Sous Pfsense, on peut mettre en place plusieurs types de VPN<\/p>\n\n\n\n
Le module VPN permet cr\u00e9er soit un client et ou un serveur. Lors de l’activation du service VPN cela va g\u00e9n\u00e9rer une carte virtuelle OPT qui permettra d’envoyer les paquets vers le VPN distant.<\/p>\n\n\n\n
On peut aussi faire plusieurs types de serveur sur un Pfsense, \u00e0 condition d\u2019utiliser un r\u00e9seau\/tunnel diff\u00e9rent.<\/p>\n\n\n\n
OpenVPN est bas\u00e9 sur un mode de fonctionnement client-serveur. Lorsque l’on connecte deux sites, l’un est client l’autre serveur, ce qui permet de connecter plusieurs sites distants sur un site principal. <\/p>\n\n\n\n
Le serveur h\u00e9berge le certificat de l’autorit\u00e9 ainsi que son propre certificat et sa cl\u00e9 priv\u00e9e.<\/p>\n\n\n\n
C’est aussi depuis le serveur que l’on cr\u00e9e les fichiers n\u00e9cessaires aux clients: un certificat client ainsi qu’une cl\u00e9 et le fichier openvpn client qui va d\u00e9pendre de la plateforme cliente (android, windows, mac).<\/p>\n\n\n\n
Ici un pdf avec le d\u00e9tail des actions a effectuer en parall\u00e8le sur les deux serveurs<\/p>\n\n\n\n
Pr\u00e8-requis, avoir un Pfsense install\u00e9.<\/p>\n\n\n\n
Recommandation : en TP, ce n’est pas comme en environnement r\u00e9el, utilisez de petites cl\u00e9s afin de ne pas surcharger votre processeur.<\/p><\/blockquote>\n\n\n\n
- Aller dans le menu System\/Certificate Manage CA – Cliquer sur add <\/strong>et saisir les champs. Rien de bien compliquer. Attention \u00e0 correctement nommer votre certificat d’autorit\u00e9.<\/li><\/ul>\n\n\n\n
- Puis dans l’onglet Certificates – faire Add et cr\u00e9er le certificat serveur . Attention : faites le lien avec les informations du certificat de l\u2019autorit\u00e9 de certification.<\/li><\/ul>\n\n\n\n
Serveur OpenVPN<\/h3>\n\n\n\n
Saisir les infos toujours en coh\u00e9rence avec les infos des certificats<\/p>\n\n\n\n
Aller dans le Menu VPN, OpenVPN, aller dans serveur et Add.<\/p>\n\n\n\n
- Server Mode<\/strong> : Peer to peer SSL\/TLS<\/li>
- Device Mode<\/strong> : TUN travaille avec des paquets IP. TAP travaille avec des trames Ethernet. <\/li>
- Interface<\/strong> : l’interface sur laquelle le serveur va recevoir les connexions entrantes. G\u00e9n\u00e9ralement WAN ou OPT1. <\/li>
- Local port<\/strong> : port d’\u00e9coute du serveur OpenVPN. Par d\u00e9faut, c’est le 1194. Il est \u00e0 noter que chaque serveur VPN doit disposer de son propre port d’\u00e9coute. De la m\u00eame mani\u00e8re, il est important de s’assurer qu’aucun autre service ne soit d\u00e9j\u00e0 en \u00e9coute sur le port choisi.<\/li>
- Description<\/strong> : nom que l’on souhaite donner \u00e0 ce serveur VPN. C’est ce nom qui appara\u00eetra dans les listes d\u00e9roulantes de s\u00e9lection de VPN se trouvant aux diff\u00e9rents endroits du WebGUI pfSense. Dans notre cas, nous saisissons \u00ab\u00a0VPN-Initiale\u00a0\u00bb.<\/li>
- (Shared Key<\/strong> : si vous utiliser ce mode, laisser coch\u00e9 la case \u00ab\u00a0Automatically generate a shared key\u00a0\u00bb. La cl\u00e9 sera \u00e0 copier\/coller c\u00f4t\u00e9 client.)<\/em><\/li>
- Encryption algorithm<\/strong> : ce param\u00e8tre doit \u00eatre le m\u00eame c\u00f4t\u00e9 client et c\u00f4t\u00e9 serveur si l’une des deux parties ne supporte pas le protocole NCP. N’importe quel algorithme travaillant avec une cl\u00e9 d’au moins 128 bits sera bon. 256 bits sera encore mieux. CAST\/DES\/RC2<\/strong> sont moins s\u00e9curis\u00e9s, et donc \u00e0 bannir<\/strong>. Notre choix se porte sur AES 256 bits CBC<\/strong><\/em><\/li>
- Enable NCP<\/strong> : cocher la case permet d’activer le protocole NCP pour que le client et le serveur n\u00e9gocie le protocole de chiffrement le plus appropri\u00e9. A laisser coch\u00e9e.<\/li>
