le paquet openswan : pour Debian [root@machine]# apt get install openswan pour RedHat [root@machine]# yum install openswan Mise en place du certificat Pour les systèmes d'exploitation Linux, le certificat qui vous sera remis sera composé de trois fichiers, par exemple : monlinux cert.pem qui correspond au certificat client monlinux.key qui est la clé privée du client cacert.pem qui est le certificat de l'autorité de Certification Copier ces fichiers dans les répertoires comme indiqués ci dessous 1. monlinux cert.pem dans le répertoire /etc/ipsec.d/certs 2. monlinux key.pem dans le répertoire /etc/ipsec.d/private 3. cacert.pem dans le répertoire /etc/ipsec.d/cacerts Page 6

Configuration d'openswan En premier lieu, il faut modifier le fichier /etc/sysctl.conf en y ajoutant à la fin du fichier, les lignes suivantes : net.ipv4.ip_forward=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.conf.all.log_martians=0 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.all.arp_ignore=1 net.ipv4.conf.all.arp_announce=2 ipsec.conf A lire : http://linux.die.net/man/5/ipsec.conf Modifier et compléter le fichier /etc/ipsec.conf : N.B. : pour inscrire l'adresse IP du serveur (right=xxx.xxx.xxx.xx) se référer à la rubrique ci dessus "Les serveurs VPN en usage à l'ufc". version 2 config setup uniqueids=yes nhelpers=0 nat_traversal=yes conn %default authby=rsasig leftrsasigkey=%cert ; clef rightrsasigkey=%cert ; clef type=tunnel keyingtries=1 rightprotoport=17/1701 ; udp 1701 leftprotoport=17/1701 keyexchange=ike pfs=no ; connexion avec la clef unique ; IMPORTANT : option à inscrire uniquement si l'on ; est en NAT ; mode tunnel et non transport ou passthrough ; tunnel = host to host, host to subnet, ou ; subnet to subnet tunnel; ; transport = host to host conn ufc vpn ; notre connexion utile #auto=start ; pas au démarrage auto=add ; mais plutôt en ajout manuel #left=192.168.1.1 ; on ne spécifie pas l'interface left=%defaultroute ; mais on utilise la route par defaut leftcert="/etc/ipsec.d/certs/monlinux cert.pem" right=194.57.91.250 ; adresse Ip du serveur VPN rightca=%same ; même signature de CA pour le certif du serveur ; que pour le client leftnexthop=192.168.1.254 ; IMPORTANT : option à inscrire uniquement si l'on ; est en NAT adresse IP passerelle par défaut Une petite remarque : si notre système d'exploitation est installé sur une machine virtuelle (VirtualBox Page 7

ou WMware) l'adresse de la passerelle est bien celle de la machine virtuelle et non celle de la machine hôte. Pour connaître l'adresse de la passerelle, utiliser la commande route n. ipsec.secrets Ajouter au fichier /etc/ipsec.secrets la ligne suivante qui contient le mot de passe que l'on vous a fourni avec le certificat (il ne s'agit pas de votre mot de passe LDAP) : : RSA /etc/ipsec.d/private/monlinux.key "motdepasse" Le «motdepasse» nous a été demandé lors de la création du couple clé/certificat. A défaut, il nous est communiqué par la personne ayant créé le certificat. Attention : les deux points ainsi que les espaces doivent ne doivent pas être omis. vérification d'ipsec, des interfaces et des routes Pour vérifier qu'ipsec est correct, vous devez lancer la commande ipsec verify et obtenir : Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on path Linux Openswan U2.4.6/K2.6.18 6 686 (netkey) Checking for IPsec support in kernel NETKEY detected, testing for disabled ICMP send_redirects NETKEY detected, testing for disabled ICMP accept_redirects Checking for RSA private key (/etc/ipsec.secrets) [DISABLED] ipsec showhostkey: no default key in "/etc/ipsec.secrets" Checking that pluto is running Two or more interfaces found, checking IP forwarding Checking NAT and MASQUERADEing [N/A] Checking for 'ip' command Checking for 'iptables' command Opportunistic Encryption Support [DISABLED] Si vous possédez sur la machine plusieurs interfaces réseaux (une filaire et une wifi par exemple), le plus simple sera de couper celle qui ne vous sert pas. [root@machine]# ifdown eth0 ou [root@machine]# ifdown eth1 En faisant la commande [root@machine]# route n vous ne devriez voir qu'une seule route du style 0.0.0.0 194.57.89.254 0.0.0.0 UG 0 0 0 ethx Veillez à ce que ce type de route soit unique sinon vous aurez un message d'erreur en lançant openswan. ipsec_setup: Stopping Openswan Ipsec... ipsec_setup: Starting Openswan IPsec 2.4.7... ipsec_setup: multiple default routes, %defaultroute cannot cope!!! Page 8

