GNU/Linux >> Tutoriels Linux >  >> Panels >> OpenVPN

Configuration d'un serveur OpenVPN avec Sophos UTM et Viscosity

Ce guide vous guidera à travers les étapes de configuration d'un serveur OpenVPN sur un hôte Sophos UTM qui vous permet d'accéder en toute sécurité à votre réseau domestique/bureau à partir d'un emplacement distant et éventuellement d'y envoyer tout votre trafic réseau afin que vous puissiez accéder au Internet en toute sécurité également.

Avant d'utiliser ce guide, nous vous recommandons vivement de lire notre article Introduction à l'exécution d'un serveur OpenVPN.

Préparation

Pour ce guide, nous supposons :

  • Vous avez déjà installé la dernière version de Sophos UTM (9,5 au moment de la rédaction)
  • Sophos UTM a été configuré avec au moins une interface WAN et une interface LAN
  • Vous êtes connecté avec votre appareil client au serveur Sophos UTM via son interface LAN pendant ce guide
  • Cette installation de Sophos UTM est une nouvelle installation
  • Vous avez déjà installé une copie de Viscosity sur votre appareil client

Si vous avez besoin de télécharger et d'installer une copie de Sophos UTM, des informations sont disponibles sur https://www.sophos.com/en-us/support/utm-downloads.aspx. Nous ne couvrirons pas les détails de la configuration d'une instance Sophos UTM, de nombreux guides sont disponibles en ligne. Si vous exécutez une version différente de Sophos UTM, il est très probable que la plupart, voire la totalité, des étapes décrites dans ce guide s'appliqueront toujours. Si vous cherchez à configurer un serveur OpenVPN sur un système d'exploitation différent, veuillez consulter nos autres guides.

Votre appareil client doit être connecté au serveur Sophos UTM via l'interface LAN. Ceci est nécessaire pour que vous puissiez accéder au portail WebAdmin pour configurer la configuration Sophos UTM. Les spécificités de la manière dont vous pouvez y parvenir dépendent de votre configuration réseau particulière.

Si vous n'avez pas de copie de Viscosity déjà installée sur votre ordinateur client, veuillez consulter ce guide d'installation pour installer Viscosity (Mac | Windows).

Soutien

Malheureusement, nous ne pouvons fournir aucune assistance directe pour la configuration de votre propre serveur OpenVPN. Nous fournissons ce guide à titre gracieux pour vous aider à démarrer et à tirer le meilleur parti de votre copie de Viscosity. Nous avons soigneusement testé les étapes de ce guide pour nous assurer que, si vous suivez les instructions détaillées ci-dessous, vous devriez être sur la bonne voie pour profiter des avantages de l'exécution de votre propre serveur OpenVPN.

Sophos propose un support technique pour UTM sur https://secure2.sophos.com/en-us/support.aspx

Mise en route

Vous devez d'abord vous connecter au portail WebAdmin à partir de votre appareil client connecté à l'interface LAN du serveur Sophos UTM. Ouvrez un navigateur sur votre client et accédez à l'adresse IP de l'interface LAN de votre serveur Sophos UTM (quelque chose comme https://10.0.0.1:4444 ou https://192.168.0.1:4444 ). Vous devrez vous connecter. Le mot de passe de l'utilisateur admin doit avoir été configuré lors de la configuration de votre instance Sophos UTM.

Créer des utilisateurs

Services d'authentification

Si vous utilisez un système d'authentification des utilisateurs, tel que LDAP, vous devrez ajouter ces paramètres pour authentifier vos utilisateurs.

  1. Dans la barre latérale, cliquez sur Definitions & Users> Authentication Services .
  2. Dans la Création automatique d'utilisateurs section des Paramètres généraux cochez l'onglet Créer des utilisateurs automatiquement case à cocher.
  3. Cliquez sur Apply pour enregistrer cette modification.
  4. Dans la Création automatique d'utilisateurs pour les installations ci-dessous, vérifiez la section Authentification du client option.
  5. Cliquez sur Apply pour enregistrer cette modification.



