pfsense et OpenVPN pour road warriors

Posté par :  

25

Sep

Il est relativement simple de créer une connexion VPN avec pfsense, par exemple au moyen d’OpenVPN qui est intégré dans le logiciel. Une fois l’installation de pfsense terminée et validée il faut suivre différentes étapes qui sont détaillées dans la suite de cet article. Cette VPN est configurée pour permettre l’accès à des utilisateurs itinérants comme des commerciaux disposant de portables et souhaitant se connecter à distance au réseau interne de l’entreprise de manière sécurisée.

La première chose à faire est de télécharger OpenVPN GUI et de l’installer (la procédure suivante décrit une installation sous Windows XP). L’installation peut être effectuée en utilisant les options par défaut (à noter qu’il faut être administrateur local). En plus d’installer le logiciel lui-même, une connexion réseau supplémentaire est créée et il faudra la renommer, par exemple en VPN.

Ouvrir une console DOS et se rendre dans C:\Program Files\OpenVPN\easy-rsa puis taper init-config. Cela va créer (ou remplacer si les fichiers existent déjà) les fichiers vars.bat et openssl.cnf situés dans ce répertoire.

Editer le fichier vars.bat qui contient les paramètres par défaut qui seront utilisés lors de la création des différentes clés de cryptage. Définir les paramètres KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG et KEY_EMAIL (ne rien laisser vide).

Dans la fenêtre DOS, lancer les commandes vars, clean-all puis build-ca. Cela a pour effet de charger les paramètres par défaut, de supprimer tous les fichiers contenus dans le répertoire \OpenVPN\easy-rsa\keys et de créer le certificat CA (certificate authority) ca.key. La plupart des paramètres demandés seront déjà remplis grâce au fichier vars.bat et il faudra juste renseigner le Common Name, par exemple avec VPN_CA.

Une fois le CA créé il faut générer les clés de cryptage associées au serveur lui-même. Pour cela, toujours dans la console DOS, taper la commande build-key-server server et laisser les valeurs par défaut. Pour le paramètre Common Name, rentrer server. Répondre y au deux questions « Sign the certificate? » et « 1 out of 1 certificate requests certified, commit? » Cela crée les fichiers server.crt, server.csr et server.key dans le répertoire \OpenVPN\easy-rsa\keys.

Pour terminer la génération des clés indispensables au système, taper ensuite build-dh, le fichier dh1024.pem est alors créé.

Il reste enfin à créer les clés de cryptage pour les clients. Taper la commande build-key PrenomNom par exemple et entrer PrenomNom comme Common Name. Attention à bien taper exactement le même nom que dans la commande build-key et à utiliser un nom unique par client. Les fichiers PrenomNom.crt, PrenomNom.csr et PrenomNom.key sont créés, toujours dans \OpenVPN\easy-rsa\keys.

Attention, parmi tous ces fichiers certains sont à garder confidentiels : ca.key, server.key, PrenomNom.key, Prenom2Nom2.key, etc.

Dans l’interface de pfsense, cliquer sur VPN > OpenVPN puis sur l’icône « + » pour ajouter un tunnel VPN. Voici les paramètres à renseigner :

  • sélectionner le protocole UDP
  • cocher la case Dynamic IP pour permettre aux postes clients de se connecter depuis n’importe où dans le monde
  • définir un port local (par exemple 1284)
  • définir un pool d’IPs locales différentes de tous les sous-réseaux locaux (par exemple 192.168.192.0/24)
  • indiquer le réseau local qui sera accessible aux postes clients connectés en VPN (par exemple 192.168.1.0/24)
  • sélectionner BF-CBC (128 bits) comme méthode de cryptage
  • sélectionner PKI comme méthode d’authentification
  • copier coller le contenu du fichier ca.crt compris entre —– BEGIN CERTIFICATE—– et —–END CERTIFICATE—– dans le champ CA certificate
  • copier coller le contenu du fichier server.crt compris entre —– BEGIN CERTIFICATE—– et —–END CERTIFICATE—– dans le champ Server certificate
  • copier coller le contenu du fichier server.key compris entre —– BEGIN CERTIFICATE—– et —–END CERTIFICATE—– dans le champ Server key
  • copier coller le contenu du fichier dh1024.pem compris entre —– BEGIN CERTIFICATE—– et —–END CERTIFICATE—– dans le champ DH parameters
  • cocher la case LZO compression
  • dans la case Custom Options entrer les options qui seront transmises aux clients lors de leur connection par exemple

push « dhcp-option DOMAIN corp.com »;push « dhcp-option DNS 192.168.1.1 « ;push « dhcp-option WINS 192.168.1.1 « 

Cela a pour effet de définir le domaine local, le serveur DNS et le serveur WINS par défaut. On peut aussi ajouter une entrée de routage vers un autre sous-réseau avec la commande « route 192.168.2.0 255.255.255.0 » par exemple.

