le rpv de niveau rÉseau avec openvpn
TRANSCRIPT
1 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
LE RPV DE NIVEAU RÉSEAU AVEC OPENVPN
L’entreprise PRODUC, qui fabrique des PC (ordinateur personnel), possède un site de production à
Marseille, mais son siège social se situe dans la région parisienne, à La Défense. La direction souhaite
pouvoir utiliser indifféremment les applications de gestion de Marseille ou de La défense. Ces
informations de gestion ne doivent pas être accessibles à la concurrence. Ce besoin de communication,
entre les deux sites, s’accompagne donc de fortes contraintes de sécurité.
Pour répondre aux besoins exprimés, les deux sites doivent être reliés en réseau. Toutes les
communications entre ces deux sites doivent être sécurisées, on entend par-là, que seuls ces deux sites
pourront se connecter à ce réseau et que la confidentialité des données sera assurée.
Après une rapide étude et compte tenu de la distance entre les deux sites, l’administrateur réseau s’est
tourné vers une solution à base de réseau privé virtuel. Le schéma ci-dessous présente la solution
élaborée par l’administrateur réseau
Pour mettre en place ce VPN le logiciel retenu est le logiciel OpenVpn. Ce logiciel tourne aussi bien
sous Windows que sous différentes distributions Linux. Nous allons utiliser la « Virtual Appliance »
mise à disposition sur internet et autorisant gratuitement deux connexions clients simultanées.
Les machines disponibles par élève étant limitées, nous allons utiliser 1 machine physique par
étudiant. Vous travaillerez par groupe de deux. Un élève aura un XP PRO hébergeant un serveur
win2003 virtuel (le routeur internet) et le serveur virtuel Openvpn sous Ubuntu. L’autre étudiant qui
s’occupera du second site aura un XP PRO hébergeant un serveur win2003 virtuel (le routeur internet)
et sur lequel sera installé le client VPN.
Les deux machines physiques jouent donc le rôle des clients de chaque LAN. Comme chaque Lan est
caché derrière la fonction NAT du routeur internet du site, les clients ne pourront se voir qu’à travers
le VPN.
2 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Voici la configuration réseau théorique retenue :
Client La Défense : adresse réelle 192.168.0.1/24 passerelle 192.168.0.254 ;
Serveur vpn La Défense : adresse réelle 192.168.0.100/24 passerelle 192.168.0.254 ;
Serveur vpn La Défense : adresse sur le Vpn 10.0.0.1 (Générée automatiquement par Openvpn
si on lui indique que le Vpn est en 10.0.0.0/24) ;
Routeur La Défense : adresses 192.168.0.254/24 et 172.16.4.y/16 passerelle 172.16.0.199
Client vpn Marseille : adresse sur le vpn 10.0.0.x (Générée automatiquement par Openvpn) ;
Client vpn Marseille : adresse réelle 192.168.1.100/24 passerelle 192.168.1.254
Routeur Marseille : adresses 192.168.1.254/24 et 172.16.4.x passerelle 172.16.0.199
Nota : Attention tous les groupes vont travailler en même temps nous devons donc répartir
intelligemment les adresses des deux LAN même si ceci n’est utile que le temps que l’on active le
NAT sur les deux routeurs internet.
S’il y a quatre groupes dans la salle voici la répartition que nous pouvons faire :
Groupe 1 : La défense réseau 192.168.0.0, Marseille réseau 192.168.1.0, Routeur La Défense
172.16.4.a, routeur Marseille 172.16.4.b ;
Groupe 2 : La défense réseau 192.168.2.0, Marseille réseau 192.168.3.0, Routeur La défense
172.16.4.c, routeur Marseille 172.16.4.d ;
Groupe 3 : La défense réseau 192.168.4.0, Marseille réseau 192.168.5.0, Routeur La Défense
172.16.4.e, routeur Marseille 172.16.4.f ;
Groupe 4 : La défense réseau 192.168.6.0, Marseille réseau 192.168.7.0, Routeur La Défense
172.16.4.g, routeur Marseille 172.16.4.h ;
Nota : Attention dans mes « hards copies » d’écran mon serveur Vpn est sur le réseau
192.168.1.0/24, mes clients Vpn sont sur le réseau 192.168.2.0/24 et mon réseau de liaison c'est-à-
dire celui qui joue le rôle du réseau 172.16.0.0./16 est le réseau 192.168.0.0/24.
