Ce guide est obsolète. Utilisez la nouvelle version sur le Help Desk Biapy:

Installer et configurer OpenVPN sur Debian

Installation du logiciel

L'installation d'OpenVPN se fait simplement par la ligne de commande :

apt-get install openvpn openssl

Une fois ceci fait, nous créons un dossier pour stocker les scripts utilisés par ce guide :

mkdir --parents /etc/openvpn/scripts/

Il nous faut aussi créer les fichiers spéciaux utilisés par le serveur et installer les pilotes nécessaires:

modprobe tun

Nous faisons ensorte que le module tun soit chargé au démarrage du système :

/bin/echo "# Needed by OpenVPN
tun" | /usr/bin/tee -a /etc/modules

Si votre système n'utilise pas Udev, il peu être nécessaire de créer la device adéquate :

if [ ! -e /dev/net/tun ]; then
  /bin/mkdir --parent /dev/net
  /bin/mknod /dev/net/tun c 10 200
fi

Remarque: si vous ne pouvez installer le module tun, il se peut qu'il vous manque le paquet module-init-tools :

/usr/bin/apt-get install module-init-tools

Source : Merci à Murmel pour son commentaire.

Création des clefs de chiffrement

OpenVPN utilise OpenSSL pour chiffrer les connexions. L'identification des clients se base sur un mécanisme de clefs privés / clefs publiques. Ce mécanisme est au cœur du fonctionnement du réseau privé. Il vous faut donc prêter la plus grande attention à sa configuration.

Mise en place des scripts EasyRSA

OpenVPN fournit des scripts pour faciliter la création des clefs de chiffrement. Nous allons les copier dans le répertoire de configuration du serveur VPN afin de les modifier à notre guise :

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

2 des fichiers de cette configuration d'exemple nécessitent d'être modifiés. Nous commençons par télécharger les versions nécessaires à ce guide :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/vars \
     --output-document /etc/openvpn/easy-rsa/vars
wget http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/openssl.cnf \
     --output-document /etc/openvpn/easy-rsa/openssl.cnf

Configuration des scripts

Vous pouvez maintenant adapter le fichier de configuration à vos besoins :

vim /etc/openvpn/easy-rsa/vars

Voici une courte description des informations que vous pouvez modifier :

• OPENVPN_SERVER : L'alias DNS de la machine hébergeant le serveur OpenVPN.
• OPENVPN_CLIENTS : La liste des noms des clients du VPN séparée par des espaces.
• OPENVPN_IPRANGE : Les 3 premiers nombres des adresses IP du VPN.
• OPENVPN_LOCALDOMAIN : Le nom du réseau associé au VPN.
  

Attention : Veillez à ce que la plage d'adresses IP du VPN soit différente de celle de votre réseau local et des réseaux locaux des machines clientes. Vous trouverez plus d'informations sur les plages d'IP possibles en visitant Numbering private subnets.

Vous devriez aussi renseigner vos informations géographiques :

• KEY_COUNTRY : Le code de votre pays.
• KEY_PROVINCE : Votre état / département.
• KEY_CITY : Votre ville.
• KEY_ORG : Le nom de la clef (vous n'avez pas besoin de le modifier).
• KEY_EMAIL : L'adresse électronique associée à la clef.
  

Remarque : Par défaut, la longueur des clefs créées est de 1024 bits. Si vous êtes légèrement paranoïaque, vous pouvez augmenter cette valeur au coût de moindres performances de votre VPN.

KEY_SIZE=2048

Création d'une autorité de certification

Une autorité de certification est un ensemble clef privée / clef publique destiné à signer des clefs publiques. Pour créer votre autorité de certification, exécutez les lignes de commandes suivantes :

source /etc/openvpn/easy-rsa/vars
export KEY_COMMONNAME="ca.$OPENVPN_SERVER"
/etc/openvpn/easy-rsa/clean-all
/etc/openvpn/easy-rsa/build-ca

Si vous avez correctement configuré easy-rsa, vous pouvez utiliser les valeurs par défaut.

Remarque : Il existe des autorités de certification gratuites qui peuvent être utilisées pour signer les certificats de serveurs HTTPS. Ceci n'est pas nécessaire pour un serveur OpenVPN, mais si vous le préférez, je pense qu'il y a tout à fait moyen de faire signer votre certificat serveur par ce type d'autorités. Pour en savoir plus, visitez CAcert.