- NCP Algorithms<\/strong> : Les algortithmes de chiffrement que nous souhaitons supporter c\u00f4t\u00e9 serveur.<\/li>
- Auth digest algorithm<\/strong> : nous laissons la valeur par d\u00e9faut SHA256.<\/li>
- Hardware Crypto<\/strong> : pr\u00e9cise si le serveur dispose d’un support cryptographique.<\/li>
- IP v4 Tunnel Network<\/strong> : r\u00e9seau utilis\u00e9 pour le tunnel VPN. N’importe quel r\u00e9seau priv\u00e9 inutilis\u00e9 dans l’espace d’adressage de la RFC 1918<\/a> peut \u00eatre utilis\u00e9. Pour une connexion site-\u00e0-site, l’utilisation d’un \/30 est suffisant (inutile d’utiliser un \/24). <\/li>
- IPv4 Remote network(s)<\/strong> : d\u00e9signe le ou les r\u00e9seaux distants accessibles par le serveur. Il convient d’utiliser la notation CIDR (ex : 192.168.1.0\/24). Dans le cas o\u00f9 l’on souhaite indiquer plusieurs r\u00e9seaux, il faut les s\u00e9parer par une virgule. <\/li>
- Concurrent connections<\/strong> : pr\u00e9cise le nombre de connexion client possible en simultan\u00e9e sur ce serveur. Dans le cas d’un VPN site-\u00e0-site, ce param\u00e8tre peut \u00eatre renseign\u00e9 \u00e0 1.<\/li>
- Compression<\/strong> : permet d’activer la compression LZO\/LZ4 sur l’ensemble des flux transitant par ce tunnel VPN. Si les donn\u00e9es transitant dans ce tunnel VPN sont principalement des donn\u00e9es chiffr\u00e9es (HTTPS, SSH, etc.), cocher cette option ne fera qu’ajouter un overhead inutile aux paquets.<\/li>
- Custom options<\/strong> : permet de passer des param\u00e8tres avanc\u00e9s \u00e0 OpenVPN. Cela peut notamment \u00eatre utile si l’on d\u00e9cide de faire du VPN natt\u00e9 (entre deux sites ayant le m\u00eame plan d’adressage) ou pour pousser des routes sp\u00e9cifiques. Nous ne rentrerons pas dans le d\u00e9tail ici.<\/li><\/ul>\n\n\n\n
Une fois la configuration renseign\u00e9e, nous cliquons sur \u00ab\u00a0Save\u00a0\u00bb pour valider notre configuration.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Configurer le firewall <\/h3>\n\n\n\n
Pour permettre la connexion du client OpenVPN vers celui-ci le serveur VPN.<\/p>\n\n\n\n
Puis cliquez sur \u00ab Add \u00bb pour ajouter une nouvelle r\u00e8gle.<\/p>\n\n\n\n
Pour cela allez sous l\u2019onglet \u00ab Firewall \u00bb de la barre de navigation puis cliquez sur \u00ab Rules \u00bb.<\/p>\n\n\n\n
Onglet WAN = autoriser les paquets UDP (si c’est le protocole choisi<\/p>\n\n\n\n
La source \u00ab any \u00bb pour accepter toutes les sources, si besoin.<\/p>\n\n\n\n
\u00ab This firewall (self) \u00bb est l\u2019option la plus ad\u00e9quate. <\/p>\n\n\n\n
Si vous avez laiss\u00e9 le port d\u2019origine (1194), choisir l\u2019option correspondant au port dans le menu d\u00e9roulant \u00ab From \u00bb et \u00ab To \u00bb .<\/p>\n\n\n\n
Vous pouvez maintenant sauvegarder votre configuration \u00e0 l\u2019aide du bouton \u00ab Save \u00bb.<\/p>\n\n\n\n
Il faut aussi une r\u00e8gle pour l’interface OPT-VPN afin que les paquets puissent circuler entre les r\u00e9seaux distants.<\/p>\n\n\n\n
Pour le second serveur <\/h3>\n\n\n\n
La configuration est la m\u00eame que pour un client – simplement dans le server mode il faut choisir Peer to peer SSL\/TLS<\/p>\n\n\n\n
Pour cr\u00e9er le client voici la doc : VPN sur PFsense<\/a>. <\/p>\n\n\n\n
<\/p>\n\n\n\n
L’objectif final est qu’un poste du r\u00e9seau LAN derri\u00e8re le premier Pfsense puisse se connecter \u00e0 un poste \/ serveur derri\u00e8re le second Pfsense.<\/p>\n\n\n\n
A tester avec un tracert \/ traceroute<\/p>\n\n\n\n
Pour faire avec de l’IPSEC http:\/\/www.vanexpert.fr\/base-de-connaissance\/parametrage-pfsense-tunnel-ipsec-site-to-site\/ <\/a><\/p>\n\n\n\n
Les sites qui m’ont inspir\u00e9 : https:\/\/www.supinfo.com\/articles\/single\/3103-creation-vpn-site-to-site-deux-pfsense-openvpn<\/a><\/p>\n\n\n\n