  6. Cliquez sur les Serveurs puis cliquez sur l'onglet New Authentication Server... bouton.
  7. Entrez les détails de votre système d'authentification des utilisateurs et cliquez sur Save une fois terminé.

Authentification de l'utilisateur local

Si vous n'utilisez pas de système d'authentification, vous devrez créer un compte utilisateur local pour chaque utilisateur afin qu'il puisse accéder au portail utilisateur et se connecter au VPN.

  1. Dans la barre latérale, cliquez sur Definitions & Users> Users & Groups .
  2. Dans les Utilisateurs onglet, cliquez sur + New User... .
  3. Remplissez les détails de l'utilisateur, y compris le nom d'utilisateur. Définissez l'authentification sur Local et fournir un mot de passe.
  4. Laissez l'option Utiliser une adresse IP d'accès à distance statique décoché.
  5. Lorsque vous avez terminé, cliquez sur Save .



Accès réseau

Ensuite, nous devons définir le sous-réseau VPN, afin que les utilisateurs puissent se voir attribuer des adresses IP :

  1. Toujours dans les Definitions & Users section de la barre latérale, cliquez sur Network Definitions sous-section.
  2. Dans les définitions de réseau cliquez sur l'onglet + New Network Definition... .
  3. Donnez un nom au réseau, nous utiliserons "Réseau VPN".
  4. Laissez le type comme Network et définissez l'adresse IPv4 sur 10.8.0.0.
  5. Laissez le masque de réseau sur /24 (255.255.255.0) .
  6. Lorsque vous avez terminé, cliquez sur Save .



Pour autoriser les utilisateurs à se connecter au portail utilisateur :

  1. Dans la barre latérale, cliquez sur Management> User Portal .
  2. Dans le Global , cliquez sur le bouton d'alimentation gris en haut à droite. Il deviendra jaune au démarrage.
  3. Dans les Réseaux autorisés cliquez sur l'icône du dossier.
  4. Dans la barre latérale, faites glisser Internal (Network) dans les Réseaux autorisés pour permettre aux utilisateurs de se connecter au Portail Utilisateur via le réseau interne.
  5. Cliquez sur Apply pour enregistrer ces modifications. L'icône d'alimentation devrait ensuite devenir verte.



Serveur DNS

Pour autoriser les utilisateurs VPN à transmettre leurs requêtes DNS via le VPN :

  1. Dans la barre latérale, cliquez sur Network Services> DNS .
  2. Dans le Global cliquez sur l'icône du dossier dans l'onglet Réseaux autorisés boîte.
  3. Cliquez et faites glisser le réseau VPN créé ci-dessus dans les Réseaux autorisés boîte.
  4. Cliquez sur Apply pour enregistrer cette modification.



  5. Cliquez sur les Transitaires onglet.
  6. Décochez la case Utiliser les transitaires attribués par le FAI case à cocher.
  7. Dans les transitaires DNS case, cliquez sur le + icône pour ajouter une définition de réseau.
  8. Donnez un nom au réseau. Nous utiliserons les serveurs DNS de Google, mais vous êtes libre d'utiliser un autre serveur DNS.
  9. Laissez le type comme Host .
  10. Définissez l'adresse IPv4 sur le serveur DNS de votre choix, 8.8.8.8 dans notre exemple utilisant Google.
  11. Cliquez sur Save pour ajouter le serveur DNS.



  12. Si vous souhaitez plusieurs serveurs DNS, ajoutez-les maintenant en répétant les étapes ci-dessus.
  13. Lorsque vous avez terminé, cliquez sur Apply pour enregistrer les modifications.

