OpenIP Road Warrior Manuel utilisateur

Vous trouverez ci-dessous de brèves informations sur OpenVPN. Ce guide présente la procédure à suivre pour configurer un tunnel OpenVPN sur un OpIOS via l'IHM, y compris la création de certificats, la configuration du serveur et l'activation de l'interface. Il existe également des instructions pour créer des fichiers de configuration client.

PDF Télécharger

Document

IHM Opios
Procédure de configuration des VPN OpenVPN (Road Warrior)
Auteurs :
Hozzy TCHIBINDA
04 Mars 2014
Version 1.3
www.openip.fr
Table des matières
1 Présentation
2
2 Création des certificats
2.1 Création du certificat de l’autorité de certification . . . . . . . . . . . . . . . . . . . . .
2.2 Création du certificat du serveur OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . .
2.3 Création du certificat du client nomade . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
4
5
3 Configuration du serveur OpenVPN
7
4 Activation de l’interface
10
5 Création des fichiers de configuration du client
5.1 Revalidation de la configuration du serveur . . . . . . . . . . . . . . . . . . . . . . . . .
5.2 Récupération de la configuration du client nomade . . . . . . . . . . . . . . . . . . . . .
12
12
12
1
Chapitre 1
Présentation
Ce document destiné aux partenaires OpenIP est un guide de configuration d’un VPN pour les
clients nomades. Il présente la procédure à suivre afin de mettre en place un tunnel OpenVPN sur un
OpIOS via l’IHM.
Voici une architecture illustrant les différentes configurations qui seront mises en place tout au long
de ce document :
Architecture d’illustration
Informations pratiques :
• Identifiants (Login/Mdp) du client nomade dans ce document : client/nomade
• Mode d’authentification serveur : accès distant via l’authentification utilisateur.
• Profondeur du certificat : One(Client+Serveur)
• Taille de la clé des certificats dans ce document : 2048.
Les valeurs du mode d’authentification serveur et de la profondeur du certificat doivent toujours
être celles indiquées dans les informations pratiques ci-dessus.
2
Chapitre 2
Création des certificats
La configuration d’un tunnel OpenVPN via l’IHM commence par la création des certificats suivants :
• Certificat de l’autorité de certification,
• Certificat du serveur OpenVPN,
• Certificat du client nomade.
La création du certificat du client nomade se fait lors de la création du compte utilisateur de ce client
dans la liste des utilisateurs de l’IHM.
Il est obligtoire de créer le certificat de l’autorité de certification avant tous les autres certificats. De
manière générale, l’OpIOS fait office d’autorité de certification.
Il convient de signaler également que lors de l’édition des certificats, la valeur du champ Nom commun
doit être différente pour chaque certificat créé
2.1
Création du certificat de l’autorité de certification
Afin de créer un certificat de l’autotité de certification, il faut cliquer sur Système =⇒ gestionnaire de certificat qui redirige sur l’onglet CAs. En cliquant sur l’icône
s’affiche :
Onglet CAs
3
, la page suivante
La liste déroulante du champ Methode présente trois choix possibles, mais à ce jour seules les méthodes
Importer un certificat d’autorité existant et Créer un certificat d’autorité interne sont fonctionnelles.
La première permet de copier un certicat existant ainsi que sa clé privée, tandis que la deuxième permet
de créer un nouveau certificat.
Quelque soit la méthode choisie, saisissez les informations à renseigner et cliquez sur Sauvegarder
pour valider les modifications éffectuées. Dans ce document, c’est la méthode Créer un certificat
d’autorité interne qui sera utilisée.
Voici un exemple d’informations renseignées :
Edition d’un nouveau certificat d’autorité de certification
2.2
Création du certificat du serveur OpenVPN
La procédure de création du certificat du serveur est la même que celle du certificat de l’autorité de
certification.
Il suffit de cliquer sur l’onglet Certificats, ensuite sur l’icône
, de selectionner la méthode Créer
un certificat d’autorité interne et enfin de cliquer sur Sauvegarder. Il s’affiche alors une interface
simulaire à celle de l’onglet CAs à l’exception de la présence de deux nouveaux champs : L’autorité
de certificat et Type de certificat.
Le premier permet de choisir l’autorité de certificat à associer à ce certificat et le second de définir ce
certificat comme étant le certificat du serveur OpenVPN. La page se présente de la manière suivante :
4
Edition d’un nouveau certificat du serveur OpenVPN
2.3
Création du certificat du client nomade
Pour créer le certificat d’un client distant ou nomade sur l’OpIOS, il faut cliquer sur Système =⇒
Gestionnaire des utilisateurs qui redirige sur l’onglet Utilisateurs. En cliquant sur l’icone
page suivante s’affiche :
Onglet Utilisateur
5
, la
Une fois sur cette page, il suffit de renseigner :
• Le nom d’utilisateur du client nomade (client d’après les informations pratiques de la page
1) ;
• Le mot de passe (nomade d’après les informations pratiques de la page 1).
Et optionnellement
• La date d’expiration ;
• L’adhésion au groupe (Ceci dans le cas où le client est un intégrateur).
Ensuite, il faut cocher la case du champ Certificat et renseigner les différentes informations demandées.
