Post on 13-Sep-2015
description
Mon bloc-notes
Accueil
Administration deSystmes & RseauxPlan du siteActivit rcente sur le site
Windows
MaintenanceScripts MS-DOSScripts VBS
Linux
ScuritServeursSystme
Virtualisation
Virtualisation
Serveurs >
OpenVPN site site
Tunnel VPN site site entre 2 pfsense 1.2.3
1. Configuration du serveur VPN 2. Configuration du client VPN 3. Vrification de la connexion
Tunel SSL avec partage de cl. Pour cel il faut gnrer un certificat SSL sur le serveur. Cette partie n'est pas dcrite dans ce HowTo.La commande sur la pfsense : #openvpn --genkey --secret shared.key
1. Configuration du serveur VPN
Aller dans VPN > OpenVPN > Server et cliquez sur le plus pour ajouter un nouveau serveur.
La premire partie concerne la configuration de base.
Le port utilis pour monter le tunnel : 1193Le pool d'adresse destin au VPN distant : 10.0.16.0/24 (doit tre diffrent de l'adressage IP du LAN)Le rseau distant : 10.145.7.0/24
La deuxime partie est plus complexe. On va renseigner la mthode d'authentification entre client et serveur, le nom de domaine que lesclient vont rcuprer, l'adresse IP du serveur DNS, et enfin les options personnalises.
Cryptography :BF-CBC(128-bit)Authentification method : Shared KeyDHCP-Opt.: DNS-Domainname : nunux.homeDHCP-Opt.: DNS-Server : 10.163.135.14DHCP-Opt.: NTP-Server : 10.163.135.14LZO compression : cochCustom options : --ifconfig 10.0.16.1 10.145.7.4; management 127.0.0.1 1193;
Pour les options de configuration, je prcise les adresses IP des extrmits du Tunel pour viter les confilts d'adresse IP. Par dfaut,OpenVPN utilise pour les extrmits des tunel les adresses en x.x.x.1 et x.x.x.2. Or sur mon rseau distant, ces 2 adresses sont djutilise.
--ifconfig 10.0.16.1 10.145.7.4; > je prsite que l'extrmit du tunel de mon cot (serveur) est 10.0.16.1 et que l'extrmit du cot distant(client) est 10.145.7.4management 127.0.0.1 1193 > cette option ne sert que si le plugin OpenVPN status est install (surveillance des connexions VPN)
OpenVPN site site - Mon bloc-notes https://sites.google.com/site/guillaumepriou/serveurs/openvpn
1 sur 3 26/09/2012 14:19
Le serveur VPN est mont.
2. Configuration du client VPN
Aller dans VPN > OpenVPN > Client et cliquez sur le plus pour ajouter un nouveau client.
La premire partie concerne la configuration de base.
Le protocole utilis : TCPL'adresse du serveur : Adresse IP fixeLe port utilis pour monter le tunnel : 1193L'interface IP sur laquelle on monte le tunnel VPN : 10.145.7.0/24 (l'adressage IP du LAN)Le rseau distant : 10.163.135.0/24
Pour les paramtres suivants, ils sont identiques la configuration du serveur (Cryptography, cle SSL partage, compression)
Pour les options personnalises, on utilise de nouveau --ifconfig mais dans l'autre sens
--ipconfig 10.145.7.4 10.0.16.1
Rgle de filtrage
Sur chaque pfsense il faut rajouter une rgle de filtrage pour autoriser le port 1193 en TCP sur le WAN.Cot client, on peut crer cette rgle plus svre, c'est dire qu'elle autorise uniquement l'adresse du serveur).Si les 2 sites sont en IP fixe, on peut appliquer ce principe sur les 2 pfsense (plus scuris)
3. Vrification de la connexion
Sur la pfsense serveur, on utilise les logs pour vrifier que le tunnel est bien mont.Pour cel on va dans Status > System logs > OpenVPNOn doit avoir un log dans ce genre :
OpenVPN site site - Mon bloc-notes https://sites.google.com/site/guillaumepriou/serveurs/openvpn
2 sur 3 26/09/2012 14:19
Un ping d'une machine du rseau principal doit pouvoir pinguer une machine du rseau distant.Le mieux est de faire un tracert pour bien vrifier que l'on passe par le tunnel (dans le cas d'une double connexion entre les 2 sites)
Le dernier test consiste effectuer un transfert de fichiers entre 2 machines des 2 rseaux diffrents, et d'observer en temps rel de graphedu traffic.
Se connecter | Signaler un abus | Imprimer la page | Supprimer l'accs | Avec la technologie de Google Sites
OpenVPN site site - Mon bloc-notes https://sites.google.com/site/guillaumepriou/serveurs/openvpn
3 sur 3 26/09/2012 14:19