I CONFIGURATION DU RÉSEAU
Lancez votre machine XP (client), lancez votre serveur Win2003 virtuel (routeur donc deux cartes),
changez son nom si nécessaire.
Affectez les adresses IPv4 à vos machines ; Vérifiez que les machines de chaque site se « pinguent » à
l’intérieur du site ;
Activez le routage. Vérifiez que tout le monde « pingue » tout le monde (passerelle internet en
172.16.0.199 comprise) à l’intérieur d’un site et que vos routeurs se « pinguent » aussi.
Pourquoi vos clients ne peuvent-ils se « pinguer » ? ________________________________________
Activez la fonction NAT sur votre routeur internet. Routage et accès distant > Routage IP > Général >
Clic droit > Nouveau protocole de routage. Puis Pare-feu de base/NAT > Nouvelle Interface >
Sélectionner l’interface qui va vers internet. Activez ensuite sur cette interface le NAT.
3 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Vérifiez que vos routeurs se « pinguent » toujours et que les clients de chaque LAN « pinguent »
toujours le routeur de la salle 3 et un nom sur internet.
Quelle est l’adresse visible depuis l’extérieur de votre LAN ? ________________________________
Depuis votre client Vpn essayez de vous connecter sur un répertoire partagé sur le client qui est sur le
même Lan que le serveur Vpn. Cela fonctionne-t-il ?
__________________________________________________________________________________
II DÉMARRAGE D’OPENVPN
OpenVpn Virtual Appliance est disponible sur mon poste prof \\172.16.4.150\OpenVpn et sur les
disques durs de vos postes répertoire IG2. Commencez par dézipper la machine virtuelle, activez le
partage de répertoire avec votre machine XP Pro et partagez un répertoire, puis lancez-la.
Répondez par « Enter » aux premières questions puis configurez votre réseau pour qu’il corresponde
au TP (Configure Network).
Choisissez ensuite « Login ». Pour se connecter en console (root, openvpnas) mais le clavier est en
anglais donc tapez openvpnqs, puis chargez le clavier français par la commande « loadkeys fr » et
inscrire cette commande dans /etc/profile pour les prochains démarrages. Vous pouvez utiliser nano.
Changez le mot de passe du compte openvpn, qui nous permet de nous connecter en interface web.
Pour cela passwd openvpn et tapez le nouveau mot de passe de l’utilisateur openvpn.
Connectez-vous en https sur le port indiqué sur fond bleu (5480), sous le compte (openvpn,
votreMotDePasse).
Si vous avez des problèmes pour vous connecter ce qui peut arriver la première fois, en mode console
et en root tapez la commande suivante : /usr/local/openvpn_as/bin/ovpn-init –force
Vous devez répondre yes aux deux premières questions, sélectionnez votre adresse ip à la question
suivante, gardez le port par défaut à la quatrième (943), changez le port à la cinquième question (445),
répondre par « yes » aux trois questions suivantes, et laissez blanc à la dernière question.
En console, vérifiez l’adressage de votre serveur vpn et sa table de routage. Que remarquez-
vous ?____________________________________________________________________________.
Il nous faut ajouter une passerelle. Soit en console « route add default gw AdresseIPDeLaPasserelle »,
mais cette passerelle sera perdue au prochain démarrage ou par un navigateur https://IPOpenVpn:5480
puis (root, openvpnas). Choisissez l’onglet « Network » et faîtes vos mises à jour.
