SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Objectifs du TP :Bilan il faut faire ce TP en 2 temps (1ER temps 3 machines virtuelles le client le serveur le bureau distant sur 2 vmnet, un 2e temps intégrant l'infra).

Théoriquement : configurer un accès distant sécurisé à une ressource locale

Pratiquement : Configurer une infrastructure d'actifs avec VAN, NAT/PAT et Filtrage Configurer un serveur VPN et un client VPN en utilisant la technologie

OPENVPN

Matériel nécessaire : 2 switchs 2960 ou 2950. 2 routeurs 2941 1 hub ou 1 switch liaison inter-routeur 3 PC sous Windows seven (PC accès distant, PC Intranet, PC Analyseur) 1 Serveur Debian (serveur OPENVPN). 1 Serveur 2008R2 (serveur AD)

Organisation 3 groupes Mur (M), Poteau (P), Fenêtre (F)

Compte rendu de TP : Un compte rendu sous Word montrant les différentes étapes commentées (imprime-écran), les tests de validation, et répondant de façon argumentée aux dernières questions doit être rédigées il doit intégrer les analyses de trames commentées.

Schéma du TP

LMD RS 1

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Scénario du TP

Une entreprise veut donner un accès distant sécurisé aux ordinateurs locaux de leurs collaborateurs nomades. Ainsi ceux-ci pourront facilement, quel que soit l'endroit où ils se trouvent accéder à toutes leurs ressources locales.Vous êtes chargés d'élaborer le prototype. Le prototype sera considéré comme valide si un poste distant peut ouvrir un bureau distant sur le poste local et que vous démontrez que cet échange est sécurisé dans un tunnel VPN.

Étapes du TP

Il y a 3 grandes étapes dans le TP : mise en place de l'infrastructure actifs et adressage mise en place des services (serveur VPN, client VPN, bureau à distance) validation (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse

de trames montrant le tunnel)

Mais il nous faut commencer par préparer le poste Debian pour récupérer les paquets OPENVPN et Wireshark

Travail à faire

Préparation serveur Debian

Lancer le serveur debian sur une MV sur la partition Labo. Bridger la carte pour qu'elle récupère une adresse DHCP sur lé réseau.Lancer la MV et connecter vous en root/lmd.Installer les paquets OPENVPN et Wireshark

apt-get updateapt-get install openvpnapt-get install wireshark

Remarque : Le paquet OPENVPN installe OPENSSL (protocole SSL) et easy-rsa pour la gestion des certificats.

Mise en place de l'infrastructure actifs et adressage

Similaire au TP précédent à deux détails près la connexion du poste "Analyseur" et la présence d'un client et d'un serveur dans l'intranet. La présence d'un réseau spécifiquement VPN 10.8.0.0/24 et l'ouverture du port 1194 au lieu de

1723 notez les différences dans le script notamment la route vers 10.8.0.0.

Remarque : j'ai laissé le réseau par défaut proposé par OPENVPN 10.8.0.0/24 mais il peut bien sûr être modifié.

Sur le commutateur local, il faut déclarer les 2 VLAN DMZ et Intranet et le lien trunk.Sur le routeur local, il faut déclarer les interfaces mais aussi le NAT/PAT et la redirection vers le serveur VPN.Sur le routeur Internet, il faut déclarer les règles de filtrage qui empêchent le routage des adresses privées.

LMD RS 2

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Les scripts de configuration vous sont fournis.

Après avoir procéder au câblage et à la configuration, branchez les 4 postes et configurez leurs paramètres IP, faites les tests nécessaires pour valider l'infrastructure.

Mise en place des services (serveur VPN, client VPN, bureau à distance)

Il y a 3 choses à faire : configurer le serveur VPN configurer le client VPN configurer le poste offrant le bureau à distance. Ce poste valide son utilisateur dans l'AD

sisr5.org qui doit être accessible.

Voir les différentes annexes.