Création du certificat du serveur

Nous allons maintenant créer le certificat serveur. Exécutez les commandes suivantes :

source /etc/openvpn/easy-rsa/vars
export KEY_COMMONNAME="$OPENVPN_SERVER"
/etc/openvpn/easy-rsa/build-key-server server

Ici encore, utilisez les valeurs par défaut.

Remarque : Il est possible de protéger votre certificat serveur par un mot de passe. Si vous choisissez de le faire, ce mot de passe vous sera demandé à chaque manipulation des certificats clients. NE LE PERDEZ PAS. C'est un plus du point de vue de la sécurité, mais ce n'est pas forcément obligatoire. A vous de voir selon votre niveau de paranoïa.

Enfin, le script vous demande de confirmer la signature du certificat. Répondez Oui aux deux questions.

Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n] y

Remarque : La signature du certificat serveur est effectuée à l'aide de notre autorité de certification.

Génération des paramètres de Diffie Hellman

Les paramètres de Diffie Hellman doivent être généré pour que votre configuration fonctionne. Cela se fait grâce aux lignes :

source /etc/openvpn/easy-rsa/vars
/etc/openvpn/easy-rsa/build-dh

Génération d'une clef TLS

Nous allons maintenant générer une clef qui nous protègera de certains types d'attaques. Elle va nous permettre de créer un pare-feu HSA :

openvpn --genkey --secret /etc/openvpn/keys/ta.key

Configuration du serveur

Pour créer la configuration du serveur VPN, nous allons nous basé sur le fichier d'exemple disponible :

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz

Nous allons ajuster ce fichier à nos besoins.

source /etc/openvpn/easy-rsa/vars
sed -i  \
    -e "s/^ca ca\.crt/ca \/etc\/openvpn\/keys\/ca\.crt/" \
    -e "s/^cert server\.crt/cert \/etc\/openvpn\/keys\/server\.crt/" \
    -e "s/^key server\.key/key \/etc\/openvpn\/keys\/server\.key/" \
    -e "s/^dh[\t ]*dh1024.pem/dh \/etc\/openvpn\/keys\/dh$KEY_SIZE.pem/" \
    -e "s/^server[\t ].*$/server $OPENVPN_IPRANGE\.0 255\.255\.255\.0/" \
    -e 's/^;\(tls-auth \)\(ta.key.*\)$/\1\/etc\/openvpn\/keys\/\2/' \
    -e 's/^;\(.*# Triple-DES\)$/\1/' \
    -e 's/^\(status \).*/\1\/var\/log\/openvpn-status.log/' \
    /etc/openvpn/server.conf

Privilèges réduits

Nous faisons aussi en sorte que le service VPN tourne avec des permissions minimales. En premier lieu, il faut rendre lisible de dossier keys :

chmod go+rx /etc/openvpn/keys

Et configurer OpenVPN de la manière adéquate :

sed -i \
    -e 's/^;\(user[ \t]*.*\)/\1/' \
    -e 's/^;\(group[ \t]*.*\)/\1/' \
    /etc/openvpn/server.conf

Communication de client à client dans le réseau VPN

Si vous souhaitez que les clients du VPN soient capable de communiquer entre eux, et pas uniquement avec le serveur, exécutez la ligne de commande suivante :

sed -i -e 's/^;client-to-client/client-to-client/' \
    /etc/openvpn/server.conf

Gestion de la révocation des clients

Afin de pouvoir reconnaître les clients révoqués, nous ajoutons la gestion des certificats révoqués :

echo "
# Revoked certificate list
crl-verify /etc/openvpn/keys/crl.pem" >> /etc/openvpn/server.conf

Et nous créons un fichier crl.pem vide :

chmod +x /etc/openvpn/easy-rsa/make-crl
/etc/openvpn/easy-rsa/make-crl /etc/openvpn/keys/crl.pem

Dernière étape

La dernière étape consiste à redémarrer votre serveur :

/etc/init.d/openvpn restart

Gestion des clients du réseau virtuel

Un certificat client peut être ou créé, ou révoqué. La révocation permet d'éjecter un client indésirable de notre réseau virtuel. C'est une manipulation que j'ai longtemps ignoré car mon réseau était limité à mon usage personnel... mais dont je vois maintenant la nécessité.

