FingerInTheNet
  • Les cours
    • 01 – Les bases
      • Les bases
      • 01 – Le monde Internet
      • 02 – Le code binaire
      • OSI et TCP/IP
      • 03 – Le modèle OSI
      • 04 – Le modèle TCP/IP
      • La couche 1
      • 10 – Le câblage
      • La couche 2
      • 20 – Les adresses MAC
      • 21 – La table ARP
      • 22 – La table CAM
      • 23 – Les domaines de collision
      • La couche 3
      • 30 – Les adresses IPv4
      • 30A – Méthode de subnetting numéro 1
      • 31 – Les adresses IPv6
    • 02 – Switching
      • 00 – Débuter avec CISCO
      • 01 – Les VLANs
        • Les bases
        • 01 – Les VLANs
        • 02 – Les liens Trunk
        • Inter-VLAN
        • 10 – Routage Inter-VLAN
        • Apprentissage
        • 20 – Le protocole VTP
        • La sécurité
        • 30 – Les VACLs
        • 31 – Les Private VLANs
      • 02 – Spanning Tree
        • Les bases
        • 01 – Présentation
        • Les protocoles
        • 10 – Le protocole STP
        • 11 – Le protocole RSTP
        • L’utilisation
        • 20 – Le protocole PVST+
        • 21 – Le protocole RPVST+
        • 22 – Le protocole MST
        • Les options
        • 30 – PortFast
        • 31 – BPDU Guard
        • 32 – BPDU Filter
        • 33 – Loop Guard
        • 34 – Root Guard
        • 35 – Le protocole UDLD
      • 03 – La redondance
        • Vieille méthode
        • 10 – Introduction au FHRP
        • 11 – Le protocole HSRP
        • 12 – Le protocole VRRP
        • 13 – Le protocole GLBP
        • Nouvelle méthode
        • 20 – La méthode VSS
      • 04 – Le Load-Balancing
        • 10 – L’EtherChannel
      • 05 – La découverte des voisins
        • 10 – Le protocole CDP – LLDP
      • 06 – Le monitoring
        • 10 – SPAN – RSPAN – ERSPAN
    • 03 – Routing
      • Les bases
      • 01 – Config d’un routeur
      • 10 – Le routage statique
      • 11 – Le routage dynamique
      • Les protocoles
      • 21 – Le protocole RIP
      • 22 – Le protocole OSPF
      • 23 – Le protocole EIGRP
      • 24 – Le protocole BGP
      • Les liaisons
      • 25 – Les liaisons WAN
        • 01 – Le Frame-Relay
        • 02 – HDLC / PPP
        • 03 – Le protocole PPPoE
        • 04 – Metro Ethernet
        • 05 – Les services Cloud
    • 04 – Les services
      • Le NAT
      • Le SLA
      • Le protocole DHCP
      • Le protocole NTP
      • Le protocole SNMP
      • Le protocole NetFlow
      • Gestion des logs
      • SPAN – RSPAN – ERSPAN
    • 05 – La sécurité
      • 10 – Le protocole SSH
      • 11 – Les access-lists
      • Le service DHCP
      • 20 – Le DHCP Snooping
      • 21 – Le Dynamic ARP Inspection
      • 22 – L’IP Source Guard
      • Authentification
      • 30 – Le protocole AAA
      • 31 – Le Port-security
      • 32 – Le Port-based authentication
      • Sécuriser son architecture réseau avec le Storm Control
      • Configuration Sécurisée CISCO
    • 06 – Les VPNs
      • Présentation et configuration d’un Tunnel GRE
      • Présentation du Protocole IPSEC
      • OpenVPN sous Pfsense
      • Présentation et configuration du Dynamic Multipoint VPN (DMVPN)
    • 07 – QOS
      • QOS – Introduction
      • QOS –
      • QOS – Classification et marquage
      • Présentation et configuration du CBWFQ over GRE sous CISCO
    • 08 – IPv6
      • IPv6 – Introduction
      • IPv6 – Route statique
      • IPv6 – Neighbor Discovery Protocol
      • Configuration d’une access-list IPv6
      • Service DHCP – IPv6
      • Se générer une adresse IPv6 avec EUI-64
      • Présentation et configuration du NAT64
      • Tunneling IPv6 over IPv4
    • 10 – La pratique
      • Débuter avec CISCO
      • Commande CISCO et HP
      • CISCO – Err-Disable
      • Présentation et configuration des Template SDM
      • Récupérer son mot de passe CISCO en moins 5 minutes
      • Les IOS CISCO
      • 21 – Installer un IOS
      • 22 – Les licences IOS
    • 99 – Divers
      • Hack d’un jour
      • Liens Utiles
      • Présentation des Wildcard
      • Virtualisation
      • Archive tes configurations CISCO via le protocole SCP
      • La Blockchain vue par CISCO
    • Les exercices
      • La théorie
        • QCM 01
      • La pratique
        • Travaux pratique 01
        • Travaux pratique VOIP
    • Les plateformes
      • Plateforme physique
      • 10 – Créer sa plateforme
      • Plateforme virtuelle
      • 20 – Packet Tracer
  • Cours vidéo
    • – INTRODUCTION –
    • PARTIE 1 – LES BASES
    • PARTIE 2 – SWITCHING
    • PARTIE 3 – ROUTING
    • PARTIE 4 – SERVICES
    • PARTIE 5 – SECURITY
  • La carrière
    • Les métiers de l’informatique
    • 00 – Certification CISCO
      • Préparation
      • 00 – Les certifications CISCO v3
      • 01 – Méthode de travail
      • CCNA Routing & Switching
      • 10 – CCNA 200-125
      • 11 – CCNA 200-301
      • CCNP Routing & Switching
      • 20 – CCNP ROUTE
      • 21 – CCNP SWITCH
      • 22 – CCNP TSHOOT
      • Après l’examen
      • 30 – Et après ?
    • 01 – Méthode de travail
      • Créer une architecture réseau
      • Les baies informatiques
      • Câblage en baie
      • Alphabet phonétique
    • 02 – Les fiches métier
      • Admin Télécom par Satellite
      • Traitement automatique du langage naturel
    • 03 – Les prix et distinction
      • Les WorldSkills
  • Bonus
    • Pour les Pros
    • La boutique
    • Les liens utiles
    • Pour les entreprises
    • Demande de devis
  • Abo
  • Mon compte
    • Connexion
    • Mot de passe perdu
    • Détails du compte

