OpenVPN
1. Ajouter un serveur SSL
Le Service OpenVPN permet aux utilisateurs distants d'accéder l'infrastructure de l'entreprise d'une façon sécurisé.
Accédez à Services ‣ OpenVPN ‣ et cliquez sur Ajouter Serveur dans le coin supérieur droit du formulaire.
Formulaire de création de serveur VPN
Description du serveur: Le champ "Description" permet de donner un nom ou une description au serveur VPN.
Mode serveur : Ce champ permet de sélectionner le mode de fonctionnement du serveur VPN. Le mode "Remote access" permet d'autoriser l'accès à distance.
Protocole : Ce champ permet de sélectionner le protocole de communication utilisé par le serveur VPN. "UDP" est couramment utilisé.
Interface en mode : Permet de choisir le type d'interface virtuelle. Le mode "TUN" est utilisé pour les tunnels de réseau de niveau 3.
Interface : Choisissez l'interface réseau qui sera utilisée pour le serveur VPN, typiquement "WAN".
Port local : Définissez le port local sur lequel le serveur VPN va écouter les connexions entrantes. Le port par défaut est souvent "1194".
Authentification TLS : Ce champ permet d'activer l'authentification TLS, une méthode de sécurisation des connexions entre le client et le serveur.
Peer Certificate Authority : Sélectionnez le certificat de l'autorité de certification (CA) utilisée pour valider les certificats clients.
Certificat serveur : Ce champ permet de choisir le certificat SSL du serveur pour sécuriser les connexions.
Longueur des paramètres DH : Ce champ définit la longueur des paramètres Diffie-Hellman (DH) utilisés pour l'échange de clés. Une longueur de "4096 bits" est recommandée pour une meilleure sécurité.
Algorithme de chiffrement : Choisissez l'algorithme de chiffrement utilisé pour sécuriser les données transmises sur le VPN. "AES-256-CBC" est une option sécurisée avec une clé de 256 bits.
Empreinte de l'Algorithme d'Authentification : Ce champ définit l'algorithme d'authentification utilisé pour garantir l'intégrité des données échangées. "SHA256" est une option courante.
Réseau de tunnels IPv4 : Spécifie le sous-réseau IPv4 utilisé pour le tunnel VPN. Cela détermine les adresses IP attribuées aux clients VPN.
Réseau de tunnels IPv6 : Si vous souhaitez utiliser IPv6, vous pouvez définir un sous-réseau pour les tunnels IPv6.
Rediriger la passerelle : Permet de rediriger tout le trafic réseau vers la passerelle VPN. Ce champ est généralement laissé non sélectionné si ce n'est pas nécessaire.
Réseau local IPv4 : Définissez l'adresse du réseau local IPv4 pour déterminer la plage d'adresses IP à utiliser sur le réseau local du serveur.
Réseau local IPv6 : Si vous utilisez IPv6, spécifiez l'adresse du réseau local IPv6.
Connexions simultanées : Ce champ permet de spécifier le nombre maximum de connexions simultanées autorisées pour un client VPN.
Compression : Activez cette option pour activer la compression des données échangées sur le tunnel VPN, ce qui peut améliorer les performances.
Type de service : Ce champ permet de configurer un type de service réseau spécifique, généralement laissé non sélectionné.
Dupliquer les connexions : Si activé, permet de permettre des connexions dupliquées pour un même client.
Désactiver IPv6 : Cochez cette option si vous souhaitez désactiver la prise en charge de l'IPv6 sur ce serveur VPN.
IP dynamique : Ce champ permet d'activer ou désactiver l'utilisation d'adresses IP dynamiques pour les clients VPN.
Ensemble d'adresse : Cochez cette option si vous souhaitez configurer un ensemble d'adresses IP pour les clients VPN.
Topologie : Ce champ permet de définir la topologie réseau du VPN, généralement laissé non sélectionné.
Domaine DNS par défaut : Définissez le domaine DNS par défaut pour les clients VPN si nécessaire.
Serveurs DNS : Spécifiez un ou plusieurs serveurs DNS à utiliser pour les clients VPN.
Forcer la mise à jour du cache DNS : Activez cette option pour forcer la mise à jour du cache DNS sur les clients VPN.
