Configuration VPN

Comme à l’étape précédente, la plupart des paramètres peuvent être par défaut. Quand le Nom commun est interrogé, entrez “serveur”. Deux autres requêtes nécessitent des réponses positives, “Signez le certificat? [O / N] “et” 1 des demandes de certificat sur 1 certifiées, commettre? [O / N] “.

2x comment

OpenVPN est un VPN SSL complet qui implémente OSI Layer 2 ou 3 Secure Network Extension Utilisation du protocole SSL / TLS standard de l’industrie, prend en charge les méthodes d’authentification client flexibles basées sur des certificats, des cartes à puce et / ou des informations d’identification de nom d’utilisateur / mot de passe et permet à l’utilisateur ou les politiques de contrôle d’accès spécifiques au groupe utilisant des règles de pare-feu appliquées à l’interface virtuelle VPN. OpenVPN n’est pas un proxy d’application Web et ne fonctionne pas via un navigateur Web.

Openvpn 2.0 développe les capacités d’OpenVPN 1.x en offrant un mode client / serveur évolutif, permettant à plusieurs clients de se connecter à un seul processus de serveur OpenVPN sur un seul port TCP ou UDP. Openvpn 2.3 comprend un grand nombre d’améliorations, y compris la prise en charge complète de l’IPv6 et la prise en charge de Polarssl.

Ce document fournit des instructions étape par étape pour configurer un OpenVPN 2.x VPN client / serveur, y compris:

• OpenVPN QuickStart.
• Installation d’OpenVPN.
• Déterminer s’il faut utiliser un VPN acheminé ou ponté.
• Numéro de sous-réseaux privés.
• Configurer votre propre autorité de certificat (CA) et générer des certificats et des clés pour un serveur OpenVPN et plusieurs clients.
• Création de fichiers de configuration pour le serveur et les clients.
• Démarrer le VPN et tester la connectivité initiale.
• Configuration d’OpenVPN pour s’exécuter automatiquement sur le démarrage du système.
• Contrôlant un processus OpenVPN en cours d’exécution.
• Élargir la portée du VPN pour inclure des machines supplémentaires sur le sous-réseau client ou serveur.
• Pousser les options DHCP aux clients.
• Configuration des règles et des politiques d’accès spécifiques au client.
• En utilisant des méthodes d’authentification alternatives.
• Comment ajouter une authentification à double facteur à une configuration OpenVPN à l’aide de cartes à puce côté client.
• Acheminer tout le trafic client (y compris le trafic Web) via le VPN.
• Exécuter un serveur OpenVPN sur une adresse IP dynamique.
• Connexion à un serveur OpenVPN via un proxy HTTP.
• Connexion à une part de samba sur OpenVPN.
• Implémentation d’une configuration d’équilibrage / basculement de charge.
• Durcissant la sécurité OpenVPN.
• Révocation des certificats.
• Notes de sécurité supplémentaires.

L’impatient peut souhaiter passer directement aux exemples de fichiers de configuration:

Public visé

Cela suppose que les lecteurs possèdent une compréhension préalable des concepts de réseautage de base tels que les adresses IP, les noms DNS, les masques de file, les sous-réseaux, le routage IP, les routeurs, les interfaces réseau, les PAL, les passerelles et les règles de pare-feu.

Documentation supplémentaire

Livres OpenVPN

Veuillez jeter un œil à la page OpenVPN Books.

Openvpn 1.x Howto

L’OpenVPN 1 original 1.X Howto est toujours disponible et reste pertinent pour les configurations point à point ou à clé statique.

Articles OpenVPN

Pour une documentation supplémentaire, consultez la page des articles et le wiki OpenVPN.

OpenVPN QuickStart

Bien que cela vous guidera dans la configuration d’un VPN client / serveur évolutif à l’aide d’un PKI X509 (infrastruction publique à l’aide de certificats et de clés privées), cela pourrait être exagéré si vous ne recherchez qu’une simple configuration VPN avec un serveur qui peut gérer un seul client.

Si vous souhaitez faire fonctionner un VPN rapidement avec une configuration minimale, vous pouvez consulter la Mini-Howto de la clé statique.

Avantages clés statiques

• Configuration simple
• Pas de PKI X509 (infrastructure de clé publique) pour maintenir

Inconvénients statiques

• Évolutivité limitée – un client, un serveur
• Manque de Secrécyt avant parfait — Le compromis clé entraîne une divulgation totale des sessions précédentes
• La clé secrète doit exister sous forme de texte en clair sur chaque pair VPN
• La clé secrète doit être échangée à l’aide d’un canal sécurisé préexistant

Installation d’OpenVPN

Le code source OpenVPN et les installateurs de Windows peuvent être téléchargés ici. Sorties récentes (2.2 et plus tard) sont également disponibles en tant que packages Debian et RPM; Voir le wiki OpenVPN pour plus de détails.

Pour la sécurité, c’est une bonne idée de vérifier la signature de la version du fichier après le téléchargement.

L’exécutable OpenVPN doit être installé sur les machines de serveur et client, car l’exécutable unique fournit des fonctions client et serveur.

Remarques Linux (à l’aide du package RPM)

Si vous utilisez une distribution Linux qui prend en charge les packages RPM (SUSE, Fedora, Redhat, etc.), il est préférable d’installer en utilisant ce mécanisme. La méthode la plus simple consiste à trouver un fichier RPM binaire existant pour votre distribution. Vous pouvez également créer votre propre fichier RPM binaire:

rpmbuild -tb openvpn- [version].le goudron.gz

Une fois que vous avez le .Fichier RPM, vous pouvez l’installer avec l’habituel

rpm -ivh openvpn- [détails].RPM

ou mettre à niveau une installation existante avec

RPM -UVH OpenVPN- [Détails].RPM

L’installation d’OpenVPN à partir d’un package RPM binaire a ces dépendances:

De plus, si vous construisez votre propre régime binaire RPM, il existe plusieurs dépendances supplémentaires:

• OpenSSL-Devel
• levent de lzo
• deveil Pam

Voir l’OpenVPN.Fichier de spécifications pour des notes supplémentaires sur la construction d’un package RPM pour Red Hat Linux 9 ou le bâtiment avec des dépendances réduites.

Remarques Linux (sans régime)

Si vous utilisez Debian, Gentoo ou une distribution Linux non basée sur RPM, utilisez votre mécanisme d’emballage spécifique à la distribution tels que apt-get Sur Debian ou émerger sur Gentoo.

Il est également possible d’installer OpenVPN sur Linux en utilisant l’universel ./ Configurer méthode. Développez d’abord le .le goudron.Fichier GZ:

TAR XFZ OpenVPN- [Version].le goudron.gz

Puis CD au répertoire de niveau supérieur et type:

./ Configurer Make Make Installer

Notes Windows

OpenVPN pour Windows peut être installé à partir du fichier EXE d’auto-installation sur la page de téléchargement OpenVPN. N’oubliez pas qu’OpenVPN ne fonctionnera que sur Windows XP ou plus tard. Notez également qu’OpenVPN doit être installé et exécuté par un utilisateur qui a des privilèges administratifs (cette restriction est imposée par Windows, pas OpenVPN). La restriction peut être contournée en exécutant OpenVPN en arrière-plan en tant que service, auquel cas même les utilisateurs non adming. Plus de discussion sur les problèmes de privilège OpenVPN + Windows.

Les installateurs officiels de Windows OpenVPN incluent OpenVPN-Gui, qui permet de gérer les connexions OpenVPN à partir d’un applet de plateau système. D’autres applications GUI sont également disponibles.

Après avoir exécuté l’installateur Windows, OpenVPN est prêt à l’emploi et s’associera aux fichiers ayant le .OVPN extension. Pour exécuter OpenVPN, vous pouvez:

• Faites un clic droit sur un fichier de configuration OpenVPN (.ovpn) et sélectionner Démarrer OpenVPN sur ce fichier de configuration. Une fois en cours d’exécution, vous pouvez utiliser le F4clé pour quitter.
• Exécutez OpenVPN à partir d’une fenêtre d’invite de commande avec une commande telle que:

openvpn myconfig.OVPN

NOTES Mac OS X

Angelo Laub et Dirk Theisen ont développé une GUI OpenVPN pour OS X.

Autres OS

Certaines notes sont disponibles dans le fichier d’installation pour des OS spécifiques. En général, le

./ Configurer Make Make Installer

La méthode peut être utilisée, ou vous pouvez rechercher un port ou un package OpenVPN spécifique à votre système d’exploitation / distribution.

Déterminer s’il faut utiliser un VPN acheminé ou ponté

Voir FAQ pour un aperçu du routage vs. Pontage Ethernet. Voir également la page Bridging OpenVPN Ethernet pour plus de notes et de détails sur le pontage.

Dans l’ensemble, le routage est probablement un meilleur choix pour la plupart des gens, car il est plus efficace et plus facile à configurer (en ce qui concerne la configuration OpenVPN elle-même) que la pontage. Le routage offre également une plus grande capacité à contrôler sélectivement les droits d’accès sur une base spécifique au client.

Je recommanderais d’utiliser le routage à moins que vous ayez besoin d’une fonctionnalité spécifique qui nécessite un pontage, comme:

• Le VPN doit être en mesure de gérer les protocoles non IP tels que IPX,
• Vous exécutez des applications sur le VPN qui reposent sur les émissions de réseau (comme les jeux LAN), ou
• Vous souhaitez autoriser la navigation sur les partages de fichiers Windows à travers le VPN sans configurer un serveur Samba ou gagne.

Numéro de sous-réseaux privés

La configuration d’un VPN implique souvent de lier des sous-réseaux privés à partir de différents endroits.

L’Autorité des numéros affectés par Internet (IANA) a réservé les trois blocs suivants de l’espace d’adresse IP pour les internets privés (codifiés dans RFC 1918):

dix.0.0.0	dix.255.255.255	(Préfixe 10/8)
172.16.0.0	172.31.255.255	(172.16/12 préfixe)
192.168.0.0	192.168.255.255	(192.168/16 Préfixe)

Bien que les adresses de ces NetBlocks doivent normalement être utilisées dans les configurations VPN, il est important de sélectionner les adresses qui minimisent la probabilité d’adresse IP ou de conflits de sous-réseau. Les types de conflits qui doivent être évités sont:

• conflits de différents sites sur le VPN en utilisant la même numérotation du sous-réseau LAN, ou
• Connexions d’accès à distance à partir de sites qui utilisent des sous-réseaux privés qui entrent en conflit avec vos sous-réseaux VPN.

Par exemple, supposons que vous utilisiez le populaire 192.168.0.Sous-réseau 0/24 en tant que sous-réseau LAN privé. Maintenant, vous essayez de vous connecter au VPN à partir d’un cybercafé qui utilise le même sous-réseau pour son LAN WiFi. Vous aurez un conflit de routage car votre machine ne saura pas si 192.168.0.1 fait référence à la passerelle WiFi locale ou à la même adresse sur le VPN.

Comme autre exemple, supposons que vous souhaitiez relier plusieurs sites par VPN, mais chaque site utilise 192.168.0.0/24 comme sous-réseau LAN. Cela ne fonctionnera pas sans ajouter une couche complexifiante de traduction NAT, car le VPN ne saura pas comment acheminer les paquets entre plusieurs sites si ces sites n’utilisent pas de sous-réseau qui les identifie de manière unique.

La meilleure solution est d’éviter d’utiliser 10.0.0.0/24 ou 192.168.0.0/24 en tant qu’adresses de réseau LAN privé. Au lieu de cela, utilisez quelque chose qui a une probabilité plus faible d’être utilisé dans un café, un aéroport ou un hôtel WiFi où vous pourriez vous attendre à vous connecter à distance. Les meilleurs candidats sont des sous-réseaux au milieu du vaste 10.0.0.0/8 netblock (par exemple 10.66.77.0/24).

Et pour éviter les conflits de numérotation IP inter-sites, utilisez toujours une numérotation unique pour vos sous-réseaux LAN.

Configurer votre propre autorité de certificat (CA) et générer des certificats et des clés pour un serveur OpenVPN et plusieurs clients

Aperçu

La première étape de la construction d’un OpenVPN 2.La configuration x consiste à établir un PKI (Infrastructure de clé publique). Le PKI se compose de:

• un certificat séparé (également connu sous le nom de clé publique) et une clé privée pour le serveur et chaque client, et
• Un certificat et une clé d’autorité de certificat de maître (CA) qui est utilisé pour signer chacun des certificats de serveur et client.

OpenVPN prend en charge l’authentification bidirectionnelle basée sur des certificats, ce qui signifie que le client doit authentifier le certificat de serveur et que le serveur doit authentifier le certificat client avant que Mutual Trust ne soit établi.

