OPNSense OpenVPN
Installation Serveur OPENVPN Nomade
Ajouter une autorité de certification
Le serveur VPN a besoin d'une autorité de certification pour signer les certificats client ou serveur.
Système: Gestion des Certificats: Autorités et cliquez sur Ajouter.
Pour notre exemple, nous utiliserons les paramètres suivant:
| Nom descriptif | SSL VPN CA |
| Méthode | Créer une autorité de certification interne |
| Key Type | RSA |
| Longueur de la clé (bits) | 2048 |
| Algorithme de Hachage | SHA256 |
| Durée de vie (jours) | 99999 |
| Pays (C) : | FR (France) |
| État ou province (ST) : | Marne |
| Lieu (L) : | Reims |
| Organisation (O) : | slemoal |
| Adresse courriel : | blablabla@slemoal.fr |
| Nom Commun : | internal-sslvpn-ca |
Cliquez sur Enregistrer pour ajouter la nouvelle autorité de certification.
Créer un certificat de serveur
Après avoir créé l'Autorité, nous aurons également besoin d'un certificat.
Système: Gestion des Certificats: Certificats et cliquez sur Ajouter.
| Méthode | Créer une autorité de certification interne |
| Nom descriptif | Certificat de serveur SSLVPN |
| Autorité de certification | SSL VPN CA |
| Type | Certificat de serveur |
| Longueur de la clé (bits) | 2048 |
| Algorithme de Hachage | SHA256 |
| Durée de vie (jours) | 99999 |
| Private key location | Save on thos firewall |
| Pays (C) : | FR (France) |
| État ou province (ST) : | Marne |
| Lieu (L) : | Reims |
| Organisation (O) : | slemoal |
| Adresse courriel : | blablabla@slemoal.fr |
| Nom Commun : | Certificat de serveur SSLVPN |
Cliquez sur Enregistrer pour créer le certificat.
Créer une liste de révocation
Système: Gestion des Certificats: Révocation
Cliquer sur + en face de SSL VPN CA
| Méthode | slemoal |
| Nom descriptif | SSL VPN Revocation |
| Autorité de Certification | SSL VPN CA |
| Durée de vie (jours) | 99999 |
Sauvegarder
Configuration Serveur
VPN: OpenVPN: Serveurs cliquer sur ajouter
| Description | OpenVPN Nomade |
| Mode Serveur | Accès distant (SSL/TLS |
| Protocole | UDP |
| Interface en mode | tun |
| Interface | WAN |
| Port local | 1194 |
| Authentification TLS | Laissez les deux coché |
| Autorité de Certification du correspondant | SSL VPN CA |
| Liste de Révocation de Certificats du correspondant | SSL VPN Révocation |
| Certificat Serveur | Certificat de serveur SSLVPN |
| Longueur des Paramètres DH | 2048 |
| Algorithme de chiffrement | AES256 |
| Empreinte de l'Algorithme d'Authentification | SHA256 |
| Profondeur du Certificat | un (Client + Serveur) |
| Tunnel Réseau IPv4 | 10.10.20.0/24 |
| Rediriger la Passerelle | non coché |
| Réseau Local IPv4 | 10.10.10.0/24 |
| Connexions simultanées | 1 |
| Communication inter-clients | coché |
| Désactiver IPv6 | coché |
| Ensemble d'adresse | coché |
Regle firewall
Pare-feu: Règles: WAN cliquer sur Ajouter
| Action | Autoriser |
| Interface | WAN |
| Protocole | UDP |
| Source | ANY |
| Destination | Ce Pare feu |
| Plage de ports de destination | 1194 |
| Catégorie | VPN |
| Description | OpenVPN Nomade |
Client Nomade
Ajout d'un utilisateur
Système: Accès: Utilisateurs et cliquez sur Ajouter
| Nom d'utilisateur | slemoal |
| Mot de passe | laisser vide |
| Générer un mot de passe aléatoire | cocher |
| Certificat | cocher |
Sauvegarder, une nouvelle fenêtre s'ouvre afin de générer le certificat nominatif
| Méthode | Créer un certificat interne |
| Nom descriptif | Laisser par defaut |
| Autorité de certification | SSL VPN CA |
| Type | Certificat client |
| Longueur de la clé (bits) | 2048 |
| Algorithme de Hachage | SHA256 |
| Durée de vie (jours) | 99999 |
Attribuer une IP fixe au client
Cette configuration peux être nécessaire lors ce que l'on souhaite accéder au client depuis le réseau local.
Dans le cas de Centreon vers un poller externe par exemple.
VPN: OpenVPN: Remplacements Spécifiques des Clients Cliquer sur Ajouter
| Serveurs | Nomade (1194 / UDP) |
| Nom commun (CN) | le nom du certificat utilisateur |
| Avancé | ifconfig-push 10.10.20.102 10.10.20.101 |
Attention: Subnet /30 Ce qui signifie 4 adresses de réservés
Adresse Reseau = 10.10.20.100 Adresse Broadcast = 10.10.20.103 Masque de Sous-Reseau = 255.255.255.252 Nombre de Machines = 2 Premiere machine = 10.10.20.101 Derniere machine = 10.10.20.102
La syntaxe est la suivante: ifconfig-push @IPCLIENTTUNNELVPN @IPSERVEURTUNNELVPN.
Exporter la configuration du client
VPN: OpenVPN: Exporter le client
| Serveurs d'Accès Distant | Nomade (1194 / UDP) |
| Export type | Fichier uniquement |
| Nom d'hôte | <IP Public> |
Choisir le compte de l'utilisateur et télécharger son fichier *.ovpn avec l'icone toute à droite.
Ce fichier comporte la configuration, la clé et le certificat.
