Les réseaux privés virtuels (VPN) peuvent être utilisés pour un certain nombre d'applications très utiles. Vous pouvez vous connecter en toute sécurité à n'importe quel point d'accès Wi-Fi public. Vous pouvez surmonter les restrictions de blocage géographique sur vos sites Web préférés. Et vous pouvez même vous connecter à votre réseau domestique ou professionnel depuis n'importe où dans le monde, comme si vous étiez assis à votre bureau. Ce guide vous guidera tout au long du processus de configuration de votre propre serveur OpenVPN et de connexion avec votre copie de Viscosity.

L'exécution de votre propre serveur OpenVPN vous permettra de crypter tout ce que vous faites sur Internet, afin que vous puissiez effectuer vos opérations bancaires en ligne en toute sécurité sur le WiFi gratuit de votre café préféré. Tout ce que vous envoyez via la connexion VPN sera crypté depuis votre appareil jusqu'à ce qu'il atteigne votre serveur OpenVPN à la maison. La configuration de votre serveur OpenVPN pour accéder à votre réseau domestique ou professionnel vous donne un accès complet à tous vos fichiers sur votre réseau.

Ce guide vous guidera à travers les étapes de configuration d'un serveur OpenVPN sur une instance OPNsense qui vous permet d'accéder en toute sécurité à votre réseau domestique/bureau à partir d'un emplacement distant et éventuellement d'y envoyer tout votre trafic réseau afin que vous puissiez accéder à Internet. en toute sécurité également.

Ce guide ne traitera pas des problèmes liés à la configuration de votre routeur. Un serveur exécutant OPNsense est susceptible d'agir lui-même comme un routeur, nous supposerons donc que le serveur OPNsense est directement connecté à Internet avec sa propre adresse IP.

Préparation

Pour ce guide, nous supposons :

• Vous avez déjà installé la dernière version de OPNsense (21.1 au moment de la rédaction)
• OPNsense a été configuré avec au moins une interface WAN et une interface LAN
• Vous êtes connecté avec votre appareil client au serveur OPNsense via son interface LAN pendant ce guide
• Cette installation d'OPNsense est une nouvelle installation
• Vous avez déjà installé une copie de Viscosity sur votre appareil client

Si vous avez besoin de télécharger et d'installer une copie d'OPNsense, vous trouverez des informations sur https://opnsense.org/download/. Nous ne couvrirons pas les détails de la configuration d'une instance OPNsense, de nombreux guides peuvent être trouvés en ligne. Si vous utilisez une version différente d'OPNsense, il est très probable que la plupart, voire la totalité, des étapes décrites dans ce guide s'appliqueront toujours. Si vous cherchez à configurer un serveur OpenVPN sur un système d'exploitation différent, veuillez consulter nos autres guides.

Votre appareil client doit être connecté au serveur OPNsense via l'interface LAN. Cela est nécessaire pour que vous puissiez accéder à l'interface graphique Web OPNsense. Les spécificités de la manière dont vous pouvez y parvenir dépendent de votre configuration réseau particulière.

Si vous n'avez pas de copie de Viscosity déjà installée sur votre client, veuillez consulter ce guide d'installation pour installer Viscosity (Mac | Windows).

Soutien

Malheureusement, nous ne pouvons fournir aucune assistance directe pour la configuration de votre propre serveur OpenVPN. Nous fournissons ce guide à titre gracieux pour vous aider à démarrer et à tirer le meilleur parti de votre copie de Viscosity. Nous avons soigneusement testé les étapes de ce guide pour nous assurer que, si vous suivez les instructions détaillées ci-dessous, vous devriez être sur la bonne voie pour profiter des avantages de l'exécution de votre propre serveur OpenVPN.

OPNsense a à la fois un support communautaire et commercial pour son produit, si vous avez besoin de plus d'informations ou d'aide, jetez un œil à leurs options sur https://wiki.opnsense.org/support.html

Mise en route

Vous devez d'abord vous connecter à l'interface graphique OPNsense à partir de votre périphérique client connecté à l'interface LAN du serveur OPNsense. Ouvrez un navigateur sur votre client et accédez à l'adresse IP de l'interface LAN de votre serveur OPNsense (https://192.168.1.1 par défaut). Vous devrez vous connecter. Les informations d'identification par défaut sont ci-dessous, mais vous devriez avoir été invité à les modifier en quelque chose de personnel lorsque vous avez installé OPNsense :

User: root
Password: opnsense

Cette configuration peut être effectuée à partir de n'importe quel compte d'utilisateur si vous avez créé différents utilisateurs ou rôles, à condition qu'ils disposent des autorisations d'administrateur système.