Le serveur et le client authentifieront l’autre en vérifiant d’abord que le certificat présenté a été signé par la Master Certificate Authority (CA), puis en testant des informations dans l’en-tête de certificat maintenant authentifié, tel que le nom commun ou le type de certificat du certificat (client (client ou serveur).

Ce modèle de sécurité a un certain nombre de fonctionnalités souhaitables du point de vue du VPN:

• Le serveur n’a besoin que de son propre certificat / clé – il n’a pas besoin de connaître les certificats individuels de chaque client qui pourraient éventuellement s’y connecter.
• Le serveur n’acceptera que des clients dont les certificats ont été signés par le certificat Master CA (que nous générerons ci-dessous). Et parce que le serveur peut effectuer cette vérification de signature sans avoir besoin d’accéder à la clé privée CA elle-même, il est possible pour la clé CA (la clé la plus sensible de l’ensemble du PKI) à résider sur une machine complètement différente, même sans une connexion réseau.
• Si une clé privée est compromise, elle peut être désactivée en ajoutant son certificat à un CRL (liste de révocation du certificat). Le CRL permet de rejeter sélectivement les certificats compromis sans exiger que l’ensemble du PKI soit reconstruit.
• Le serveur peut appliquer les droits d’accès spécifiques au client sur la base de champs de certificat intégrés, tels que le nom commun.

Notez que les horloges du serveur et des clients doivent être à peu près en synchronisation ou en certificats peuvent ne pas fonctionner correctement.

Générer le certificat et la clé du Master Certificate Authority (CA)

Dans cette section, nous générerons un certificat / clé Master CA, un certificat / clé de serveur et des certificats / clés pour 3 clients distincts.

Pour la gestion PKI, nous utiliserons Easy-RSA 2, Un ensemble de scripts qui est emballé avec OpenVPN 2.2.X et plus tôt. Si vous utilisez OpenVPN 2.3.X, vous devez télécharger Easy-RSA 2 séparément d’ici.

Pour la gestion de PKI, nous utiliserons Easy-RSA 2, un ensemble de scripts qui est emballé avec OpenVPN 2.2.X et plus tôt. Si vous utilisez OpenVPN 2.3.X, vous devrez peut-être télécharger Easy-RSA 2 séparément de la page du projet Easy-RSA. Sur les plates-formes * Nix, vous devriez chercher à utiliser Easy-RSA 3 à la place; Reportez-vous à sa propre documentation pour plus de détails.

Si vous utilisez Linux, BSD ou un système d’exploitation de type UNIX, ouvrez un shell et un CD au Easy-RSA sous-répertoire. Si vous avez installé OpenVPN à partir d’un fichier RPM ou DEB, le répertoire Easy-RSA peut généralement être trouvé dans / usr / share / doc / packages / openvpn ou / usr / share / doc / openvpn(Il est préférable de copier ce répertoire dans un autre endroit comme / etc / openvpn, Avant toute modification, de sorte que les futures mises à niveau du package OpenVPN n’écraseront pas vos modifications). Si vous avez installé à partir d’un .le goudron.Fichier GZ, le répertoire Easy-RSA sera dans le répertoire supérieur de l’arborescence source élargie.

Si vous utilisez Windows, ouvrez une fenêtre et un CD d’invite de commande \ Program Files \ OpenVPN \ Easy-RSA. Exécutez le fichier batch suivant pour copier les fichiers de configuration en place (cela écrasera tout VARS préexistant.chauve-souris et ouvre.Fichiers CNF):

init-config

Maintenant, modifiez le varbac fichier (appelé varbac.chauve souris sur Windows) et définissez les paramètres Key_country, key_province, key_city, key_org et key_email. Ne laissez aucun de ces paramètres vide.

Ensuite, initialisez le PKI. Sur Linux / BSD / UNIX:

. ./ VARS ./Nettoie tout ./ build-ca 

Vars Clean-all Build-CA 

La commande finale (build-ca) construire le certificat et la clé du certificat Authority (CA) en invoquant l’interactif OpenSSLcommande:

AI: Easy-RSA # ./ build-CA générant une clé privée RSA 1024 bits . ++++++ . ++++++ Écriture de nouvelles clés privées pour 'CA.Key '----- Il vous est demandé de saisir des informations qui seront intégrées à votre demande de certificat. Ce que vous êtes sur le point d'entrer, c'est ce qu'on appelle un nom distingué ou un DN. Il y a pas mal de champs mais vous pouvez laisser un peu de blanc pour certains champs, il y aura une valeur par défaut, si vous entrez '.', Le champ sera laissé vide. ----- Nom du pays (code de 2 lettres) [KG]: nom de l'État ou de la province (nom complet) [NA]: Nom de la localité (par exemple, ville) [Bishkek]: Nom de l'organisation (par exemple, Compagnie) [OpenVPN-Test]: Nom de l'unité organisationnelle (par exemple, section) []: nom commun (par exemple, votre nom ou le nom d'hôte de votre serveur) []: Adresse e-mail OpenVPN-CA [moi @ myhost.mydomain]:

Notez que dans la séquence ci-dessus, la plupart des paramètres interrogés ont été par défaut aux valeurs définies dans le varbacou varbac.chauve souris des dossiers. Le seul paramètre qui doit être explicitement saisi est le Nom commun. Dans l’exemple ci-dessus, j’ai utilisé “OpenVPN-CA”.

Générer un certificat et une clé pour le serveur

Ensuite, nous générerons un certificat et une clé privée pour le serveur. Sur Linux / BSD / UNIX:

./ serveur de serveur de clé de construction

serveur de serveur de clé de construction

Comme à l’étape précédente, la plupart des paramètres peuvent être par défaut. Quand le Nom commun est interrogé, entrez “serveur”. Deux autres requêtes nécessitent des réponses positives, “Signez le certificat? [O / N] “et” 1 des demandes de certificat sur 1 certifiées, commettre? [O / N] “.

Générer des certificats et des clés pour 3 clients

La génération de certificats clients est très similaire à l’étape précédente. Sur Linux / BSD / UNIX:

./ Client de la clé de construction1 ./ Client de la clé de construction2 ./ Client de la clé de construction3

Build-Key Client1 Build-Key Client2 Build-Key Client3

Si vous souhaitez protéger le mot de passe de vos clés client, remplacez le Build-Key-Pass scénario.

N’oubliez pas que pour chaque client, assurez-vous de taper le approprié Nom commun Lorsqu’il est invité, je.e. “client1”, “client2” ou “client3”. Utilisez toujours un nom commun unique pour chaque client.

Générer des paramètres de diffie Hellman

Les paramètres Diffie Hellman doivent être générés pour le serveur OpenVPN. Sur Linux / BSD / UNIX:

./ build-dh

build-dh

AI: Easy-RSA # ./ Build-DH Génération de paramètres DH, 1024 Bit Long Safe Prime, Générateur 2 Cela va prendre beaucoup de temps . +. . +. +. +. .

Fichiers clés

Maintenant, nous trouverons nos clés et certificats nouvellement générés clés sous-répertoire. Voici une explication des fichiers pertinents:

Nom de fichier	Voulu par	But	Secrète
Californie.CRT	serveur + tous les clients	Certificat Root CA	NON
Californie.clé	Machine de signature clé uniquement	Root Ca Key	OUI
dh.pem	serveur uniquement	Diffie Hellman Paramètres	NON
serveur.CRT	serveur uniquement	Certificat de serveur	NON
serveur.clé	serveur uniquement	Clé de serveur	OUI
Client1.CRT	Client1 uniquement	Certificat Client1	NON
Client1.clé	Client1 uniquement	Client1 Clé	OUI
client2.CRT	Client2 uniquement	Certificat Client2	NON
client2.clé	Client2 uniquement	Client2 Clé	OUI
Client3.CRT	Client3 uniquement	Certificat Client3	NON
Client3.clé	Client3 uniquement	Client3 Clé	OUI

La dernière étape du processus de génération de clés consiste à copier tous les fichiers sur les machines qui en ont besoin, en prenant soin de copier des fichiers secrets sur un canal sécurisé.

Maintenant, attendez, vous pouvez dire. Ne devrait-il pas être possible de configurer le PKI sans canal sécurisé préexistant?

La réponse est ostensiblement oui. Dans l’exemple ci-dessus, par souci de concision, nous avons généré toutes les clés privées au même endroit. Avec un peu plus d’efforts, nous aurions pu le faire différemment. Par exemple, au lieu de générer le certificat client et les clés sur le serveur, nous aurions pu demander au client de générer sa propre clé privée localement, puis soumettre une demande de signature de certificat (RSE) à la machine de signature de clé. À son tour, la machine de signature de clé aurait pu traiter la RSE et retourner un certificat signé au client. Cela aurait pu être fait sans jamais exiger qu’un secret .clé Fichier Laissez le disque dur de la machine sur laquelle il a été généré.

Création de fichiers de configuration pour le serveur et les clients

Obtenir l’exemple de fichiers de configuration

Il est préférable d’utiliser les fichiers de configuration d’OpenVPN comme point de départ pour votre propre configuration. Ces fichiers peuvent également être trouvés dans

• le échantillon Répertoire de la distribution de source OpenVPN
• le échantillon répertoire dans / usr / share / doc / packages / openvpn ou / usr / share / doc / openvpn Si vous avez installé à partir d’un régime RPM ou DEB
• Menu de démarrage -> Tous les programmes -> OpenVPN -> Fichiers de configuration d’OpenVPN sous les fenêtres

Notez que sur Linux, BSD ou UNIX-like OSO, les fichiers de configuration des exemples sont nommés serveur.confli et client.confli. Sur Windows, ils sont nommés serveur.OVPN et client.OVPN.

Modification du fichier de configuration du serveur

Le fichier de configuration du serveur d’exemples est un point de départ idéal pour une configuration de serveur OpenVPN. Il créera un VPN en utilisant un virtuel TONNEAU L’interface réseau (pour le routage), écoutera les connexions client sur Port UDP 1194 (Numéro de port officiel d’OpenVPN) et distribuez des adresses virtuelles à la connexion des clients à partir du dix.8.0.0/24 sous-réseau.

Avant d’utiliser l’exemple de fichier de configuration, vous devez d’abord modifier le Californie, certificat, clé, et dh Paramètres pour pointer les fichiers que vous avez générés dans la section PKI ci-dessus.

À ce stade, le fichier de configuration du serveur est utilisable, mais vous pouvez toujours le personnaliser davantage:

• Si vous utilisez le pontage Ethernet, vous devez utiliser pont de serveur et tap du dev au lieu de serveur et Dev Tun.
• Si vous souhaitez que votre serveur OpenVPN écoute sur un port TCP au lieu d’un port UDP, utilisez Proto TCPau lieu de proto udp (Si vous voulez que OpenVPN écoute à la fois sur un port UDP et TCP, vous devez exécuter deux instances OpenVPN distinctes).
• Si vous souhaitez utiliser une plage d’adresses IP virtuelle autre que dix.8.0.0/24, vous devez modifier le serveurdirectif. N’oubliez pas que cette gamme d’adresses IP virtuelle devrait être une gamme privée qui n’est actuellement pas utilisée sur votre réseau.
• Uncomment sur le client-client Directive Si vous souhaitez que les clients connectent pour pouvoir se joindre mutuellement sur le VPN. Par défaut, les clients ne pourront atteindre le serveur.
• Si vous utilisez Linux, BSD ou un système d’exploitation de type UNIX, vous pouvez améliorer la sécurité en décalmentant le utilisateur personne et groupe personne directives.

Si vous souhaitez exécuter plusieurs instances OpenVPN sur la même machine, chacune utilisant un fichier de configuration différent, il est possible si vous:

• Utilisez un autre port Numéro pour chaque instance (les protocoles UDP et TCP utilisent différents espaces de port afin que vous puissiez exécuter un démon écoutant sur UDP-1194 et un autre sur TCP-1194).
• Si vous utilisez Windows, chaque configuration OpenVPN TANEEDS a son propre adaptateur Tap-Windows. Vous pouvez ajouter des adaptateurs supplémentaires en allant à Menu de démarrage -> Tous les programmes -> Tap-windows -> Ajouter un nouvel adaptateur Ethernet virtuel de Tap-Windows.
• Si vous exécutez plusieurs instances OpenVPN sur le même répertoire, assurez-vous de modifier les directives qui créent des fichiers de sortie afin que plusieurs instances ne s’écrasent pas les fichiers de sortie les uns des autres. Ces directives incluent enregistrer, logiciel, statut, et ifconfig-pool-persiste.

Modification des fichiers de configuration du client

Le fichier de configuration du client exemple (client.confli sur Linux / BSD / UNIX ou client.OVPN sous Windows) reflète les directives par défaut définies dans le fichier de configuration du serveur d’exemples.