En premier lieu, nous allons récupérer deux scripts qui facilitent la révocation d'un client, et l'ajout d'un nouveau client.

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/add-client.sh \
     --output-document /etc/openvpn/scripts/add-client.sh
chmod +x /etc/openvpn/scripts/add-client.sh
wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/revoke-client.sh \
     --output-document /etc/openvpn/scripts/revoke-client.sh
chmod +x /etc/openvpn/scripts/revoke-client.sh

Création des certificats des clients

Nous créons enfin les certificats clients. Exécutez la commande suivante pour créer les certificats :

source /etc/openvpn/easy-rsa/vars
for OPENVPN_CLIENT in $OPENVPN_CLIENTS; do
  export KEY_COMMONNAME="$OPENVPN_CLIENT.client.$OPENVPN_SERVER";
  /etc/openvpn/easy-rsa/build-key $OPENVPN_CLIENT;
done

Lorsque le script vous pose des questions, utilisez les valeurs par défaut, mais faites bien attention de répondre y aux questions :

Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n] y

Ajout d'un client supplémentaire

Si vous souhaitez ajouter après coup un client supplémentaire, vous pouvez le faire grâce à la ligne de commande suivante :

/etc/openvpn/scripts/add-client.sh nom_du_client

Je vous conseille ensuite de rejouer les étapes suivantes (elles sont décrites dans la suite de ce guide) :

• Création des fichiers de configuration des clients.

• Attribuer des adresses IP fixes aux clients du réseau privé virtuel.

• Mise à jour des fichiers de configuration de Bind.

Révocation d'un client

Si vous souhaitez que l'un de vos client n'ai plus accès à votre réseau privé, vous pouvez le révoquer grâce à la commande :

/etc/openvpn/scripts/revoke-client.sh nom_du_client

Création des fichiers de configuration des clients

Nous allons maintenant créer des archives contenant les clefs et fichiers de configurations à copier sur les différents clients. Pour ce faire, nous téléchargeons un script chargé de nous simplifier la tâche.

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/create-clients-configuration.sh \
     --output-document /etc/openvpn/scripts/create-clients-configuration.sh
chmod +x /etc/openvpn/scripts/create-clients-configuration.sh

Nous créons les fichiers de configurations adaptés aux différents clients :

/etc/openvpn/scripts/create-clients-configuration.sh

Vous disposez maintenant de plusieurs archives qu'il vous suffit de copier sur les machines clientes et de décompresser à l'aide de la commande :

tar --directory /etc -xzf votre-fichier-client.tar.gz

Enfin, il vous faut installer openvpn sur les machines clientes et / ou le redémarrer :

apt-get install openvpn liblzo1
/etc/init.d/openvpn restart

Normalement, vous verrez apparaître un message vous signalant que tout s'est bien passé, La commande suivante vous permettra d'obtenir plus d'informations sur votre lien VPN :

ifconfig tun0

Pour aller plus loin

La première partie de ce guide vous a permis de créer un réseau privé virtuel basique où les clients peuvent communiquer entre-eux et avec le serveur. C'est bien, mais dans la majorité des cas, ça ne suffit pas. Nous allons voir ici comment étoffer les fonctionnalités de votre VPN. La première étape pour ce-faire est d'exécuter les lignes de commandes suivantes :

mkdir /etc/openvpn/clients-configs
echo "
# Advanced configurations
client-config-dir /etc/openvpn/clients-configs" \
     >> /etc/openvpn/server.conf

Autoriser les clients VPN à accéder au réseau local du serveur

Si vous souhaitez accéder au réseau local de votre serveur VPN à partir des clients de votre VPN, vous devez d'abord vous assurez que les réseaux locaux de vos clients n'utilisent pas la même classe d'adresse IP que celui de votre serveur. Si tout va bien sur ce point, commencez par signaler aux clients quelle route utiliser pour accéder au réseau local de votre serveur :

ifconfig eth0 | grep inet | \
    sed -e 's/.*:\([0-9\.]*\)[0-9]\{1,3\} .*:\([0-9\.]*\) .*:\([0-9\.]*\).*/push "route \10 \3"/g' \
    >> /etc/openvpn/server.conf

Il faut redémarrer le serveur pour prendre en compte la configuration :

/etc/init.d/openvpn restart

Une fois ceci fait, nous allons jouer avec la configuration iptables pour faire de votre serveur VPN un routeur NAT. Oui, oui, j'ai bien dit NAT. J'ai vu passer plein de tutoriels compliqués pour mettre en place un routage complet entre les clients du VPN et le réseau local du serveur, mais je trouve que c'est complètement sur-dimensionné par rapport à la plupart des besoins.

