OPNSense OpenVPN : Différence entre versions
(Page créée avec « == Installation Serveur OPENVPN Nomade == === Ajouter une autorité de certification === Le serveur VPN a besoin d'une autorité de certification pour signer les certifica… ») |
|||
(10 révisions intermédiaires par 2 utilisateurs non affichées) | |||
Ligne 81 : | Ligne 81 : | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
− | | Méthode || | + | | Méthode || Create an internal Certificate revocation list |
|- | |- | ||
| Nom descriptif || SSL VPN Revocation | | Nom descriptif || SSL VPN Revocation | ||
Ligne 93 : | Ligne 93 : | ||
=== Configuration Serveur === | === Configuration Serveur === | ||
+ | ''VPN: OpenVPN: Serveurs'' cliquer sur ajouter | ||
+ | |||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | | Description || OpenVPN Nomade | ||
+ | |- | ||
+ | | Mode Serveur || Accès distant (SSL/TLS | ||
+ | |- | ||
+ | | Protocole || UDP | ||
+ | |- | ||
+ | | Interface en mode || tun | ||
+ | |- | ||
+ | | Interface || WAN | ||
+ | |- | ||
+ | | Port local || 1194 | ||
+ | |- | ||
+ | | Authentification TLS || Laissez les deux coché | ||
+ | |- | ||
+ | | Autorité de Certification du correspondant || SSL VPN CA | ||
+ | |- | ||
+ | | Liste de Révocation de Certificats du correspondant || SSL VPN Révocation | ||
+ | |- | ||
+ | | Certificat Serveur || Certificat de serveur SSLVPN | ||
+ | |- | ||
+ | | Longueur des Paramètres DH || 2048 | ||
+ | |- | ||
+ | | Algorithme de chiffrement || AES256 | ||
+ | |- | ||
+ | | Empreinte de l'Algorithme d'Authentification || SHA256 | ||
+ | |- | ||
+ | | Profondeur du Certificat || un (Client + Serveur) | ||
+ | |- | ||
+ | | Tunnel Réseau IPv4 || 10.10.20.0/24 | ||
+ | |- | ||
+ | | Rediriger la Passerelle || non coché | ||
+ | |- | ||
+ | | Réseau Local IPv4 || 10.10.10.0/24 | ||
+ | |- | ||
+ | | Connexions simultanées || 1 | ||
+ | |- | ||
+ | | Communication inter-clients || coché | ||
+ | |- | ||
+ | | Désactiver IPv6 || coché | ||
+ | |- | ||
+ | | Ensemble d'adresse || coché | ||
+ | |} | ||
=== Regle firewall === | === Regle firewall === | ||
+ | ''Pare-feu: Règles: WAN'' cliquer sur Ajouter | ||
+ | |||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | | Action ||Autoriser | ||
+ | |- | ||
+ | | Interface || WAN | ||
+ | |- | ||
+ | | Protocole || UDP | ||
+ | |- | ||
+ | | Source || ANY | ||
+ | |- | ||
+ | | Destination || Ce Pare feu | ||
+ | |- | ||
+ | | Plage de ports de destination || 1194 | ||
+ | |- | ||
+ | | Catégorie || VPN | ||
+ | |- | ||
+ | | Description || OpenVPN Nomade | ||
+ | |} | ||
+ | |||
+ | ''Pare-feu: Règles: OpenVPN'' cliquer sur Ajouter | ||
+ | |||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | | Action ||Autoriser | ||
+ | |- | ||
+ | | Interface || OpenVPN | ||
+ | |- | ||
+ | | Protocole || any | ||
+ | |- | ||
+ | | Source || OpenVPN net | ||
+ | |- | ||
+ | | Destination || any | ||
+ | |- | ||
+ | | Plage de ports de destination || any | ||
+ | |} | ||
== Client Nomade == | == Client Nomade == | ||
Ligne 107 : | Ligne 190 : | ||
|- | |- | ||
| Générer un mot de passe aléatoire || cocher | | Générer un mot de passe aléatoire || cocher | ||
+ | |- | ||
+ | | Nom complet || Sébastien Le Moal | ||
|- | |- | ||
| Certificat || cocher | | Certificat || cocher | ||
Ligne 129 : | Ligne 214 : | ||
| Durée de vie (jours) || 99999 | | Durée de vie (jours) || 99999 | ||