Serveurs NTP : Configurez les serveurs NTP pour la synchronisation horaire sur les clients VPN.
Options NetBIOS : Activez cette option pour permettre l'utilisation de NetBIOS sur le réseau VPN.
Port de management client : Si nécessaire, configurez un port spécifique pour le management du client VPN.
Cliquez sur Sauvegarder pour ajouter le serveur VPN avec ces paramètres.
Si "TAP" est sélectionné dans le champ Interface
Lorsque vous choisissez "TAP", certains champs supplémentaires s'affichent :
Mode serveur : Choisissez "Remote access".
Protocole : Sélectionnez "UDP".
Interface en mode : Choisissez "Tap".
Interface : Sélectionnez "WAN".
Port local : Le port à utiliser pour la connexion est "1194".
Authentification TLS : Activez l'authentification TLS pour sécuriser la communication.
Peer Certificate Authority : Sélectionnez le certificat d’autorité pour valider les certificats clients.
Certificat serveur : Sélectionnez le certificat serveur SSLVPN (CA: SSL VPN CA).
Longueur des paramètres DH : Choisissez "4096 bits" pour une sécurité renforcée.
Algorithme de chiffrement : Sélectionnez "AES-256-CBC" pour un chiffrement sécurisé avec une clé de 256 bits.
Empreinte de l'Algorithme d'Authentification : Choisissez "SHA256" pour l'authentification des données.
Pont : Cochez cette option pour permettre le pontage entre les réseaux locaux et VPN.
Pont d’interface : Sélectionnez l'interface à utiliser pour le pont réseau, souvent "LAN" si vous souhaitez intégrer le VPN avec le réseau local.
Démarrer le pont DHCP : Ce champ permet de définir la plage d'adresses IP attribuées par DHCP aux clients du pont VPN.
Fin du pont DHCP : Spécifie l'adresse de fin pour la plage DHCP des clients VPN.
2. Vérification de l'état d'activation de serveur
L'état de la connexion peut être visualisé dans VPN ‣ Services ‣ OpenVPN => liste.
3. Formulaire de creation d'un client
Vous pouvez maintenant créer un client VPN à l'aide du formulaire "Ajouter Client".
Nom du client : Identifiant unique du client VPN, utilisé pour la gestion et l’organisation.
Description : Une brève description pour identifier l’usage ou l’utilisateur du client.
Mode serveur : Définit le mode d'accès. "Remote access" permet aux utilisateurs distants de se connecter au VPN.
Protocole : Protocole de communication utilisé pour établir la connexion (ex : UDP ou TCP).
Mode du dispositif : Définit le mode de connexion du VPN, "TUN" pour un tunnel réseau virtuel ou "TAP" pour un pont réseau.
Interface : Indique l’interface réseau par laquelle le VPN sera accessible (ex : WAN).
Port de serveur : Numéro de port utilisé pour la connexion VPN.
Clé partagée : Option permettant d’utiliser une clé pré-partagée pour l’authentification.
Certificat d’autorité : Certificat utilisé pour valider l’identité du serveur VPN.
Certificat de serveur : Certificat SSL utilisé par le serveur VPN pour sécuriser la connexion.
Longueur du paramètre DH : Définit la taille des clés Diffie-Hellman utilisées pour l’échange sécurisé.
Algorithme de chiffrement : Méthode de chiffrement utilisée pour sécuriser les communications VPN.
Empreinte de l'Algorithme d'Authentification : Algorithme de hachage utilisé pour vérifier l'intégrité des données transmises.
Réseau de tunnels IPv4 : Plage d’adresses IP attribuées aux clients VPN.
Réseau distant IPv4 : Adresse réseau du serveur auquel le client VPN accède.
Compression : Active la compression des données pour améliorer la performance du VPN.
Adresse et port de l'hôte ou du serveur : Adresse IP ou nom de domaine du serveur VPN.
4. Exporter un client à partir d'un serveur
Depuis la liste des serveurs, l'utilisateur peut exporter la configuration des clients en cliquant sur l'icône utilisateur. Cela permet de créer un nouveau client VPN avec les certificats client appropriés.