Résumé des certificats et des clés

Après exécution des scripts nous trouverons toutes les clés dans /usr/share/doc/openvpn/exemples/my_ca/keys

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Figure 6.15 : Contenu de keys

Le serveur a besoin de 6 fichiers :

· Certificat du serveur de certification (CA) Open SSL : ca.crt (non secret)

· Clé du serveur de certification (CA) OpenSSL : ca.key (secret)

· Certificat du serveur OpenVPN : svrestm.crt (non secret)

· Clé du serveur Open VPN : srvestm.key (secret)

· Paramètre Diffie Hellman : dh2048.pem (non secret)

· Clé spéciale : ta.key (secret) // pour lutter contre les attaques de type déni de service.

Remarque : le fichier ta.key (tls-auth) permet d'éviter les attaques par Deny of Service. Cela peut se produire lorsque le serveur reçoit énormément d'authentification de demande d'authentification (qui demande de la mémoire et du processeur). En effet, lorsqu'il est configurer pour utiliser cette clé, le client qui n'est pas authentifié par le handshake de TLS (avec les certificats clients et serveur) doit signer ses paquets avec la clé ta.key sans quoi le serveur le supprime sans chercher à aller plus loin dans l'authentification. C'est donc une clé qui est partagée entre les clients et le serveur. Un attaquant qui, par définition, n'a pas la clé ta.key ne peut pas commencer son authentification sur le serveur et donc ne pourra pas lui faire consommer le temps CPU nécessaire à un faux début de handshake TLS. Cela est donc un contrôle avant l'authentification pour ne pas chercher à authentifier une machine dont on est sûr qu'elle ne réussira pas l'authentification.

Création de la clé spéciale

Ousmane AMAR Page | 35

Figure 6.17 : Création de la clé spéciale

Ousmane AMAR Page | 36

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Ces 6 fichiers sont à copier sur le serveur OpenVPN dans /etc/openvpn

Figure 6.18 : Copie des clés du serveur

6.3 Configuration du serveur

Il existe deux configurations possibles d'OpenVPN suivant le type du réseau que l'on souhaite mettre place et selon le contexte du réseau : VPN ponte et VPN route. Nous avons choisi le VPN route car il est plus performant et plus fiable que le VPN ponté.

Voici le schéma global de notre réseau :

Figure 6.19 : Architecture des deux sites interconnectés

Par défaut OpenVPN est fourni avec plusieurs fichiers d'exemples enregistrés dans le dossier : /usr/share/doc/openvpn/examples/sample-config-files/

Pour configurer le serveur, partir du fichier d'exemple server.conf.gz qu'il faut donc décompresser et mettre en place dans /etc/openvpn

Figure 6.20 : Décompression du fichier server.conf

Ousmane AMAR Page | 37

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Figure 6.21 : Le contenu du fichier samples-config-files

Il suffit ensuite d'adapter ce fichier en fonction des besoins (pour plus d'option, vous pouvez consulter la page man d'OpenVPN). Pour cela éditons le fichier server.conf.

Figure 6.22 : Edition du fichier server.conf

Figure 6.23 : Edition du fichier server.conf (suite)

Voilà, la configuration du coté serveur est terminée.

Pour démarrer le serveur on tape la commande : /etc/init.d/openvpn restart

Ousmane AMAR Page | 38

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Figure6.24 : Démarrage du serveur Open VPN

En cas de problème, et pour trouver l'origine de celle-ci il faut augmenter le niveau des logs en changeant le paramètre verb du fichier de configuration :

verb 3 : Suffisamment de logs dans la plus part des cas.

verb 9 : Énormément de logs.

Figure 6.2542 : Server.conf

Pour finir, si tout c'est bien passé l'interface tun0 doit apparaitre dans la configuration du réseau :

Ousmane AMAR Page | 39

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Figure 6.26 : Interface tun0

Révocation d'un certificat client

Si le certificat a été volé ou si ce dernier n'est plus nécessaire, il est important de le révoquer pour qu'il ne puisse pas plus etre utilisé. Pour révoquer un certificat, il faut disposer de celui-ci. Normalement, le dossier /usr/share/doc/examples/easy-rsa/keys contient tous les certificats créer.

Figure 6.27 : Révocation du clientestm.crt

Pare feu du serveur

Il faut d'abord autoriser les clients à se connecter au serveur en UDP ou en TCP :

Figure 6.28 : Pare feu du serveur

Ousmane AMAR Page | 40

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

On autorise les connexions sur le serveur VPN par le service UDP sur le port 443.

Figure 6.29 : Pare feu du serveur (1)

Figure 6.30 : Pare feu du serveur (2)

Connexion au réseau interne derrière le serveur

On autorise les connexions VPN à traverser le serveur VPN par un service sur le port n.

Figure 6.31 : Pare feu du serveur (3)

On active le forwarding

Figure 6.32 : Pare feu du serveur (4) On effectue la NAT des paquets traversant

Figure 6.33 : Pare feu du serveur (5)

Pare feu du client

On autorise les paquets à passer dans le tunnel routé

Figure 6.34 : Pare feu du client (1)

Ousmane AMAR Page | 41

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

6.4 Configuration des clients d'OpenVPN

La connexion au serveur VPN est possible via des clients Linux ou Windows.

o Pour les clients linux, on fait l'installation et la même configuration que le serveur.

Seulement pour fonctionner, les clients ont besoin de 4 fichiers provenant du serveur : ca.crt clientestm.crt clientestm.key, la clé partagée ta.key et client.conf. Copier ces fichiers dans /etc/openvpn. Puis mettons tout dans le dossier client.conf.

Figure 6.35 : Pare feu du client (2)

Editons le fichier client.conf puis on indique l'adresse IP du serveur et le type de port utilisé.

o Pour les clients Windows, il est nécessaire d'installer une application spécifique,

OpenVPN GUI for Windows, qui est téléchargeable sur le site OpenVPN. Une fois téléchargée, lancé l'installation d'OpenVPN. Une fenêtre vous demandera si vous acceptez d'installer une nouvelle interface << TAP-Win32 Adapter V8>>. Acceptez. Copiez les 5fichiers dans le serveur : ca.crt, clientestm.crt, clientestm.key, ta.key et client.ovpn (on copie le contenu de client.conf dans client.ovpn). Ceci permet de donner des adresses IP aux clients Windows.

Figure 6.36 : Copie du fichier client.conf dans client.ovpn Coller les dans C:\Program Files\OpenVPN\config Puis relancer l'OpenVPN en mode administrateur Pour se connecter au VPN, un clic sur l'icône puis sur connecte.

Ousmane AMAR Page | 42

Mise en place de la téléphonie sur IP dans un réseau multi site
(Cas de l'ESTM)

Figure 6.36 : Établissement de la connexion VPN