1. Linux LPIC2 noelmace.com
Noël Macé
Formateur et Consultant indépendant expert Unix et FOSS
http://www.noelmace.com
OpenVPN
Configuration Réseau
Licence Creative Commons
Ce(tte) œuvre est mise à disposition selon les termes de la
Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.

2. Linux LPIC2 noelmace.com
Plan
• Introduction
• OpenVPN
• Exemple simple : point à point
• Configuration serveur
• Configuration client

3. Linux LPIC2 noelmace.com
Introduction
• Virtual Private Network
 réseau privé virtuel
• Connecter plusieurs réseaux distants
 de manière sécurisée (tunnel chiffré)
 via une connection non-sécurisée (ex : internet)

4. Linux LPIC2 noelmace.com
OpenVPN
• Logiciel Libre (GNU GPL)
• Disponible sur de nombreux
OS (GNU/Linux, Windows,
BSD, Mac OS X, etc …)
• Créé en 2002
 par James Yonan
 version actuelle : 2.3.2
• Juin 2013
• Authentification via la
bibliothèque OpenSSL
• Sécurisé via chiffrement
SSL/TLS

5. Linux LPIC2 noelmace.com
Installation
• Debian
• CentOS
# apt-get install openvpn# apt-get install openvpn
$ wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-
8.noarch.rpm
$ wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-
8.noarch.rpm
# rpm -Uvh epel-release-6-8.noarch.rpm# rpm -Uvh epel-release-6-8.noarch.rpm
# yum install openvpn# yum install openvpn

6. Linux LPIC2 noelmace.com
Exemple simple : point à point
• VPN point à point
 entre un serveur vpn.alphorm.com / 10.1.1.1 et un client 10.1.1.2
 port par défaut (1194)
• Création de la clé statique
• Copier cette clé sur le serveur et le client
$ openvpn --genkey --secret static.key$ openvpn --genkey --secret static.key

7. Linux LPIC2 noelmace.com
Configuration serveur
• server.conf
• tun/tap : interface de communication réseaux entre le kernel et
les programmes de l'espace utilisateur
# type d'interface
dev tun
# adresse IP serveur / client
ifconfig 10.1.1.1 10.1.1.2
# test de connection toutes les 10 secondes, considéré comme indisponible au bout de 60
secondes sans réponse
keepalive 10 60
# relancer la connection si elle semble coupée
ping-timer-rem
# empêcher OpenVPN de fermer et ré-ouvrir le tun/tap à la reception d'un signal SUGSR1
persist-tun
# idem mais pour les fichiers clés
persist-key
# clé secrète partagée pour le chiffrement
secret static.key
# type d'interface
dev tun
# adresse IP serveur / client
ifconfig 10.1.1.1 10.1.1.2
# test de connection toutes les 10 secondes, considéré comme indisponible au bout de 60
secondes sans réponse
keepalive 10 60
# relancer la connection si elle semble coupée
ping-timer-rem
# empêcher OpenVPN de fermer et ré-ouvrir le tun/tap à la reception d'un signal SUGSR1
persist-tun
# idem mais pour les fichiers clés
persist-key
# clé secrète partagée pour le chiffrement
secret static.key

8. Linux LPIC2 noelmace.com
Configuration client
• client.conf
# serveur distant
remote vpn.alphorm.com
dev tun
ifconfig 10.1.1.2 10.1.1.1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
secret static.key
# serveur distant
remote vpn.alphorm.com
dev tun
ifconfig 10.1.1.2 10.1.1.1
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
secret static.key

9. Linux LPIC2 noelmace.com
Ce qu’on a couvert
• Qu'est ce que le VPN.
• Introduction à la configuration d'OpenVPN
Weight : 4
Description : Candidates should be able to configure a network device to implement
various network authentication schemes. This objective includes configuring a multi-homed
network device, configuring a VPN client and resolving communication problems.
205.2 Advanced Network Configuration and Troubleshooting (Part 1)

10. Linux LPIC2 noelmace.com
Licence
Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la
Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.
Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à :
Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA.
Vous êtes libre de :
 partager — reproduire, distribuer et communiquer cette œuvre
 remixer — adapter l’œuvre
Selon les conditions suivantes :
 Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre
originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins
d'en demander expressément la permission).
 Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention
première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une
autorisation explicite de l'auteur est requise.
 Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de
distribuer votre création que sous une licence identique ou similaire à celle-ci.
Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une
licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs
vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration
de ce support.