OpenVPN Nomade

Rappel : Le VPN OpenVPN est principalement destiner au client dit « nomade ». Ce système de connexion permet d’interconnecter un employé lors de ces déplacements, au réseau de son entreprise. Lui permettant ainsi l’accès à l’intranet, messagerie instantané mais aussi à sa boite mail.

Configurer sur OpIOS 3.0

Configurer sur OpIOS 4.0

ATTENTION : Uniquement possible quand l'interface “WAN” (internet) est UP et connectée

Pour Configurer un serveur VPN OpenVPN, il faut créer une Autorité de Certification CA . Aller dans le menu « Système » « Gestionnaire de certificat ».

L’image ci-dessous, vous indique que vous êtes dans le « gestionnaire de certificats » « CAs ».

Éditer maintenant la création du Certificat d’Autorité interne

Compléter les informations suivantes :

Cliquer maintenant sur le bouton rouge « Sauvegarder » pour créer et générer l’Autorité de Certification.

L’image ci-dessous montre que le certificat de l’autorité de certification est maintenant créé.

Il faut maintenant créer un certificat pour le serveur OpenVPN par le biais de la nouvelle Autorité de Certification.

Pour créer un certificat serveur, cliquer sur l’onglet « Certificats ».

Compléter les informations suivantes :

Cliquer maintenant sur le bouton rouge « Sauvegarder » pour créer et générer le certificat du Serveur.

L’image ci-dessous montre que le certificat du serveur OpenVPN est maintenant créé.

Il faut maintenant créer un certificat pour l’utilisateur qui utilisera l’OpenVPN.

Pour créer un certificat utilisateur, il faut aller dans le menu « Système » « Gestionnaire des utilisateurs ». L’image ci-dessous montre que le certificat du serveur OpenVPN est maintenant créé.

L’image ci-dessous montre la liste des utilisateurs. Dans le cas présent il existe un utilisateur « integropen ». Si vous souhaiter créer un certificat client pour cet utilisateur cliquer sur le « crayon ». Sinon cliquer sur le bouton « Ajouter » pour créer un nouvel utilisateur.

Après avoir cliqué sur le « crayon » de l’utilisateur « Integropen », vous obtenez les informations suivantes :

Compléter les informations suivantes :

Cliquer maintenant sur le bouton rouge « Sauvegarder » pour créer et générer le certificat de l’utilisateur.

Pour vérifier la création des différents certificats nécessaire à l’utilisation du VPN OpenVPN. Aller dans le menu « Système » « Gestionnaire de certificat ».

Dans l’onglet « CAs » vous devez disposer d’une autorité de certification comme l’image ci-dessous le montre.

Dans l’onglet « Certificats » vous devez disposer d’un certificat « serveur-ca » et d’un certificat « client » (Non serveur) comme le montre l’image ci-dessous.

Après avoir créé les différents certificats nécessaires à la mise en place d’un serveur OpenVPN. Passons maintenant à la configuration du Serveur OpenVPN.

Pour configurer un serveur OpenVPN, aller dans le menu « VPN » et cliquer sur « OpenVPN ».

Aller sur l’onglet « Serveurs ». Cliquer sur le Bouton pour créer un nouveau serveur openVPN.

Concentrez-vous sur la section « Information Générale » et sur la liste déroulante « Mode serveur »

Après avoir modifié le mode de serveur, des modifications sont apportées à la page de configuration.

Compléter les informations suivantes :

Après avoir décoché « TLS authentication » compléter les informations suivantes :

Cocher les deux cases ci-dessous :

Ajouter un réseau supplémentaire accessible à distance depuis OpenVPN. Cliquer maintenant sur le bouton rouge « Sauvegarder » pour créer et générer le serveur OpenVPN.

L’image ci-dessous montre la liste des serveurs OpenVPN qui ont été créés.

Après avoir créé le serveur OpenVPN, il faut maintenant autoriser le trafic depuis l’interface OpenVPN dans le Pare-Feu. Aller dans le menu « Pare-Feu » « Règles ».