Configuration de NetFilter (IpTables)

En premier lieu, si vous ne l'avez pas déjà fait, nous allons créer le fichier destiné à contenir les règles Iptables. Ces règles seront appliquées après le démarrage des interfaces réseaux:

if [ ! -e /etc/network/if-up.d/iptables ]; then
  echo '#!/bin/sh
# IpTables rules.' | /usr/bin/tee /etc/network/if-up.d/iptables
fi
/bin/chmod +x /etc/network/if-up.d/iptables

Nous autorisons le NAT sur le système :

sed -i -e 's/[# ]*\(net\.ipv4\.conf\.default\.forwarding=\).*/\11/g' /etc/sysctl.conf
sed -i -e 's/[# ]*\(net\.ipv4\.ip_forward=\).*/\11/g' /etc/sysctl.conf
/sbin/sysctl -p

Ensuite, nous mettons en place la configuration NAT pour notre réseau VPN :

iptables -t nat -A POSTROUTING -s $OPENVPN_IPRANGE.0/24 -o eth0 -j MASQUERADE

Et nous faisons en sorte qu'elle s'execute au démarrage du système :

echo "iptables -t nat -A POSTROUTING -s $OPENVPN_IPRANGE.0/24 -o eth0 -j MASQUERADE" \
    | /usr/bin/tee -a /etc/network/if-up.d/iptables

Votre configuration iptables sera rechargée à chaque redémarrage par la suite.

Faire en sorte que les clients VPN se connectent à Internet à travers la connexion VPN

Attention : Je ne RECOMMANDE PAS ce réglage.

Si vous souhaitez que vos clients VPN se connectent à Internet via la connexion VPN, exécutez cette ligne de commande :

/bin/sed -i -e 's/[; \t]*\(push[ \t]*"redirect-gateway".*\)$/\1/g' /etc/openvpn/server.conf

Et redémmarez le serveur

/etc/init.d/openvpn restart

Attribuer des adresses IP fixes aux clients du réseau privé virtuel

Il est possible d'attribuer une IP fixe à chacun des clients du réseau privé virtuel. Il vous est ainsi possible de vous connecter de manière sûre à une machine du réseau privé.

Pour plus d'informations, visitez Configuring client specific rules and access policies.

Pour ce faire, nous allons télécharger un script nous facilitant la tâche et nous allons l'exécuter :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/setup-clients-ips.sh \
     --output-document /etc/openvpn/scripts/setup-clients-ips.sh
chmod +x /etc/openvpn/scripts/setup-clients-ips.sh

Nous exécutons maintenant ce script :

/etc/openvpn/scripts/setup-clients-ips.sh

Configurer un serveur de nom pour votre VPN

Si vous avez choisi d'attribuer des adresses IP fixes aux clients de votre VPN, il est intéressant de disposer d'un serveur DNS pour diffuser simplement les associations nom de machine / adresse IP. Personnellement, j'utilise bind :

apt-get install bind9

Si vous dite que c'est utiliser un marteau-pilon pour enfoncer un clou, vous avez certainement raison, mais j'avais envie de me former à Bind ;D (Rien ne vaut l'apprentissage par la pratique). Bref, nous allons maintenant ajouter les adresses IPs fixes de notre VPN à la configuration de Bind.

Initialisation de la configuration de Bind

Cette étape est effectuée une fois pour toute. Nous y configureons Bind de façon à ce qu'il reconnaisse les configurations spécifiques à notre VPN. En premier lieu, nous récupérons les informations nécessaire, et nous effectuons un léger pré-traitement :

source /etc/openvpn/easy-rsa/vars
REVERSE_IPRANGE=`echo $OPENVPN_IPRANGE | sed -e 's/\([0-9]*\)\.\([0-9]*\)\.\([0-9]*\)/\3\.\2\.\1/'`

Nous signalons ensuite à Bind les fichiers que nous allons créer pour la gestion des DN de notre VPN.