Validations (tests de fonctionnement, compréhension des mécanismes mis en œuvre, analyse de trames montrant le tunnel)

Pour capturer les différents échanges dans le réseau local, il faut tout d'abord configurer le "monitoring" de ports sur le commutateur local voir le script qui vous est fourniMais il faudra aussi certainement lancer un ping continu à partir du poste distant et déplacer l'analyseur de trames pour le connecter aux différents commutateurs.

Les éléments suivants permettent de valider la solution

Vérification dhcp adresse du poste distant donné par le serveur OPENVPN dans le plan d'adressage de ce serveur.

Vérification accès poste local ping sur les 2 postes du réseau local. On observe dans l'échange que le ping vers le poste dans l'Intranet est relayé par le serveur VPN

Ouverture bureau distant à travers la connexion VPN

Mais il faut aussi comprendre ce qui se passe, en répondant aux questions suivantes :

A quoi sert le réseau 10.8.0.0/24 ? Pourquoi faut-il rajouter une route vers ce réseau sur le routeur Local ? Sur quelles liaisons l'échange est-t-il "tunnelisé" ? Quels sont les 2 extrémités du tunnel ? Quels sont les protocoles au dessus D'IP utilisés pour la connexion VPN puis pour le tunnel

VPN ? Quel est le poste qui communique directement avec le poste Bureau Distant ? Sur quelle liaison circulent les paquets qui ont dans l'entête une adresse IP du réseau

10.8.0.0/24 ? Dans l'échange Client distant/bureau distant quelle est la partie tunnelisée et la partie non

tunnelisée ? Quel sont les 2 fonctions principales du serveur VPN ?

Configuration du serveur OPENVPN

LMD RS 3

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Préparation du serveur VPN

La machine ne démarra pas en mode graphique.Pour cela taper la commande root@debianBasePPE:~# startx

Il faut configurer l'adresse du serveur, sa passerelle et activer le routage (puisqu'il route entre réseau réel et réseau VPN).root@debianBasePPE:~# ifconfig eth0 172.16.100.10 netmask 255.255.255.0root@debianBasePPE:~# route add –net 0.0.0.0 netmask 0.0.0.0 gw 172.16.100.254root@debianBasePPE:~# echo 1 > /proc/sys/net/ipv4/ip_forward

Attention tous ces paramètres ne sont pas permanents, si vous éteignez la machine il faudra les refaire (sinon il faut modifier les fichiers de conf et utiliser sysctl).

Validez votre configuration par des tests.

Au départ on a installé OPENVPN qui installe les dépendances easy-rsa et openssleasy-rsa qui sert à gérer les certificats est installé dans un sous-répertoire d'openvpn.

root@debianBasePPE:~# cd /usr/share/doc/openvpn/examples/easy-rsa/root@debianBasePPE:/usr/share/doc/openvpn/examples/easy-rsa# ls1.0 2.0root@debianBasePPE:/usr/share/doc/openvpn/examples/easy-rsa# ls -ltotal 8drwxr-xr-x 2 root root 4096 18 nov. 10:11 1.0drwxr-xr-x 2 root root 4096 18 nov. 10:11 2.0root@debianBasePPE:/usr/share/doc/openvpn/examples/easy-rsa# cd 2.0/root@debianBasePPE:/usr/share/doc/openvpn/examples/easy-rsa/2.0# lsbuild-ca build-key-server Makefile sign-reqbuild-dh build-req openssl-0.9.6.cnf.gz varsbuild-inter build-req-pass openssl.cnf whichopensslcnfbuild-key clean-all pkitoolbuild-key-pass inherit-inter README.gzbuild-key-pkcs12 list-crl revoke-full

Il faut copier le répertoire easy-rsa dans le repertoire /etc/openvpn/easy-rsa

root@debianBasePPE:~# cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa

Notre machine est maintenant prête à être configurée

Gestion des certificats

On va maintenant créer les certificats nécessaires à l'utilisation d'openvpn.Il nous faut un certificat pour l'autorité de certification (CA) et des certificats pour les serveurs et les clients.Certificat de l'autorité de certification (CA)

LMD RS 4

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

On édite le fichier de configuration des variables

root@debianBasePPE:~# gedit /etc/openvpn/easy-rsa/vars

Voilà ce qu'on obtient il faut modifier les dernières lignes comme indiqué ici (vous pouvez mettre votre adresse mail cependant ;-) ).

