Tutoriels OpenVPN site à site avec pfSense

openvpntech logo1

OpenVPN site à site avec pfSense

 

OpenVPN est un logiciel libre permettant de créer un réseau privé virtuel (VPN).

 

OpenVPN permet à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. Il basé sur un mode de fonctionnement client-serveur. Qu'un pfSense soit définit comme client ou comme serveur ne changera strictement rien d'un point de vue réseau. Il utiliseégalement de manière intensive la bibliothèque d'authentification OpenSSL ainsi que le protocole SSLv3/TLSv1. Disponible avec une multitude d'environnements tel que Solaris, OpenBSD, FreeBSD, NetBSD, Linux (Debian, Redhat, Ubuntu, etc.), Mac OS X, Windows 2000, XP, Vista, 7, 8 et 10, il offre de nombreuses fonctions de sécurité et de contrôle.

OpenVPN n'est pas compatible avec IPsec ou d'autres logiciels VPN. Le logiciel contient un exécutable pour les connexions du client et du serveur, un fichier de configuration optionnel et une ou plusieurs clés suivant la méthode d'authentification choisie.

 

Cet article montre comment créer une connexion site à site en utilisant OpenVPN et comment acheminer la connexion Internet du site A (client) vers le site B (serveur) avec pfSense. Il a été réalisé sur pfSense 2.3 bêta mais est compatible avec les anciennes versions.

 

Schéma du VPN souhaité

 

OpenVPN Site to Site on pfSense 2.01

Notre ordinateur client à pour IP 10.10.9.9 et ce trouve donc dans le réseau local 10.10.9.0/24.

L'objectif est de pouvoir ce connecter au réseau LAN 10.10.10.0/24 du pfSense02 par le biais d'OpenVPN.

 

Configuration du serveur OpenVPN

 

openvpnserveur

Accédez à l'onglet VPN > OpenVPN , Serveurs (onglet par défaut). Cliquez sur alt pour créer un nouveau serveur OpenVPN.

Configurer les options suivantes: 

Mode de serveur : Peer to Peer (Shared Key)

Protocole : UDP - TCP n'est pas adaptée à un environnement VPN, car en cas de pertes de paquets ceux-ci devront être retransmis. Ce qui n'est pas forcément souhaité. La conséquence serait un ralentissement du lien VPN à cause d'une forte ré-émission de paquets. TCP est réellement utile pour les pare-feu de contournement, dans ce cas, le port doit être réglée sur 443 pour que personne ne bloque l'accès à ce port. Le protocole doit correspondre chaque côté.

Mode Appareil : tun

Interface : Selon l'interface serveur utiliser pour les connexions entrantes. Typiquement on utilise l'interface WAN , mais cela peut être une interface OPT.

Local Port : C'est le port serveur d'écoute d'OpenVPN. le port par défaut est 1194 pour OpenVPN. Chaque serveur nécessite un port unique. Assurez-vous de ne pas utiliser un port en cours d'utilisation par un autre service sinon des problèmes peuvent survenir. Si vous utilisez le port 443 , assurez vous que l'interface Web graphique ne fonctionne pas sur ce port en premier.

Description : Description pour ce VPN. Apparaît dans différents endroits où le VPN peut être choisi dans une liste, comme Status > Services ou Diagnostic > Capture de paquets .

Shared Key : Les touches peuvent être faites dans l'interface graphique. Cochez la case "Générer automatiquement une clé partagée.", puis lorsque les paramètres seront enregistrés, une clé sera générée. Il faudra ensuite copier / coller la clé dans le client.

Algorithme de chiffrement : Ce paramètre doit être le même des deux côtés. Toutes les options de cryptage sont très bien, cela dépend de la préférence de l'utilisateur. Si vous utilisez du matériel ALIX, utiliser AES-128-CBC, Sinon AES-256-CBC est un bon choix.

Crypto Hardware : Si le dispositif a un support cryptographique matérielle, sélectionnez-le dans cette liste. Pour ALIX et bien d'autres, utilisez le moteur de cryptodev BSD pour utiliser le support à bord des appareils.