Serveur DNS

Si vous utilisez OPNsense comme routeur, vous avez probablement déjà configuré le DNS. Cependant, s'il s'agit d'une nouvelle installation, OPNsense doit au moins savoir où chercher pour transmettre les requêtes DNS. Nous pouvons configurer ceci comme suit :

1. Cliquez sur System> Settings> General à gauche
2. Dans les Serveurs DNS , définissez les deux premiers serveurs DNS sur 8.8.8.8 et 8.8.4.4 (Google DNS). Si vous souhaitez utiliser différents serveurs DNS, n'hésitez pas à les utiliser ici à la place.
3. Définissez Utiliser la passerelle déroulant jusqu'à votre interface WAN pour chaque entrée.
4. Cliquez sur Save en bas.

Votre serveur OPNsense devrait maintenant être en mesure de résoudre le DNS. Vous pouvez tester cela en ouvrant une invite de commande sous Windows ou Terminal sous Mac et en tapant nslookup sparklabs.com. 192.168.1.1 où 192.168.1.1 est l'adresse IP de votre serveur OPNsense.

Assistant OpenVPN

Un serveur OpenVPN peut être configuré pour la plupart des cas d'utilisation à l'aide de l'assistant intégré.

1. Cliquez sur VPN> OpenVPN> Servers à gauche.
2. Au bas de la nouvelle page, cliquez sur l'icône représentant une baguette à gauche de Utiliser un assistant pour configurer un nouveau serveur .
3. Sur la page de sélection du type d'authentification, assurez-vous que Type de serveur est défini sur Accès utilisateur local et cliquez sur Suivant.
4. Nous devons maintenant créer une autorité de certification (CA).
   1. Définissez le Nom de la description champ à 'OPNsense-CA'.
   2. Laissez la Longueur de la clé à 2 048 bits et définissez la durée de vie à 3650
   3. Les champs restants servent à identifier le serveur, définissez-les de manière appropriée pour vous.
      
      
      
      
5. Cliquez sur Ajouter une nouvelle autorité de certification pour continuer.
6. Cliquez sur Ajouter un nouveau certificat sur la page suivante.
7. Sur Ajouter un certificat de serveur page, définissez le Nom descriptif au serveur , laissez la Longueur de la clé à 2048 bits et définissez la durée de vie à 3650. Le reste des informations devrait déjà être pré-rempli.
8. Cliquez sur Créer un nouveau certificat pour continuer.
9. La page suivante devrait être Configuration du serveur , définissez les éléments suivants :
   1. Définir l'interface au réseau étendu.
   2. Assurez-vous du protocole est UDP et Port est 1194.
   3. Définissez une description, par exemple "Mon serveur".
   4. Modifier Longueur des paramètres DH à 2048 au minimum. Si vous utilisez du matériel moderne, réglez-le sur 4096 (vous attendrez longtemps si ce n'est pas le cas).
   5. Modifier l'algorithme de chiffrement à 'AES-256-CBC (clé 256 bits, bloc 128 bits)'
   6. Modifier l'algorithme de résumé d'authentification à 'SHA256 (256-bit)' au minimum. Si vous utilisez du matériel moderne, remplacez-le par "SHA512" (vous pouvez avoir des problèmes de connexion sur du matériel plus ancien).
   7. Dans le réseau de tunnel IPv4 champ, entrez '10.0.8.0/24'
   8. Pour autoriser l'accès aux machines du réseau local, saisissez votre plage d'adresses IP locales dans le champ Réseau local paramètre. Ce sera probablement quelque chose comme 192.168.1.0/24.
   9. Définir la compression sur "Désactivé".
   10. Définir le serveur DNS 1 à 10.0.8.1.
10. Tous les autres paramètres peuvent être laissés par défaut. Cliquez sur Suivant .
11. Sur la Configuration des règles de pare-feu , cochez à la fois la règle de pare-feu et règle OpenVPN cases à cocher et cliquez sur Suivant . Si vous avez une configuration autre que celle par défaut, vous devrez vérifier ce qui est ajouté à la fin de l'assistant.
12. Vous devriez maintenant voir Votre configuration est maintenant terminée. . Félicitations, nous y sommes presque ! Cliquez sur Terminer .