En cliquant sur Sauvegarder, le certificat du client s’ajoute dans la liste des certificats existants.
Résumé des certificats créés
Le résumé des certificats existants de l’autorité de certification s’affiche dans l’onglet CAs.
6
Chapitre 3
Configuration du serveur OpenVPN
Afin de configurer l’OpIOS comme étant un serveur OpenVPN, il faut cliquer sur : VPN
OpenVPN qui affiche par défaut le contenu de l’onglet Serveur. En cliquant sur l’icône
contenant plusieurs champs regroupés en 5 blocs s’affiche :
• Informations Générales
=⇒
, une page
Bloc Informations générales
Il faut renseigner dans ce bloc : le mode d’authentification (mode serveur), le protocole de transport
à utiliser (UDP ou TCP), le port et l’interface.
Actuellement, le seul mode d’authentification fonctionnel est “Authentification Utilisateur”.
• Paramètres de cryptographie
Bloc Paramètres de cryptographie
7
Il faut donc décocher le champ Authentification TLS car les modes “SSL/TLS + Authentification
Utilisateur” et “SSL/TLS” ne sont pas fonctionnels. Ensuite, il faut sélectionnner le certificat de
l’autorité de certification et du serveur qui seront utilisés.
Les paramètres du reste des champs de ce bloc dépendent de la demande du client. Si le client n’impose aucun choix, les valeurs par défaut peuvent être conservées.
• Paramètres du tunnel.
Bloc Paramètres du tunnel
Dans ce bloc, les 3 champs à renseigner par défaut sont :
IPv4 Tunnel Réseau correspondant au réseau virtuel, Réseau IPV4 local correspondant au
réseau privé qui sera accessible à travers le tunnel, et Connexions simultanées correspondant au
nombre de clients nomades pouvant acceder simultanement au serveur OpenVPN.
La configuration des autres champs dépend de la demande du client.
• Paramètres client
Bloc Paramètres du client
Le seul champ à paramétrer par défaut dans ce bloc est “Pool adresse”, tout le reste dépend de la
demande du client.
8
• Configuration avancée
Bloc Paramètres avancés
Ce bloc permet d’ajouter un ou plusieurs réseaux locaux que l’on souhaite rendre accessibles depuis
le tunnel OpenVPN.
Une fois la configuration terminée, il faut cliquer sur Sauvegarder.
L’onglet Serveur devient alors :
Résumé configuration serveur
9
Chapitre 4
Activation de l’interface
La validation de la configuration d’un serveur OpenVPN telle que présentée dans le chapitre 3 crée
une interface virtuelle tun1 disponible sur Interface =⇒ Assignation. Cette interface doit être activée afin d’avoir un tunnel OpenVPN opérationnel et sur lequel on peut appliquer des règles de filtrage.
La procédure d’activation de l’interface tun1 est la même que celle des interfaces classiques, c’està-dire qu’il suffit de l’associer à une interface logique comme le montre la figure ci-dessous :
Interface tun1 associée à l’interface l’ogique OPT2
Ensuite,cliquer sur OPT2 et cocher la case Activer l’interface du champ Activé. La page suivante
s’affiche :
Activation interface OPT2
Remarquez qu’il est possible de modifier le nom de l’interface logique en mettant par exemple OPENVPN
dans le champ Description.
Enfin, valider cette modification en cliquant sur Sauvegarder et Appliquer les changements.
10
Après l’activation de l’interface OPT2 ou OPENVPN, il faut définir dans Pare-feu =⇒ Règles
=⇒ Onglet OPT2 les règles de filtrage à appliquer sur le trafic passant sur cette interface. A titre
d’exemple dans ce document, tous les trafics seront autorisés.
11
Chapitre 5
Création des fichiers de configuration
du client
5.1
Revalidation de la configuration du serveur
Après l’activation de l’interface tun1, il est obligatoire de revalider la configuration du serveur
OpenVPN sans y porter de modifications. Il suffit juste de cliquer sur VPN =⇒ OpenVPN qui
affiche l’interface suivante :
Revalidation de la configuration
Ensuite cliquer sur l’icône jaune (en forme de crayon) et enfin sur Sauvegarder.
5.2
Récupération de la configuration du client nomade
Les clients nomades doivent avoir la configuration correspondant à celle du serveur OpenVPN afin
d’utiliser le tunnel. A cet effet, l’onglet VPN =⇒ OpenVPN =⇒ Client Export permet de
générer tous les fichiers utiles au client et qui sont téléchargeables dans le bloc “Client Install Packages”
de l’onglet Client Export suivant :
Onglet Export Client
12
Cinq types de fichiers correspondant chacun au type d’OS (linux, Windows, Mac et Autres) utilisé par
le client sont disponibles.
Actuellement les tests n’ont été effectués que sur les plateformes :
• Windows en utilisant les installeurs(fichiers) soit 2.2, soit 2.3-x86 (cela dépend de l’architecture de l’ordinateur client)
• Linux en utilisant le fichier archivé du lien File Only.
Il est possible d’éffectuer plusieurs autres opérations sur ces fichiers mais cela dépend de la demande
du client OpenIP. Si aucune demande n’est spécifiée, la configuration par défaut suffit pour faire fonctionner le tunnel.
Une fois le client OpenVPN lancé sur le poste distant, il faut :
• Sur les PC Windows, s’assurer que le lancement d’OpenVPN a été fait avec les droits administrateur.
• Ensuite sur l’OpIOS, vérifier que le tunnel est bien monté en cliquant sur l’onglet Etat =⇒
OpenVPN. La page suivante s’affiche :
Etat tunnels OpenVPN
13
">