Dans le menu Firewall > Rules de pfsense, sélectionner l’onglet WAN puis cliquer sur l’icône « + » pour ajouter une nouvelle règle et entrer les paramètres suivants :

  • Action : Pass
  • Interface : WAN
  • Protocol : UDP
  • Source : Type : any
  • Destination : Type : any
  • Destination port range : from (other) 1284, to (other) 1284 (attention de bien entrer le numéro de port défini plus haut)
  • Gateway : default
  • Description : VPN

Cliquer ensuite sur Save puis Apply.

Créer un fichier VPN.ovpn dans \OpenVPN\easy-rsa\keys qui contiendra les paramètres de connexion pour les postes clients, en particulier l’IP du routeur et le port à utiliser. Voilà un exemple de fichier ovpn :

float
port 1284
dev tun
dev-node VPN
proto udp
remote IP_du_Routeur 1284
ping 10
persist-tun
persist-key
tls-client
ca ca.crt
cert PrenomNom.crt
key PrenomNom.key
ns-cert-type server
pull
comp-lzo
verb 4

Modifier le paramètre port en fonction du port à utiliser, dev-node en fonction du nom de la connexion réseau, remote en fonction de l’IP externe du routeur et le port à utiliser et les lignes cert et key en fonction de l’utilisateur.
L’installation sur les postes clients est extrêmement simple et peut-être réalisée par des utilisateurs sans formation particulière. Il suffit d’installer le client OpenVPN GUI téléchargé au début de cet article, de l’installer avec toutes les options par défaut puis de renommer la connexion créée par l’installation en VPN. Il faut ensuite fournir quatre fichiers au client qui devront être déposés dans le répertoire C:\Program Files\OpenVPN\config : ca.crt, NomPrenom.crt, NomPrenom.key et VPN.ovpn. Il faut bien sûr fournir les fichiers NomPrenom correspondants à l’utilisateur au cas par cas.

Pour se connecter le client n’aura qu’à faire un clic droit sur l’icône OpenVPN dans la barre de notifications puis cliquer sur Connect. Une fenêtre s’ouvre alors enregistrant les différentes opérations en cours et permettant le debuguage. Le client pourra alors accéder au réseau local de l’entreprise de manière sécurisée.

Tags : , ,

    Articles liés

    11 commentaire(s) sur ce sujet
    Suivre ce sujet : RSS Commentaires ou URL TrackBack
    raptor45 a écrit le 25-8-2009 à 08:56:04    

    Bonjour,

    Je regarde ton site de temps en temps. Et là, j’ai besoin du tuto que tu as fais pour mettre en place un serveur VPN avec pfsense pour mettre OpenVPN. Mais j’ai des difficultés (je suis en BTS IG option réseau donc je débute). Alors premièrement j’ai réussi à suivre les étapes indiquées sur ton tuto jusqu’à la fin par contre, impossible de me connecter. Je ne trouvais pas la solution. J’ai donc désinstaller et réinstaller mais impossible de passer cette commande : build-ca.bat ! Je suis à la lettre ton tuto, mais dès que j’arrive à cette commande, j’ai cette erreur:

    « error on line 117 of openssl.cnf
    340:error:0E065068:configuration file routines:STR_COPY:variable has no value:.cryptoconfconf_def.c:629:line 117 »

    -> Donc je comprends qu’il n’y a pas de valeur pour la variable STR_COPY mais je ne comprends pas pourquoi et surtout je ne sais pas comment faire pour que ça fonctionne !
    -> Il faut savoir que la première fois que j’ai installé OpenVPN-2.0.9-gui-1.0.3-install.exe, c’est passé sans soucis.