4 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Vérifiez que le serveur vpn « pingue » tous les hôtes de son réseau, le routeur d’adresse 172.16.0.199
et un nom sur internet.
III CONFIGURATION D’OPENVPN – CLIENTS VERS SERVEUR
Connectez-vous en web sécurisé sur l’interface d’administration. Pour cela :
https://IPOpenvpn:943/admin, puis (openvpn,votreMotDePasse). Acceptez la licence et on commence.
Dans Configuration > Network > Settings.
Gardez les autres options, sauf le SSL 2.0 que vous pouvez désactiver. Puis dans Configuration > Vpn
Mode :
On installe un Vpn de niveau 3. Ensuite dans Configuration > Vpn Settings :
Attention ici l’adresse
IP en 172.16.4.x de
votre routeur car vous
avez activé le NAT.
5 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Ne rien mettre dans Default Domain Suffix, sauvegardez vos modifications.
Ne changez rien dans les autres parties de la Configuration.
Dans Authentification > General, choisissez Local (PAM nous oblige à créer un compte dans le fichier
/etc/passwd) :
Ceci sera l’adresse
réseau de votre vpn.
6 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Il nous reste maintenant à créer un utilisateur de test. Pour cela dans User Management > User
permission :
Voici comment notre vpn va fonctionner : Lorsqu’un client va se connecter au serveur OpenVpn, il va
recevoir une adresse IP virtuelle en 10.0.0.0/20. Le paquet contenant cette adresse virtuelle sera chiffré
et encapsulé dans les adresses publiques pour voyager sur le réseau public jusqu’au serveur OpenVpn.
Arrivé sur le serveur Openvpn, ce paquet sera déchiffré et désencapsulé pour retrouver le paquet
virtuel adressé en 10.0.0.0/20. Mais comme le Lan est en 192.168.0.0/24, le Lan n’est pas directement
accessible au client vpn. Pour que le client Vpn puisse communiquer avec tous les machines du Lan
auquel il veut se connecter, le serveur OpenVpn va natter l’adresse IP source dans le paquet destiné au
Lan par la sienne (par exemple 192.168.0.100), qui se situe bien sur le même réseau que le Lan. Au
retour le serveur OpenVpn remettra l’adresse IP virtuelle du client à la place de la sienne (qui est
maintenant une adresse de destination), avant de chiffrer et d’encapsuler ce paquet dans un paquet
contenant des adresses publiques pour pouvoir le réacheminer jusqu’au client.
7 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
IV CONFIGURATION DU CLIENT
Dans un premier temps, le client doit recevoir un client vpn depuis le serveur OpenVpn. Cependant
notre serveur OpenVpn est caché derrière la fonction NAT du routeur 2003 virtuel. Nous devons donc
faire des redirections de port, pour les ports du serveur OpenVpn qui doivent être accessibles depuis
l’extérieur de son Lan, soit depuis les clients situés sur l’autre Lan. Les ports configurés sont les
suivants : 943, 445, 1194, 5480. Vous devez donc rediriger tous les demandes sur ces ports arrivant
sur le routeur virtuel 2003 vers le serveur OpenVpn. Attention aux protocoles utilisés par les différents
ports UDP n’est pas TCP.
Sur le routeur virtuel Routage et accès distant > Routage IP > Pare-feu de base/NAT > Double clic sur
la carte > Onglet Services et ports :
8 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
N’oubliez pas d’activer vos redirections de ports.
Connectez-vous maintenant depuis votre client sur votre serveur Vpn à l’adresse
https://IpRouteur2003Nattée:943 et saisissez les identifiants du compte utilisateur que vous avez créé
précédemment (VotreUtilisateur, VotreMotDePasse). Cliquez sur « Go ». Installez le client téléchargé.
Cliquez ensuite sur l’icône du client Vpn dans la barre de tâches de votre client et connectez-vous au
Vpn.
Depuis votre client Vpn essayez de vous connecter sur un répertoire partagé sur le client qui est sur le
même Lan que le serveur Vpn. Cela fonctionne-t-il ?
