Présentation de OpenVPN (VPN SSL) dans Dynfi Firewall
L’un des principaux avantages d’OpenVPN par rapport à IPsec est sa facilité de configuration. Il est assez simple par la suite d’exporter les paramètres pour les clients.
Contexte general
Le module OpenVPN intègre différentes fonctions permettant de mettre en place des réseaux sécurisés pour
les ‘utilisateurs nomades’ et les connexions site à site.
La section VPN >> OpenVPN permet de gérer les différentes instances: serveurs et clients.
Tip
Lorsque vous passez à une nouvelle version majeure de Dynfi Firewall, pensez à lire les notes de mise à jour pour vérifier si votre configuration nécessite des changements.
Note
OpenVPN sur Dynfi Firewall peut également être utilisé pour créer un tunnel entre deux sites, de façon similaire à IPsec. Généralement, les performances d’IPsec sont meilleures, ce qui fait d’OpenVPN un choix moins courant. OpenVPN est particulièrement adapté aux utilisateurs nomades, avec différentes options d’authentification et une grande flexibilité sur les options réseau, c’est le couteau Suisse du VPN pour les utilisateurs itinérants.
Serveurs
Outil de configuration des serveurs OpenVPN. Permet l’ajout de serveurs et la configuration des options associées.
Clients
Outil de configuration des clients OpenVPN. Permet l’ajout de clients et l’accès aux configurations du client.
Options spécifiques aux clients
Outil de configuration de clients avec des options spécifiques. (Voir fin de section pour plus d’informations).
Exportation du client
Outil d’exportation des configurations client, utilisé pour l’export des configurations des clients nomades associés à une configuration Serveur OpenVPN.
Infrastructure à clé publique (X.509)
OpenVPN est le plus souvent utilisé en combinaison avec une infrastructure à clé publique (PKI), ou l’on utilise une autorité de certification qui signe les certificats pour le serveur et les clients (également connu sous le nom de mode TLS).
Une section du pare-feu DynFi Firewall est dédiée à la gestion des certificats SSL et se trouve dans Système >> Confiance >> Certificats.
Règles de pare-feu
Pour autoriser l’établissement d’un tunnel OpenVPN, il est nécessaire d’autoriser l’accès au port sur lequel vous déploierez votre serveur OpenVPN (généralement le port 1194 en UDP sur l’interface WAN).
Une fois la communication établie, il est nécessaire d’autoriser le trafic à l’intérieur du tunnel.
Par défaut, avec le déploiement de votre premier tunnel, une interface OpenVPN sera automatiquement créée.
On prendra soin de créer une règle permettant d’autoriser le traffic sur cette interface.
La règle sera plus ou moins fine en fonction des besoins liés aux communication via le VPN.
Tip
Afin d’utiliser des fonctionnalités telles que le routage basé sur une politique ou les routes
manuelles, vous pouvez assigner une interface par VPN déployé et les utiliser
de la même manière que les interfaces physiques.
Comment mettre en place ce type d’infrastructure
Ce paragraphe propose des exemples de scénarios de mise en œuvre couramment utilisés.
Note
Lorsque vous utilisez un exemple de site à site avec SSL/TLS au lieu d’une clé partagée, assurez-vous de configurer les dérogations spécifiques au client afin de lier correctement les réseaux distants au bon client.
Priorités spécifiques au client
Le mécanisme de dérogation client utilise l’option OpenVPN client-config-dir, qui offre la possibilité d’utiliser des configurations client spécifiques basées sur le nom commun X509 du client.
Il est possible de spécifier le contenu de ces configurations dans l’interface utilisateur sous
VPN >> OpenVPN >> Options spécifiques au client. En outre, un serveur d’authentification (System >> Access >> Servers) peut également fournir des détails sur le client dans des cas particuliers lorsqu’il renvoie un code d’authentification.Adresse IP,Masque de réseau-IPetRoute.Tip
Free Radius peut être utilisé pour provisionner des tunnels et des réseaux locaux.
Une sélection des paramètres les plus pertinents est présentée dans le tableau ci-dessous.
Paramètre
Objectif
Désactivé
Définissez cette option pour désactiver cette dérogation spécifique au client sans la supprimer de la liste.
Serveurs
Sélectionner les serveurs OpenVPN auxquels s’applique cette dérogation, laisser vide pour tous.
Nom commun
Le nom commun X.509 du client, qui est l’endroit où cette dérogation s’applique.
Réseau Tunnel IPv[4|6]
Le réseau de tunnel à utiliser pour ce client par famille de protocole ; s’il est vide, les serveurs seront utilisés.
Réseau Local IPv[4|6]
Les réseaux qui seront accessibles à partir de ce client particulier par famille de protocoles.
Réseau Distant IPv[4|6]
Il s’agit des réseaux qui seront acheminés vers ce client à l’aide d’iroute, de manière à ce qu’un VPN site à site puisse être établi.
Passerelle de redirection
Forcer la passerelle par défaut du client vers ce tunnel
Note
Lorsque vous configurez les réseaux du tunnel, assurez-vous qu’ils s’intègrent dans le réseau défini sur le tunnel du serveur lui-même pour permettre au serveur d’envoyer des données au client. Par exemple, dans un réseau
10.0.0.0/24, vous pouvez définir un réseau spécifique au client comme10.0.0.100/30. Pour réduire les risques de collision, assurez-vous également de réserver suffisamment d’espace sur le serveur, car l’adresse pourrait déjà être attribuée à un client dynamique.