Une fois téléchargé et installé, le service va se lancer automatiquement. Afin de créer un premier tunel sur l'adresse IP fixe de notre serveur, nous allons entrer la commande suivante :
openvpn --port 8147 --dev tun1 --ifconfig 192.168.25.1 192.168.25.2 --comp-lzo --verb 5 (...)
[...] Pour respecter les directives de OpenSSL, nous allons créer maintenant un répertoire pour ranger convenablement les certificats : mkdir demoCA cd demoCA touch index.txt mkdir newcerts echo > serial Nous pouvons demander à l'autorité de certification de contresigner la demande du serveur : openssl ca -cert serveur-ca.crt -keyfile serveur-ca.key -out serveur.crt -in serveur.csr OpenSSL pour le client : Voici la commande pour la demande de génération de certificat côté client (partant du principe qu'on y aura également installé openssl : openssl req -nodes -new -keyout client.key -out client.csr Il faut faire parvenir cette commande à l'autorité de certification (l'envoi par protocole SSH semble être une bonne solution). Une fois récupérée sur l'autorité, la demande va être analysée puis contresignée grâce aux commandes suivantes : openssl ca -cert serveur-ca.crt -keyfile serveur-ca.key -out client.crt -in client.csr Attention à bien renvoyer le fichier client.crt au poste client ainsi que le certificat de l'autorité via SSH. Notons que la clé privée du client n'aura pas circulé sur le réseau. Crypter les données : A présent, nous disposons d'un moyen efficace d'authentifier les parties. [...]
[...] Description de l'activité réalisée Situation initiale : Les deux ordinateurs peuvent s'envoyer des données de manière non sécurisée. Situation finale : Les deux ordinateurs s'envoient des données de manière authentifiée et sécurisée, sans que personne ne puisse interférer Outils utilisés : Vmware Workstation v6 Schéma : DEROULEMENT DE L'ACTIVITE I – Mise en place d'un tunnel VPN : 1. Mise en Place du tunnel sécurisé : Toute commande sera passée à partir du répertoire /root/ OpenVPN : L'installation d'un réseau privé virtuel sous Debian, se fera par la console en tant que super utilisateur (root), avec la commande (autant sur le poste serveur que sur le poste client) : apt-get install openvpn Une fois téléchargé et installé, le service va se lancer automatiquement. [...]
[...] OpenSSL pour le serveur : A présent que notre tunnel est établi nous allons le sécuriser. D'abord par la création d'une clé statique partagée puis par la génération de certificats de confiance (ici notre propre serveur fera office d'autorité de confiance. Partons du principe qu'openSSL n'est pas installé, voici la suite de lignes de commandes à saisir sur le serveur : apt-get install openssl openssl req -nodes -new -x509 -keyout serveur-ca.key -out serveur-ca.crt openssl req -nodes -new -keyout serveur.key -out serveur.csr Maintenant, nous disposons d'une autorité de certification et d'un certificat en attente pour notre serveur. [...]
[...] Voici la commande : openssl dhparam -out dh1024.pem 1024 Après un court instant, voici le contenu du fichier dh1024.pem : Notre tunnel est parfaitement sécurisé : en effet, à présent personne ne peut lire se qui se passe dedans ni y injecter des données frauduleuses. Simplification: La ligne de commande pour se connecter étant loin d'être évidente avec tout ces nouveaux paramètres, nous allons créer un fichier afin qu'openVPN connaisse nos différents paramètres de connexion. Pour cela, il faut se placer dans le répertoire /etc/openVPN/ et créer un fichier par exemple MonVPN.conf Voici le contenu du fichier pour le client : Remote port 8147 dev tun1 ifconfig tls-client ca /root/serveur-ca.crt cert /root/client.crt key /root/client.key reneg-sec 21600 comp-lzo verb 3 Et pour le serveur: port 8147 --dev tun1 --ifconfig --tls-server dh1024.pem serveur-ca.crt --cert serveur.crt --key serveur.key --reneg-sec 21600 --comp-lzo --verb 5 Notons qu'ainsi au démarrage, la connexion devrait s'effectuer automatiquement 2. [...]
[...] Etat après la configuration : Maintenant que tout est prêt, regardons ce que nous dit le serveur lorsque notre client veut s'y connecter : A ce stade, nous constatons que l'authentification a été un succès et que la connexion est bien établie. Analyse des résultats obtenus Objectif atteint : Le réseau privé virtuel est créé et est sécurisé. Bilan de l'activité : Pour parfaire l'activité, on aurait pu joindre quelques règles de pare-feu permettant à différents hôtes authentifiés de profiter du tunnel. [...]
Source aux normes APA
Pour votre bibliographieLecture en ligne
avec notre liseuse dédiée !Contenu vérifié
par notre comité de lecture