    Voilà, pourrais-tu m’aider stp ? C’est important car c’est un sujet que je présenterai le jour de mon examen. Merci d’avance.

    Merci d’avance vraiment.

    Seb a écrit le 25-8-2009 à 12:26:16    

    Etrange, je n’ai jamais rencontré le moindre problème avec cette méthode d’installation. Essaye de tout désinstaller proprement (supprime tous les fichiers dans le répertoire d’installation d’OpenVPN si la désinstallation laisse des fichiers) et d’installer openvpn-2.0.7-gui-1.0.3-install.exe qui est la version que j’ai utilisée au cas où il s’agirait d’un bug dans ta version. Reprends alors l’ensemble des étapes d’installation.

    Une fois cela fait et si tu rencontres toujours l’erreur, copie/colle ici la section du fichier openssl.conf qui se trouve vers la ligne indiquée par l’erreur.

    raptor45 a écrit le 26-8-2009 à 08:51:04    

    Merci pour ta réponse en tout cas. Ecoutes je viens de télécharger la version que tu m’as indiquée. Je vais l’installer. Voudrais-tu qu’on discute par MSN stp ? Ca m’aiderait vraiment beaucoup.

    Merci d’avance.

    raptor45 a écrit le 26-8-2009 à 09:09:18    

    Je viens donc de réinstaller la version indiquée, j’ai suivi le tuto comme suit:

    – init-config
    – modifier vars.bat pour mettre les indices des variables KEY_COUNTRY etc …
    – vars.bat
    – clean-all.bat
    – build-ca.bat

    –> même erreur

    Voici la configuration du fichier openssl.conf à la ligne 117:

    stateOrProvinceName_default = $ENV::KEY_PROVINCE

    Les variables de vars.bat, je les ai défini comme ceci:
    KEY_COUNTRY=FR
    KEY_PROVINCE=LO
    KEY_CITY=OR
    KEY_ORG=ST
    KEY_EMAIL=monadressemail

    Merci d’avance. Vu que je viens de poster celui du dessus tu le liras peut-être pas, donc je remets ceci: Voudrais-tu qu’on discute par MSN stp ? Ca m’aiderait vraiment beaucoup.

    Merci d’avance.

    raptor45 a écrit le 26-8-2009 à 13:09:08    

    Re,

    Je viens enfin de trouver pourquoi ça me faisait cette erreur. En effet sur le tuto, c’est indiqué ceci « Editer le fichier vars.bat qui contient les paramètres par défaut qui seront utilisés lors de la création des différentes clés de cryptage. Définir les paramètres KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG et KEY_EMAIL (ne rien laisser vide). » Donc ce que je faisais c’est que j’éditais directement le fichier vars.bat à la main pour modifier les variables (comme indiqué en fait !), ensuite j’enregistrais le fichier puis j’exécutais les commandes qui suivent à savoir: vars.bat, clean-all.bat et build-ca.bat. Puis c’est juste après cette dernière que j’avais tout le temps l’erreur. Je me suis rendu compte qu’il ne fallait pas toucher au fichier vars.bat mais renseigner les variables KEY … que lorsque l’on exécute la commande build-ca.bat.

    Qu’en penses-tu ?

    Concernant MSN, j’y tiens toujours si tu le veux bien ? Merci d’avance pour MSN car vraiment ça m’aiderait beaucoup. Je te demande pas d’être mon « guide » 24h/24 bien évidemment ! Ca m’aiderait vraiment en tout cas car j’ai un tuteur en apprentissage bien sûr ! Mais celui-ci, bien qu’il soit gentil, ne s’occupe pas trop de moi pour ce genre de tâches donc je suis tout seul alors pour passer sur des choses que je bloque, c’est pas évident. Je sais que ce n’est pas ton problème mais là n’est pas la question. C’est juste une demande concernant MSN, voilà, c’est tout.

    J’attends ta réponse. Merci d’avance.

    raptor45.

    raptor45 a écrit le 26-8-2009 à 13:30:03    

    Je continue donc de suivre le tuto, et j’ai encore une autre erreur ! Lors de la commande build-key-server server je n’ai pas eu de souci. Bien que je me demande s’il faut laisser server ou mettre le nom du sien ? Par exemple : build-key-server pfsense.local ?