|} | |} | ||
+ | |||
+ | === Attribuer une IP fixe au client === | ||
+ | |||
+ | Cette configuration peux être nécessaire lors ce que l'on souhaite accéder au client depuis le réseau local. | ||
+ | |||
+ | Dans le cas de Centreon vers un poller externe par exemple. | ||
+ | |||
+ | ''VPN: OpenVPN: Remplacements Spécifiques des Clients'' Cliquer sur Ajouter | ||
+ | |||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | | Serveurs || Nomade (1194 / UDP) | ||
+ | |- | ||
+ | | Nom commun (CN) || le nom du certificat utilisateur | ||
+ | |- | ||
+ | | Avancé || ifconfig-push 10.10.20.102 10.10.20.101 | ||
+ | |} | ||
+ | |||
+ | {{Rouge|Attention:}} Subnet /30 Ce qui signifie 4 adresses de réservés | ||
+ | |||
+ | <nowiki>Adresse Reseau = 10.10.20.100 | ||
+ | Adresse Broadcast = 10.10.20.103 | ||
+ | Masque de Sous-Reseau = 255.255.255.252 | ||
+ | Nombre de Machines = 2 | ||
+ | Premiere machine = 10.10.20.101 | ||
+ | Derniere machine = 10.10.20.102</nowiki> | ||
+ | |||
+ | La syntaxe est la suivante: ifconfig-push @IPCLIENTTUNNELVPN @IPSERVEURTUNNELVPN. | ||
+ | |||
+ | === Exporter la configuration du client === | ||
+ | ''VPN: OpenVPN: Exporter le client'' | ||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | | Serveurs d'Accès Distant || Nomade (1194 / UDP) | ||
+ | |- | ||
+ | | Export type || Fichier uniquement | ||
+ | |- | ||
+ | | Nom d'hôte || <IP Public> | ||
+ | |} | ||
+ | |||
+ | Choisir le compte de l'utilisateur et télécharger son fichier *.ovpn avec l'icone toute à droite. | ||
+ | |||
+ | Ce fichier comporte la configuration, la clé et le certificat. | ||
+ | |||
+ | === Client Windows === | ||
+ | *[[Windows_OpenVPN|Windows]] | ||
+ | |||
+ | === Client Linux CLI === | ||
+ | *[[Centos openvpn|Centos]] |
Version actuelle datée du 24 mars 2022 à 09:15
Installation Serveur OPENVPN Nomade
Ajouter une autorité de certification
Le serveur VPN a besoin d'une autorité de certification pour signer les certificats client ou serveur.
Système: Gestion des Certificats: Autorités et cliquez sur Ajouter.
Pour notre exemple, nous utiliserons les paramètres suivant:
Nom descriptif | SSL VPN CA |
Méthode | Créer une autorité de certification interne |
Key Type | RSA |
Longueur de la clé (bits) | 2048 |
Algorithme de Hachage | SHA256 |
Durée de vie (jours) | 99999 |
Pays (C) : | FR (France) |
État ou province (ST) : | Marne |
Lieu (L) : | Reims |
Organisation (O) : | slemoal |
Adresse courriel : | blablabla@slemoal.fr |
Nom Commun : | internal-sslvpn-ca |
Cliquez sur Enregistrer pour ajouter la nouvelle autorité de certification.
Créer un certificat de serveur
Après avoir créé l'Autorité, nous aurons également besoin d'un certificat.
Système: Gestion des Certificats: Certificats et cliquez sur Ajouter.
Méthode | Créer une autorité de certification interne |
Nom descriptif | Certificat de serveur SSLVPN |
Autorité de certification | SSL VPN CA |
Type | Certificat de serveur |
Longueur de la clé (bits) | 2048 |
Algorithme de Hachage | SHA256 |
Durée de vie (jours) | 99999 |
Private key location | Save on thos firewall |
Pays (C) : | FR (France) |
État ou province (ST) : | Marne |
Lieu (L) : | Reims |
Organisation (O) : | slemoal |
Adresse courriel : | blablabla@slemoal.fr |
Nom Commun : | Certificat de serveur SSLVPN |
Cliquez sur Enregistrer pour créer le certificat.
