Vous voici arrivé au dernier chapitre de cette partie.
Jusqu’ici, vous avez appris à configurer une installation type pour une startup ou une PME en configurant l’accès à Internet d’une entreprise grâce au routeur et en la sécurisant avec un firewall. Vous voilà fin prêt pour établir une connexion entre deux sites distants à l’aide d’open VPN. Vous apprendrez aussi à utiliser Wireshark, l’analyseur de paquets le plus célèbre du monde du réseau.
Configurez un accès à distance avec OpenVPN
Le site de e-commerce de votre ami fonctionne bien. Il a même créé un nouveau site pour ses employés. Il vous demande à ce que ce deuxième site soit connecté au premier. Vous allez créer cette connexion à l'aide d'un VPN.
Qu'est-ce qu'un VPN?
Un Virtual Private network ou réseau privé virtuel en français, est un système qui permet de créer un tunnel entre deux sites distants. De cette façon, deux ordinateurs situés dans deux réseaux différents peuvent se retrouver virtuellement sur le même. C'est ce principe qui est utilisé pour le cloud. Dans notre cas, le poste de l'AIC se connectera au second site comme s'il était connecté directement par un câble sur le LAN.
OpenVPN est un serveur VPN open source déjà installé sur pfSense. Ajoutez un deuxième routeur/firewall pfSense comme le premier et connectez un VPCS dessus.
Préparez votre configuration
Avant de commencer, il y a quelques petits réglages à faire.
Etape 1 : Ajoutez le package OpenVPN client export à pfSense
Cela vous permettra de configurer le client très facilement.
Cliquez sur Système->package manager, recherchez OpenVPN client export et ajoutez-le.
Etape 2 : Configurez les adresse publiques des routeurs
Pour simuler Internet, vous allez ajouter deux adresses IP publiques sur le même réseau à chaque WAN des deux routeurs :
Cliquez sur Interfaces-> WAN ;
Changez l'adresse DHCP en Static ;
Mettez une adresse publique au hasard 90.84.184.77/24 et 90.84.184.78/24 (ces adresses IP sont fausses, elles nous permettent juste d'avoir accès d'un routeur à l'autre) ;
Ajoutez une règle firewall pour le protocole acceptant le protocole ICMP (celui du ping) sur les interfaces des deux routeurs. De cette façon, vous pourrez tester le ping entre les deux et vous assurer qu'ils communiquent bien ensemble.
Testez le ping !
Etape 3 : Créez un certificat numérique
Vous pouvez voir le certificat numérique comme une carte d'identité pour un ordinateur. Il permet de s'assurer de l'identité du matériel sur lequel on se connecte. Sans cela, on ne saurait pas si l'on se connecte sur le bon serveur ou s'il s'agit de la bonne personne qui se connecte au serveur !
Vous allez donc créer un certificat pour le serveur et pour l'AIC et pour cela il vous faut créer une Autorité de certification, c'est elle qui vous permet de créer les certificats.
Cliquez sur Système-> cert. Manager -> add ;
Donnez lui un nom : CA serveur ;
Sélectionnez "create an internal certificate authority" ;
country code :FR ;
state: votre département ;
Ville: votre ville ;
organisation: e-commerce ;
common name : internal CA.
C'est fait!
Etape 4 : Ajoutez un certificat client pour l'AIC
Pour ajouter un certificat client, il faut tout d'abord avoir un utilisateur dans pfSense:
Cliquez sur système->user manager ;
name : AIC ;
Ajoutez un mot de passe ;
expiration date : choisissez une date (plus la date est courte plus la sécurité est renforcé mais plus vous aurez de travail).
Dans la partie "Create certificat for User":
description name : AIC-certificat ;
Authority : CA serveur (que vous venez de créer).
Configurez votre serveur OpenVPN
Les certificats sont ajoutés ! Vous pouvez passer à la configuration du serveur OpenVPN :
Cliquez sur VPN->OpenVPN->Wizards ;
Type of server : local user access ;
Next ;
Choose a certificat authority -> certificat authority : certificat serveur ;
Choose a server certificat-> cliquez sur add a new certificat.
Ajoutez ensuite un certificat au serveur OpenVPN :
Descriptive name : certificat serveur ;
Cliquez sur next.
Dans server setup :
Interface WAN
Protocol UDP
port 1194
Tunnel settings
IPV4 tunnel network 10.0.8.0/24 ( c'est le réseau virtuel)
IPV4 local network 192.168.2.0/24 (c'est le LAN du deuxième site celui sur lequel l'AIC se connectera)
cliquez sur Next
pfSense vous demande ensuite s'il doit créer les règles firewall pour autoriser l'accès par le VPN. Cochez les deux propositions. C'est fait : votre serveur OpenVPN est créé !
