OPNSense OpenVPN

De SLM - MediaWiki

Installation Serveur OPENVPN Nomade

Ajouter une autorité de certification

Le serveur VPN a besoin d'une autorité de certification pour signer les certificats client ou serveur.

Système: Gestion des Certificats: Autorités et cliquez sur Ajouter.

Pour notre exemple, nous utiliserons les paramètres suivant:

Nom descriptif SSL VPN CA
Méthode Créer une autorité de certification interne
Key Type RSA
Longueur de la clé (bits) 2048
Algorithme de Hachage SHA256
Durée de vie (jours) 99999
Pays (C) : FR (France)
État ou province (ST) : Marne
Lieu (L) : Reims
Organisation (O) : slemoal
Adresse courriel : blablabla@slemoal.fr
Nom Commun : internal-sslvpn-ca

Cliquez sur Enregistrer pour ajouter la nouvelle autorité de certification.

Créer un certificat de serveur

Après avoir créé l'Autorité, nous aurons également besoin d'un certificat.

Système: Gestion des Certificats: Certificats et cliquez sur Ajouter.

Méthode Créer une autorité de certification interne
Nom descriptif Certificat de serveur SSLVPN
Autorité de certification SSL VPN CA
Type Certificat de serveur
Longueur de la clé (bits) 2048
Algorithme de Hachage SHA256
Durée de vie (jours) 99999
Private key location Save on thos firewall
Pays (C) : FR (France)
État ou province (ST) : Marne
Lieu (L) : Reims
Organisation (O) : slemoal
Adresse courriel : blablabla@slemoal.fr
Nom Commun : Certificat de serveur SSLVPN

Cliquez sur Enregistrer pour créer le certificat.

Créer une liste de révocation

Système: Gestion des Certificats: Révocation

Cliquer sur + en face de SSL VPN CA

Méthode slemoal
Nom descriptif SSL VPN Revocation
Autorité de Certification SSL VPN CA
Durée de vie (jours) 99999

Sauvegarder

Configuration Serveur

VPN: OpenVPN: Serveurs cliquer sur ajouter

Description OpenVPN Nomade
Mode Serveur Accès distant (SSL/TLS
Protocole UDP
Interface en mode tun
Interface WAN
Port local 1194
Authentification TLS Laissez les deux coché
Autorité de Certification du correspondant SSL VPN CA
Liste de Révocation de Certificats du correspondant SSL VPN Révocation
Certificat Serveur Certificat de serveur SSLVPN
Longueur des Paramètres DH 2048
Algorithme de chiffrement AES256
Empreinte de l'Algorithme d'Authentification SHA256
Profondeur du Certificat un (Client + Serveur)
Tunnel Réseau IPv4 10.10.20.0/24
Rediriger la Passerelle non coché
Réseau Local IPv4 10.10.10.0/24
Connexions simultanées 1
Communication inter-clients coché
Désactiver IPv6 coché
Ensemble d'adresse coché

Regle firewall

Pare-feu: Règles: WAN cliquer sur Ajouter

Action Autoriser
Interface WAN
Protocole UDP
Source ANY
Destination Ce Pare feu
Plage de ports de destination 1194
Catégorie VPN
Description OpenVPN Nomade

Client Nomade

Ajout d'un utilisateur

Système: Accès: Utilisateurs et cliquez sur Ajouter

Nom d'utilisateur slemoal
Mot de passe laisser vide
Générer un mot de passe aléatoire cocher
Certificat cocher

Sauvegarder, une nouvelle fenêtre s'ouvre afin de générer le certificat nominatif

Méthode Créer un certificat interne
Nom descriptif Laisser par defaut
Autorité de certification SSL VPN CA
Type Certificat client
Longueur de la clé (bits) 2048
Algorithme de Hachage SHA256
Durée de vie (jours) 99999

Attribuer une IP fixe au client

Cette configuration peux être nécessaire lors ce que l'on souhaite accéder au client depuis le réseau local.

Dans le cas de Centreon vers un poller externe par exemple.

VPN: OpenVPN: Remplacements Spécifiques des Clients Cliquer sur Ajouter

Serveurs Nomade (1194 / UDP)
Nom commun (CN) le nom du certificat utilisateur
Avancé ifconfig-push 10.10.20.102 10.10.20.101

Attention: Subnet /30 Ce qui signifie 4 adresses de réservés

La syntaxe est la suivante: ifconfig-push @IPCLIENTTUNNELVPN @IPSERVEURTUNNELVPN.

Exporter la configuration du client