OpenVPN sous Pfsense

  • Rédigé par Noël NICOLAS
  • le 2 février 2016

INTRODUCTION


Problématique de base :

Imaginons que nous ayons une entreprise avec plusieurs sites géographiques.

Chaque site géographique possède sa propre liaison Internet.

Au niveau de la législation française, nous sommes obligés d’authentifier et d’archiver l’activité de nos utilisateurs.

Pour ce faire, nous avons décidé d’installer sur chaque site un serveur PfSense.

Tous nos administrateurs sont au niveau du site principal. Il faut donc que nos administrateurs puissent accéder à distance à chaque serveur PfSense Distant.

Nous allons donc mettre en place une liaison VPN entre notre site principal et nos sites isolés. Cela nous permettra :

– de pouvoir administrer nos sites distants de manière sécurisés
– d’avoir un échange de donnée possible entre nos LAN Internet (enregistrement centralisé des Logs, intégration de nos ordinateurs distants dans un domaine unique, etc.)

 

Avec un serveur PfSense, nous pouvons mettre en place plusieurs types de VPN :

– IPSec (nécessite 2 IP WAN fixes)
– L2TP (nécessite 2 IP WAN fixes)
– OpenVPN (nécessite un seul IP WAN fixe)
– PPTP (nécessite 2 IP WAN fixes)

 

Dans notre cas, nous allons partir sur la mise en place d’un OpenVPN.

Pourquoi ? Car ce VPN à l’avantage de fonctionner en mode client/serveur et donc ne nécessite qu’une seul IP WAN Fixe sur un de nos sites.

 

Vu que nous allons raccorder plusieurs OpenVPN sur notre site principal, le plus judicieux est de mettre l’adresse IP publique de notre site principale en fixe.

Tout fournisseur d’accès proposent ce service (généralement payant).

OpenVPN sous Pfsense 1

 

 

 

Configuration de notre liaison OpenVPN



Pour ce faire, nous allons configurer ce dernier étape par étape.

Afin de mieux comprendre comment le mettre en place, nous allons commencer au niveau de notre poste d’administration (situé sur la partie serveur).

 

 

Configuration PfSense du site principale



 

Configuration de l’OpenVPN


OpenVPN sous Pfsense 2Jusqu’ici, rien de compliqué. Nous avons un Lan qui va être NATé via l’IP Wan de notre box pour qu’il puisse naviguer sur internet.