Exportez le client
Grâce au package que nous avons installé au début de ce chapitre, vous allez pouvoir très facilement installer le client VPN sur un poste client Windows ou MacOs. L'opération est un peu plus compliquée sous Linux :
Cliquez sur VPN->OpenVPN->Client export
Descendez et regardez au niveau de l'utilisateur AIC, les configurations possibles pour l'installer.
Installer le client sur un poste Linux
Grâce à OpenVPN client export, les utilisateurs de Windows ou de MacOS disposent d'un installateur. Pour les utilisateurs de Linux :
apt-get install openvpn
mkdir /etc/openvpn/config && mkdir /etc/openvpn/easy-rsa && mkdir /etc/openvpn/easy-rsa/keys
Importez ces 4 fichiers grâce à OpenVPN client export :
/etc/openvpn/easy-rsa/keys/ca serveur.crt
/etc/openvpn/easy-rsa/keys/AIC.crt
/etc/openvpn/easy-rsa/keys/AIC.key
/etc/openvpn/config/AIC.conf
Editez le fichier AIC.conf comme ceci :
#pour signaler que c'est un client !
client
#type d'interface
dev tun
#protocole de communication
proto udp
#adresse ip publique du réseau dans lequel le serveur est installé + port identique au serveur
remote 90.84.184.77 1194
#tentative de connexion infinie
resolv-retry infinite
nobind
#pour rendre la connexion persistante
persist-key
persist-tun
#pour cacher les avertissements
mute-replay-warnings
#emplacement du master CA
ca /etc/openvpn/easy-rsa/keys/ca serveur.crt
#emplacement du certificat client
cert /etc/openvpn/easy-rsa/keys/AIC.crt
#emplacement de la clé privée du client
key /etc/openvpn/easy-rsa/keys/AIC.key
#type d'encryptage des données
cipher AES-128-CBC
#activation de la compression
comp-lzo
#niveau de verbosité
verb 5Et voilà ! Vous n'avez plus qu'à pinger le LAN distant avec le poste de l'AIC !
C'est encore une fois une réussite. Voyons maintenant comment faire lorsque justement tout ne fonctionne pas comme nous le voudrions.
Analysez le réseau avec Wireshark
Votre maquette répond aux attentes de votre client et de sa startup de e-commerce. Vous n’êtes pourtant pas à l’abri d’une panne ou d’un bug suite à une mise à jour ou à l’ajout d’un nouveau composant.
Vous vous en rendrez vite compte dans votre carrière en système et réseau, dépanner un système existant n’est pas une mince affaire. Heureusement pour vous, il existe ce que l’on appelle des Sniffers, Wireshark en est un et c’est de loin le plus célèbre. Ces Sniffers permettent de lire les paquets transitant sur le réseau comme je vous l’ai expliqué lors de l’installation.
Comme un exemple vaut mieux qu’un long discours, regardons ensemble les deux façons de lire le réseau dans GNS3.
Lancez une capture Wireshark depuis GNS3
Une fois votre maquette lancée, faites un clic droit sur un lien et cliquerzsur capture. Wireshark s’ouvre et commence la capture à cet endroit, ce qui est très pratique quand on veut vérifier une partie du réseau en particulier.
Vous constatez que Wireshark donne un nom explicite composé du nom des machines et de leurs interfaces. Lancez-le entre le poste de l’AIC et le switch du LAN et faites un ping de la passerelle 192.186.1.254. Vous voyez ici comment se passe réellement le protocole ping.
Lancez une capture GNS3 depuis Wireshark
C’est la deuxième façon de faire lorsque vous voulez capturer des paquets de machine virtuelles installées sur VMware ou un autre hyperviseur.
Ouvrez Wireshark directement depuis votre ordinateur et regardez la page principale. Vous y voyez toutes les interfaces réseaux de votre ordinateur.
Alors pourquoi y a-t-il autant de cartes réseaux ?
C’est parce que VMware et GNS3 les ont créées, virtuellement, pour que chaque matériel dispose de sa propre carte réseau, sans quoi toute cette simulation ne serait pas possible.
Regardez-donc depuis VMware votre machine virtuelle Poste AIC:
Cliquez sur Player->Manage-> Virtual Machine Settings-> Network Adapter;
Regardez la carte sélectionnée dans “Custom: Specific virtual adapter”;
C’est cette interface que vous allez choisir dans Wireshark.
Vous constatez que vous obtenez le même résultat.
Lancez une capture dans le monde réel avec Wireshark
Ce n’est pas l’objet de ce cours mais si vous voulez répéter cette opération dans le monde réel, quelle interface sélectionnerez-vous?
Vous sélectionnerez la carte réseau qui vous relie au réseau ! C’est-à-dire soit la carte Wifi soit la carte Ethernet. La curiosité est un bon défaut en informatique, testez et voyez que des choses, il s’en passe même dans votre réseau. Wireshark vous permet de trier par source, destination, protocole et bien d’autres choses.
