p.p.e vpn site à site (openvpn/ipsec) / roadworrior · 2017. 3. 21. · vpn (virtual private...
TRANSCRIPT
[Tapez ici]
Daniel AFONSO Page 1
P.P.E VPN site à site (openVPN/IPsec) / RoadWorrior
[Tapez ici]
Daniel AFONSO Page 2
VPN (Virtual private network) est un lien virtuel qui permet de joindre deux machines distantes et ainsi faire comme si elles étaient sur le même réseau. Il permet entre-autre de pouvoir relier deux site sans avoir à tirer de câbles ou creuser des tranchées.
Pré-requis : 2machines PFSense -Carte WAN -Carte LAN **Pour ce tp les deux machine doivent se pinguer** 2machines d’administration (ici 2 W7) -Carte LAN pour accès à PFSense en http
[Tapez ici]
Daniel AFONSO Page 3
Avant de faire son chois pour le vpn il faudra créer une règle pour que les deux interfaces WAN puissent communiquer (Protocol ICMP, pour laisser passer les ping) Pour cela : « firewall rules et ajouter une règle pour l’interface WAN
[Tapez ici]
Daniel AFONSO Page 4
Site à site avec IPsec :
Sur machine admin_pf1 On commence par activer IPsec.
Puis cliquer sur le bouton « add » pour pouvoir paramétrer le VPN.
(Et choisir la clé qui sera encodée par la suite)
Pour terminer cliquer sur le bouton «save » puis « apply change »
Ensuite cliquer sur le bouton « + » puis sur le bouton «add» pour continuer la configuration
(phase2).
[Tapez ici]
Daniel AFONSO Page 5
Sauver et appliquer les modifications.
Ensuite il faut créer les règles du firewall qui permettront à IPsec de faire communiquer les
deux réseaux.
Pour cela utiliser UDP en port 4500 et port 500 :
Firewall Rules WAN
UDP en 4500 :
[Tapez ici]
Daniel AFONSO Page 6
UDP en 500 :
Puis dan l’onglet IPsec :
[Tapez ici]
Daniel AFONSO Page 7
.
.
Il faudra faire la même chose sur la machine « admin_pf2 » en adaptant les adresses.
.
.
Une fois les deux cotés paramétré correctement il faudra par la suite activer le service pour
établir la connexion. Aller dans l’onglet « Status IPsec »
Cliquer sur le bouton « connect »…
Le tunnel VPN est correctement monté… pour vérifier que tout est ok il suffit de faire un ping
à partir d’une des deux machine (admin_pf1 ou admin_pf2) si le ping passe le tunnel est bien
fonctionnel
[Tapez ici]
Daniel AFONSO Page 8
Site à site avec OpenVPN :
La principale différence avec IPsec est que, dans le cas d’OpenVPN un des deux pfsense
sera considérer comme « client » alors que l’autre comme « serveur » dans notre cas
(Pf1=serveur) et (Pf2=client). Il faudra prendre aussi en compte que le numéro de port pour
UDP n’est pas le même : dans le cas de OpenVPN, le numéro de port est 1194.
Sur machine admin_pf1 :
Dans l’onglet « VPNOpenVPN » Commencer la configuration vpn en temps que serveur.
Cliquer sur le bouton « add »
Sélectionner « automaticaly gernerate key »
**Penser à copier la clé, car il faudra la coller dans la configuration du client (admin_pf2)**
[Tapez ici]
Daniel AFONSO Page 9
Pour le tunnel Network renseigner un réseau qui va servir de tunnel par le quel le VPN
passera (attention il faut qu’il soit identique des 2 cotés)
Une fois la configuration terminé il faudra créer les règles, pour cela dans
« FirewallRules » et dans l’onglet « WAN » créer une règle pour UDP
[Tapez ici]
Daniel AFONSO Page 10
**Notez la différence du numéro port par rapport à IPsec**
Ensuite dans l’onglet OpenVPN créer la règle suivante :
[Tapez ici]
Daniel AFONSO Page 11
Sur machine admin_pf2 :
Dans l’onglet « VPNOpenVPN » Commencer la configuration vpn en temps que client.
Décocher « automaticaly gernerate key » et coller la clé préalablement copié.
[Tapez ici]
Daniel AFONSO Page 12
**En ce qui concerne les règles, ce sont les mêmes que pour la machine admin_pf1**
Vérification :
Apres avoir écrit les règles, se rendre sur l’onglet « StatusOpenVPN »
Le tunnel est actif et connecté. Fait un ping à partir d’une des 2 machines admin.
Tout est Ok le VPN est bien monté tout communique.
[Tapez ici]
Daniel AFONSO Page 13
Source :
http://www.frameip.com/ipsec/
https://doc.pfsense.org/index.php/VPN_Capability_IPsec#Add_Firewall_Rules
https://www.youtube.com/watch?v=k8HaIW3-AgM