Bonjour ! J'ai lu le guide de configuration OpenVPN et je suis prêt à répondre à vos questions sur la création de tunnels OpenVPN pour les clients nomades. Ce document explique l'ensemble de la procédure de configuration, de la création des certificats à l'activation de l'interface et à la création des fichiers de configuration du client. N'hésitez pas à me poser vos questions !

Afficher les suggestions associées

L'assistant écrit

L'assistant n'est pas disponible. Veuillez réessayer plus tard.

Caractéristiques clés

Configure un tunnel OpenVPN sur OpIOS via l'IHM
Création de certificats d'autorité de certification, serveur et client nomade
Méthode d'authentification serveur : accès à distance via l'authentification utilisateur
Activation de l'interface pour un tunnel OpenVPN opérationnel
Génération de fichiers de configuration client

Questions fréquemment posées

Cliquez sur Système => gestionnaire de certificat, puis sur l'onglet CAs. Cliquez sur l'icône et sélectionnez la méthode « Créer un certificat d'autorité interne ».

Cliquez sur : VPN => OpenVPN, puis cliquez sur l'icône pour ouvrir la page de configuration du serveur.

Validez la configuration du serveur OpenVPN, ce qui crée une interface virtuelle tun1 disponible sur Interface => Assignation. Associez cette interface à une interface logique et activez l'interface.