[Tuto] Créer son propre VPN, avec OpenVPN GUI

Dans ce tuto, je vais détailler les manipes à suivre pour mettre en place un VPN, avec le maximum de sécurité possible proposé par OpenVPN GUI.
Je ne présenterais pas de solution minimum, mais une solution complète.

Dans un premier temps, un peu de réflexion sur le VPN.
Le VPN, diminutif de Virtual Private Network (Réseau privé vitruel), a pour but d'étendre un réseau local au travers d'internet jusqu'à un poste distant. L'artifice est réalisé via une technique de tunnel chiffré.
Voici un schéma qui résume le tout :

Les poste du réseau A "voient" les postes du réseau B comme si les réseaux A et B ne faisaient qu'un. Au niveau du poste "client", l'utilisateur ne voit pas le mécanisme.

Vous aurez plus de détail sur le VPN ici : http://fr.wikipedia.org/wiki/Réseau_privé_virtuel

OpenVPN GUI est un logiciel OpenSource qui permet de mettre en place un système VPN avec chiffrement SSL.

Maintenant mettons les mains dans le cambouis !
Dans un premier temps on va télécharger OpenVPN GUI ici : http://openvpn.se/download.html Utiliser plutôt ce site (à jour) : http://openvpn.net/index.php/open-source/downloads.html + les fichiers de scripts suivant : https://framadrive.org/index.php/s/tGLliXjt9wkC0wM

Ensuite on procède à l'installation, rien de plus simple suffit de suivre les étapes tranquillement , cependant il faut pas oublier que OpenVPN installe une carte réseau virtuelle pour mettre en relation le VPN, il faut donc accepter l'installation du pilote.

Pour la mise en oeuvre de certificat, dans les étapes suivantes, on doit créer un fichier batch, que l'on nommera build-req.bat, avec les instructions suivantes :

Code:

@echo off
cd %HOME%
rem build a request for a cert that will be valid for ten years
openssl req -days 3650 -nodes -new -keyout %KEY_DIR%\%1.key -out %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

ainsi qu'un fichier sign-req.bat, celui servira à la validation des certificats :

Code:

@echo off
cd %HOME%
rem sign the cert request with our ca, creating a cert/key pair
openssl ca -days 3650 -out %KEY_DIR%\%1.crt -in %KEY_DIR%\%1.csr -config %KEY_CONFIG%
rem delete any .old files created in this process, to avoid future file creation errors
del /q %KEY_DIR%\*.old

Il faut ensuite copier les 2 scripts batch dans (répertoire par défaut) c:\program files\openvpn\easy-rsa\



Pour la suite on utilisera les lignes de commandes, disponible en allant dans démarrer, exécuter, puis en saisissant "cmd".

On se place maintenant dans le répertoire "c:\program files\openvpn\easy-rsa\", pour cela, entrer "cd c:\program files\openvpn\easy-rsa\" (sans les guillemets) sur votre terminal.

Arrivé ici, on va commencer la configuration des certificats de OpenVPN GUI au niveau serveur.
On reste sur le terminal puis on saisit :
"init-config" (toujours sans les guillemets)
on initialise la configuration de base avec un simple RAZ

ensuite on initialise les variables d'environnements :
"vars"

et un petit :
"clean-all" au cas ou vous auriez déjà essayer quelques manipes ^^'

Maintenant créer un répertoire "keys" dans "C:\Program Files\OpenVPN\easy-rsa" (si il existe pas déjà).

Passons à la génération des certificat maintenant, on s'occupe d'abord du certificat root (privée), qui ne doit en aucun cas être diffuser, c'est en quelques sortes votre mot de passe :
"build-ca"

on doit remplir les champs du certificat
voici un rendu de ce que vous devriez obtenir :

Code:

Loading 'screen' into random state - done

Generating a 1024 bit RSA private key

.......      

....................................................      

writing new private key to 'keys\ca.key'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:FR

State or Province Name (full name) [Some-State]:LoireAtlantique

Locality Name (eg, city) []:Nantes

Organization Name (eg, company) [Internet Widgits Pty Ltd]:ForumActif

Organizational Unit Name (eg, section) []:nhfr.org

Common Name (eg, your name or your server's hostname) []:Remuald

Email Address []:admin [at] nhfr.fr

On obtient la création de deux importants fichiers dans /easy-rsa/keys :

ca.crt : Le certificat d'authentification root. Il peut être diffusé sans sécurité particulière.  