Aller dans l’onglet « OpenVPN »

Cliquer sur le bouton pour ajouter une nouvelle règle.

Cliquer maintenant sur le bouton rouge « Sauvegarder » pour sauvegarder cette règle de Pare-Feu.

Vous devez confirmer la création de la règle de Pare-Feu si vous souhaitez qu’elle soit pleinement active. Cliquer sur le Bouton « Appliquer les changements ».

Après validation, le Pare-Feu charge sa nouvelle configuration.

Après avoir configuré la règle de Pare-Feu pour OpenVPN, vous pouvez maintenant exporter la configuration utilisateur pour que celui-ci puisse se connecter à distance.

Pour exporter la configuration client OpenVPN, aller dans le menu « VPN » « OpenVPN ».

Cliquer maintenant sur l’onglet « Client Export »

Dans la section « Client Connexion Behavior » ci-dessous : Cocher les cases : ⇒ Block Outside DNS ⇒ Use Random Local Port

Cliquer sur le Bouton « Save as default » pour valider la configuration client.

La page se recharge et en bas de celle-ci se trouve les fichiers de configuration du client OpenVPN.

ATTENTION : Uniquement possible quand l'interface “WAN” (internet) est UP et connectée

Pour Configurer un serveur VPN OpenVPN, il faut créer une Autorité de Certification CA . Aller dans le menu « Système » « Gestionnaire de certificat ».

L’image ci-dessous, vous indique que vous êtes dans le « gestionnaire de certificats » « CAs ».

Dans la liste déroulante Méthode sélectionner Créer une autorité de certification interne.

Nommer l'autorité de Certification interne. Dans cette exemple, nous utilisons Internal-CA

Compléter les informations suivantes :

Cliquer maintenant sur le bouton « Enregistrer » pour créer et générer l’Autorité de Certification.

L’image ci-dessous montre que le certificat de l’autorité de certification est maintenant créé.

Il faut maintenant créer un certificat pour le serveur OpenVPN par le biais de la nouvelle Autorité de Certification.

Pour créer un certificat serveur, cliquer sur l’onglet « Certificats » puis sur le bouton Ajouter.

Dans la liste déroulante Méthode, sélectionner Créer un certificat interne

Nommer le Certificat interne serveur. Dans cette exemple, nous utilisons SERVEUR-CA

Compléter les informations suivantes :

Pour le Type de de certificat, sélectionner dans la liste déroulante Server Certificate. Cliquer maintenant sur le bouton «Enregistrer » pour créer et générer le certificat du Serveur.

L’image ci-dessous montre que le certificat du serveur OpenVPN est maintenant créé.

Il faut maintenant créer un certificat pour l’utilisateur qui utilisera l’OpenVPN.

Pour créer un certificat utilisateur, il faut aller dans le menu « Système » « Gestionnaire d'usagers ».

L’image ci-dessous montre la liste des utilisateurs. Dans le cas présent il existe un utilisateur « integropen ». Si vous souhaiter créer un certificat client pour cet utilisateur cliquer sur le « crayon ». Sinon cliquer sur le bouton « Ajouter » pour créer un nouvel utilisateur.

Après avoir cliqué sur le « crayon » de l’utilisateur « Integropen », vous obtenez les informations suivantes :

Dans la section Certificats utilisateur, cliquer sur le bouton Ajouter pour faire apparaitre la fenêtre de configuration du certificat.

Compléter les informations suivantes :

Cliquer maintenant sur le bouton « Enregistrer » pour créer et générer le certificat de l’utilisateur.

Le certificat de l'utilisateur est maintenant créé et vous êtes rediriger vers la page d'édition du profile de l'utilisateur.

Cliquer maintenant sur le bouton « Enregistrer » pour valider le profile de l'utilisateur.

Pour vérifier la création des différents certificats nécessaire à l’utilisation du VPN OpenVPN. Aller dans le menu « Système » « Gestionnaire de certificats ».