Configuration utilisateur

Par défaut, la connexion à un serveur OPNsense OpenVPN nécessite à la fois un certificat utilisateur, un nom d'utilisateur et un mot de passe. C'est une bonne pratique et nous utiliserons cette valeur par défaut pour chaque utilisateur qui souhaite se connecter. Nous devons créer un compte utilisateur pour chaque personne à qui vous souhaitez autoriser l'accès à votre serveur. Vous pouvez également utiliser des utilisateurs existants si vous le souhaitez, mais vous devrez vous assurer qu'un certificat est généré pour eux à l'aide de l'autorité de certification que nous avons créée au cours de l'assistant.

Création d'un nouvel utilisateur

Pour créer un nouvel utilisateur :

1. Cliquez sur System> Access> Users à gauche.
2. Cliquez sur Ajouter en haut à droite de la page Utilisateurs.
3. Saisissez un nom d'utilisateur , Mot de passe , et cochez la case Cliquez pour créer un certificat utilisateur plus bas.
4. Remplissez tous les autres champs que vous souhaitez, mais ils ne sont pas obligatoires.
5. Cliquez sur Enregistrer.
6. Vous serez redirigé vers une page de certificats. Sélectionnez "Créer un certificat interne" dans la Méthode liste déroulante. La page se réorganisera d'elle-même.
7. Assurez-vous que l'autorité de certification est le nom que nous avons créé pendant l'assistant qui devrait être 'OPNsense-CA', et Type est 'Certificat client'.
8. Modifier Durée de vie (jours) à 3650.
   
   
   
   
9. Cliquez sur Enregistrer.
10. Vous serez redirigé vers la page Créer un utilisateur, les certificats utilisateur devraient maintenant avoir une entrée, cliquez à nouveau sur Enregistrer en bas.
11. Une boîte bleue devrait apparaître dans la boîte avec 'Les modifications ont été appliquées avec succès.'. Nous avons ajouté un nouvel utilisateur que nous pouvons maintenant utiliser.

Création d'un certificat pour un utilisateur existant

Pour créer un certificat pour un utilisateur existant :

1. Cliquez sur System> Access> Users à gauche.
2. Cliquez sur le bouton de modification (un crayon) à côté de l'utilisateur.
3. Cliquez sur le + (plus) sous Nom dans les Certificats d'utilisateur champ.
4. Vous serez redirigé vers une page de certificats. Sélectionnez "Créer un certificat interne" dans la Méthode liste déroulante. La page se réorganisera d'elle-même.
5. Assurez-vous que l'autorité de certification est le nom que nous avons créé pendant l'assistant qui devrait être 'OPNsense-CA', et Type est 'Certificat client'.
6. Modifier Durée de vie (jours) à 3650.
7. Cliquez sur Enregistrer.
8. Vous serez redirigé vers la page Créer un utilisateur, les certificats utilisateur devraient maintenant avoir une entrée, cliquez à nouveau sur Enregistrer en bas.
9. Une boîte bleue devrait apparaître dans la boîte avec 'Les modifications ont été appliquées avec succès.'. Nous avons ajouté un nouvel utilisateur que nous pouvons maintenant utiliser.

Groupes d'utilisateurs (facultatif)

Si vous avez des utilisateurs pour diverses tâches sur votre serveur OPNsense que vous ne souhaitez pas avoir accès au VPN, vous pouvez créer un groupe d'utilisateurs pour contrôler l'accès à votre serveur VPN. Pour créer un groupe :

1. Cliquez sur System> Access> Groups à gauche.
2. Cliquez sur le + (plus) en bas à droite de la page Utilisateurs pour ajouter un nouvel utilisateur.
3. Définissez le nom du groupe sur "VPN", vous pouvez également définir une description que vous reconnaîtrez, par exemple "Groupe d'accès au serveur VPN".
4. Vous pouvez ajouter des utilisateurs au groupe maintenant mais en cliquant sur leur nom dans la liste de gauche, puis cliquez sur la flèche droite.
5. Cliquez sur Enregistrer

Nous devons maintenant autoriser uniquement ce groupe à accéder au serveur. Pour ce faire :

1. Cliquez sur VPN> OpenVPN> Servers à gauche.
2. Cliquez sur le bouton de modification (crayon) à côté de votre serveur OpenVPN.
3. Modifier le Appliquer le groupe local à 'VPN' (ou le nom que vous avez donné à votre groupe VPN si quelque chose de différent).
4. Faites défiler vers le bas et cliquez sur Enregistrer .