La première chose à faire sur notre PfSense c’est de créer notre partie « Serveur ».

Pour ce faire, nous devons aller dans l’onglet « VPN > OpenVPN ».

Dans l’onglet « Serveur », nous allons cliquer sur le petit « + » afin de créer notre serveur OpenVPN.

 

 

Les paramètres à mettre en place sont les suivants :

OpenVPN sous Pfsense 3

 

Server Mode : Peer to Peer (Shared Key).

Pour monter notre VPN, nous allons utiliser un secret partagé (shared key).

Ce secret va être commun à tous nos clients ainsi qu’avec notre serveur. Il va falloir le copier-coller à chaque fois que nous allons paramétrer une connexion OpenVPN.

Ce secret est automatiquement généré par le serveur.

Interface : Interface WAN.

IPv4 Tunnel Network : Mettez une adresse réseau type 10.10.10.0 /24 (ce réseau est un réseau privé de classe A).

Le tunnel OpenVPN a besoin de cette information pour fonctionner, il faut juste faire attention à ce que le réseau choisi soit assez grand pour d’accueillir tous nos clients OpenVPN et qu’il ne soit pas utilisé autre part.

Une fois le paramétrage fini, cliquez sur « Save ».

Notre serveur OpenVPN est configuré !

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin.

 

Configuration du Firewall


Pour ce faire, aller dans l’onglet « Firewall > Rules ».

On peut voir que chaque interface possède un firewall.

Par défaut, personne ne peut emprunter notre tunnel et toutes les demandes de connexion VPN venant de l’extérieur sont bloquées par le firewall WAN. Nous allons donc autoriser ces flux.

 

Au niveau du firewall OpenVPN :

OpenVPN sous Pfsense 4

 

Au niveau du firewall WAN :

OpenVPN sous Pfsense 5

 

 

Configuration de notre accès Internet


OpenVPN sous Pfsense 6Par défaut, une box refuse toutes demandes de connexion venant de l’extérieur vu qu’elle ne sait pas à qui cette demande est destinée (vu que la box fait du NAT).

Nous allons donc indiquer à la box que si une demande de connexion VPN vient de l’extérieur, sur le port par défaut utilisé par OpenVPN (UDP 1194), elle devra la rediriger vers notre Pfsense.

Pour ce faire, nous allons mettre en place du port-forwarding (redirection de port).

Vu le nombre de box différentes présentes sur le marché, le mieux est de faire une recherche sur Google avec la référence de la box ainsi que le mot « port-forwarding ».

 

 

Configuration PfSense de nos sites isolés



 

Configuration de l’OpenVPN


OpenVPN sous Pfsense 7

La première chose à faire sur notre PfSense c’est de créer notre partie « Client » (vous trouverez la configuration sur l’image ci-dessous).

 

 

 

 

 

OpenVPN sous Pfsense 8

 

Server host or address 

Il va falloir mettre l’adresse IP du serveur OpenVPN telle qu’elle est vue sur Internet. Ce sera donc l’adresse IP de la patte WAN de la box « maison mère ».

Comment obtenir cette adresse ? Il faut aller sur le site www.mon-ip.com à partir d’un poste de la maison mère et le tour est joué !

Shared Key

Copier-coller le secret partagé du serveur ici.

IPv4 Tunnel Network

Mettre le même Network que le serveur.

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin !

 

Configuration du Firewall


Pour ce faire, aller dans l’onglet « Firewall > Rules ».

Comme c’est le client qui doit faire la demande de connexion, il n’est pas nécessaire d’ajouter une règle au niveau du firewall WAN. Nous allons uniquement intervenir sur le firewall OpenVPN pour ajouter les mêmes règles que la partie serveur :

OpenVPN sous Pfsense 9

 

Configuration de notre accès INTERNET


Il n’y à pas d’action à mener sur les BOX Internet de nos sites isolés vu qu’ils sont en mode « Client ». Ce sont eux qui font faire la demande d’ouverture du tunnel OpenVPN.

 

 

Test de bon fonctionnement



Pour tester votre connexion VPN, essayerzd’accéder à la page d’administration du PfSense distant depuis un poste du site principal.

Si cela ne fonctionne pas, il va falloir vérifier les logs de nos firewalls ou si l’un de nos flux n’a pas été bloqué.

Ce schéma de principe peut vous aider dans votre recherche de panne :

OpenVPN sous Pfsense 10

 

 

En espérant que vous avez apprécié cet article !

