Mise en place d'un VPN avec stunnel



Documents pareils
Administration Réseaux

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

FILTRAGE de PAQUETS NetFilter

Administration réseau Firewall

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

M2-RADIS Rezo TP13 : VPN

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Sécurité des réseaux Firewalls

Sécurité GNU/Linux. Iptables : passerelle

Formation Iptables : Correction TP

TP4 : Firewall IPTABLES

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Annexes. OpenVPN. Installation

Exemples de commandes avec iptables.

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Environnements informatiques

pare - feu généralités et iptables

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

1/ Introduction. 2/ Schéma du réseau

Accès aux ressources informatiques de l ENSEEIHT à distance

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

TP SECU NAT ARS IRT ( CORRECTION )

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Configuration réseau Basique

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Devoir Surveillé de Sécurité des Réseaux

Mise en place d'un Réseau Privé Virtuel

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Iptables. Table of Contents

Sécurité et Firewall

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

NuFW Howto. Eric Leblond Vincent Deffontaines Jean Baptiste Favre

acpro SEN TR firewall IPTABLES

avec Netfilter et GNU/Linux

Réaliser un inventaire Documentation utilisateur

TP 3 Réseaux : Subnetting IP et Firewall

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Installation d OpenVPN

Linux Firewalling - IPTABLES

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Les firewalls libres : netfilter, IP Filter et Packet Filter

Documentation technique OpenVPN

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité GNU/Linux. FTP sécurisé

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Procédure d'installation

Répartition des charges avec HaProxy CONTEXTE MFC JULIEN HUBERT

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Guide de démarrage rapide

Réalisation d un portail captif d accès authentifié à Internet

Déploiement d OCS 1.02 RC2 sous Debian Etch 64

SAGE Financements Notice de mise à jour via internet

TP : Introduction à TCP/IP sous UNIX

Le filtrage de niveau IP

LAB : Schéma. Compagnie C / /24 NETASQ

Architectures sécurisées

Serveur FTP. 20 décembre. Windows Server 2008R2

Service FTP. Stéphane Gill. Introduction 2

Sécurisation des communications

PROXY SQUID-SQARD. procédure

Infrastructure RDS 2012

[Serveur de déploiement FOG]

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

FTP-SSH-RSYNC-SCREEN au plus simple

Chapitre 2 Rôles et fonctionnalités

Fonctionnement Kiwi Syslog + WhatsUP Gold

Installer le patch P-2746 et configurer le Firewall avancé

Antisèches Informatiques. Configuration et utilisation de openssh. Sommaire. Openssh pour linux. Installation. 1 sur 24 04/06/ :04

V.P.N. sous LINUX. Page 1

GENERALITES. COURS TCP/IP Niveau 1

Maintenir Debian GNU/Linux à jour

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

ETI/Domo. Français. ETI-Domo Config FR

Instructions d'installation de IBM SPSS Modeler Server 16 pour UNIX

Les systèmes pare-feu (firewall)

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Installation et utilisation d'un certificat

il chiffrer les flux d'authentification et les flux de données il n'y a pas de soucis d'ouverture de ports avec des modes actif/passif à gérer

PPe jaune. Domingues Almeida Nicolas Collin Leo Ferdioui Lamia Sannier Vincent [PPE PROJET FTP]

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

Guide de démarrage du système modulaire Sun Blade 6000

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Situation professionnelle n X

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Méthode 1 : Mise en place IPSEC

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Mise en place d un serveur DNS sous linux (Debian 6)

Transcription:

Mise en place d'un VPN avec stunnel

Résumé Cette documentation est une aide à l'installation d'un VPN sous Debian à l'aide de l'utilitaire stunnel. Toutes les critiques sont les bienvenues. La dernière version de cette documentation est disponible en ligne : http://www.pileouface.org/linux/documentation/vpn_stunnel.pdf Copyright Auteur : Loïc Brayat, loack@pileouface.org Ce document peut être utilisé selon les termes de la Licence Publique Générale de GNU version 2 ou suivante. Il est permis de produire et distribuer des copies conformes de ce document à condition que la présente notice de copyright et la présente notice de permission soient préservées sur toutes les copies. Il est permis de copier et distribuer des versions modifiées de ce document selon les conditions d'une copie conforme, à condition que le travail dérivé résultant soit entièrement distribué selon les termes d'une notice de permission identique à celle-ci.

Table des matières Résumé...2 Copyright...2 Exemple de configuration...4 I \ Coté serveur...4 II \ Coté client... 4 III \ Divers... 4 Mise en place du serveur... 5 I \ Création des certificats... 5 1.Installation d'openssl... 5 2.Génération de la clef privé... 5 II \ Permettre l'accés au réseau de la passerelle distante... 5 1.Fichiers /etc/hosts.*...5 2.Configuration du firewall...6 III \ Lancement du serveur VPN... 6 1.Installation de stunnel... 6 2.Lancement du serveur... 6 4.Ajouter la route du réseau local vers le distant... 6 Mise en place du client... 7 I \ Permettre l'accés du réseau local a la passerelle distante...7 1. configuration du firewall...7 II \ Lancement du client VPN... 7 1. Installation de stunnel... 7 2. Récupération des certificats... 7 3. Lancement du client... 7 4. Ajouter la route du réseau distant vers le local... 7