• Comme le fichier de configuration du serveur, modifiez d’abord le Californie, certificat, et clé Paramètres pour pointer les fichiers que vous avez générés dans la section PKI ci-dessus. Notez que chaque client devrait avoir le sien certificat/ /clé paire. Seulement le CalifornieLe fichier est universel sur le serveur OpenVPN et tous les clients.
• Ensuite, modifiez le télécommandeDirective pour pointer vers l’adresse Hostname / IP et le numéro de port du serveur OpenVPN (si votre serveur OpenVPN s’exécutera sur une machine unique derrière un pare-feu / nat-gateway, utilisez l’adresse IP publique de la passerelle et un port Numéro que vous avez configuré la passerelle pour transmettre au serveur OpenVPN).
• Enfin, assurez-vous que le fichier de configuration du client est cohérent avec les directives utilisées dans la configuration du serveur. La chose majeure à vérifier est que le dev (tun ou tap) et proto Les directives (UDP ou TCP) sont cohérentes. Assurez-vous également que comp-lzo et fragment, Si vous êtes utilisé, sont présents dans les fichiers de configuration du client et du serveur.

Démarrer le VPN et tester la connectivité initiale

Démarrage du serveur

Tout d’abord, assurez-vous que le serveur OpenVPN sera accessible depuis Internet. Cela signifie:

• Ouverture du port UDP 1194 sur le pare-feu (ou quel que soit le port TCP / UDP que vous avez configuré), ou
• Configuration d’une règle de transfert de port pour transférer le port UDP 1194 depuis le pare-feu / passerelle vers la machine exécutant le serveur OpenVPN.

Pour simplifier le dépannage, il est préférable de démarrer initialement le serveur OpenVPN à partir de la ligne de commande (ou un clic droit sur le .OVPN Fichier sur Windows), plutôt que de le démarrer comme un démon ou un service:

OpenVPN [Fichier de configuration du serveur] 

Une start-up de serveur normal devrait ressembler à ceci (la sortie variera à différentes plates-formes):

Soleil 6 février 20:46:38 2005 OpenVPN 2.0) Parms [L: 1542 D: 138 EF: 38 EB: 0 ET: 0 El: 0] Soleil 6 février 20:46:38 2005 Tun / Tap Device Tun1 Open Sun 6 février 20:46:38 2005 / Sbin / ifconfig Tun1 dix.8.0.1 pointopoint 10.8.0.2 MTU 1500 dimanche 6 février 20:46:38 2005 / SBIN / Route Add -net 10.8.0.0 Masque de réseau 255.255.255.0 GW 10.8.0.2 dimanche 6 février 20:46:38 2005 Channel de données MTU PARMS [L: 1542 D: 1450 EF: 42 EB: 23 ET: 0 EL: 0 AF: 3/1] SUN 6 février 20:46:38 2005 UDPV4 Lien Local (Bound): [Undef]: 1194 dimanche 6 février 20:46:38 2005 Lien UDPV4 Remote: [Undef] Sun 6 février 20:46:38 2005 Multi: Multi_init appelé, r = 256 V = 256 SUN 6 février 20 : 46: 38 2005 Pool ifconfig: base = 10.8.0.4 taille = 62 dimanche 6 février 20:46:38 2005 Ifconfig Pool List dim 6 février 20:46:38 2005 Séquence d'initialisation terminée

Démarrer le client

Comme dans la configuration du serveur, il est préférable de démarrer initialement le serveur OpenVPN à partir de la ligne de commande (ou sur Windows, en cliquant avec le bouton droit sur le client.OVPN fichier), plutôt que de le démarrer comme un démon ou un service:

openvpn [fichier de configuration client] 

Un démarrage client normal sur Windows ressemblera à la sortie du serveur ci-dessus et devrait se terminer avec le Séquence d’initialisation terminée message.

Maintenant, essayez un ping à travers le VPN du client. Si vous utilisez le routage (je.e. Dev Tun Dans le fichier de configuration du serveur), essayez:

ping 10.8.0.1

Si vous utilisez le pontage (je.e. tap du dev Dans le fichier de configuration du serveur), essayez de cingler l’adresse IP d’une machine dans le sous-réseau Ethernet du serveur.

Si le ping réussit, félicitations! Vous avez maintenant un VPN fonctionnel.

Dépannage

Si le ping a échoué ou que l’initialisation du client OpenVPN n’a pas réussi, voici une liste de contrôle des symptômes courants et de leurs solutions:

• Vous obtenez le message d’erreur: Erreur TLS: la négociation des clés TLS n’a pas eu lieu dans les 60 secondes (vérifiez votre connectivité réseau). Cette erreur indique que le client n’a pas pu établir de connexion réseau avec le serveur.Solutions:
  • Assurez-vous que le client utilise l’adresse et le numéro de port du nom d’hôte / IP correct qui lui permettra d’atteindre le serveur OpenVPN.
  • Si la machine du serveur OpenVPN est une boîte unique dans un LAN protégé, assurez-vous que vous utilisez une règle de transfert de port correct sur le pare-feu de la passerelle du serveur. Par exemple, supposons que votre boîte OpenVPN soit à 192.168.4.4 À l’intérieur du pare-feu, écouter les connexions du client sur le port UDP 1194. La passerelle NAT desserte le 192.168.4.X Subnet devrait avoir une règle de transfert de port qui dit Port UDP avant 1194 De mon adresse IP publique à 192.168.4.4.
  • Ouvrez le pare-feu du serveur pour autoriser les connexions entrantes au port UDP 1194 (ou quel que soit le port TCP / UDP que vous avez configuré dans le fichier de configuration du serveur).

  TLS: paquet initial de x.X.X.x: x, sid = xxxxxxxx xxxxxxxx

  Voir la FAQ pour des informations de dépannage supplémentaires.

  Configuration d’OpenVPN pour s’exécuter automatiquement sur le démarrage du système

  L’absence de normes dans ce domaine signifie que la plupart des Os ont une façon différente de configurer des démons / services pour Autostart sur Boot. La meilleure façon d’avoir cette fonctionnalité configurée par défaut est d’installer OpenVPN en tant que package, comme via RPM sur Linux ou en utilisant le programme d’installation de Windows.

  Linux

  Si vous installez OpenVPN via un package RPM ou DEB sur Linux, l’installateur configurera un INITScript. Lorsqu’il est exécuté, l’INITScript scannera .confli Fichiers de configuration dans / etc / openvpn, Et si vous êtes trouvé, je vais démarrer un démon OpenVPN séparé pour chaque fichier.

  les fenêtres

  Le programme d’installation de Windows configurera un wrapper de service, mais laissez-le désactiver par défaut. Pour l’activer, accédez à des outils / services administratifs de configuration, sélectionnez le service OpenVPN, cliquez avec le bouton droit sur les propriétés et définissez le type de démarrage sur automatique. Cela configurera le service pour démarrer automatiquement sur le prochain redémarrage.

  Au début, l’emballage de service OpenVPN scannera le \ Program Files \ openvpn \ config dossier .OVPN Fichiers de configuration, en démarrant un processus OpenVPN distinct sur chaque fichier.

  Contrôlant un processus OpenVPN en cours d’exécution

  Courir sur Linux / BSD / UNIX

  OpenVPN accepte plusieurs signaux:

  • Sigusr1 — Redémarrage conditionnel, conçu pour redémarrer sans privilèges racinaires
  • Faire un coup de pouce — Redémarrer dur
  • Sigusr2 — Statistiques de connexion de sortie dans le fichier journal ou Syslog
  • Sigterm, Sigint — Sortie

  Utilisez le writepid Directive pour écrire le PID du Daemon OpenVPN dans un fichier, afin que vous sachiez où envoyer le signal (si vous démarrez OpenVPN avec un INITScript, Le script peut déjà passer un –writepid directive sur le openvpn ligne de commande).

  Faire fonctionner sur Windows comme une interface graphique

  Exécution dans une fenêtre d’invite de commande Windows

  Sur Windows, vous pouvez démarrer OpenVPN en cliquant avec le bouton droit sur un fichier de configuration OpenVPN (.OVPN fichier) et sélectionner “Démarrer OpenVPN sur ce fichier de configuration”.

  Une fois en cours d’exécution de cette manière, plusieurs commandes de clavier sont disponibles:

  • F1 — Redémarrage conditionnel (ne ferme / rouvrir pas l’adaptateur de robinet)
  • F2 — Afficher les statistiques de connexion
  • F3 — Redémarrer dur
  • F4 — Sortie

  Exécution en tant que service Windows

  Lorsque OpenVPN est démarré en tant que service sur Windows, la seule façon de le contrôler est:

  • Via le gestionnaire de services de service (panneau de configuration / outils / services administratifs) qui donne un contrôle de démarrage / arrêt.
  • Via l’interface de gestion (voir ci-dessous).

  Modification d’une configuration de serveur en direct

  Bien que la plupart des modifications de configuration vous obligent à redémarrer le serveur, il existe deux directives en particulier qui se réfèrent à des fichiers qui peuvent être mis à jour dynamiquement à la volée et qui prendra effet immédiat sur le serveur sans avoir à redémarrer le processus du serveur.

  client-config-di — Cette directive définit un répertoire de configuration client, que le serveur OpenVPN scannera sur chaque connexion entrante, en recherchant un fichier de configuration spécifique au client (voir la page manuelle pour plus d’informations). Les fichiers de ce répertoire peuvent être mis à jour à la volée, sans redémarrer le serveur. Notez que les changements dans ce répertoire ne prendront effet que pour de nouvelles connexions, et non des connexions existantes. Si vous souhaitez qu’un changement de fichier de configuration spécifique au client prenne immédiatement un client actuellement connecté (ou qui s’est déconnecté, mais lorsque le serveur n’a pas chronométré son objet d’instance), tuez l’objet d’instance client en utilisant la gestion interface (décrite ci-dessous). Cela amènera le client à se reconnecter et à utiliser le nouveau client-config-di déposer.

  CRL-Verifier — Cette directive nomme un Liste de révocation du certificat dossier, décrit ci-dessous dans la section des certificats de révocation. Le fichier CRL peut être modifié à la volée et les modifications prendront effet immédiatement pour de nouvelles connexions, ou des connexions existantes qui renégocatient leur canal SSL / TLS (se produit une fois par heure par défaut). Si vous souhaitez tuer un client actuellement connecté dont le certificat vient d’être ajouté au CRL, utilisez l’interface de gestion (décrite ci-dessous).

  Fichier d’état

  Le serveur par défaut.Le fichier conf, a une ligne

  statut openvpn-statut.enregistrer

  qui publiera une liste des connexions clients actuelles au fichier OpenVPN-Status.enregistrer une fois par minute.

  Utilisation de l’interface de gestion

  L’interface OpenVPN Management permet un grand contrôle sur un processus OpenVPN en cours d’exécution. Vous pouvez utiliser l’interface de gestion directement, par Telneting vers le port d’interface de gestion, ou indirectement en utilisant une interface graphique OpenVPN qui se connecte elle-même à l’interface de gestion.

  Pour activer l’interface de gestion sur un serveur ou un client OpenVPN, ajoutez-le au fichier de configuration:

  gestion localhost 7505

  Cela indique à OpenVPN d’écouter sur TCP Port 7505 pour les clients de l’interface de gestion (le port 7505 est un choix arbitraire – vous pouvez utiliser n’importe quel port libre).

  Une fois OpenVPN en cours d’exécution, vous pouvez vous connecter à l’interface de gestion à l’aide d’un telnet client. Par exemple:

  AI: ~ # telnet localhost 7505 Trysing 127.0.0.1. Connecté à localhost. Le caractère d'échappement est '^]'. > Info: Interface de gestion OpenVPN Version 1 - Tapez «Aide» pour plus d'informations Interface de gestion d'aide pour OpenVPN 2.0). Exit | Quit: Fermer la session de gestion. Aide: imprimez ce message. Hold [ON | OFF | Release]: Set / Show Hold Indicateur à l'état ON / OFF, ou relâchez le Hold Current et Démarrez le tunnel. Tuez CN: Tuez les instances du client ayant un nom commun CN. Tuez IP: Port: Tuez l'instance client Connexion à partir de IP: Port. se connecter [sur | off] [n | tout]: activer / désactiver l'affichage du journal en temps réel + afficher les dernières lignes ou «tout» pour toute l'historique. muet [n]: régler le niveau de la muet du log sur n, ou afficher le niveau si n est absent. net: (Windows uniquement) Afficher les informations réseau et la table de routage. Type de mot de passe P: entrez le mot de passe p pour un mot de passe OpenVPN interrogé. Signal S: Envoyer le signal S à Daemon, S = SHIPUP | SIGTERM | SIGUSR1 | SIGUSR2. état [sur | off] [n | all]: comme log, mais afficher l'historique de l'État. statut [n]: afficher les informations actuelles sur l'état du démon à l'aide du format #N. test n: produire n lignes de sortie pour les tests / débogage. Nom d'utilisateur Type U: Entrez le nom d'utilisateur U pour un nom d'utilisateur OpenVPN interrogé. verbe [n]: définissez le niveau de verbosité du journal sur n, ou montrez si n est absent. Version: Afficher le numéro de version actuelle. Connexion de sortie finale fermée par l'hôte étranger. ai: ~ #

  Élargir la portée du VPN pour inclure des machines supplémentaires sur le sous-réseau client ou serveur.