Dans l’onglet « CAs » vous devez disposer d’une autorité de certification comme l’image ci-dessous le montre.

Dans l’onglet « Certificats » vous devez disposer d’un certificat « serveur-ca » et d’un certificat « nom du client » (No serveur) comme le montre l’image ci-dessous.

Après avoir créé les différents certificats nécessaires à la mise en place d’un serveur OpenVPN. Passons maintenant à la configuration du Serveur OpenVPN.

Pour configurer un serveur OpenVPN, aller dans le menu « VPN » et cliquer sur « OpenVPN ».

Aller sur l’onglet « Serveurs ». Cliquer sur le Bouton Ajouter comme ci-dessous pour créer un nouveau serveur OpenVPN.

Concentrez-vous sur la section « Général Information » et sur la liste déroulante « Mode serveur », choisir le mode Remote Access SSL/TLS + User Auth basé sur la base de données locale du routeur.

Après ces modifications, définir le port locale et l'interface par laquelle la connexion d’établie.

Compléter les informations suivantes : Remarque : N'oublier pas d'ajouter une description pour les personnes qui exécutent les maintenances leur permettant de savoir pourquoi est fait ce VPN.

Dans la section paramètre chiffrement Cryptographic Settings, cocher les 2 case de la partie TLS Con figuration. Pour la liste déroulante Server Certificate, utiliser le certificat Serveur que vous avez créé précédemment.

Utiliser l'algorithme de chiffrement SHA256 et le matériel de chiffrement si celui-ci existe.

Dans la partie Paramètre du Tunnel VPN (Tunnel Settings) ci-dessous : Définir le sous-réseaux IPv4 du tunnel VPN, puis le réseau local que vous souhaitez rendre accessible par ce VPN. Ajouter un nombre maximum de client autorisé à se connecter au même moment sur ce serveur.

Pour les paramètres clients Client Settings : Cocher ci-dessous la case Dynamic IP dans le cas ou votre IP change (internet 3G/4G mobile) comme ci-dessous.

Dans les paramètres Clients Avancés Advanced Client Settings si vous souhaitez partager une liste de serveur DNS pour les clients VPN, alors cochez la case DNS Server Enable et renseigner une liste comme ci-dessous.

Si vous souhaiter rendre accessible d'autres sous-réseaux au client utilisant le VPN alors, ajouter les réseaux supplémentaires sous la forme push “route 192.168.254.0 255.255.255.0”; accessible à distance depuis OpenVPN.

Cliquer maintenant sur le bouton « Save » pour créer et générer le serveur OpenVPN.

Le serveur OpenVPN est maintenant créé. Aller dans l'onglet Client Export afin de récupérer les fichier de configuration de chaque utilisateur VPN.

Dans la liste déroulante remote Access Server, rechercher le serveur qui a été créé précédemment afin d’afficher les fichiers de configuration utilisateurs à télécharger.

Cliquer sur le bouton Archive pour télécharger tous les fichier nécessaire à l’utilisation du VPN.

Après avoir créé le serveur OpenVPN, il faut maintenant autoriser le trafic depuis l’interface OpenVPN dans le Pare-Feu. Aller dans le menu « Pare-Feu » « Règles ».

Aller dans l’onglet « OpenVPN »

Cliquer sur le bouton Ajouter pour ajouter une nouvelle règle.

Configurer la règle comme ci-dessous pour autoriser tous le trafic :

En bas de l'édition de cette règle, ajouter une description pour les personne qui exécute la maintenance sache quoi correspond cette règle. Cliquer sur le bouton Enregistrer pour finaliser la configuration de cette règle de Pare-Feu.

Pour rendre cette règle active immédiatement, cliquer sur le Bouton Appliquer les modifications : le Pare-Feu recharge ces règles de filtrage.

Vous pouvez maintenant utiliser le VPN, la configuration manuelle est terminée.

  • opios/vpn/opvpn_nomade/start.txt
  • Dernière modification: 2019/11/06 13:58
  • par adm