Exemple de configuration I \ Coté serveur Réseau interne : 192.168.0.0/24 Adresse privée de la passerelle : 192.168.0.1 Adresse publique de la passerelle : ip.public.serveur (62.212.x.x) Adresse vpn de la passerelle : ip.vpn.serveur (10.99.99.1, par exemple) II \ Coté client Réseau interne : 192.168.1.0/24 Adresse privée de la passerelle : 192.168.1.1 Adresse publique de la passerelle : ip.public.client (62.212.y.y) Adresse vpn de la passerelle : ip.vpn.client (10.99.99.2, par exemple) III \ Divers Port utilisé pour le VPN : 5555 Durée de validité des certificats : 1an Format des certificats : x509 Longeur de la clef : 512 Les connexions au FA seront établie par ppp : ppp0 La connexion VPN sera établie par ppp1

I \ Création des certificats Mise en place du serveur 1. Installation d'openssl A partir des paquets debian : Apt-get install openssl A partir des sources : http://www.openssl.org/source/ 2. Génération de la clef privé Taper les lignes suivantes dans /etc/ssl/certs/ : openssl req -new -x509 -nodes -days 365 -out stunnel.pem -keyout stunnel.pem chmod 600 stunnel.pem dd if=/dev/urandom of=temp_file count=2 openssl dhparam -rand temp_file 512 >> stunnel.pem ln -sf stunnel.pem `openssl x509 -noout -hash < stunnel.pem`.0 La clef est contenue dans le fichier stunnel.pem II \ Permettre l'accés au réseau de la passerelle distante 1. Fichiers /etc/hosts.* Configurer le fichier /etc/hosts.deny afin d'être sécurisé : ALL: ALL Configurer le fichier /etc/hosts.allow afin de permettre un accès : stunnel: ip.public.client pppd: ip.public.client

2. Configuration du firewall Permettre à la passerelle distante (cliente) d'envoyer et de recevoir des informations au réseau local. $ADR_VPN = ip.public.client $PORT_VPN = 5555 #On accepte la connexion de la passerelle distante VPN sur le PORT_VPN $IPTABLES -A INPUT -i ppp0 -s $ADR_VPN -m state --state NEW,ESTABLISHED -p tcp --dport $PORT_VPN -j LOG_ACCEPT $IPTABLES -A OUTPUT -o ppp0 -d $ADR_VPN -m state --state ESTABLISHED -p tcp --sport $PORT_VPN -j LOG_ACCEPT #On accepte la connexion sur le ppp1 cad sur le VPN sur la passerelle $IPTABLES -A INPUT -i ppp1 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT $IPTABLES -A OUTPUT -o ppp1 -m state --state ESTABLISHED -j LOG_ACCEPT #On donne acces au VPN au reseau local $IPTABLES -A FORWARD -i ppp1 -o eth1 -j ACCEPT $IPTABLES -A FORWARD -o ppp1 -i eth1 -j ACCEPT Pour plus d'informations sur le firewall, lire ma documentation sur Iptables : http://www.pileouface.org/linux/documentation/firewall_iptables.pdf III \ Lancement du serveur VPN 1. Installation de stunnel A partir des paquets debian : apt-get install stunnel A partir des sources : http://www.stunnel.org/download/ 2. Lancement du serveur stunnel -d 5555 [-f] -v3 -D7 -p /etc/ssl/certs/stunnel.pem -L /usr/sbin/pppd -- pppd local noauth L'option "-f" force le démon à rester en avant plan. C'est plus pratique pour débugger mais inutile en exploitation. L'option "-v3" force la vérification des certificats. Par défaut, n'importe qui peut se connecter. 4. Ajouter la route du réseau local vers le distant route add -net 192.168.1.0/24 gw ip.vpn.client

Mise en place du client I \ Permettre l'accés du réseau local a la passerelle distante 1. configuration du firewall #On accepte la connexion sur le ppp1 cad sur le VPN sur la passerelle $IPTABLES -A INPUT -i ppp1 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT $IPTABLES -A OUTPUT -o ppp1 -m state --state ESTABLISHED -j LOG_ACCEPT #On donne acces au VPN au reseau local $IPTABLES -A FORWARD -i ppp1 -o eth1 -j ACCEPT $IPTABLES -A FORWARD -o ppp1 -i eth1 -j ACCEPT II \ Lancement du client VPN 1. Installation de stunnel A partir des paquets debian : apt-get install stunnel A partir des sources : http://www.stunnel.org/download/ 2. Récupération des certificats Copier le fichier /etc/ssl/certs/stunnel.pem depuis le serveur. 3. Lancement du client stunnel -c -r ip.public.serveur:5555 -D7 -p /etc/ssl/certs/stunnel.pem -L /usr/sbin/pppd -- pppd local noauth lcp-echo-interval 50 lcp-echo-failure 3 ip.vpn.client:ip.vpn.serveur 4. Ajouter la route du réseau distant vers le local route add -net 192.168.0.0/24 gw ip.vpn.serveur Remarque : * Si les deux réseaux ont le même masque, il faut ajouter des routes vers les machines. (route add -host ip.locale.machine.distante gw ip.vpn.serveur)

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back