    Ensuite, l’erreur que j’ai arrive quand je fais la suite du tuto, à savoir:
    build-key client1 (déjà je sais pas trop à quoi correspondent toutes les commandes donc j’ai un peu de mal, je veux dire que je comprends que ça génère des clés, certificats … mais je comprends pas pourquoi client1, client2, client3; c’est si on veut rattacher 3 clients VPN c’est tout ?). Donc en faisant build-key client1, je remplie les informations demandées et juste après avoir rempli « a challenge password » et « an optional company name » et « sign the certificate » (donc là je mets « y »), mais je ne sais pas trop à quoi ça correspond malheureusement (si tu pouvais me le dire ce serait sympa), j’ai toujours l’erreur comme quoi il n’y arrive pas et me dit ça:
    « failed to update database
    TXT_DB error number 2
    Impossible de trouver C:\Program Files\OpenVPN\easy-rsa\keys\*.old »

    J’ai re-testé ensuite en mettant une adresse mail différente de celle générée avec le serveur et c’est passé. Est-ce que c’est à cause de ça ?

    Merci d’avance pour tes réponses à mes différents postes. Désolé d’en poster autant !

    A tout à l’heure j’espère et merci d’avance.

    raptor45.

    raptor45 a écrit le 26-8-2009 à 13:34:34    

    Je vois également sur la suite du tuto Common Name et qu’il faut que ce soit unique pour chaque client, je croyais que Common Name c’était pour le nom du serveur donc je ne suis plus trop là ! Car quand j’ai fais build-key-server server à un endroit ça demande ça aussi donc j’ai mis pfsense.local (c’est le nom de ma machine pfsense, mais ça ne correspond pas à ça en fait ?)

    Merci.

    raptor45 a écrit le 26-8-2009 à 14:13:23    

    Décidément, je chante et je réponds ! lol.
    Alors, j’ai réussi à me connecter ! Enfin ! lol Par contre je te serai reconnaissant de bien vouloir prendre en compte mes différents postes depuis ce matin afin de bien vouloir me répondre à certaines de mes interrogations stp.

    Alors, un autre souci, je me connecte ça d’accord. Mais alors après ? Après j’ai essayé de prendre à distance mon PC côté LAN à partir du PC côté WAN mais ça ne passe pas. Il doit peut-être y avoir quelque chose à régler côté FireWall, non ? Je pense que oui, mais je ne sais pas quoi ? J’ai essayé de prendre le PC à distance par la connexion Bureau à distance, sachant que ça fonctionne quand je ne suis pas connecté en VPN, c’est donc pour celà que j’en déduis qu’il faut surement que je mette une règle dans le parefeu pfsense mais j’ai déjà mis le tcp (c’est peut-être sur de l’udp le bureau à disance ? je ne sais pas).

    Ensuite, je veux voir que les données qui transitent dans ce tunnel sont bien cryptées. Je suppose qu’il faut utiliser wireshark ? Mais je ne sais pas trop comment l’utiliser et comment « décortiquer » les résultats que j’aurai pour savoir que c’est effectivement bien crypté. Peux-tu m’aider stp ? Je veux voir si c’est bien crypté d’une part pour me dire c’est bon ça marche et d’autre part pour le démontrer au jury le jour de mon examen (c’est à dire dans 10 mois).

    J’attends tes réponses.

    @tout à l’heure j’espère.

    raptor45.

    raptor45 a écrit le 28-8-2009 à 13:27:26    

    salut,

    J’attends de tes nouvelles, vraiment.

    merci.

    raptor45.

    raptor45 a écrit le 2-9-2009 à 18:39:28    

    salut,

    peux-tu enlever mon adresse msn présente dans le 1er poste stp ?

    merci d’avance.

    raptor45.

    Créer une connexion VPN sur une ligne autre que WAN avec pfSense | Admin Réseau - Blog a écrit le 27-5-2010 à 13:33:43    

    […] VPN sur une ligne secondaire d’un routeur pfSense. La création elle-même est détaillée ici et ici selon que vous souhaitez créer une connexion pour utilisateurs nomades ou un tunnel […]

    Ajouter un commentaire

     Nom (*requis)

     Email (Il ne sera pas affiché)

     Site Web (*optionnel)

     

    Blogs mis à jour