echo "
# OpenVPN configuration
zone \"$REVERSE_IPRANGE.in-addr.arpa\" in {
        type master;
        file \"/etc/bind/db.$OPENVPN_IPRANGE\";
};

zone \"$OPENVPN_LOCALDOMAIN\" in {
        type master;
        file \"/etc/bind/db.$OPENVPN_LOCALDOMAIN\";
};" >> /etc/bind/named.conf.local

Il vous reste à configurer votre serveur VPN pour qu'il propage votre configuration DNS. Exécutez simplement la commande :

echo "
# VPN provided DNS server configuration.
push \"dhcp-option DOMAIN $OPENVPN_LOCALDOMAIN\"
push \"dhcp-option DNS $OPENVPN_IPRANGE.1\"" \
     >> /etc/openvpn/server.conf

Et redémarrez votre serveur VPN :

/etc/init.d/openvpn restart

Cette configuration fonctionnera automatiquement sur vos clients Microsoft Windows. Il faut effectuer une manipulation supplémentaire pour qu'elle fonctionne sur vos clients Linux (indiquée plus bas dans cette page).

Création ou mise à jour des fichiers de configuration de Bind

Nous allons maintenant télécharger le script permettant de mettre à jour votre configuration de Bind lorsque vous ajoutez ou révoquez un client du VPN :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/update-bind-config.sh \
     --output-document /etc/openvpn/scripts/update-bind-config.sh
chmod +x /etc/openvpn/scripts/update-bind-config.sh

A partir de maintenant, à chaque fois que vous ajoutez un nouveau client à votre VPN, une fois que vous lui aurez attribué une IP fixe, vous pourrez mettre à jour la configuration de Bind en exécutant :

/etc/openvpn/scripts/update-bind-config.sh

Une fois ceci fait, vous devrez recharger la configuration de Bind :

/etc/init.d/bind9 reload

Configuration du serveur DNS fourni par le réseau VPN sur un client Linux

Attention : Les manipulations suivantes sont à effectuer sur chaque client Linux du VPN (et non sur le serveur).

Nous commençons par télécharger le script client.up qui permet de récupérer les informations de DNS fournies par le VPN et de les insérer dans le fichier resolv.conf du client linux :

wget http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/client.up \
    --output-document=/etc/openvpn/client.up
chmod +x /etc/openvpn/client.up

Nous indiquons le nom du réseau VPN :

OPENVPN_LOCALDOMAIN=vpndomain.vpn

Et ensuite, nous configurons notre client pour qu'il lance le script client.up lors de la connexion au réseau VPN :

echo "
# VPN provided DNS configuration.
up /etc/openvpn/client.up
route-up /etc/openvpn/client.up
plugin /usr/lib/openvpn/openvpn-down-root.so \"script_type=down /etc/openvpn/client.up\"" \
    >> /etc/openvpn/$OPENVPN_LOCALDOMAIN.conf

Il vous suffit maintenant de redémarrer votre client VPN pour terminer la configuration :

/etc/init.d/openvpn restart

Pour aller plus loin

OpenVPN sur Windows

Si vous souhaitez installer OpenVPN sur Windows pour un utilisateur ne disposant pas des droits d'administration, je vous conseille de lire l'article de Michauko : OpenVPN, OpenVPN GUI, droits admin, et "add route"....

OpenVPN sur Mac OS X

Pour que OpenVPN puisse fonctionner sur Mac OS X, vous devez installer le logiciel suivant qui fournit la fonctionnalité de /dev/tun à Mac OS X :

Tun Tap - Virtual network interfaces for Mac OS X

De plus, si vous êtes à la recherche d'une interface graphique à OpenVPN, je vous conseille de vous tourner vers TunnelBlick.

Remerciements

Je souhaite remercier les acteurs qui m'ont aidés lors de la rédaction de ce howto :

http://www.openvpn.net 

Le site officiel du logiciel OpenVPN, qui fournit un HOWTO très complet et très bien écrit. Si vous souhaitez plongez plus en avant dans l'univers du réseau privé virtuel, c'est la qu'il vous faut aller.

Charles Duffy 

C'est la personne qui a écrit le script /etc/openvpn/client.up. Sans lui, ce howto n'aurait jamais été complet ;D Merci à lui donc.

Felix Knecht

Merci à toi Felix pour m'avoir signalé qu'utiliser /etc/network/options était une méthode périmée :D.