  Y compris plusieurs machines du côté serveur lors de l’utilisation d’un VPN acheminé (Dev Tun)

  Une fois que le VPN est opérationnel d’une capacité point à point entre le client et le serveur, il peut être souhaitable d’étendre la portée du VPN afin que les clients puissent atteindre plusieurs machines sur le réseau de serveurs, plutôt que uniquement la machine serveur elle-même.

  Aux fins de cet exemple, nous supposerons que le LAN côté serveur utilise un sous-réseau de dix.66.0.0/24Et le pool d’adresses IP VPN utilise dix.8.0.0/24 comme cité dans le serveur Directive dans le fichier de configuration du serveur OpenVPN.

  Premièrement, tu dois afficher le dix.66.0.0/24 Sous-réseau des clients VPN comme étant accessibles via le VPN. Cela peut facilement être fait avec la directive de fichiers de configuration côté serveur suivant:

  Poussez "Route 10.66.0.0 255.255.255.0 "

  Ensuite, vous devez configurer un itinéraire sur la passerelle LAN côté serveur pour acheminer le sous-réseau client VPN (dix.8.0.0/24) au serveur OpenVPN (ce n’est nécessaire que si le serveur OpenVPN et la passerelle LAN sont des machines différentes).

  Assurez-vous que vous avez activé le transfert IP et TUN / Tap sur la machine Server OpenVPN.

  Y compris plusieurs machines côté serveur lors de l’utilisation d’un VPN ponté (TAP DEV)

  L’un des avantages de l’utilisation du pontage Ethernet est que vous l’obtenez gratuitement sans avoir besoin de configuration supplémentaire.

  Y compris plusieurs machines du côté client lors de l’utilisation d’un VPN acheminé (Dev Tun)

  Dans un scénario d’accès routier ou à distance typique, la machine client se connecte au VPN en tant que machine unique. Mais supposons que la machine client est une passerelle pour un LAN local (comme un bureau à domicile), et que vous souhaitez que chaque machine sur le LAN client puisse acheminer le VPN.

  Pour cet exemple, nous supposerons que le Client LAN utilise le 192.168.4.0/24 sous-réseau, et que le client VPN utilise un certificat avec un nom commun de client2. Notre objectif est de configurer le VPN afin que toute machine sur le LAN client puisse communiquer avec n’importe quelle machine sur le LAN du serveur via le VPN.

  Avant la configuration, il y a certaines conditions de base qui doivent être suivies:

  • Le sous-réseau Client LAN (192.168.4.0/24 dans notre exemple) ne doit pas être exporté vers le VPN par le serveur ou tout autre site client qui utilise le même sous-réseau. Chaque sous-réseau qui est joint au VPN via le routage doit être unique.
  • Le client doit avoir un nom commun unique dans son certificat (“Client2” dans notre exemple) et le en double-cn L’indicateur ne doit pas être utilisé dans le fichier de configuration du serveur OpenVPN.

  Tout d’abord, assurez-vous que le transfert IP et TUN / TAP est activé sur la machine client.

  Ensuite, nous traiterons les modifications de configuration nécessaires du côté serveur. Si le fichier de configuration du serveur ne fait actuellement pas référence à un répertoire de configuration client, ajoutez-en un maintenant:

  CCAD-Config-Dir CCD

  Dans la directive ci-dessus, CCRC devrait être le nom d’un répertoire qui a été pré-créé dans le répertoire par défaut où le démon du serveur OpenVPN s’exécute. Sur Linux, cela a tendance à être / etc / openvpn Et sur les fenêtres, c’est généralement \ Program Files \ openvpn \ config. Lorsqu’un nouveau client se connecte au serveur OpenVPN, le démon vérifiera ce répertoire pour un fichier qui correspond au nom commun du client de connexion. Si un fichier correspondant est trouvé, il sera lu et traité pour que des directives de fichiers de configuration supplémentaires soient appliquées au client nommé.

  L’étape suivante consiste à créer un fichier appelé client2 dans le CCRC annuaire. Ce fichier doit contenir la ligne:

  IROUTE 192.168.4.0 255.255.255.0

  Cela indiquera au serveur OpenVPN que le 192.168.4.Le sous-réseau 0/24 doit être acheminé vers client2.

  Ensuite, ajoutez la ligne suivante au fichier de configuration du serveur principal (pas le CCD / Client2 déposer):

  Route 192.168.4.0 255.255.255.0

  Pourquoi le redondant itinéraire et IROUTE déclarations, vous pourriez demander? La raison en est que itinéraire contrôle le routage du noyau vers le serveur OpenVPN (via l’interface TUN) tandis que IROUTE Contrôle le routage depuis le serveur OpenVPN vers les clients distants. Les deux sont nécessaires.

  Ensuite, demandez-vous si vous souhaitez autoriser le trafic réseau entre le sous-réseau de Client2 (192.168.4.0/24) et d’autres clients du serveur OpenVPN. Si c’est le cas, ajoutez ce qui suit au fichier de configuration du serveur.

  Client à Client Push "Route 192.168.4.0 255.255.255.0 "

  Cela entraînera le serveur OpenVPN afficher Sous-réseau du client2 à d’autres clients connectés.

  La dernière étape, et qui est souvent oubliée, est d’ajouter une route à la passerelle LAN du serveur qui dirige 192.168.4.0/24 à la boîte de serveur OpenVPN (vous n’aurez pas besoin de cela si la boîte de serveur OpenVPN est la passerelle pour le serveur LAN). Supposons que vous manquiez cette étape et que vous ayez essayé de faire un ping une machine (pas le serveur OpenVPN lui-même) sur le LAN du serveur à partir de 192.168.4.8? Le ping sortant atteindrait probablement la machine, mais il ne saurait pas comment acheminer la réponse ping, car il ne serait pas possible comment atteindre 192.168.4.0/24. La règle de base à utiliser est que lorsque vous acheminez des Lans entiers via le VPN (lorsque le serveur VPN n’est pas la même machine que la passerelle LAN), assurez-vous que la passerelle pour le LAN achemine tous les sous-réseaux VPN à la machine VPN Server VPN.

  De même, si la machine client exécutant OpenVPN n’est pas également la passerelle du CLIENT LAN, alors la passerelle du LAN client doit avoir un itinéraire qui dirige tous les sous-réseaux qui doivent être accessibles via le VPN à la machine client OpenVPN.

  Y compris plusieurs machines du côté client lors de l’utilisation d’un VPN ponté (TAP DEV)

  Cela nécessite une configuration plus complexe (peut-être pas plus complexe dans la pratique, mais plus compliquée à expliquer en détail):

  • Vous devez combler l’interface du client Tap avec la carte réseau connectée au LAN sur le client.
  • Vous devez définir manuellement le masque IP / NET de l’interface TAP sur le client.
  • Vous devez configurer les machines côté client pour utiliser un masque IP / net qui se trouve à l’intérieur du sous-réseau ponté, éventuellement en interrogeant un serveur DHCP du côté serveur OpenVPN du VPN.

  Pousser les options DHCP aux clients

  Le serveur OpenVPN peut appuyer sur des options DHCP telles que DNS et gagne les adresses du serveur aux clients (certaines mises en garde à connaître). Les clients Windows peuvent accepter les options DHCP poussées nativement, tandis que les clients non Windows peuvent les accepter en utilisant un client en haut script qui analyse le Foreign_option_nListe des variables environnementales. Voir la page de l’homme pour les non-fenêtres Foreign_option_n Documentation et exemples de script.

  Par exemple, supposons que vous aimeriez connecter les clients pour utiliser un serveur DNS interne à 10.66.0.4 ou 10.66.0.5 et un serveur gagne à 10.66.0.8. Ajoutez ceci à la configuration du serveur OpenVPN:

  Pousser "DNS-Option DNS 10.66.0.4 "push" dhcp-option dns 10.66.0.5 "Push" DHCP-Option gagne 10.66.0.8 "

  Pour tester cette fonctionnalité sur Windows, exécutez ce qui suit à partir d’une fenêtre d’invite de commande après que la machine s’est connectée à un serveur OpenVPN:

  ipconfig / all

  L’entrée de l’adaptateur Tap-Windows doit afficher les options DHCP qui ont été poussées par le serveur.

  Configuration des règles et des politiques d’accès spécifiques au client

  Supposons que nous créons un VPN d’entreprise et que nous aimerions établir des politiques d’accès distinctes pour 3 classes différentes d’utilisateurs:

  • Administrateurs système — Accès complet à toutes les machines du réseau
  • Employés — Accès uniquement au serveur de samba / e-mail
  • Entrepreneurs — Accès à un serveur spécial uniquement

  L’approche de base que nous allons adopter est (a) de séparer chaque classe d’utilisateurs dans sa propre plage d’adresses IP virtuelle, et (b) de contrôler l’accès aux machines en configurant les règles de pare-feu qui saisissent l’adresse IP virtuelle du client.

  Dans notre exemple, supposons que nous ayons un nombre variable d’employés, mais un seul administrateur système et deux entrepreneurs. Notre approche d’allocation IP sera de mettre tous les employés dans un pool d’adresses IP, puis d’attribuer des adresses IP fixes pour l’administrateur système et les entrepreneurs.

  Notez que l’une des conditions préalables de cet exemple est que vous avez un pare-feu logiciel en cours d’exécution sur la machine à serveur OpenVPN qui vous donne la possibilité de définir des règles de pare-feu spécifiques. Pour notre exemple, nous supposerons que le pare-feu est Linux iptables.

  Tout d’abord, créons une carte d’adresse IP virtuelle en fonction de la classe utilisateur:

  Classe	Gamme IP virtuelle	Accès LAN autorisé	Noms communs
  Employés	dix.8.0.0/24	Samba / serveur de messagerie à 10.66.4.4	[variable]
  Administrateurs système	dix.8.1.0/24	Entier 10.66.4.Sous-réseau 0/24	sysadmin1
  Entrepreneurs	dix.8.2.0/24	Serveur d’entrepreneur à 10.66.4.12	Contractor1, Contracter2

  Ensuite, traduisons cette carte en une configuration de serveur OpenVPN. Tout d’abord, assurez-vous que vous avez suivi les étapes ci-dessus pour faire le 10.66.4.Sous-réseau 0/24 disponible pour tous les clients (tandis que nous configurerons le routage pour permettre au client d’accéder à l’ensemble des 10.66.4.Sous-réseau 0/24, nous imposerons ensuite des restrictions d’accès à l’aide de règles de pare-feu pour mettre en œuvre le tableau de stratégie ci-dessus).

  Tout d’abord, définissez un numéro d’unité statique pour notre tonneau Interface, afin que nous puissions y faire référence plus tard dans nos règles de pare-feu:

  Dev Tun0

  Dans le fichier de configuration du serveur, définissez le pool d’adresses IP de l’employé:

  serveur 10.8.0.0 255.255.255.0

  Ajouter des itinéraires pour l’administrateur système et les gammes IP de l’entrepreneur:

  Route 10.8.1.0 255.255.255.0 Route 10.8.2.0 255.255.255.0

  Parce que nous attribuerons des adresses IP fixes pour des administrateurs système et des entrepreneurs spécifiques, nous utiliserons un répertoire de configuration du client:

  CCAD-Config-Dir CCD

  Placez maintenant les fichiers de configuration spéciaux dans le CCRC subdirection pour définir l’adresse IP fixe pour chaque client VPN non employé.