# Increase this to 2048 if you# are paranoid. This will slow# down TLS negotiation performance# as well as the one-time DH parms# generation process.export KEY_SIZE=1024# In how many days should the root CA key expire?export CA_EXPIRE=3650# In how many days should certificates expire?export KEY_EXPIRE=3650# These are the default values for fields# which will be placed in the certificate.# Don't leave any of these fields blank.export KEY_COUNTRY="FR"export KEY_PROVINCE="RhoneAlpes"export KEY_CITY="Lyon"export KEY_ORG="LMD"export KEY_EMAIL="roger.sanchez@ac-lyon.fr"

On active ces variablesroot@debianBasePPE:/etc/openvpn/easy-rsa# source ./vars NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

Puis on nettoie l'existant au cas ou

root@debianBasePPE:/etc/openvpn/easy-rsa# ./clean-all

On génère une clé diffie-hellmann (voir http://fr.wikipedia.org/wiki/%C3%89change_de_cl%C3%A9s_Diffie-Hellman)

root@debianBasePPE:/etc/openvpn/easy-rsa# ./build-dh Generating DH parameters, 1024 bit long safe prime, generator 2This is going to take a long time.............................+...............................................++*++*++*

Puis on génère le certificat de l'AC, on confirme les paramètres donnés précédemment quand ils sont proposés et on met un point (.) quand on ne renseigne pas le paramètre

root@debianBasePPE:/etc/openvpn/easy-rsa# ./build-caGenerating a 1024 bit RSA private key...........................++++++.....++++++writing new private key to 'ca.key'-----

LMD RS 5

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [FR]:State or Province Name (full name) [RhoneAlpes]:Locality Name (eg, city) [Lyon]:Organization Name (eg, company) [LMD]:Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) [LMD CA]:Name []:.Email Address [roger.sanchez@ac-lyon.fr]:

Certificat du serveur

On va maintenant créer le certificat pour le serveur et le signer (même chose pour les paramètres). On le nomme certificat-vpn-serveur.

root@debianBasePPE:/etc/openvpn/easy-rsa# ./build-key-server certificat-vpn-serveurGenerating a 1024 bit RSA private key....................................................++++++..................................++++++writing new private key to 'certificat-vpn-serveur.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [FR]:State or Province Name (full name) [RhoneAlpes]:Locality Name (eg, city) [Lyon]:Organization Name (eg, company) [LMD]:Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) [certificat-vpn-serveur]:Name []:.Email Address [roger.sanchez@ac-lyon.fr]:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:Using configuration from /etc/openvpn/easy-rsa/openssl.cnfCheck that the request matches the signature

LMD RS 6

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Signature okThe Subject's Distinguished Name is as followscountryName :PRINTABLE:'FR'stateOrProvinceName :PRINTABLE:'RhoneAlpes'localityName :PRINTABLE:'Lyon'organizationName :PRINTABLE:'LMD'commonName :PRINTABLE:'certificat-vpn-serveur'emailAddress :IA5STRING:'roger.sanchez@ac-lyon.fr'Certificate is to be certified until Nov 16 09:54:47 2023 GMT (3650 days)Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated

Certificat du client

On crée maintenant le certificat pour le premier client et on le signe aussi. On le nomme certificat-vpn-client1

root@debianBasePPE:/etc/openvpn/easy-rsa# ./build-key certificat-vpn-client1Generating a 1024 bit RSA private key..............++++++.............++++++writing new private key to 'certificat-vpn-client1.key'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [FR]:State or Province Name (full name) [RhoneAlpes]:Locality Name (eg, city) [Lyon]:Organization Name (eg, company) [LMD]:Organizational Unit Name (eg, section) []:.Common Name (eg, your name or your server's hostname) [certificat-vpn-client1]:Name []:.Email Address [roger.sanchez@ac-lyon.fr]:

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:Using configuration from /etc/openvpn/easy-rsa/openssl.cnfCheck that the request matches the signatureSignature ok

LMD RS 7

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

The Subject's Distinguished Name is as followscountryName :PRINTABLE:'FR'stateOrProvinceName :PRINTABLE:'RhoneAlpes'localityName :PRINTABLE:'Lyon'organizationName :PRINTABLE:'LMD'commonName :PRINTABLE:'certificat-vpn-client1'emailAddress :IA5STRING:'roger.sanchez@ac-lyon.fr'Certificate is to be certified until Nov 16 09:58:12 2023 GMT (3650 days)Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]yWrite out database with 1 new entriesData Base Updated

Résultats des configurations précédentes

Tous les fichiers ont été copiés dans le sous-répertoire /etc/openvpn/easy-rsa/keys

root@debianBasePPE:/etc/openvpn/easy-rsa# ls /etc/openvpn/easy-rsa/keys/01.pem certificat-vpn-client1.key index.txt.attr02.pem certificat-vpn-serveur.crt index.txt.attr.oldca.crt certificat-vpn-serveur.csr index.txt.oldca.key certificat-vpn-serveur.key serialcertificat-vpn-client1.crt dh1024.pem serial.oldcertificat-vpn-client1.csr index.txt

Configuration du service VPN

On va maintenant configurer le service VPN.Pour ça il faut créer le fichier de configuration server.conf dans /etc/openvpn

Pour créer ce fichier on va s'appuyer sur l'exemple qui nous est donné mais qu'il nous faut au préalable décompresser.

root@debianBasePPE:/etc/openvpn/easy-rsa# gunzip /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz

On trouve après ça des exemples intéressants pour nous aider dans toutes nos configurations

root@debianBasePPE:/etc/openvpn/easy-rsa# ls /usr/share/doc/openvpn/examples/sample-config-files/client.conf loopback-server README tls-home.conffirewall.sh office.up server.conf tls-office.confhome.up openvpn-shutdown.sh static-home.conf xinetd-client-configloopback-client openvpn-startup.sh static-office.conf xinetd-server-config

On va utiliser le fichier server.confOn va le copier dans le repertoire de configuration d'openvpn puis l'éditer

LMD RS 8

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

root@debianBasePPE:/etc/openvpn/easy-rsa# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/root@debianBasePPE:/etc/openvpn/easy-rsa# gedit /etc/openvpn/server.conf

Et on va modifier certains paramètres :

l'adresse IP d'écoute# Which local IP address should OpenVPN# listen on? (optional)local 172.16.100.10

les certificats du CA et du serveur# Any X509 key management system can be used.# OpenVPN can also use a PKCS #12 formatted key file# (see "pkcs12" directive in man page).ca /etc/openvpn/easy-rsa/keys/ca.crtcert /etc/openvpn/easy-rsa/keys/certificat-vpn-serveur.crtkey /etc/openvpn/easy-rsa/keys/certificat-vpn-serveur.key # This file should be kept secret

la clé Diffie-Hellman# Diffie hellman parameters.# Generate your own with:# openssl dhparam -out dh1024.pem 1024# Substitute 2048 for 1024 if you are using# 2048 bit keys. dh /etc/openvpn/easy-rsa/keys/dh1024.pem

On laisse l'adresse IP par défaut qui sera attribuée au réseau VPN (ici 10.8.0.0/24)# Configure server mode and supply a VPN subnet# for OpenVPN to draw client addresses from.# The server will take 10.8.0.1 for itself,# the rest will be made available to clients.# Each client will be able to reach the server# on 10.8.0.1. Comment this line out if you are# ethernet bridging. See the man page for more info.server 10.8.0.0 255.255.255.0

On va autoriser l'accès à l'intranet aux postes clients VPN# Push routes to the client to allow it# to reach other private subnets behind# the server. Remember that these# private subnets will also need# to know to route the OpenVPN client# address pool (10.8.0.0/255.255.255.0)# back to the OpenVPN server.;push "route 192.168.10.0 255.255.255.0"push "route 172.16.200.0 255.255.255.0"

Et on a priori fini coté serveur.