lancement d'openswan Redémarrer openswan : [root@machine]# /etc/init.d/ipsec restart Monter la connexion IPSec avec la commande : [root@machine]# ipsec auto up ufc vpn Arrêter la connexion IPSec avec la commande : [root@machine]# ipsec auto down ufc vpn Montage du tunnel L2TP La création de connexions L2TP nous impose d'installer le paquet xl2tpd. Il faut noter que la configuration donnée ci dessous nécessite au minimum la version 1.1.11 de ce logiciel. A ce jour, de nombreuses distributions Linux ne fournissent pas xl2tpd mais plutôt l2tpd. Pour Debian Lenny le paquet xl2tpd est fourni dans la distribution de base. apt get install xl2tp Pour les utilisateurs de Debian Etch, le paquet xl2tpd dans une version correcte est disponible sur le site du LIFC. Il est d'abord nécessaire d'ajouter le dépôt LIFC dans le fichier /etc/apt/sources.list # deb LIFC deb http://lifc.univ fcomte.fr/debian/ etch lifc main apt get update Ajouter ensuite la clé du dépôt du LIFC dans votre trousseau, ceci évite le message d'avertissement vous indiquant que les signatures n'ont pas pu être vérifiées car la clé publique est indisponible. wget http://lifc.univ fcomte.fr/debian/lifc apt.key apt key add lifc apt.key Installer le paquet : [root@machine]# apt get install xl2tpd Autres distributions Pour les autres distributions, les utilisateurs devront installer l2tpd ou mieux xl2tpd dans une version 1.1.11 ou supérieure en se référant à la documentation de leurs éditeurs respectifs ou à partir des sources du logiciel. Page 9

Supprimer le contenu du fichier /etc/xl2tpd/xl2tpd.conf et ajouter les lignes suivantes : xl2tpd.conf [global] port = 1701 access control = no [lac ma_machine] lns = 194.57.91.250 redial = yes redial timeout = 5 max redials = 3 length bit = yes require authentication = no refuse chap = yes require pap = yes name = ma_machine ppp debug = no pppoptfile = /etc/ppp/options.l2tpd.client plugin passwordfd.so Créer le fichier /etc/ppp/options.l2tpd.client : options.l2tpd.clients defaultroute replacedefaultroute debug lock user monnom@ufc noipdefault usepeerdns noauth lcp echo interval 20 lcp echo failure 10 noaccomp ; prévoir une route par défaut ; remplacer la route par défaut actuelle ; le compte à utiliser <=> /etc/ppp/pap secrets Compléter le fichier pap secrets Si vous avez mis plugin passwordfd.so dans le fichier xl2tpd.conf vous n'avez pas besoin de remplir le fichier pap secrets. Sinon : monnom@ufc 194.57.91.250 "motdepasse" Connexion Lorsque le tunnel IPSec est monté, nous pouvons lancer la connexion L2TP avec la commande avec L2TP : [root@machine]# echo "c ma_machine" >/var/run/l2tp control avec XL2TP : [root@machine]# echo "c ma_machine" >/var/run/xl2tpd/l2tp control Avec le plugin plugin passwordfd.so la ligne de commande devient : [root@machine]# echo "c ufc passwordfd motdepasse" >/var/run/xl2tpd/l2tp control Pour démonter le tunnel l2tp : [root@machine]# echo "d ma_machine" >/var/run/xl2tpd/l2tp control Page 10

Conseil : Après plusieurs essais infructueux et diverses modifications, il est conseillé d'arrêter et de relancer les démons ipsec et xl2tpd avec ces commandes : [root@machine]# /etc/init.d/ipsec stop [root@machine]# /etc/init.d/xl2tpd stop [root@machine]# /etc/init.d/ipsec start [root@machine]# /etc/init.d/xl2tpd start Rappel : lancement d'une connexion Montage du tunnel IPsec [root@machine]# ipsec auto up ufc vpn Lancement PPP à travers L2TP (ou XL2TP) [root@machine]# echo 'c ma_machine' > /var/run/xl2tpd/l2tp control Page 11

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back