IPv4 Tunnel Réseau  : IP sur lequel le VPN va circuler. La valeur par défaut proposé dans l'interface graphique de 10.0.8.0/24 est suffisante, mais l'utilisation d'un réseau aléatoire à l'intérieur de l'espace de la RFC1918 est recommandé. Pour le site à site partagé, seul un /30 est utilisé, pas un /24, même si /24 est spécifiée.

Réseaux à distance IPv4  : Entrez ici le reseau LAN du côté client. Pour accéder à plus d'un réseau, ajoutez-les tous ici séparés par une virgule (par exemple 10.10.9.0/24, 192.168.9.0/24 ).

Compression : Permet d'activer la compression LZO sur l'ensemble des flux transitant par ce tunnel VPN. Si les données transitant dans ce tunnel VPN sont principalement des données chiffrées (HTTPS, SSH, etc.), cocher cette option ne fera qu'ajouter un overhead inutile aux paquets.

Type de service : Cocher cette case indique de reprendre dans les paquets envoyés par OpenVPN la valeur du champ TOS des paquets encapsulés traversant le tunnel. Cette option peut être considérée comme présentant un risque potentiel de sécurité. Aussi, nous ne recommandons pas nécessairement son utilisation.

 

Configuration du client OpenVPN

 

openvpnclient

Accédez à l'onglet VPN> OpenVPN , onglet clients. Cliquez alt pour créer un nouveau client OpenVPN.

Configurer les options suivantes: 

Mode serveur : Peer to Peer (Shared Key)

Protocole : Faire correspondre avec le réglage du côté serveur.

Mode Appareil : tun

Interface : Interface à utiliser pour le trafic sortant. Typiquement WAN, mais peut être une interface WAN OPT.

Port local  : Laissez ce champ vide pour un port aléatoire. Le port de ce client OpenVPN va utiliser pour son (port source) de côté. Chaque processus nécessite un port unique. Assurez-vous de ne pas utiliser un port en cours d'utilisation par un autre service sinon des problèmes peuvent survenir. Laisser ce champ vide est le meilleur choix.

Hôte du serveur ou l'adresse : IP ou nom de domaine complet de l'interface public du serveur OpenVPN

Port du serveur : Le port utilisé par le serveur OpenVPN.

Description : Vous pouvez donner un nom pour ce VPN.

Clé partagée : Copiez / collez la clé à partir du serveur. Retourner dans les paramètres du serveur pour récuperer la clef.

Algorithme de chiffrement : Faire correspondre avec le réglage du côté du serveur.

Hardware Crypto : Selon le matériel spécifique. Faire correspondre avec le réglage du côté du serveur.

IPv4 Tunnel Réseau : Faire correspondre avec le réglage du côté serveur.

Réseaux à distance IPv4 : Entrez le reseau LAN du côté serveur ici. Pour accéder à plus d'un réseau, ajoutez-les tous ici séparés par une virgule (par exemple 10.10.9.0/24, 192.168.9.0/24 ).

Compression : Faire correspondre avec le réglage du côté serveur.

Type-of-service : voir le même paramètre dans la section du serveur.

 

Configuration des règles de pare-feu

 

La configuration côté client et serveur est terminée. Il nous reste simplement à penser à autoriser ou filtrer nos flux transitant à travers notre nouvelle interface OpenVPN. Pour cela, se rendre dans Firewall > Rules > OpenVPN.

firewallopenvpn

 

Pour les logs du firewall, rendez vous dans Status => System logs => Firewall.

 

 Traduction de source document pfSense.

 ___________________________________________________

pfSense vous plaît ? Découvrez notre large gamme de routeur pfSense !

cxm sense atom processor 2 coeurs 4 ports giga intel small 

Routeur pare-feu CXM Sense construit autour du matériel Lanner 7525

Routeur pare-feu pfSense®, Atom processor 2 coeurs C2358, 4 ports Ethernet 1 Gbps.

Firewall, VPN, NAT, Redondance, Equilibrage de charge, PPTP, PPoE, DNS Dynamique, etc.

acheter

Pour plus d'informations sur chaque routeurs de la gamme CXM Sense, visitez notre boutique en ligne