LMD RS 9

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Heu….Il faut quand même le relancer pour que les modifications soient prises en compte.

root@debianBasePPE:/etc/openvpn/easy-rsa# service openvpn restartStopping virtual private network daemon:.Starting virtual private network daemon: server.

LMD RS 10

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Configuration du client VPN

Il faut tout d'abord installer le client openvpn à partir du package suivant (dans ressources) : openvpn-install-2.3.2-I003-x86_64.exe

Vérifier que TAP soit sélectionné, s'il ne l'est pas cochez la case

OPenVPN crée une nouvelle interface virtuelle par laquelle passera la liaison VPN

On récupère maintenant le certificat clients et sa clé privée sur le serveur (on pourrait le faire avec winscp mais il faudrait paramétrer ssh), mais aussi le certificat de l'AC

Sur le serveur VPN les fichiers à copier sont :

Et il faut les copier sur le poste client VPN dans le répertoire C:\Programmes\OpenVPN\config

LMD RS 11

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

On configure le client notamment pour lui donner l'adresse du serveur VPN. Pour ça on crée un fichier client.ovpn dans le répertoire ci-dessus, et on y inclus les pramètres suivants

clientdev tunproto udp comp-lzo

remote 88.88.88.254 1194 ca ca.crtcert certificat-vpn-client1.crtkey certificat-vpn-client1.key

Comp-lzo nécessaire si on l'a conservé du coté serveur sinon il faut l'enlever (attention si on compresse d'un coté et pas de l'autre ça ne marchera pas ).

On risque d'avoir ici des problèmes avec le mode UAC (User Account Control) de windows 7, on peut le contourner en créant le fichier sur le bureau puis en le copiant dans le répertoire ou bien en désactivant l'UAC en mode commande C:\Windows\System32\UserAccountControlSettings.exe puis en abaissant le niveau de notification minimum dans la fenêtre de configuration.

On doit donc trouver ça dans notre répertoire maintenant

On lance maintenant notre connexion VPN à l'aide de l'éxécutable

LMD RS 12

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Attention sur W7 il faut lancer avec les droits d'administrateur (soit on désactive UAC soit on exécute en mode administrateur) ce qui n'est pas toujours bien pris en compte avec les raccourcis en cas de problèmeUn conseil, aller dans le répertoire et lancer directement à partir de l'exécutable openvpn-gui.exe (si jamais vous l'avez déjà lancé il faudra certainement au préalable tuer le processus "openvpn-gui" lancé précédent). On doit voir apparaître en bas à droite l'icône (sinon cliquez sur la petite flèche).La première fois l'icône reste rouge, il faut faire un clic droit et demander la connexion.

On a bien obtenu une adresse dans le réseau VPN prévu 10.8.0.6 remarquez le masque (on est dans du point à point).

Observez bien votre table de routage regardez la route 172.16.200.0

LMD RS 13

SIO/SISR TP9_VPN NomadeOPENVPN SISR5

Si on ping maintenant une adresse sur le réseau 172.16.200.0, on a délai d'attente dépassé.

En regardant les logs sur le serveur OpenVPN dans /var/log/daemon.log

On trouve sur les tentatives d'envoi l'erreur need IPV6 code on mroute….Ce qui veut dire que notre carte transmet en ipv6 et non en ipv4

Il faut aller modifier cela en désactivant la prise en charge d'ipv6.

Il faut désactiver ipv6

Configuration du bureau distant sur le poste dans l'Intranet

On paramètre maintenant le poste qui offre son bureau distant.

C'est la même chose que la dernière fois mais il faut modifier l'adresse du serveur DNS qui est notre 2008 et qui maintenant est 172.16.200.10.

LMD RS 14