Vous devrez d'ailleurs communiquer ce certificat à vos clients.

ca.key : La clé de ce certificat, sans doute le fichier le plus important. Il permet de signer les certificats des clients. À garder dans un coffre-fort, il n'est pas nécessaire au fonctionnement du serveur. Il ne doit donc évidemment pas circuler sur une liaison non sécurisée.

Et maintenant la création du certificat serveur :
Copier les fichiers "index.txt.start" et "serial.start" dans "keys" sans l'extension ".start"

"build-key-server serveur" (serveur correspond au nom du fichier serveur)

À la différence du certificat précèdent, le « common name » doit ici être « serveur ».
challenge password et optional company name ne sont pas obligatoire.

valider les 2 dernières questions par y puis entrer

Nous avons trois nouveaux fichiers :

server.crt : Le certificat du serveur.

server.key : Sa clé, confidentielle.

server.csr : Une demande de signature de certificat, inutile puis que l'on vient de le signer.



Même principe que précédemment, on reste toujours sur le même terminal !

"build-req client" (client correspond au nom du fichier client)

À la différence du certificat précèdent, le « common name » doit ici être « client ».

challenge password et optional company name ne sont pas obligatoire.

"sign-req client" (client correspond au nom du fichier client)

Valider par y puis entrer pour les 2 questions

Voilà c'est fini pour cette partie certificat.

On va maintenant générer les paramètre de "Diffie Hellman"
C'est en quelques sortes un algorithme qui va chiffrer l'échange des données
Toujours dans le même terminal, saisissez :
build-dh

Un fichier "dh1024.pem" est généré, conservé le jusqu'à la fin du tuto

Passons au fichiers de configuration serveur et client.



Les fichiers de configuration dans OpenVPN sont sous l'extension .ovpn.
On va faire simple, et créer un fichier .ovpn avec le blocnote .
voici le contenu du fichier que l'on nommera server.ovpn :

Code:

port 1194 #Port de communication sortant. 1193 est la norme pour OpenVPN, mais il est possible d'en prendre un autre
proto udp #Protocole d'envoi des données(ou tcp).
dev tap #Mode de transmission, ici en mode route (ou tun pour un mode manuel)
mode server #Configuration serveur.
tls-server #Authentification serveur TLS.

#Configuration IP.
ifconfig 10.8.0.1 255.255.255.0 #Adresse du serveur, bien choisir une adresse IP différente de votre DHCP interne, si vous en posséder un
server-bridge 10.8.0.1 255.255.255.0 10.8.0.2 10.8.0.20 #serveur DHCP, ici on distribue des adresses IP de 10.8.0.2 à 10.8.020
#max-clients 5 #Nombre max de client (ne doit pas excéder la taille de la plage IP du DHCP).
client-to-client #Permet la communication entre client.

#Sécurité
dh dh1024.pem #Paramètre Diffie Hellman 1024bits(Protocole d'échange).
ca ca.crt #Certificat de l'administrateur réseau, il permet de signer les certificat client.
cert serveur.crt #Certificat du Serveur.
key serveur.key #Clé du certificat serveur.
persist-key #Evite de reinterroger un client qui s'est déjà authentfié.
cipher BF-CBC #Cryptage des données en Blowfish (ex: (Cryptage AES) AES-128-CBC,(Cryptage Triple-DES) DES-EDE3-CBC).
keepalive 10 120 #Effectue un ping vers le client tout les 10s pendant 120s.
duplicate-cn #Pour partager le même certificat entre plusieurs clients.

#Utilisateur anonyme, ne fonctionne que sous Linux !
#user nobody #Aucun utilisateur prédéfinis.
#group nogroup #Aucun groupe prédéfinis.

#Utiliser la compression dynamique LZO.
comp-lzo

#Régler le niveau de traces (0 pour un mode silencieux excepté les erreurs fatales, 4 utilisation courante par défaut, 5 et 6 pour le debugage, 9 renseigne toutes les traces).
verb 3

#Au bout de 10 fois la même ligne, plus de trace.
mute 10

Même principe que pour le fichier serveur, on utilise le blocnote, et on créer un fichier client.ovpn comme ceci :

Code:

client #Défini comme client.