  CCD / Sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2

  CCD / Contractor1

  ifconfig-push 10.8.2.1 10.8.2.2

  CCD / Contractor2

  ifconfig-push 10.8.2.5 10.8.2.6

  Chaque paire de ifconfig-push Les adresses représentent le client virtuel et les points de terminaison IP du serveur. Ils doivent être prélevés sur les sous-réseaux successifs / 30 afin d’être compatibles avec les clients Windows et le pilote de Tap-Windows. Plus précisément, le dernier octet de l’adresse IP de chaque paire de points de terminaison doit être tiré de cet ensemble:

  [1, 2] [5, 6] [9, 10] [13, 14] [17, 18] [21, 22] [25, 26] [29, 30] [33, 34] [37, 38] [41, 42] [45, 46] [49, 50] [53, 54] [57, 58] [61, 62] [65, 66] [69, 70] [73, 74] [77, 78] [81, 82] [85, 86] [89, 90] [93, 94] [97, 98] [101,102] [105,106] [109,110] [113,114] [117,118] [121,122] [125,126] [129,130] [ 133,134] [137,138] [141 142] [145,146] [149,150] [153,154] [157,158] [161,162] [165,166] [169,170] [173,174] [177,178] [181,182] [185,186] [1898] 94] [197,198] [201 202] [205,206] [209,210] [213,214] [217,218] [221,222] [225 226] [229,230] [233,234] [237,238] [241,242] [245,246] [249,250] [253,254]

  Cela complète la configuration OpenVPN. La dernière étape consiste à ajouter des règles de pare-feu pour finaliser la politique d’accès. Pour cet exemple, nous utiliserons les règles de pare-feu dans le Linux iptables syntaxe:

  # Règle des employés iptables -a avant -i tun0 -s 10.8.0.0/24 -D 10.66.4.4 -J Accepter # Sysadmin Rule Iptables -a Forward -i Tun0 -S 10.8.1.0/24 -D 10.66.4.0/24 -J Accepter # Règle de l'entrepreneur iptables -a avant -i tun0 -s 10.8.2.0/24 -D 10.66.4.12 -J accepter

  En utilisant des méthodes d’authentification alternatives

  Openvpn 2.0 et ultérieurement inclure une fonctionnalité qui permet au serveur OpenVPN d’obtenir en toute sécurité un nom d’utilisateur et un mot de passe à un client de connexion, et d’utiliser ces informations comme base pour authentifier le client.

  Pour utiliser cette méthode d’authentification, ajoutez d’abord le Auth-user-pass Directive à la configuration du client. Il ordonnera au client OpenVPN de demander à l’utilisateur un nom d’utilisateur / mot de passe, en le transmettant au serveur sur le canal TLS sécurisé.

  Ensuite, configurez le serveur pour utiliser un plugin d’authentification, qui peut être un script, un objet partagé ou une DLL. Le serveur OpenVPN appellera le plugin chaque fois qu’un client VPN essaie de se connecter, en le passant le nom d’utilisateur / mot de passe entré sur le client. Le plugin d’authentification peut contrôler si le serveur OpenVPN permet ou non au client de se connecter en renvoyant une défaillance (1) ou un succès (0).

  Utilisation des plugins de script

  Les plugins de script peuvent être utilisés en ajoutant le Auth-user-pass-verify Directive dans le fichier de configuration côté serveur. Par exemple:

  auth-user-pass-verify auth-pam.pl via-fichier

  utilisera le auth-pam.PL Script Perl pour authentifier le nom d’utilisateur / mot de passe de la connexion des clients. Voir la description de Auth-user-pass-verify dans la page manuelle pour plus d’informations.

  Le auth-pam.PL Le script est inclus dans la distribution de fichiers source OpenVPN dans le échantillonssous-répertoire. Il authentifiera les utilisateurs sur un serveur Linux à l’aide d’un module d’authentification PAM, qui pourrait à son tour implémenter le mot de passe de l’ombre, le rayon ou l’authentification LDAP. auth-pam.PL est principalement destiné à des fins de démonstration. Pour l’authentification PAM du monde réel, utilisez le openvpn-Auth-pamPlugin d’objet partagé décrit ci-dessous.

  En utilisant des plugins d’objet ou de DLL partagé

  Les plugins d’objet ou de DLL partagés sont généralement compilés des modules C qui sont chargés par le serveur OpenVPN au moment de l’exécution. Par exemple, si vous utilisez un package OpenVPN OpenVPN basé sur RPM sur Linux, le openvpn-Auth-pam Le plugin doit déjà être construit. Pour l’utiliser, ajoutez-le au fichier de configuration côté serveur:

  plugin / usr / share / openvpn / plugin / lib / openvpn-Auth-pam.So Connexion

  Cela indiquera au serveur OpenVPN de valider le nom d’utilisateur / mot de passe entré par les clients à l’aide du se connecterModule PAM.

  Pour une utilisation de la production du monde réel, il est préférable d’utiliser le openvpn-Auth-pam plugin, car il présente plusieurs avantages par rapport auth-pam.PL scénario:

  • L’objet partagé openvpn-Auth-pam Le plugin utilise un modèle d’exécution à privile divisé pour une meilleure sécurité. Cela signifie que le serveur OpenVPN peut fonctionner avec des privilèges réduits en utilisant les directives utilisateur personne, groupe personne, et chroot, et sera toujours en mesure de s’authentifier contre le fichier de mot de passe d’ombre à relier racine uniquement.
  • OpenVPN peut passer le nom d’utilisateur / mot de passe à un plugin via une mémoire virtuelle, plutôt que via un fichier ou l’environnement, ce qui est mieux pour la sécurité locale sur la machine du serveur.
  • Les modules de plugin compilés en C fonctionnent généralement plus rapidement que les scripts.

  Si vous souhaitez plus d’informations sur le développement de vos propres plugins pour une utilisation avec OpenVPN, consultez le Réadmettre fichiers dans le brancher Sous-direction de la distribution de source OpenVPN.

  Pour construire le openvpn-Auth-pam Plugin sur Linux, CD au plugin / auth-pam Répertoire dans la distribution de source OpenVPN et exécuter faire.

  Utiliser l’authentification du nom d’utilisateur / mot de passe comme seule forme d’authentification client

  Par défaut, en utilisant Auth-user-pass-verify ou un nom d’utilisateur / vérification de mot de passe brancher sur le serveur permettra une double authentification, exigeant que le client-certificat et l’authentification du nom d’utilisateur / mot de passe réussissent pour que le client soit authentifié.

  Bien qu’il soit découragé d’un point de vue de la sécurité, il est également possible de désactiver l’utilisation des certificats clients et de forcer l’authentification du nom d’utilisateur / mot de passe uniquement. Sur le serveur:

  client-certe-non-requis

  De telles configurations doivent généralement être définies:

  nom d'utilisateur comme nom

  qui dira au serveur d’utiliser le nom d’utilisateur à des fins d’indexation car il utiliserait le nom commun d’un client qui s’authentifie via un certificat client.

  Noter que client-certe-non-requis n’évitera pas la nécessité d’un certificat de serveur, donc un client se connectant à un serveur qui utilise client-certe-non-requis peut supprimer le certificat et clé directives du fichier de configuration du client, mais pas le Californie directive, car il est nécessaire que le client vérifie le certificat de serveur.

  Comment ajouter une authentification à double facteur à une configuration OpenVPN à l’aide de cartes à puce côté client

  • Sur l’authentification à double facteur
  • Qu’est-ce que PKCS # 11?
  • Trouver PKCS # 11 Bibliothèque du fournisseur.
  • Comment configurer un jeton cryptographique
  • Comment modifier une configuration OpenVPN pour utiliser les jetons cryptographiques
    • Déterminez l’objet correct.
    • Utilisation d’OpenVPN avec PKCS # 11.
    • PKCS # 11 Considérations de mise en œuvre.
    • OpenC PKCS # 11 Provider.

    Sur l’authentification à double facteur

    L’authentification à double facteur est une méthode d’authentification qui combine deux éléments: quelque chose que vous avez et quelque chose que vous savez.

    Quelque chose que vous avez devrait être un appareil qui ne peut pas être dupliqué; Un tel appareil peut être un jeton cryptographique qui contient une clé secrète privée. Cette clé privée est générée à l’intérieur de l’appareil et ne la quitte jamais. Si un utilisateur possédant ce jeton tente d’accéder à des services protégés sur un réseau distant, le processus d’autorisation qui accorde ou nie l’accès au réseau peut établir, avec un haut degré de certitude, que l’utilisateur qui cherche l’accès est en possession physique d’un jeton certifié connu et certifié.

    Quelque chose que vous savez peut être un mot de passe présenté à l’appareil cryptographique. Sans présenter le mot de passe approprié, vous ne pouvez pas accéder à la clé secrète privée. Une autre caractéristique des appareils cryptographiques est d’interdire l’utilisation de la clé secrète privée si le mauvais mot de passe avait été présenté plus qu’un nombre autorisé de fois. Ce comportement garantit que si un utilisateur perdait son appareil, il serait impossible pour une autre personne de l’utiliser.

    Les appareils cryptographiques sont communément appelés “cartes à puce” ou “jetons” et sont utilisés en conjonction avec un PKI (Infrastructure de clé publique). Le serveur VPN peut examiner un x.509 Certificat et vérifiez que l’utilisateur détient la clé secrète privée correspondante. Étant donné que l’appareil ne peut pas être dupliqué et nécessite un mot de passe valide, le serveur est capable d’authentifier l’utilisateur avec un haut degré de confiance.

    L’authentification à double facteur est beaucoup plus forte que l’authentification basée sur le mot de passe, car dans le pire des cas, une seule personne peut utiliser le jeton cryptographique. Les mots de passe peuvent être devinés et peuvent être exposés à d’autres utilisateurs.

    Si vous stockez la clé privée secrète dans un fichier, la clé est généralement chiffrée par un mot de passe. Le problème avec cette approche est que la clé cryptée est exposée à des attaques de décryptage ou à des logiciels espions / logiciels malveillants sur la machine client. Contrairement à l’utilisation d’un appareil cryptographique, le fichier ne peut pas se effacer automatiquement après plusieurs tentatives de décryptage échoué.

    Qu’est-ce que PKCS # 11?

    Cette norme spécifie une API, appelée Cryptoki, vers des appareils qui détiennent des informations cryptographiques et effectuent des fonctions cryptographiques. Cryptoki, prononcé “crypto-key” et abréviation de l’interface de jeton cryptographique, suit une approche simple basée sur des objets, s’attaquant aux objectifs de l’indépendance de la technologie (tout type d’appareil) et au partage de ressources (plusieurs applications accédant à plusieurs appareils), présentant aux applications une application une application a des applications Vue commune et logique de l’appareil appelé jeton cryptographique.

    Pour résumer, PKCS # 11 est une norme qui peut être utilisée par le logiciel d’application pour accéder aux jetons cryptographiques tels que les cartes à puce et autres appareils. La plupart des fournisseurs d’appareils fournissent une bibliothèque qui implémente l’interface du fournisseur PKCS # 11 – cette bibliothèque peut être utilisée par des applications afin d’accéder à ces appareils. PKCS # 11 est une norme libre indépendante de la plate-plateforme, indépendante des fournisseurs.

    Trouver PKCS # 11 Bibliothèque du fournisseur

    La première chose que vous devez faire est de trouver la bibliothèque du fournisseur, elle doit être installée avec les pilotes de l’appareil. Chaque fournisseur a sa propre bibliothèque. Par exemple, le fournisseur OpenC PKCS # 11 est situé sur / usr / lib / pkcs11 / opensc-pkcs11.Donc sur Unix ou sur OpenCSC-PKCS11.DLL sous Windows.

    Comment configurer le jeton cryptographique

    Vous devez suivre une procédure d’inscription:

    • Initialiser le jeton PKCS # 11.
    • Générer une paire de clés RSA sur le jeton PKCS # 11.
    • Créer une demande de certificat en fonction de la paire de clés, vous pouvez utiliser OpenSC et OpenSSL pour ce faire.
    • Soumettez la demande de certificat à une autorité de certificat et recevez un certificat.
    • Chargez le certificat sur le jeton, tout en notant que les attributs d’identification et d’étiquette du certificat doivent correspondre à ceux de la clé privée.

    Un jeton configuré est un jeton qui a un objet de clé privé et un objet de certificat, où les deux partagent le même ID et les mêmes attributs d’étiquette.

    Un utilitaire d’inscription simple est facile-RSA 2.0 qui fait partie de l’OpenVPN 2.1 séries. Suivez les instructions spécifiées dans le fichier ReadMe, puis utilisez le pkitool afin de vous inscrire.

    Initialisez un jeton à l’aide de la commande suivante:

    $ ./ pkitool --pkcs11-slots / usr / lib / pkcs11 / $ ./ pkitool --pkcs11-initi / usr / lib / pkcs11 /

    Inscrivez un certificat en utilisant la commande suivante:

    $ ./ pkitool --pkcs11 / usr / lib / pkcs11 / Client1 

    Comment modifier une configuration OpenVPN pour utiliser les jetons cryptographiques

    Vous devriez avoir openvpn 2.1 ou plus afin d’utiliser les fonctionnalités PKCS # 11.

    Déterminez l’objet correct

    Chaque fournisseur PKCS # 11 peut prendre en charge plusieurs appareils. Afin d’afficher la liste d’objets disponibles, vous pouvez utiliser la commande suivante:

    $ openvpn --show-pkcs11-ids / usr / lib / pkcs11 / Les objets suivants sont disponibles pour une utilisation. Chaque objet illustré ci-dessous peut être utilisé comme paramètre pour - PKCS11-ID Option Veuillez n'oublier pas d'utiliser une marque de devis unique. Certificat DN: / CN = User1 Serial: 490B82C4000000000075 ID sérialisé: AAAA / BBB / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600

    Chaque paire de certificats / clés privées a une chaîne unique “sérialisé ID”. La chaîne d’ID sérialisée du certificat demandé doit être spécifié pour le PKCS11-ID option utilisant des marques de devis unique.