N’hésitez pas à me la faire savoir !!

FingerInTheNet.com

OpenVPN sous Pfsense 11
Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Laisse un commentaire

Commence maintenant

TÉLÉCHARGE TON GUIDE DE CONFIGURATION CISCO !!

  • Promo
    E-books

    Guide de configuration CISCO

    Note 4.29 sur 5
    €19.90 €9.90
    Ajouter au panier

Rejoins-nous sur facebook

Et également sur youtube

Le programme de formation

Les bases du réseau

  • Le monde internet
  • Le code binaire
  • Le modèle OSI
  • Le modèle TCP/IP
  • Le câblage
  • Les adresses MAC
  • La table ARP
  • La table CAM
  • Les domaines de collision
  • Les adresses IPv4
  • Les adresses IPv6

La partie Switching

  • Les Vlans
  • Les liens Trunk
  • Le routage inter-vlan
  • Le protocole VTP
  • Les VACLs
  • Les Private VLANs
  • Le Spanning-Tree
  • Introduction au FHRP
  • Le protocole HSRP
  • Le protocole VRRP
  • Le protocole GLBP
  • La méthode VSS

La partie ROUTING

  • Configuration d'un routeur
  • Le routage statique
  • Le routage dynamique
  • Le protocole RIP
  • Le protocole OSPF
  • Le protocole EIGRP
  • Le protocole BGP
  • Le Frame Relay
  • HDLC / PPP
  • Le protocole PPPoE
  • Le metroEthernet
  • Les services CLOUD

Les services

  • Le NAT
  • Le SLA
  • Le protocole DHCP
  • Le protocole NTP
  • Le protocole SNMP
  • Le protocole NetFlow
  • La gestion des logs

La sécurité

  • Le protocole SSH
  • Les access-lists
  • Le DHCP Snooping
  • Le Dynamic ARP Inspection
  • L'IP Source guard
  • Le protocole AAA
  • Le port-security
  • Le port-based authentication
  • Le Storm-control

Les VPNs

  • Les tunnels GRE
  • Le protocole IPSec
  • Le DMVPN

Finger In The Net

Créé en 2015 lors de mes révisions CCNA, ce site a pour objectif de venir en aide aux étudiants, aux administrateurs et aux ingénieurs réseau en leur apportant une source documentaire en français et accessible de n’importe où.

Twitter
Facebook-f
Youtube
Linkedin

Rejoins-nous sur facebook

© FingerInTheNet.com. Tous droits réservés

Conditions général d'utilisation

Politique de confidentialité

MON COMPTE

  • Inscription
  • Connexion
  • Flux des publications
  • Flux des commentaires
  • Site de WordPress-FR

1. LES BASES

  • Le monde INTERNET
  • Le code binaire
  • Le modèle OSI
  • Le modèle TCP/IP
  • Le câblage
  • Les adresses MAC
  • La table ARP
  • La table CAM
  • Les domaines de collision
  • Les adresses IPv4
  • Méthode de subnetting

2. SWITCHING

  • Les Vlans
  • Les liens Trunk
  • Le routage Inter-Vlan
  • Le protocole VTP
  • Les VACLs
  • Les Private VLANs
  • Spanning-Tree
  • Introduction au FHRP
  • Le protocole HSRP
  • Le protocole VRRP
  • Le protocole GLBP
  • La méthode VSS

3. ROUTING

  • Config d’un routeur
  • Le routage statique
  • Le routage dynamique
  • Le protocole RIP
  • Le protocole OSPF
  • Le protocole EIGRP
  • Le protocole BGP
  • Le Frame-Relay
  • HDLC / PPP
  • Le protocole PPPoE
  • Metro-Ethernet
  • Les services CLOUD

4. SERVICE

  • Le NAT
  • Le SLA
  • Le protocole DHCP
  • Le protocole NTP
  • Le protocole SNMP
  • Le protocole NetFlow
  • La gestion des logs

5. SECURITE

  • Le protocole SSH
  • Les access-lists
  • Le DHCP Snooping
  • Le Dynamic ARP Inspection
  • L’IP Source Guard
  • Le protocole AAA
  • Le Port-Security
  • Le Port-based authentication
  • Le Storm-control
  • Configuration sécurisée

6. VPN

  • Les tunnels GRE
  • Le protocole IPSec
  • Le DMVPN
  • OpenVPN sous Pfsense

Ajouter FingerInTheNet à votre Page d'accueil!

Ajouter