#adresse à laquelle le client doit se connecter, et le numéro de port pour entrer sur le serveur.
remote XX.XX.XX.XX 1194

dev tap #Mode de transmission(ou tun).
proto udp #Protocole d'envoi des données (ou tcp).
resolv-retry infinite #Résout indéfiniment les tentatives de connexion au serveur.
nobind #Pas de port local spécifié.

#Sécurité
#ns-cert-type server #Vérifie l'authenticité du serveur.
tls-client #Authentification client TLS.
dh dh1024.pem #Paramètre Diffie Hellman 1024bits(Protocole d'échange).
ca ca.crt #Certificat de l'administrateur réseau, il permet de signer les certificat client.
cert client.crt #Certificat du client.
key client.key #Clé du certificat client.
persist-key #Évite de réinterroger un client qui s'est déjà authentfié.
cipher BF-CBC #Cryptage des données en Blowfish (ex: (Cryptage AES) AES-128-CBC,(Cryptage Triple-DES) DES-EDE3-CBC).

#utilisateur anonyme
#user nobody #Aucun utilisateur prédéfinis.
#group nogroup #Aucun groupe prédéfinis.

#Utiliser la compression dynamique LZO.
comp-lzo
pull #oblige le client à demander sa configuration au serveur.

#Régler le niveau de traces(0 pour un mode silencieux excepté les erreurs fatales, 4 utilisation courante par défaut, 5 et 6 pour le debugage, 9 renseigne toutes les traces).
verb 3

#Au bout de 10x la même ligne, plus de trace.
mute 10

Dans le répertoire Openvpn\config du serveur, vous avez copié : « ca.crt », « serveur.crt », « serveur.key » , « dh1024.pem » et le fichier "serveur.ovpn".

Dans le répertoire Openvpn\config d'un client, on trouve : « ca.crt », « client.crt » , « client.key » et le fichier "client.ovpn" ( à renommer si plusieurs clients).

Enfin il nous reste a affiné les réglages en fonction de vos paramètres de connexion internet, à savoir, autoriser le port 1194 sur votre modem adsl.




Dans le répertoire Openvpn\config, il faut créer un fichier ipp.txt
Ce fichier liste les machines et leur ip sous la forme :
hostname,adresseIP

hostname = nom du poste au niveau du réseau

exemple :
nhfr,192.168.0.1



Si vous avez suivit à la lettre les étapes précédentes, vous ne devriez pas avoir d'erreurs.

Normalement quand vous avez installer OpenVPN, il vous a installer une carte réseau virtuelle, ainsi que l'application OpenVPN GUI, que l'on retrouve en bas à droite dans la barre des tâches, l'icône correspond à des postes informatiques :

• en rouge, pas de connexion
  
• en jaune, si la connexion est en cour
• en vert, connexion opérationnelle
  

Si le fichier .ovpn est présent dans le répertoire config de votre répertoire d'installation OpenVPN, vous faites un clique droit sur l'icône en bas à droite, on doit normalement voir le fichier .ovpn dans l'appli, si oui cliquer sur connecter.

Une fois la connexion établie, vous testez que le lien fonctionne faites un ping vers l'adresse ip du serveur quand vous êtes sur le client, et vice-versa

Si vous ne voulez pas, ou ne pouvez pas toucher aux paramètres du pare-feu, utiliser les paramètres suivants :

sioban a écrit:Mettez port 443 et proto tcp ou port 53 et proto udp

Enfin si vous voulez utiliser le VPN uniquement pour un accès distant tout en gardant votre connexion principale (internet et autres), il faut ajouter ces 2 lignes à la configuration du fichier ovpn :

Code:

route-nopull
route 10.8.0.1 255.255.0.0

Dossier réalisé entièrement par mes soins

Remuald

pour Mimi

merci pour ce tuto

Merci Remuald !

Thx pour ce tuto

il y a pas de quoi, c'est bon de partager ses expériences

Mettez port 443 et proto tcp pour passer certains firewall ;@)

oui, ça passe mieux c'est sure, merci sioban

ou 53 et port udp

maj sur le 1er post avec les remarques de sioban

ajout de la fonction :

Code:

duplicate-cn            #Pour partager le même certificat entre plusieurs clients.

pour le serveur

une autre précision ça fonctionne également avec un dns pour la connexion avec le serveur

Bonjour,

ce tuto est super mais comme part hasard j' ai un problème.
mon serveur est sur windows seven et il est connecté (les écrans sont vert).
Quand je veut connecté le client un message apparait "connecting to client has failed".
j' essaye de me connecté en interne.

