Rapide explications sur les différentes architectures OpenVPN

Si vous ne le savez pas, OpenVPN est une technologie de VPN SSL, il n’est donc pas compatible avec de l’IPSEC par exemple.

On va donc connecter un client qui se trouve à l’intérieur de notre LAN à notre serveur OpenVPN. Cette connexion est bien-entendu cryptée (liste des algorithmes) et même notre firewall ne verra pas en clair le contenu du trafic à l’intérieur du tunnel. Il verra juste des connexions UDP (ou TCP suivant la configuration) vers notre serveur.

Passerelle Locale

Suivant votre utilisation, vous avez la possibilité de rediriger tout le trafic vers votre tunnel VPN (redirect-gateway def1) ou bien uniquement le subnet spécifié.

PKI vs Static Key

Suivant l’architecture que vous voulez, il est préférable de choisir la méthode d’authentification adéquate.

Static key est à utiliser uniquement dans le cadre d’une architecture simple avec un seul client (site-to-site, ou client-to-server)

Le PKI est utilisé pour la connexion de plusieurs clients sur un même serveur.

Plus d’info dans la doc

Utilisation OpenVPN

Connexion inter-site

Si vous avez deux sites géographiques distinct que vous voulez relier au sein du même réseau, il vous est possible de créant une passerelle sur chaque site. Vous pourrez alors utiliser une clé statique entre les deux routeurs/firewall/PC.

Si vous recherchez une solution software gratuite pour mettre en place ce lien sans trop de difficulté je vous recommande Pfsense (Compatible OVPN et IPSEC). D’autres routeurs modernes intégres pour la plus part des technologies VPN.

N’oubliez pas de considérer l’étude d’une solution IPSEC plutôt que VPN. Dans le cas présent, l’IPSEC est peut-être un peu mieux adéquate.

Proxy

De nombreux services proposent une offre VPN afin de surfer anonymement. Le trafic qui sort du tunnel est par contre en clair, il faut donc éviter de laisser passer des choses trop sensibles (ou bien avoir confiance).

Vous pouvez toujours héberger votre petit serveur openVPN sur un serveur dédié par exemple, vous aurez ainsi le contrôle sur toutes les informations qui transitent.

Jeux LAN

Si vous connectez vos amis à votre réseau VPN, vous pourrez ainsi jouer a des parties « locales ». Utile pour remplacer evolve ou tout autre logiciel équivalent – et ainsi garder le contrôle et assurer un minimum de performances.

Administration et accès à distance

Suivant les besoins, vous pourrez donner accès à certains périphériques de votre réseau pour qu’ils soient accessible depuis un autre ordinateur dans un autre réseau.

Par exemple: J’ai un NAS à la maison, j’aimerais pouvoir l’administrer et avoir accès aux données présentes dessus quand je suis au boulot ou en voyage.
Si le NAS a un client OVPN intégré c’est encore plus facile…

Dat « Jeu de mot » :p

Bref, de nouveau moi! Et cette fois-ci avec une super technique de la mort qui tue pour pas se faire capter lorsqu’on télécharge des choses toute à fait légales comme Debian NetInstall par exemple 🙂

J’ai nommé le SSH Tunneling.

Déjà je remercie M4T pour m’avoir rapellé comment cela marchait ;). Ensuite je préviens que cette version est pour les semi-kikoo, c’est à dire pour les utilisateurs de Windows (Oui, si Windows sont les semi-kikoo, par abstraction qui sont les autres? Mystère 🙂 ).

En effet, pour cela nous allons utiliser le plus simple des programmes de SSH mais aussi le plus compet, j’ai nommé PuTTY. Pour ce petit tuto, il nous faudra:

– Un navigateur dédié à ça, c’est mieux 🙂 (Evitez IE de préférence car il a la facheuse tendance de foutre sa configuration par défaut pour tout le système.)

-Un serveur (hors France de préférence 😉 Ca serait balot de se faire cafter par Had**i :p )

– PuTTY, le bien nommé

– OpenSSH installé sur ce serveur.

Donc pour ma part, j’utilise un VPS Debian en France (Oui je sais, mais ya une bonne raison caché derrière cela 🙂 ), Waterfox (FF 64 bits) et un Windows 7 normal :p

C’est parti!

0. Je vous explique pas comment installer OpenSSH ni Waterfox. Rapellez-vous, vous n’êtes que des semi-kikoo :p Votre Grand amis est là 😉

1. Téléchargez PuTTY : http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

2. Lancez le et entrez l’adresse de votre VPS. Mettez lui un nom puis cliquez sur Save

tutossh1-1024x622

tutossh2

3. Ensuite, dans le menu à gauche, allez dans Connection > SSH> Tunnel

4. Mettez un numéro de port dans « Source Port », cochez « Dynamic » et cliquez sur « Add »

tutossh3

5. Revenez sur Session (tout en haut du menu), cliquez sur « Save », puis « Open ». Acceptez le certificat et vous y voila! Loggez-vous avec un utilisateur qui peut utiliser le net sur le serveur (root par exemple même si c’est pas une bonne idée ^^ )

tutossh4

6. Dans votre navigateur, ici WaterFox, allez à l’endroit ou se situe les options réseaux et mettez vos infos dans le champ proxy

tutossh5

7. Un petit coup de showip.net et hop vous pouvez être sur que cela fonctionne.

Note: Il faut garder PuTTY ouvert tout le long de l’opération 🙂

Voilà, c’est bon! 🙂 Par contre, si j’ai uniquement mentionné le téléchargement, les tunnels SSH ne servent pas qu’à ça: Ils protègent les données qui transitent à l’intérieur. Ceux qui regarderaient par hasard votre connexion y verraient une connexion vers quelque part, un flux de donnée, une « masse » de donnée, mais en aucun cas le contenu. Cela veut dire que cela peut être aussi bien le dernier film de vacance de Mamie Tromblon ou encore le code source super secret de Curiosity.

Vos données sont protégées, du moins, pour le moment…. 🙂

Phoenix