Configuration de la viscosité

Si vous êtes arrivé jusqu'ici, vous devriez maintenant pouvoir vous connecter à votre serveur OpenVPN, félicitations ! Nous pouvons maintenant configurer la viscosité.

Exporter la connexion depuis OPNsense

Vous devrez d'abord télécharger la configuration depuis OPNsense. OPNsense rend cela extrêmement facile en fournissant des connexions prêtes à l'emploi pour divers appareils, y compris des connexions spécialement préparées pour la viscosité. Pour y accéder :

1. Cliquez sur VPN> OpenVPN> Client Export à gauche.
2. Sous Packages d'installation client, cliquez sur la liste déroulante Exporter à côté de l'utilisateur pour lequel vous souhaitez exporter une configuration, puis sélectionnez "Viscosity Bundle". Une connexion visz sera téléchargée.

Importer une connexion dans Viscosity

L'interface fournie par les versions Mac et Windows de Viscosity est intentionnellement très similaire. En tant que tel, nous concentrerons notre guide sur la version Mac, en soulignant les différences avec la version Windows au fur et à mesure qu'elles surviennent.

Si Viscosity n'est pas déjà en cours d'exécution, démarrez Viscosity maintenant. Dans la version Mac vous verrez l'icône Viscosité apparaître dans la barre de menu. Dans la version Windows vous verrez l'icône Viscosité apparaître dans la barre d'état système.

Cliquez sur l'icône Viscosité dans la barre de menu (Windows :barre d'état système) et sélectionnez 'Préférences...' :

Cela vous montre la liste des connexions VPN disponibles. Nous supposons que vous avez récemment installé Viscosity, donc cette liste est vide. Cliquez sur le bouton '+' et sélectionnez Import Connection> From File... :

Accédez à l'emplacement du fichier de configuration Viscosity et ouvrez-le. Vous verrez un message contextuel pour indiquer que la connexion a été importée.

Maintenant, double-cliquez sur la connexion dans la fenêtre Préférences pour afficher les paramètres de connexion. Si vous avez utilisé la bonne connexion exportée depuis OPNsense, tout ce que vous avez à faire est de changer le nom de la connexion en quelque chose que vous reconnaîtrez et de vérifier que l'adresse du serveur est correcte.

Enregistrez la connexion et vous devriez maintenant pouvoir vous connecter.

(Facultatif) Autoriser l'accès à Internet

Par défaut, la connexion VPN permettra l'accès au serveur de fichiers et aux autres ordinateurs du réseau domestique/bureau (LAN). Cependant, si vous souhaitez également que tout le trafic Internet soit envoyé via la connexion VPN, il est nécessaire d'apporter une dernière modification à la connexion :

1. Double-cliquez sur votre connexion dans la fenêtre Préférences de viscosité pour ouvrir l'éditeur de connexion
2. Cliquez sur Réseau onglet.
3. Cliquez sur le menu déroulant "Tout le trafic" et sélectionnez l'option "Envoyer tout le trafic via une connexion VPN". Il n'est pas nécessaire d'entrer une passerelle par défaut.
4. Cliquez sur Save bouton.

Connexion et utilisation de votre connexion VPN

Vous êtes maintenant prêt à vous connecter. Cliquez sur l'icône Viscosity dans la barre de menus macOS ou dans la barre d'état système de Windows pour ouvrir le menu Viscosity, sélectionnez la connexion que vous avez importée et Viscosity se connectera.

Pour vérifier que le VPN est opérationnel, vous pouvez ouvrir la fenêtre Détails à partir du menu Viscosité. Cela vous permettra de voir les détails de connexion, le trafic et le journal OpenVPN.

Ça y est, vous avez configuré votre propre serveur OpenVPN. Félicitations, vous êtes maintenant libre de profiter des avantages d'exploiter votre propre serveur OpenVPN !