Créer une liste de révocation
Système: Gestion des Certificats: Révocation
Cliquer sur + en face de SSL VPN CA
Méthode | Create an internal Certificate revocation list |
Nom descriptif | SSL VPN Revocation |
Autorité de Certification | SSL VPN CA |
Durée de vie (jours) | 99999 |
Sauvegarder
Configuration Serveur
VPN: OpenVPN: Serveurs cliquer sur ajouter
Description | OpenVPN Nomade |
Mode Serveur | Accès distant (SSL/TLS |
Protocole | UDP |
Interface en mode | tun |
Interface | WAN |
Port local | 1194 |
Authentification TLS | Laissez les deux coché |
Autorité de Certification du correspondant | SSL VPN CA |
Liste de Révocation de Certificats du correspondant | SSL VPN Révocation |
Certificat Serveur | Certificat de serveur SSLVPN |
Longueur des Paramètres DH | 2048 |
Algorithme de chiffrement | AES256 |
Empreinte de l'Algorithme d'Authentification | SHA256 |
Profondeur du Certificat | un (Client + Serveur) |
Tunnel Réseau IPv4 | 10.10.20.0/24 |
Rediriger la Passerelle | non coché |
Réseau Local IPv4 | 10.10.10.0/24 |
Connexions simultanées | 1 |
Communication inter-clients | coché |
Désactiver IPv6 | coché |
Ensemble d'adresse | coché |
Regle firewall
Pare-feu: Règles: WAN cliquer sur Ajouter
Action | Autoriser |
Interface | WAN |
Protocole | UDP |
Source | ANY |
Destination | Ce Pare feu |
Plage de ports de destination | 1194 |
Catégorie | VPN |
Description | OpenVPN Nomade |
Pare-feu: Règles: OpenVPN cliquer sur Ajouter
Action | Autoriser |
Interface | OpenVPN |
Protocole | any |
Source | OpenVPN net |
Destination | any |
Plage de ports de destination | any |
Client Nomade
Ajout d'un utilisateur
Système: Accès: Utilisateurs et cliquez sur Ajouter
Nom d'utilisateur | slemoal |
Mot de passe | laisser vide |
Générer un mot de passe aléatoire | cocher |
Nom complet | Sébastien Le Moal |
Certificat | cocher |
Sauvegarder, une nouvelle fenêtre s'ouvre afin de générer le certificat nominatif
Méthode | Créer un certificat interne |
Nom descriptif | Laisser par defaut |
Autorité de certification | SSL VPN CA |
Type | Certificat client |
Longueur de la clé (bits) | 2048 |
Algorithme de Hachage | SHA256 |
Durée de vie (jours) | 99999 |
Attribuer une IP fixe au client
Cette configuration peux être nécessaire lors ce que l'on souhaite accéder au client depuis le réseau local.
Dans le cas de Centreon vers un poller externe par exemple.
VPN: OpenVPN: Remplacements Spécifiques des Clients Cliquer sur Ajouter
Serveurs | Nomade (1194 / UDP) |
Nom commun (CN) | le nom du certificat utilisateur |
Avancé | ifconfig-push 10.10.20.102 10.10.20.101 |
Attention: Subnet /30 Ce qui signifie 4 adresses de réservés
Adresse Reseau = 10.10.20.100 Adresse Broadcast = 10.10.20.103 Masque de Sous-Reseau = 255.255.255.252 Nombre de Machines = 2 Premiere machine = 10.10.20.101 Derniere machine = 10.10.20.102
La syntaxe est la suivante: ifconfig-push @IPCLIENTTUNNELVPN @IPSERVEURTUNNELVPN.
Exporter la configuration du client
VPN: OpenVPN: Exporter le client
Serveurs d'Accès Distant | Nomade (1194 / UDP) |
Export type | Fichier uniquement |
Nom d'hôte | <IP Public> |
Choisir le compte de l'utilisateur et télécharger son fichier *.ovpn avec l'icone toute à droite.
Ce fichier comporte la configuration, la clé et le certificat.