1 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

LE RPV DE NIVEAU RÉSEAU AVEC OPENVPN

L’entreprise PRODUC, qui fabrique des PC (ordinateur personnel), possède un site de production à

Marseille, mais son siège social se situe dans la région parisienne, à La Défense. La direction souhaite

pouvoir utiliser indifféremment les applications de gestion de Marseille ou de La défense. Ces

informations de gestion ne doivent pas être accessibles à la concurrence. Ce besoin de communication,

entre les deux sites, s’accompagne donc de fortes contraintes de sécurité.

Pour répondre aux besoins exprimés, les deux sites doivent être reliés en réseau. Toutes les

communications entre ces deux sites doivent être sécurisées, on entend par-là, que seuls ces deux sites

pourront se connecter à ce réseau et que la confidentialité des données sera assurée.

Après une rapide étude et compte tenu de la distance entre les deux sites, l’administrateur réseau s’est

tourné vers une solution à base de réseau privé virtuel. Le schéma ci-dessous présente la solution

élaborée par l’administrateur réseau

Pour mettre en place ce VPN le logiciel retenu est le logiciel OpenVpn. Ce logiciel tourne aussi bien

sous Windows que sous différentes distributions Linux. Nous allons utiliser la « Virtual Appliance »

mise à disposition sur internet et autorisant gratuitement deux connexions clients simultanées.

Les machines disponibles par élève étant limitées, nous allons utiliser 1 machine physique par

étudiant. Vous travaillerez par groupe de deux. Un élève aura un XP PRO hébergeant un serveur

win2003 virtuel (le routeur internet) et le serveur virtuel Openvpn sous Ubuntu. L’autre étudiant qui

s’occupera du second site aura un XP PRO hébergeant un serveur win2003 virtuel (le routeur internet)

et sur lequel sera installé le client VPN.

Les deux machines physiques jouent donc le rôle des clients de chaque LAN. Comme chaque Lan est

caché derrière la fonction NAT du routeur internet du site, les clients ne pourront se voir qu’à travers

le VPN.

2 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Voici la configuration réseau théorique retenue :

Client La Défense : adresse réelle 192.168.0.1/24 passerelle 192.168.0.254 ;

Serveur vpn La Défense : adresse réelle 192.168.0.100/24 passerelle 192.168.0.254 ;

Serveur vpn La Défense : adresse sur le Vpn 10.0.0.1 (Générée automatiquement par Openvpn

si on lui indique que le Vpn est en 10.0.0.0/24) ;

Routeur La Défense : adresses 192.168.0.254/24 et 172.16.4.y/16 passerelle 172.16.0.199

Client vpn Marseille : adresse sur le vpn 10.0.0.x (Générée automatiquement par Openvpn) ;

Client vpn Marseille : adresse réelle 192.168.1.100/24 passerelle 192.168.1.254

Routeur Marseille : adresses 192.168.1.254/24 et 172.16.4.x passerelle 172.16.0.199

Nota : Attention tous les groupes vont travailler en même temps nous devons donc répartir

intelligemment les adresses des deux LAN même si ceci n’est utile que le temps que l’on active le

NAT sur les deux routeurs internet.

S’il y a quatre groupes dans la salle voici la répartition que nous pouvons faire :

Groupe 1 : La défense réseau 192.168.0.0, Marseille réseau 192.168.1.0, Routeur La Défense

172.16.4.a, routeur Marseille 172.16.4.b ;

Groupe 2 : La défense réseau 192.168.2.0, Marseille réseau 192.168.3.0, Routeur La défense

172.16.4.c, routeur Marseille 172.16.4.d ;

Groupe 3 : La défense réseau 192.168.4.0, Marseille réseau 192.168.5.0, Routeur La Défense

172.16.4.e, routeur Marseille 172.16.4.f ;

Groupe 4 : La défense réseau 192.168.6.0, Marseille réseau 192.168.7.0, Routeur La Défense

172.16.4.g, routeur Marseille 172.16.4.h ;

Nota : Attention dans mes « hards copies » d’écran mon serveur Vpn est sur le réseau

192.168.1.0/24, mes clients Vpn sont sur le réseau 192.168.2.0/24 et mon réseau de liaison c'est-à-

dire celui qui joue le rôle du réseau 172.16.0.0./16 est le réseau 192.168.0.0/24.