    PKCS11-ID 'AAAA / BBB / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600' 

    Utilisation d’OpenVPN avec PKCS # 11

    Un ensemble typique d’options OpenVPN pour PKCS # 11

    PKCS11-PROVIDERS / USR / LIB / PKCS11 / PKCS11-ID 'AAAA / BBB / 41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600' 

    Cela sélectionnera l’objet qui correspond à la chaîne PKCS11-ID.

    Options OpenVPN avancées pour PKCS # 11

    PKCS11-Providers / USR / LIB / PKCS11 / Provider1.So / usr / lib / pkcs11 / provider2.SO PKCS11-ID 'AAAA / BBB / 41545F534947e415455524581D2A1A1B23C4AA4CB17FAF7A4600' PKCS11-PIN-CACHE 300 Daemon Auth-Retry NoInteract Management-Hold Management-Management 127.0.0.1 8888 Gestion-Quey-Passwords 

    Cela chargera deux fournisseurs dans OpenVPN, utilisez le certificat spécifié sur PKCS11-ID Option, et utilisez l’interface de gestion pour interroger les mots de passe. Le démon reprendra à l’état de la tenue de l’événement lorsque le jeton ne peut pas être accessible. Le jeton sera utilisé pendant 300 secondes, après quoi le mot de passe sera remis en question, la session se déconnectera si la session de gestion se déconnecte.

    PKCS # 11 Considérations de mise en œuvre

    De nombreux fournisseurs PKCS # 11 utilisent des threads, afin d’éviter les problèmes causés par la mise en œuvre de LinuxThreads (setuid, chroot), il est fortement recommandé de passer à la bibliothèque de threads POSIX native (NPTL) GLIBC si vous avez l’intention d’utiliser PKCS # 11.

    OpenC PKCS # 11 Provider

    OpenC PKCS # 11 Le fournisseur est situé à / usr / lib / pkcs11 / opensc-pkcs11.Donc sur Unix ou sur OpenCSC-PKCS11.DLL sous Windows.

    Différence entre PKCS # 11 et Microsoft Cryptographic API (CryptoAPI)

    PKCS # 11 est une norme indépendante du fournisseur multiplateforme gratuit. Cryptoapi est une API spécifique à Microsoft. La plupart des fournisseurs de cartes à puce prennent en charge les deux interfaces. Dans l’environnement Windows, l’utilisateur doit sélectionner l’interface à utiliser.

    L’implémentation actuelle d’OpenVPN qui utilise le MS CryptoAPI (cryptoapicert option) fonctionne bien tant que vous n’exécutez pas OpenVPN en tant que service. Si vous souhaitez exécuter OpenVPN dans un environnement administratif en utilisant un service, la mise en œuvre ne fonctionnera pas avec la plupart des cartes à puce pour les raisons suivantes:

    • La plupart des fournisseurs de cartes à puce ne chargent pas de certificats dans le magasin de machines local, donc l’implémentation ne sera pas en mesure d’accéder au certificat d’utilisateur.
    • Si le client OpenVPN s’exécute en tant que service sans interaction directe avec l’utilisateur final, le service ne peut pas interroger l’utilisateur pour fournir un mot de passe pour la carte à puce, provoquant l’échec du processus de vérification de mot de passe sur la carte à puce.

    En utilisant l’interface PKCS # 11, vous pouvez utiliser des cartes à puce avec OpenVPN dans n’importe quelle implémentation, car PKCS # 11 n’accède pas aux magasins Microsoft et ne nécessite pas nécessairement une interaction directe avec l’utilisateur final.

    Acheminer tout le trafic client (y compris le trafic Web) via le VPN

    Aperçu

    Par défaut, lorsqu’un client OpenVPN est actif, seul le trafic réseau vers et depuis le site du serveur OpenVPN passera par-dessus le VPN. La navigation Web générale, par exemple, sera accomplie avec des connexions directes qui contourneront le VPN.

    Dans certains cas, ce comportement peut ne pas être souhaitable – vous voudrez peut-être qu’un client VPN tunnelle tout le trafic réseau via le VPN, y compris la navigation sur le Web Internet général. Bien que ce type de configuration VPN exercera une pénalité de performance sur le client, il donne à l’administrateur VPN plus de contrôle sur les politiques de sécurité lorsqu’un client est simultanément connecté à la fois à Internet public et au VPN en même temps.

    Mise en œuvre

    Ajoutez la directive suivante au fichier de configuration du serveur:

    Poussez "Redirection-Gateway Def1"

    Si votre configuration VPN est sur un réseau sans fil, où tous les clients et le serveur sont sur le même sous-réseau sans fil, ajoutez le locale drapeau:

    Poussez "Redirection-Gateway Local Def1"

    Pousser le redirection L’option aux clients fera passer tous les trafics de réseau IP originaires des machines clients à traverser le serveur OpenVPN. Le serveur devra être configuré pour gérer ce trafic d’une manière ou d’une autre, par exemple en le notant sur Internet, ou en l’achetant via le proxy HTTP du site du serveur.

    Sur Linux, vous pouvez utiliser une commande comme celle-ci pour nat le trafic client VPN vers Internet:

    iptables -t nat -a postrouting -s 10.8.0.0/24 -o eth0 -j mascarade

    Cette commande suppose que le sous-réseau VPN est dix.8.0.0/24 (Tiré du serveur Directive dans la configuration du serveur OpenVPN) et que l’interface Ethernet locale est ETH0.

    Quand redirection est utilisé, les clients OpenVPN achemineront les requêtes DNS via le VPN, et le serveur VPN aura besoin de les gérer. Cela peut être accompli en poussant une adresse de serveur DNS à la connexion des clients qui remplacera leurs paramètres normaux du serveur DNS pendant le temps où le VPN est actif. Par exemple:

    Pousser "DNS-Option DNS 10.8.0.1"

    Configurera les clients Windows (ou les clients non Windows avec des scripts côté serveur supplémentaires) pour utiliser 10.8.0.1 en tant que serveur DNS. Toute adresse accessible des clients peut être utilisée comme adresse du serveur DNS.

    Mises en garde

    Rediriger tout le trafic réseau via le VPN n’est pas entièrement une proposition sans problème. Voici quelques gotchas typiques à connaître:

    • De nombreuses machines clients OpenVPN se connectant à Internet interagiront périodiquement avec un serveur DHCP pour renouveler leurs baux d’adresse IP. Le redirection L’option pourrait empêcher le client d’atteindre le serveur DHCP local (car les messages DHCP seraient acheminés sur le VPN), ce qui la faisait perdre son bail d’adresse IP.
    • Des problèmes existent en ce qui concerne la poussée des adresses DNS aux clients Windows.
    • Les performances de navigation sur le client seront visiblement plus lentes.

    Pour plus d’informations sur la mécanique du redirection directive, voir la page manuelle.

    Exécuter un serveur OpenVPN sur une adresse IP dynamique

    Alors que les clients OpenVPN peuvent facilement accéder au serveur via une adresse IP dynamique sans aucune configuration spéciale, les choses deviennent plus intéressantes lorsque le serveur lui-même est sur une adresse dynamique. Alors qu’OpenVPN n’a aucun mal à gérer la situation d’un serveur dynamique, une configuration supplémentaire est requise.

    La première étape consiste à obtenir une adresse DNS dynamique qui peut être configurée pour “suivre” le serveur chaque fois que l’adresse IP du serveur change. Il existe plusieurs fournisseurs de services DNS dynamiques disponibles, comme les dyndns.org.

    L’étape suivante consiste à configurer un mécanisme afin que chaque fois que l’adresse IP du serveur change, le nom DNS dynamique sera rapidement mis à jour avec la nouvelle adresse IP, permettant aux clients de trouver le serveur à sa nouvelle adresse IP. Il existe deux façons de base pour y parvenir:

    • Utilisez un appareil de routeur NAT avec un support DNS dynamique (comme le Linksys befsr41). La plupart des appareils de routeur NAT bon marché qui sont largement disponibles ont la capacité de mettre à jour un nom DNS dynamique chaque fois qu’un nouveau bail DHCP est obtenu à partir du FAI. Cette configuration est idéale lorsque la boîte de serveur OpenVPN est une machine unique à l’intérieur du pare-feu.
    • Utilisez une application client DNS dynamique telle que DDClient pour mettre à jour l’adresse DNS dynamique chaque fois que l’adresse IP du serveur change. Cette configuration est idéale lorsque la machine exécute OpenVPN a plusieurs NIC et agit comme un pare-feu / passerelle à l’échelle du site. Pour implémenter cette configuration, vous devez configurer un script pour être exécuté par votre logiciel client DHCP chaque fois qu’un changement d’adresse IP se produit. Ce script devrait (a) exécuter ddclientPour informer votre fournisseur DNS dynamique de votre nouvelle adresse IP et (b) redémarrer le démon du serveur OpenVPN.

    Le client OpenVPN, par défaut, sentira quand l’adresse IP du serveur a changé, si la configuration du client utilise un télécommande Directive qui fait référence à un nom DNS dynamique. La chaîne d’événements habituelle est que (a) le client OpenVPN ne reçoit pas les messages Keepalive en temps opportun de l’ancienne adresse IP du serveur, déclenchant un redémarrage, et (b) le redémarrage provoque le nom DNS dans le télécommande Directive à réinsonner, permettant au client de se reconnecter au serveur à sa nouvelle adresse IP.

    Plus d’informations peuvent être trouvées dans la FAQ.

    Connexion à un serveur OpenVPN via un proxy HTTP.

    OpenVPN prend en charge les connexions via un proxy HTTP, avec les modes d’authentification suivants:

    • Aucune authentification proxy
    • Authentification de base proxy
    • Authentification du proxy NTLM

    Tout d’abord, l’utilisation du proxy HTTP nécessite que vous utilisiez TCP comme protocole de transporteur de tunnels. Ajoutez donc ce qui suit aux configurations du client et du serveur:

    Proto TCP

    Assurez-vous que tout proto udp Les lignes des fichiers de configuration sont supprimées.

    Ensuite, ajoutez le http proxy Directive dans le fichier de configuration du client (voir la page manuelle pour une description complète de cette directive).

    Par exemple, supposons que vous ayez un serveur proxy HTTP sur le LAN client à 192.168.4.1, qui écoute les connexions sur le port 1080. Ajoutez ceci à la configuration du client:

    http-proxy 192.168.4.1 1080

    Supposons que le proxy HTTP nécessite une authentification de base:

    http-proxy 192.168.4.1 1080 Stdin Basic

    Supposons que le proxy HTTP nécessite une authentification NTLM:

    http-proxy 192.168.4.1 1080 stdin ntlm

    Les deux exemples d’authentification ci-dessus entraîneront OpenVPN pour inviter un nom d’utilisateur / mot de passe à partir de l’entrée standard. Si vous souhaitez plutôt placer ces informations d’identification dans un fichier, remplacez stdin avec un nom de fichier et placer le nom d’utilisateur sur la ligne 1 de ce fichier et le mot de passe sur la ligne 2.

    Connexion à une part de samba sur OpenVPN

    Cet exemple est prévu, montrez comment les clients OpenVPN peuvent se connecter à un partage de samba sur un routé Dev Tun tunnel. Si vous êtes Ethernet Bridging (tap du dev), vous n’avez probablement pas besoin de suivre ces instructions, car les clients OpenVPN devraient voir des machines côté serveur dans leur quartier de réseau.

    Pour cet exemple, nous supposerons que:

    • le LAN côté serveur utilise un sous-réseau de dix.66.0.0/24,
    • Le pool d’adresses IP VPN utilise dix.8.0.0/24 (comme cité dans le serveur Directive dans le fichier de configuration du serveur OpenVPN),
    • Le serveur Samba a une adresse IP de dix.66.0.4, et
    • Le serveur Samba a déjà été configuré et est accessible à partir du LAN local.

    Si les serveurs Samba et OpenVPN fonctionnent sur différentes machines, assurez-vous d’avoir suivi la section sur l’élargissement de la portée du VPN pour inclure des machines supplémentaires.