Wed Jul 07 09:59:46 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Wed Jul 07 09:59:46 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 07 09:59:46 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jul 07 09:59:52 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Jul 07 09:59:52 2010 LZO compression initialized
Wed Jul 07 09:59:52 2010 Control Channel MTU parms [ L:1574 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Jul 07 09:59:52 2010 Data Channel MTU parms [ L:1574 D:1450 EF:42 EB:135 ET:32 EL:0 AF:3/1 ]
Wed Jul 07 09:59:52 2010 Local Options hash (VER=V4): 'd79ca330'
Wed Jul 07 09:59:52 2010 Expected Remote Options hash (VER=V4): 'f7df56b8'
Wed Jul 07 09:59:52 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
Wed Jul 07 09:59:52 2010 UDPv4 link local: [undef]
Wed Jul 07 09:59:52 2010 UDPv4 link remote: 192.168.0.24:1194
Wed Jul 07 09:59:54 2010 TLS: Initial packet from 192.168.0.24:1194, sid=f786938a 46b2d53e
Wed Jul 07 09:59:54 2010 VERIFY OK: depth=1, /C=FR/ST=FRANCE/L=PARIS/O=GREG/OU=GB/CN=BDTVPN/emailAddress=mail@host.domain
Wed Jul 07 09:59:54 2010 VERIFY OK: depth=0, /C=FR/ST=FRANCE/O=GREG/OU=GB/CN=server/emailAddress=mail@host.domain
Wed Jul 07 09:59:54 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jul 07 09:59:54 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jul 07 09:59:54 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Jul 07 09:59:54 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jul 07 09:59:54 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Jul 07 09:59:54 2010 [server] Peer Connection Initiated with 192.168.0.24:1194
Wed Jul 07 09:59:57 2010 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1)
Wed Jul 07 09:59:57 2010 PUSH: Received control message: 'PUSH_REPLY,route-gateway 10.8.0.1,ping 10,ping-restart 120,ifconfig 10.8.0.2 255.255.255.0'
Wed Jul 07 09:59:57 2010 OPTIONS IMPORT: timers and/or timeouts modified
Wed Jul 07 09:59:57 2010 OPTIONS IMPORT: --ifconfig/up options modified
Wed Jul 07 09:59:57 2010 OPTIONS IMPORT: route-related options modified
Wed Jul 07 09:59:57 2010 CreateFile failed on TAP device: \\.\Global\{BCBB906D-55F5-4E4D-944C-B833AB80122F}.tap
Wed Jul 07 09:59:57 2010 All TAP-Win32 adapters on this system are currently in use.
Wed Jul 07 09:59:57 2010 Exiting

Pouvez vous me dire pourquoi ?

Merci

on dirait qu'il y a un problème de certificat serveur.

Il y aurai un problème avec le CN

Wed Jul 07 09:59:57 2010 CreateFile failed on TAP device: \\.\Global\{BCBB906D-55F5-4E4D-944C-B833AB80122F}.tap

Problème de pilote je suppose ?

faites une réinstallation du logiciel sur le client.

sinon donner les fichiers de configurations client/serveur, en ayant pris soins de cacher les informations confidentielles

Bonjour,

j' ai installé le client sur 3 postes sans succés.
Voici le lien ou tu pourra récupéré les fichiers config.
ftp://respsav.hopto.org
login : test
mdp : test
tu trouvera aussi un fichier word avec les messages d'erreurs du client installé
avec openvpn client et les messages d'erreurs client sur le serveur.

Voila j' espère que tu pourra m' aider.
Merci

Il ne trouve pas l'interface TAP.
Peut-être un problème de droit Admin lors de l'install ou lors de l'utilisation, à voir.

Salut,
Normalement et j' en suis certain je suis en admin.
Est ce que mes fichiers de config sont bon

Tu as bien fait un clique droite puis "Exécuter en tant que Administrateur" ?

Oui et même mis la compatibilité Windows sp2.
Mais s' il y avait un problème d' install du
Client VPN sur les postes sur le serveur il devrait ce connecté sans
Problème normalement.
La ni sur le serveur ni le client VPN ne fonctionne comme je l' ai mis dans le fichier word sur le serveur ftp.
Je crois que c peine perdu.

Merci de l' effort que vous faite pour m' aidé.

C'est du Vista ?

Le client VPN est sur Vista et le serveur VPN est sur seven.