I CONFIGURATION DU RÉSEAU

Lancez votre machine XP (client), lancez votre serveur Win2003 virtuel (routeur donc deux cartes),

changez son nom si nécessaire.

Affectez les adresses IPv4 à vos machines ; Vérifiez que les machines de chaque site se « pinguent » à

l’intérieur du site ;

Activez le routage. Vérifiez que tout le monde « pingue » tout le monde (passerelle internet en

172.16.0.199 comprise) à l’intérieur d’un site et que vos routeurs se « pinguent » aussi.

Pourquoi vos clients ne peuvent-ils se « pinguer » ? ________________________________________

Activez la fonction NAT sur votre routeur internet. Routage et accès distant > Routage IP > Général >

Clic droit > Nouveau protocole de routage. Puis Pare-feu de base/NAT > Nouvelle Interface >

Sélectionner l’interface qui va vers internet. Activez ensuite sur cette interface le NAT.

3 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Vérifiez que vos routeurs se « pinguent » toujours et que les clients de chaque LAN « pinguent »

toujours le routeur de la salle 3 et un nom sur internet.

Quelle est l’adresse visible depuis l’extérieur de votre LAN ? ________________________________

Depuis votre client Vpn essayez de vous connecter sur un répertoire partagé sur le client qui est sur le

même Lan que le serveur Vpn. Cela fonctionne-t-il ?

__________________________________________________________________________________

II DÉMARRAGE D’OPENVPN

OpenVpn Virtual Appliance est disponible sur mon poste prof \\172.16.4.150\OpenVpn et sur les

disques durs de vos postes répertoire IG2. Commencez par dézipper la machine virtuelle, activez le

partage de répertoire avec votre machine XP Pro et partagez un répertoire, puis lancez-la.

Répondez par « Enter » aux premières questions puis configurez votre réseau pour qu’il corresponde

au TP (Configure Network).

Choisissez ensuite « Login ». Pour se connecter en console (root, openvpnas) mais le clavier est en

anglais donc tapez openvpnqs, puis chargez le clavier français par la commande « loadkeys fr » et

inscrire cette commande dans /etc/profile pour les prochains démarrages. Vous pouvez utiliser nano.

Changez le mot de passe du compte openvpn, qui nous permet de nous connecter en interface web.

Pour cela passwd openvpn et tapez le nouveau mot de passe de l’utilisateur openvpn.

Connectez-vous en https sur le port indiqué sur fond bleu (5480), sous le compte (openvpn,

votreMotDePasse).

Si vous avez des problèmes pour vous connecter ce qui peut arriver la première fois, en mode console

et en root tapez la commande suivante : /usr/local/openvpn_as/bin/ovpn-init –force

Vous devez répondre yes aux deux premières questions, sélectionnez votre adresse ip à la question

suivante, gardez le port par défaut à la quatrième (943), changez le port à la cinquième question (445),

répondre par « yes » aux trois questions suivantes, et laissez blanc à la dernière question.

En console, vérifiez l’adressage de votre serveur vpn et sa table de routage. Que remarquez-

vous ?____________________________________________________________________________.

Il nous faut ajouter une passerelle. Soit en console « route add default gw AdresseIPDeLaPasserelle »,

mais cette passerelle sera perdue au prochain démarrage ou par un navigateur https://IPOpenVpn:5480

puis (root, openvpnas). Choisissez l’onglet « Network » et faîtes vos mises à jour.

4 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Vérifiez que le serveur vpn « pingue » tous les hôtes de son réseau, le routeur d’adresse 172.16.0.199

et un nom sur internet.