    Ensuite, modifiez votre fichier de configuration Samba (pME.confli). Assurez-vous que le Les hôtes permettent directive permettra aux clients OpenVPN provenant du dix.8.0.0/24 Sous-réseau pour se connecter. Par exemple:

    les hôtes permettent = 10.66.0.0/24 10.8.0.0/24 127.0.0.1

    Si vous exécutez les serveurs Samba et OpenVPN sur la même machine, vous voudrez peut-être modifier le interfaces directive dans le pME.confli fichier à écouter également sur le sous-réseau d’interface tun de dix.8.0.0/24:

    interfaces = 10.66.0.0/24 10.8.0.0/24

    Si vous exécutez les serveurs Samba et OpenVPN sur la même machine, connectez-vous à partir d’un client OpenVPN à un partage Samba en utilisant le nom du dossier:

    \\dix.8.0.1 \\ sharename

    Si les serveurs Samba et OpenVPN sont sur différentes machines, utilisez le nom du dossier:

    \\dix.66.0.4 \ Sharename

    Par exemple, à partir d’une fenêtre d’invite de commande:

    Utilisation nette z: \\ 10.66.0.4 \ sharename / utilisateur: myusername

    Implémentation d’une configuration d’équilibrage / basculement de charge

    Client

    La configuration du client OpenVPN peut se référer à plusieurs serveurs pour l’équilibrage et le basculement de chargement. Par exemple:

    serveur distant1.MyDomain Remote Server2.MyDomain Remote Server3.mydomain

    Amentira le client OpenVPN pour tenter une connexion avec Server1, Server2 et Server3 dans cet ordre. Si une connexion existante est rompue, le client OpenVPN réessayera le dernier serveur connecté et en cas d’échec, passera au prochain serveur de la liste. Vous pouvez également ordonner au client OpenVPN de randomiser sa liste de serveurs au démarrage, afin que la charge du client soit répandue de manière probabiliste dans le pool de serveurs.

    à distance

    Si vous souhaitez également que les échecs de résolution DNS fassent passer le client OpenVPN vers le prochain serveur de la liste, ajoutez ce qui suit:

    Résolv-retry 60

    Le 60 Le paramètre indique au client OpenVPN d’essayer de résoudre chacun télécommande Nom DNS pendant 60 secondes avant de passer au serveur suivant dans la liste.

    La liste des serveurs peut également se référer à plusieurs démons de serveur OpenVPN fonctionnant sur la même machine, chacun écoutant des connexions sur un port différent, par exemple:

    SMP-Server1 distant.MyDomain 8000 Remote SMP-Server1.MyDomain 8001 Remote SMP-Server2.MyDomain 8000 Remote SMP-Server2.mydomain 8001

    Si vos serveurs sont des machines multi-processeurs, exécuter plusieurs démons OpenVPN sur chaque serveur peut être avantageux du point de vue des performances.

    OpenVPN prend également en charge le télécommande directive se référant à un nom DNS qui a plusieurs UN Enregistrements dans la configuration de la zone pour le domaine. Dans ce cas, le client OpenVPN choisira au hasard l’un des UN enregistre chaque fois que le domaine est résolu.

    Serveur

    L’approche la plus simple d’une configuration équilibrée / basculement sur le serveur est d’utiliser des fichiers de configuration équivalents sur chaque serveur du cluster, sauf utiliser un autre pool d’adresses IP virtuelle pour chaque serveur. Par exemple:

    serveur1

    serveur 10.8.0.0 255.255.255.0

    serveur2

    serveur 10.8.1.0 255.255.255.0

    serveur3

    serveur 10.8.2.0 255.255.255.0

    Durcissant la sécurité OpenVPN

    L’une des maximes souvent répétées de la sécurité du réseau est que l’on ne doit jamais faire confiance à un seul composant de sécurité que son échec provoque une violation de sécurité catastrophique. OpenVPN fournit plusieurs mécanismes pour ajouter des couches de sécurité supplémentaires pour se cacher contre un tel résultat.

    TLS-AUTH

    Le TLS-AUTH La directive ajoute une signature HMAC supplémentaire à tous les paquets de poignée de main SSL / TLS pour la vérification de l’intégrité. Tout paquet UDP ne portant pas la signature HMAC correcte peut être supprimé sans autre traitement. Le TLS-AUTH HMAC Signature fournit un niveau de sécurité supplémentaire au-dessus et au-delà de celui fourni par SSL / TLS. Il peut protéger contre:

    • Attaques DOS ou inondation du port sur le port UDP OpenVPN.
    • Analyse des ports pour déterminer quels ports UDP du serveur sont dans un état d’écoute.
    • Vulnérabilités de débordement de tampon dans l’implémentation SSL / TLS.
    • Initiations de poignée de main SSL / TLS à partir de machines non autorisées (tandis que de telles poignées de main ne parviendraient pas à s’authentifier, TLS-AUTH peut les couper à un moment beaucoup plus tôt).

    En utilisant TLS-AUTH Exige que vous génériez une clé secret partagée qui est utilisée en plus du certificat / clé RSA standard:

    openvpn --genkey - secret ta.clé

    Cette commande générera une touche statique OpenVPN et l’écrira dans le fichier faire.clé. Cette clé doit être copiée sur un canal sécurisé préexistant vers le serveur et toutes les machines clients. Il peut être placé dans le même répertoire que le RSA .clé et .CRT des dossiers.

    Dans la configuration du serveur, ajoutez:

    TLS-AUTH TA.clé 0

    Dans la configuration du client, ajoutez:

    TLS-AUTH TA.clé 1

    proto udp

    Alors qu’OpenVPN permet d’utiliser le protocole TCP ou UDP comme connexion VPN Carrier, le protocole UDP offrira une meilleure protection contre les attaques DOS et le balayage de port que TCP:

    proto udp

    Utilisateur / groupe (non-fenêtres uniquement)

    OpenVPN a été très soigneusement conçu pour permettre la supprimer les privilèges racinaires après l’initialisation, et cette fonctionnalité doit toujours être utilisée sur Linux / BSD / Solaris. Sans privilèges racine, un démon de serveur OpenVPN exécutant fournit une cible beaucoup moins séduisante à un attaquant.

    utilisateur personne ne groupe personne

    Mode imprimé (Linux uniquement)

    Sur Linux OpenVPN peut être exécuté complètement sans privilégié. Cette configuration est un peu plus complexe, mais offre la meilleure sécurité.

    Afin de travailler avec cette configuration, OpenVPN doit être configuré pour utiliser l’interface IPROUTE, cela se fait en spécifiant –Enable-IpRoute2 pour configurer le script. Le package sudo devrait également être disponible sur votre système.

    Cette configuration utilise la capacité Linux pour modifier l’autorisation d’un périphérique TUN, afin que l’utilisateur non privilégié puisse y accéder. Il utilise également sudo afin d’exécuter iPrOUTE afin que les propriétés d’interface et la table de routage puissent être modifiés.

    • • Écrivez le script suivant et placez-le à: / usr / local / sbin / impriv-ip:

      #!/ bin / sh sudo / sbin / ip $ * 

      • • Exécutez Visudo et ajoutez les suivants pour permettre à l’utilisateur «User1» d’exécuter / sbin / ip:

        user1 all = (all) nopasswd: / sbin / ip

        Vous pouvez également activer un groupe d’utilisateurs avec la commande suivante:

        % utilisateurs tout = (tout) nopasswd: / sbin / ip

        • • Ajoutez ce qui suit à votre configuration OpenVPN:

          Dev Tunx / Tapx iProute / USR / Local / Sbin / UNPRIV-IP

          • Veuillez noter que vous devez sélectionner constant X et spécifier TUN ou appuyez sur les deux.
            • Au fur et à mesure que la racine ajoute une interface persistante et permettez à l’utilisateur et / ou au groupe de le gérer, les suivants créent Tunx (remplacer par le vôtre) et permettent aux utilisateurs de l’utilisateur et du groupe d’y accéder.

            openvpn --mktun --dv tunx --type tun - utilisateur user1 - utilisateurs de groupes

            • Exécutez OpenVPN dans le contexte de l’utilisateur non privilégié.

            D’autres contraintes de sécurité peuvent être ajoutées en examinant les paramètres du script / usr / local / sbin / impriv-ip.

            chroot (non-fenêtres uniquement)

            Le chroot La directive vous permet de verrouiller le démon OpenVPN dans un soi-disant prison, où le démon ne serait pas en mesure d’accéder à une partie du système de fichiers du système hôte, à l’exception du répertoire spécifique donné comme paramètre à la directive. Par exemple,

            prison

            provoquerait le cd de démon openvpn dans le prison subdirection sur l’initialisation, et réorienterait ensuite son système de fichiers racine à ce répertoire afin qu’il soit impossible par la suite pour que le démon accéde à tous les fichiers en dehors de prison et son sous-répertoire. Ceci est important du point de vue de la sécurité, car même si un attaquant pouvait compromettre le serveur avec un exploit d’insertion de code, l’exploit serait verrouillé de la plupart du système de fichiers du serveur.

            Mises en garde: parce que chroot réoriente le système de fichiers (du point de vue du démon uniquement), il est nécessaire de placer tous les fichiers dont OpenVPN pourrait avoir besoin après initialisation dans le prison Répertoire, comme:

            • le CRL-Verifier fichier, ou
            • le client-config-di annuaire.

            Clés RSA plus grandes

            La taille de la clé RSA est contrôlée par le Key_size variable dans le Easy-RSA / VARS fichier, qui doit être défini avant que toutes les clés ne soient générées. Actuellement réglé sur 1024 par défaut, cette valeur peut raisonnablement être augmentée à 2048 sans impact négatif sur les performances du tunnel VPN, à l’exception d’une poignée de main SSL / TLS à renégociation légèrement plus lente qui se produit une fois par client par heure, et une diffie à un temps beaucoup plus lente. Processus de génération des paramètres Hellman en utilisant le Easy-RSA / Build-DH scénario.

            Clés symétriques plus grandes

            Par défaut, OpenVPN utilise Flowfish, un chiffre symétrique 128 bits.

            OpenVPN prend automatiquement en charge tout chiffre qui est pris en charge par la bibliothèque OpenSSL, et en tant que tel peut prendre en charge les chiffres qui utilisent de grandes tailles de clés. Par exemple, la version 256 bits d’AES (Advanced Encryption Standard) peut être utilisée en ajoutant ce qui suit aux fichiers de configuration du serveur et du client:

            Cipher AES-256-CBC

            Gardez la clé racine (Californie.clé) sur une machine autonome sans connexion réseau

            L’un des avantages de sécurité de l’utilisation d’un PKI X509 (comme le fait OpenVPN) est que la clé Root CA (Californie.clé) n’a pas besoin d’être présent sur la machine du serveur OpenVPN. Dans un environnement de haute sécurité, vous voudrez peut-être désigner spécialement une machine à des fins de signature clé, de garder la machine bien protégée physiquement et de la déconnecter de tous les réseaux. Les disquettes peuvent être utilisées pour déplacer des fichiers clés dans les deux sens, si nécessaire. De telles mesures rendent extrêmement difficile pour un attaquant de voler la clé racine, à moins du vol physique de la machine à signature de clé.

            Révocation des certificats

            Révoquer un certificat signifie invalider un certificat précédemment signé afin qu’il ne puisse plus être utilisé à des fins d’authentification.

            Les raisons typiques de vouloir révoquer un certificat comprennent:

            • La clé privée associée au certificat est compromise ou volée.
            • L’utilisateur d’une clé privée cryptée oublie le mot de passe sur la clé.
            • Vous souhaitez résilier l’accès d’un utilisateur VPN.

            Exemple

            Par exemple, nous révoquerons le client2 Certificat, que nous avons généré ci-dessus dans la section “Génération de clés” du Howto.

            Ouvrez d’abord une fenêtre et un CD d’invite de coquille ou de commande dans le Easy-RSA Répertoire comme vous l’avez fait dans la section “Génération de clés” ci-dessus. Sur Linux / BSD / UNIX:

            . ./ VARS ./ revoke-full client2 

            VARS REVOKE-Full Client2 

            Vous devriez voir une sortie similaire à ceci:

            Utilisation de la configuration de / root / openvpn / 20 / openvpn / tmp / easy-rsa / openssl.CNF Debug [LOOD_INDEX]: UNIQUE_SUBject = "YES" Certificat de révocation 04. Base de données mise à jour à l'aide de la configuration à partir de / root / openvpn / 20 / openvpn / tmp / easy-rsa / openssl.CNF DEBUG [LOAD_INDEX]: UNIQUE_SUBject = "Oui" Client2.crt: / c = kg / st = na / o = openvpn-test / cn = client2 / emailaddress = me @ myhost.MyDomain Error 23 à 0 Lookup de profondeur: certificat révoqué

            Notez “l’erreur 23” dans la dernière ligne. C’est ce que vous voulez voir, car cela indique qu’une vérification du certificat du certificat révoqué a échoué.

            Le révoquer Le script générera un fichier CRL (Certificate Revocation List) appelé CRL.pem dans le cléssous-répertoire. Le fichier doit être copié dans un répertoire où le serveur OpenVPN peut y accéder, la vérification CRL doit être activée dans la configuration du serveur:

            CRL-Verify CRL.pem

            Maintenant, tous les clients connectés verront leurs certificats clients vérifiés contre le CRL, et toute correspondance positive entraînera la suppression de la connexion.