__________________________________________________________________________________
V VÉRIFICATION DU FONCTIONNEMENT
Vous pouvez normalement faire un ping sur les adresses virtuelles.
Sur vos routeurs, vous allez utiliser Wireshark et analyser les échanges dans le cadre du vpn.
9 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Une fois Wireshark installé, activez la capture de trames sur les cartes nattées de vos routeurs, après
avoir défini le filtre de capture suivant « udp port 1194 or tcp port 445 » (ceux sont les ports de
fonctionnement du vpn Openvpn). Pour cela dans Wireshark, Capture > Options :
Depuis le serveur vpn, faîtes un ping sur l’adresse virtuelle du client vpn. Qu’observez-vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Depuis le serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse virtuelle du client vpn.
Qu’observez-vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-
vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Depuis le client vpn, faîtes un ping sur l’adresse du client du site du serveur vpn. Qu’observez-vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Changez maintenant la passerelle du client du site du serveur vpn en 192.168.x.100 (soit l’adresse de
votre serveur vpn). Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse virtuelle du
client vpn. Qu’observez-vous ?
__________________________________________________________________________________
10 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
__________________________________________________________________________________
Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-
vous ?
__________________________________________________________________________________
__________________________________________________________________________________
Qu’en déduisez-vous ?
__________________________________________________________________________________
__________________________________________________________________________________
VI INTERCONNECTER DES SEGMENTS ETHERNET VIA OPENVPN
Nous allons maintenant interconnecter le LAN de la Défense avec le LAN de Marseille. (Toutes les
communications entre ses deux entités doivent être sécurisées).
Nous devons donc modifier le paramétrage de notre serveur OPenVpn.
Dans un premier temps, désinstallez le client vpn de votre machine XP réelle coté Marseille.
Dans la page Configuration > Vpn Settings
11 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Nous devons ensuite préciser à quel client nous allons attribuer le rôle de passerelle Vpn. Pour cela
dans User Management > User permission :
Comme notre client vpn doit servir de passerelle pour son propre réseau, il devra router les demandes
en provenance de son propre réseau vers le réseau du serveur vpn via le tunnel. Il doit donc être
capable de faire du routage. C’est pour cela que cette fois nous allons installer notre client vpn sur le
routeur 2003 virtuel du site de Marseille.
Nous allons maintenant forcer toutes les communications entre le LAN de La défense et le LAN de
Marseille à passer par le vpn.
Pour cela sur le client Vpn, soit sur le routeur 2003 virtuel côté Marseille, ajoutez la route statique
pour joindre le réseau Vpn et la route statique pour joindre le réseau de La Défense en passant par le
tunnel Vpn
__________________________________________________________________________________
__________________________________________________________________________________
En lançant Wireshark avec le même filtre :
Vérifiez que le serveur Vpn et que le client Vpn se « pinguent » toujours sur leurs adresses virtuelles.
__________________________________________________________________________________
__________________________________________________________________________________
Tentez un ping d’un des clients vers l’autre (en adresse réelle). Le test est-il concluant ? __________
__________________________________________________________________________________
Voici l’architecture réseau que vous venez de mettre en place :
Ici on indique le réseau
auquel les clients du
réseau de ce client vpn
pourront accéder.
Ici on indique le réseau
auquel les clients du
réseau du serveur Vpn
pourront accéder
12 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn
Solution alternative : Remettez le routeur internet comme passerelle par défaut sur votre client du
Lan du serveur Vpn .
Ajoutez les routes adéquates sur votre routeur internet coté Lan du serveur Vpn pour que tous les flux
en provenance d’un client du LAN de la Défense à destination de l’autre LAN, soient redirigés vers le
serveur vpn du site d’origine.
_________________________________________________________________________________
_________________________________________________________________________________
Faîtes maintenant un ping d’un client vers l’autre client. Le test vous semble-t-il concluant ?_______
Voici l’architecture réseau que vous venez de mettre en place :