III CONFIGURATION D’OPENVPN – CLIENTS VERS SERVEUR

Connectez-vous en web sécurisé sur l’interface d’administration. Pour cela :

https://IPOpenvpn:943/admin, puis (openvpn,votreMotDePasse). Acceptez la licence et on commence.

Dans Configuration > Network > Settings.

Gardez les autres options, sauf le SSL 2.0 que vous pouvez désactiver. Puis dans Configuration > Vpn

Mode :

On installe un Vpn de niveau 3. Ensuite dans Configuration > Vpn Settings :

Attention ici l’adresse

IP en 172.16.4.x de

votre routeur car vous

avez activé le NAT.

5 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Ne rien mettre dans Default Domain Suffix, sauvegardez vos modifications.

Ne changez rien dans les autres parties de la Configuration.

Dans Authentification > General, choisissez Local (PAM nous oblige à créer un compte dans le fichier

/etc/passwd) :

Ceci sera l’adresse

réseau de votre vpn.

6 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Il nous reste maintenant à créer un utilisateur de test. Pour cela dans User Management > User

permission :

Voici comment notre vpn va fonctionner : Lorsqu’un client va se connecter au serveur OpenVpn, il va

recevoir une adresse IP virtuelle en 10.0.0.0/20. Le paquet contenant cette adresse virtuelle sera chiffré

et encapsulé dans les adresses publiques pour voyager sur le réseau public jusqu’au serveur OpenVpn.

Arrivé sur le serveur Openvpn, ce paquet sera déchiffré et désencapsulé pour retrouver le paquet

virtuel adressé en 10.0.0.0/20. Mais comme le Lan est en 192.168.0.0/24, le Lan n’est pas directement

accessible au client vpn. Pour que le client Vpn puisse communiquer avec tous les machines du Lan

auquel il veut se connecter, le serveur OpenVpn va natter l’adresse IP source dans le paquet destiné au

Lan par la sienne (par exemple 192.168.0.100), qui se situe bien sur le même réseau que le Lan. Au

retour le serveur OpenVpn remettra l’adresse IP virtuelle du client à la place de la sienne (qui est

maintenant une adresse de destination), avant de chiffrer et d’encapsuler ce paquet dans un paquet

contenant des adresses publiques pour pouvoir le réacheminer jusqu’au client.

7 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

IV CONFIGURATION DU CLIENT

Dans un premier temps, le client doit recevoir un client vpn depuis le serveur OpenVpn. Cependant

notre serveur OpenVpn est caché derrière la fonction NAT du routeur 2003 virtuel. Nous devons donc

faire des redirections de port, pour les ports du serveur OpenVpn qui doivent être accessibles depuis

l’extérieur de son Lan, soit depuis les clients situés sur l’autre Lan. Les ports configurés sont les

suivants : 943, 445, 1194, 5480. Vous devez donc rediriger tous les demandes sur ces ports arrivant

sur le routeur virtuel 2003 vers le serveur OpenVpn. Attention aux protocoles utilisés par les différents

ports UDP n’est pas TCP.

Sur le routeur virtuel Routage et accès distant > Routage IP > Pare-feu de base/NAT > Double clic sur

la carte > Onglet Services et ports :

8 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

N’oubliez pas d’activer vos redirections de ports.

Connectez-vous maintenant depuis votre client sur votre serveur Vpn à l’adresse

https://IpRouteur2003Nattée:943 et saisissez les identifiants du compte utilisateur que vous avez créé

précédemment (VotreUtilisateur, VotreMotDePasse). Cliquez sur « Go ». Installez le client téléchargé.

Cliquez ensuite sur l’icône du client Vpn dans la barre de tâches de votre client et connectez-vous au

Vpn.

Depuis votre client Vpn essayez de vous connecter sur un répertoire partagé sur le client qui est sur le

même Lan que le serveur Vpn. Cela fonctionne-t-il ?

__________________________________________________________________________________

V VÉRIFICATION DU FONCTIONNEMENT

Vous pouvez normalement faire un ping sur les adresses virtuelles.