            Notes de CRL

            • Quand le CRL-Verifier L’option est utilisée dans OpenVPN, le fichier CRL sera relu chaque fois qu’un nouveau client se connecte ou un client existant renégocie la connexion SSL / TLS (par défaut une fois par heure). Cela signifie que vous pouvez mettre à jour le fichier CRL pendant que le démon du serveur OpenVPN est en cours d’exécution et que le nouveau CRL prenne effet immédiatement pour les clients nouvellement connectés. Si le client dont vous révoquez le certificat est déjà connecté, vous pouvez redémarrer le serveur via un signal (sigusr1 ou sighup) et rincer tous les clients, ou vous pouvez Telnet à l’interface de gestion et tuer explicitement l’objet d’instance client spécifique sur le serveur sans déranger Autres clients.
            • Tandis que le CRL-Verifier La directive peut être utilisée à la fois sur le serveur OpenVPN et les clients, il n’est généralement pas nécessaire de distribuer un fichier CRL aux clients à moins qu’un certificat de serveur n’ait été révoqué. Les clients n’ont pas besoin de connaître les autres certificats clients qui ont été révoqués parce que les clients ne devraient pas accepter les connexions directes des autres clients dans la première place.
            • Le fichier CRL n’est pas secret et doit être lié au monde pour que le démon OpenVPN puisse le lire après la suppression des privilèges racine.
            • Si vous utilisez le chrootDirective, assurez-vous de mettre une copie du fichier CRL dans le répertoire Chroot, car contrairement à la plupart des autres fichiers qu’OpenVPN se lit, le fichier CRL sera lu après l’exécution de l’appel de chroot, pas avant.
            • Une raison courante pour laquelle les certificats doivent être révoqués est que l’utilisateur crypte sa clé privée avec un mot de passe, puis oublie le mot de passe. En révoquant le certificat d’origine, il est possible de générer une nouvelle paire de certificat / clé avec le nom commun d’origine de l’utilisateur.

            Remarque importante sur une éventuelle attaque “man-in-the-middle” si les clients ne vérifient pas le certificat du serveur auquel ils se connectent.

            Pour éviter une éventuelle attaque d’homme dans le milieu où un client autorisé essaie de se connecter à un autre client en usurpant l’identité du serveur, assurez-vous d’appliquer une sorte de vérification du certificat du serveur par les clients. Il existe actuellement cinq façons différentes d’y parvenir, répertoriées dans l’ordre de préférence:

            [OpenVPN 2.1 et au-dessus]Créez vos certificats de serveur avec une utilisation de clé spécifique et une utilisation de clé étendue. Le RFC3280 détermine que les attributs suivants doivent être fournis pour les connexions TLS:

            Mode	Utilisation clé	Utilisation des clés prolongés
            Client	signature numérique	Authentification du client Web TLS
            	agriculteur
            	Digitalsignature, keyagrement
            Serveur	digitalsignature, keyenchementment	Authentification du serveur Web TLS
            	Digitalsignature, keyagrement

            Vous pouvez créer vos certificats de serveur avec le serveur de clé de construction script (voir la rsadocumentation facile pour plus d’informations). Cela désignera le certificat en tant que certificat de serveur uniquement en définissant les bons attributs. Ajoutez maintenant la ligne suivante à la configuration de votre client:

            Server à distance-certe-TLS

            serveur de type NS-cert

            Setupvpn

            Contourner tout site Web qui a été bloqué par votre gouvernement, votre école ou votre entreprise en un seul clic. SetUpVPN est livré avec une bande passante illimitée et elle est entièrement gratuite pour tout le monde!

            Sécurisez votre activité de navigateur avec un chiffrement de qualité militaire tout en utilisant des points chauds du WiFi public, un réseau d’entreprise ou un réseau scolaire. SetUpVPN offre une sécurité Wi-Fi à haut degré et une confidentialité en ligne.

            Avec plus de 100 serveurs répartis dans le monde. Changez simplement votre emplacement, cryptez votre connexion et modifiez votre adresse IP.

            Aucune connaissance technique requise. Téléchargez simplement l’extension, créez un compte et fait! Changez votre emplacement contre les trackers en ligne. Empêcher les sites Web de rassembler vos informations personnelles.

            SetUpVPN le moyen le plus simple de configurer un serveur VPN!

            SetUpVPN est livré avec:
            – Serveur VPN illimité et 100% gratuit
            – Pas de bande passante ou de limitations de vitesse
            – Cryptage de qualité militaire 4096 bits

            Mis à jour le
            18 juillet 2023

            Sécurité des données

            Arrow_Forward

            La sécurité commence par comprendre comment les développeurs collectent et partagent vos données. Les pratiques de confidentialité et de sécurité des données peuvent varier en fonction de votre utilisation, de votre région et de votre âge. Le développeur a fourni ces informations et peut les mettre à jour au fil du temps.

            Comment configurer un VPN sur un iPhone en 2023

            

            

            Un réseau privé virtuel (VPN) est un outil qui masque votre géolocalisation et protège votre vie privée pendant que vous êtes en ligne. Il le fait en créant un tunnel crypté de votre réseau domestique à un serveur de fournisseur VPN.

            Lorsque vous achetez un plan Internet, votre fournisseur de services Internet (FAI) donne à votre équipement (comme votre routeur et modem) une adresse de protocole Internet (IP). Votre adresse IP vous aide à communiquer avec Internet plus large en permettant à un site Web de savoir d’où vient les données et d’où l’envoi.

            En d’autres termes, votre adresse IP permet aux entreprises en ligne de savoir où vous. La plupart des entreprises en ligne stockent des adresses IP pour l’analyse des données, mais les cybercriminels peuvent utiliser votre IP pour suivre votre activité en ligne, voler vos informations personnelles et vous cibler pour des escroqueries.

            Un VPN réduit votre Internet via une adresse de serveur avec une propriété intellectuelle différente de la vôtre. De cette façon, personne en ligne ne peut retrouver votre activité Internet vers vous. Un VPN crypte également vos données Internet pour protéger vos informations personnelles.

            Les VPN ne sont pas seulement pour les ordinateurs de bureau, cependant. Toutes sortes d’appareils – des iPads aux téléviseurs intelligents – peuvent bénéficier d’une connexion VPN . Si vous êtes le type de personne qui gère vos finances ou fait des affaires en ligne à l’aide d’un appareil mobile, il est sage d’obtenir un VPN pour vous protéger.

            Cet article vous montrera comment choisir et installer un VPN sur votre iPhone .

            Pourquoi utiliser un VPN?

            Voici quelques-unes des principales façons d’obtenir un VPN comme McAfee Safe Connect VPN peut vous être utile:

            • Un VPN peut vous aider à accéder à distance à votre travail intranet. Un intranet est une petite sous-section d’Internet qui ne se connecte pas à l’Internet plus vaste. Les entreprises utilisent des intranets – où les entreprises peuvent stocker d’importants fichiers internes uniquement – pour donner à leurs employés un accès rapide aux outils de travail de l’entreprise et améliorer la communication.
            • Un VPN utilise un chiffrement de qualité bancaire pour masquer vos informations et actions personnelles à des cybercriminels etannonceurs. Cela vous permet de magasiner, de banquer et de faire tout le reste en ligne sans vous soucier de quelqu’un qui vole vos informations, même si vous utilisez un réseau Wi-Fi public .
            • Un VPN peut garder votre navigation privée. Il le fait en cachant votre adresse IP, de sorte que votre emplacement physique, vos informations bancaires et vos informations de carte de crédit sont protégées pendant que vous surfez en ligne.

            Comment choisir un Fournisseur VPN

            Le meilleur VPN pour vous dépend de votre situation et de ce que vous prévoyez de faire en ligne.

            Vous aurez besoin d’un VPN compatible avec tous vos appareils. De nombreux VPN fonctionnent avec Windows, Android, MacOS, Linux et iOS . Cependant, tous les VPN ne sont pas compatibles avec chaque système d’exploitation. Par exemple, si vous avez un iPhone mais que quelqu’un d’autre dans votre maison a un Android, il est important de choisir un fournisseur avec une application dans l’App Store d’Apple et le Google Play Store.

            Considérez les fonctionnalités dont vous aurez besoin:

            • Voulez-vous voyager? Si oui, obtenez un VPN avec des emplacements de serveur où vous allez.
            • Avez-vous une grande famille avec beaucoup d’appareils? Ensuite, un VPN basé sur le routeur peut être un bon choix.
            • Allez-vous utiliser votre VPN pour des choses comme le streaming de filmsNetflixet le jeu? Vous voudrez un VPN avec beaucoup de vitesse et de bande passante.

            Soyez prudent lors du choix d’un service VPN, cependant. Certains services VPN gratuits transmettront toujours vos informations aux agences de publicité. Si la confidentialité en ligne est votre objectif principal, vous voudrez trouver un VPN qui ne stocke pas les journaux de votre activité Internet ou ne transmets pas vos données.

            Les protocoles VPN comptent également, et ils varient en vitesse et en sécurité. Par exemple, le protocole de tunneling point à point (PPTP) est un protocole rapide, mais il n’est pas aussi sécurisé que d’autres protocoles comme OpenVPN ou Wireguard. Certains fournisseurs de VPN vous permettront d’utiliser plusieurs protocoles.

            Enfin, recherchez un VPN facile à utiliser. Certains VPN ont des fonctionnalités pratiques telles que la configuration virtuelle et les interfaces intuitives qui facilitent leur utilisation. Certains fournisseurs vous donneront même un essai gratuit pour tester le VPN avant de vous y engager. Assurez-vous que votre réseau VPN dispose également d’une équipe d’assistance fiable pour vous aider si vous avez des problèmes.

            Comment configurer un VPN sur un iPhone

            Nous vous montrerons comment effectuer la configuration VPN sur votre iPhone dans les prochaines sections.

            Installer le ios application d’un Fournisseur VPN

            Accédez à l’App Store Apple sur votre iPhone et trouvez une application pour le fournisseur VPN que vous avez choisi. Appuyez sur «Get» et «Installer» ou revérifiez pour installer l’application sur votre téléphone.

            Créer un compte sur le Application VPN

            Ouvrez l’application VPN . Créer un compte avec le fournisseur VPN . Inscrivez-vous au service.

            Ouvrir iPhone Paramètres et se connecter au VPN

            Vous devrez saisir votre mot de passe après avoir créé votre compte pour permettre une modification des paramètres VPN de votre téléphone et activer le VPN.

            Vous devrez peut-être configurer manuellement votre VPN si vous avez besoin d’accéder à un réseau privé dans une entreprise ou une école. Voici comment permettre manuellement à un VPN de travailler sur votre iPhone:

            1. Appuyez sur votre application «Paramètres» sur l’écran d’accueil de votre iPhone .
            2. Choisissez «Général.”
            3. Appuyez sur «VPN.”
            4. Appuyez sur «Ajouter une configuration VPN .”
            5. Appuyez sur «Type» et choisissez le type de protocole VPN que vous utilisez. Ce pourrait être ikev2, ipsec ou l2tp .
            6. Tapez une description, un identifiant distant et un serveur pour le VPN.
            7. Tapez votre nom d’utilisateur et votre mot de passe.
            8. Cliquez sur «Manuel» ou «Auto» pour activer votre serveur proxy (si vous en utilisez un).
            9. Appuyez sur «Terminé.”

            Utilisez le VPN sur votre iPhone

            Après avoir activé le VPN sur les paramètres de votre iPhone, vous devrez l’activer lorsque vous souhaitez l’utiliser. Voici comment rendre votre VPN actif:

            1. Accédez à l’application «Paramètres» sur votre téléphone.
            2. Aller à «Général.”
            3. Choisissez «VPN.”
            4. Appuyez sur le commutateur d’état de votre VPN pour l’activer.

            Assurez-vous de désactiver votre VPN chaque fois que vous ne l’utilisez pas afin qu’il n’utilise pas votre batterie. Il est particulièrement important de désactiver votre VPN si vous êtes sur un plan limité de votre fournisseur.

            Gardez votre appareil en sécurité avec la sécurité McAfee pour mobile

            Un VPN est un excellent outil pour garder votre connexion Internet privée. Lorsque vous installez un VPN sur votre iPhone, vous pouvez profiter d’Internet de n’importe où sachant que vos informations personnelles ont une couche supplémentaire de protection contre les annonceurs et les pirates .

            Que vous utilisiez un Android ou un appareil iOS, McAfee peut vous aider à rester en sécurité en ligne. Avec McAfee Security for Mobile, vous pouvez accéder à des outils de sécurité de qualité comme un VPN et une navigation sûre.

            Notre application primée vous permet de vous connecter en toute sécurité et de manière transparente au monde numérique tout en empêchant les visiteurs indésirables d’entrer dans votre espace numérique. Profitez de l’une de nos technologies de sécurité les plus complètes tout en vivant votre meilleure vie en ligne.

              Est l'envoi anonyme