Sur vos routeurs, vous allez utiliser Wireshark et analyser les échanges dans le cadre du vpn.

9 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Une fois Wireshark installé, activez la capture de trames sur les cartes nattées de vos routeurs, après

avoir défini le filtre de capture suivant « udp port 1194 or tcp port 445 » (ceux sont les ports de

fonctionnement du vpn Openvpn). Pour cela dans Wireshark, Capture > Options :

Depuis le serveur vpn, faîtes un ping sur l’adresse virtuelle du client vpn. Qu’observez-vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Depuis le serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse virtuelle du client vpn.

Qu’observez-vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-

vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Depuis le client vpn, faîtes un ping sur l’adresse du client du site du serveur vpn. Qu’observez-vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Changez maintenant la passerelle du client du site du serveur vpn en 192.168.x.100 (soit l’adresse de

votre serveur vpn). Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse virtuelle du

client vpn. Qu’observez-vous ?

__________________________________________________________________________________

10 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

__________________________________________________________________________________

Depuis le client du site du serveur vpn, faîtes un ping sur l’adresse réelle du client vpn. Qu’observez-

vous ?

__________________________________________________________________________________

__________________________________________________________________________________

Qu’en déduisez-vous ?

__________________________________________________________________________________

__________________________________________________________________________________

VI INTERCONNECTER DES SEGMENTS ETHERNET VIA OPENVPN

Nous allons maintenant interconnecter le LAN de la Défense avec le LAN de Marseille. (Toutes les

communications entre ses deux entités doivent être sécurisées).

Nous devons donc modifier le paramétrage de notre serveur OPenVpn.

Dans un premier temps, désinstallez le client vpn de votre machine XP réelle coté Marseille.

Dans la page Configuration > Vpn Settings

11 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Nous devons ensuite préciser à quel client nous allons attribuer le rôle de passerelle Vpn. Pour cela

dans User Management > User permission :

Comme notre client vpn doit servir de passerelle pour son propre réseau, il devra router les demandes

en provenance de son propre réseau vers le réseau du serveur vpn via le tunnel. Il doit donc être

capable de faire du routage. C’est pour cela que cette fois nous allons installer notre client vpn sur le

routeur 2003 virtuel du site de Marseille.

Nous allons maintenant forcer toutes les communications entre le LAN de La défense et le LAN de

Marseille à passer par le vpn.

Pour cela sur le client Vpn, soit sur le routeur 2003 virtuel côté Marseille, ajoutez la route statique

pour joindre le réseau Vpn et la route statique pour joindre le réseau de La Défense en passant par le

tunnel Vpn

__________________________________________________________________________________

__________________________________________________________________________________

En lançant Wireshark avec le même filtre :

Vérifiez que le serveur Vpn et que le client Vpn se « pinguent » toujours sur leurs adresses virtuelles.

__________________________________________________________________________________

__________________________________________________________________________________

Tentez un ping d’un des clients vers l’autre (en adresse réelle). Le test est-il concluant ? __________

__________________________________________________________________________________

Voici l’architecture réseau que vous venez de mettre en place :

Ici on indique le réseau

auquel les clients du

réseau de ce client vpn

pourront accéder.

Ici on indique le réseau

auquel les clients du

réseau du serveur Vpn

pourront accéder

12 Marie-pascale Delamare. TP issu de l’Administrateur Guide d’OpenVpn

Solution alternative : Remettez le routeur internet comme passerelle par défaut sur votre client du

Lan du serveur Vpn .

Ajoutez les routes adéquates sur votre routeur internet coté Lan du serveur Vpn pour que tous les flux

en provenance d’un client du LAN de la Défense à destination de l’autre LAN, soient redirigés vers le

serveur vpn du site d’origine.

_________________________________________________________________________________

_________________________________________________________________________________

Faîtes maintenant un ping d’un client vers l’autre client. Le test vous semble-t-il concluant ?_______

Voici l’architecture réseau que vous venez de mettre en place :