Paramètres SSL

Pour configurer le serveur OpenVPN :

  1. Dans la barre latérale, cliquez sur Remote Access> SSL .
  2. Dans les Profils cliquez sur + New Remote Access Profil... .
  3. Entrez un nom dans l'entrée Nom du profil, nous appellerons notre serveur "serveur OpenVPN".
  4. Dans les Utilisateurs et groupes boîte, cliquez sur l'icône du dossier. Une liste des utilisateurs et des groupes disponibles apparaîtra dans la barre latérale. Cliquez et faites glisser l'utilisateur créé ci-dessus (ou les utilisateurs du service d'authentification, c'est-à-dire les utilisateurs LDAP) dans les Utilisateurs et groupes boîte.
  5. Dans les réseaux locaux boîte, cliquez sur l'icône du dossier. Une liste des réseaux locaux apparaîtra dans la barre latérale. Faites glisser tous les réseaux qui doivent être accessibles par l'utilisateur dans les Réseaux locaux boîte. Pour autoriser les utilisateurs à accéder au réseau local, faites glisser Internal (Network) . Pour autoriser les utilisateurs à accéder à Internet via le serveur Sophos UTM, faites glisser External (WAN) (Network) .
  6. Décochez les règles de pare-feu automatiques option, nous établirons nos propres règles de pare-feu.
  7. Cliquez sur Save .



Cliquez ensuite sur Paramètres onglet en haut :

  1. Dans l'adresse de l'interface saisie, cliquez sur l'icône de la corbeille pour supprimer la valeur actuelle.
  2. Cliquez sur l'icône du dossier pour afficher une liste des réseaux disponibles. Faites glisser tous les réseaux via lesquels le client est autorisé à se connecter dans la zone de saisie. Dans notre cas, nous glisserons Internal (Address) .
  3. Définir le protocole vers UDP .
  4. Définir le port à 1194.
  5. Dans le champ Remplacer le nom d'hôte entrée, entrez l'adresse réseau locale du serveur Sophos UTM, 10.0.0.1 dans notre exemple.
  6. Cliquez sur Apply pour enregistrer ces modifications.
  7. Dans le pool d'adresses IP virtuelles section, cliquez sur l'icône du dossier du réseau Pool.
  8. Faites glisser le réseau VPN que nous avons créé précédemment.
  9. Cliquez sur Apply pour enregistrer ces modifications.



Si vous souhaitez autoriser les utilisateurs à maintenir des connexions simultanées au serveur OpenVPN, laissez l'option Autoriser plusieurs connexions simultanées par utilisateur option sélectionnée. Sinon, désélectionnez-le et cliquez sur Apply pour enregistrer cette modification.

Cliquez maintenant sur Avancé onglet en haut :

  1. Modifier l'algorithme de chiffrement à AES-256-CBC .
  2. Quittez l'algorithme d'authentification comme SAH1 .
  3. Laissez la taille de la clé comme 2048 bit .
  4. Si vous disposez d'un certificat SSL local pour identifier le serveur auprès des clients, sélectionnez-le dans le Certificat du serveur déroulant.
  5. Laissez la durée de vie de la clé comme 28800.
  6. Cliquez sur Apply pour enregistrer ces modifications.
  7. Sous Paramètres de compression , décochez "Compresser le trafic VPN SSL", puis cliquez sur Apply .



Pour vous assurer que les clients connectés utiliseront le serveur pour la résolution DNS :

  1. Toujours dans l'Remote Access section de la barre latérale, cliquez sur Advanced sous-section.
  2. Définissez le serveur DNS #1 sur 10.8.0.1, qui sera l'adresse IP du serveur OpenVPN.
  3. Cliquez sur Apply lorsque vous avez terminé.



Règles de pare-feu

Le pare-feu doit être configuré pour autoriser le trafic de notre VPN et de notre portail utilisateur.

  1. Dans la barre latérale, cliquez sur Network Protection> Firewall .
  2. Dans les Règles cliquez sur + New Rule... .
  3. Dans les Sources cliquez sur l'icône du dossier.
  4. Faites glisser depuis la barre latérale tous les utilisateurs que nous avons créés précédemment et que nous souhaitons pouvoir accéder au portail utilisateur.
  5. Cliquez sur l'icône du dossier dans les Services boîte.
  6. Faites glisser HTTPS pour permettre aux utilisateurs d'accéder au portail utilisateur via HTTPS.
  7. Cliquez sur l'icône du dossier dans les Destinations boîte.
  8. Faites glisser Internal (Network) pour permettre aux utilisateurs d'accéder au portail utilisateur via le réseau local.
  9. Quittez l'action comme Allow .
  10. Cliquez sur Save lorsque vous avez terminé.



Activez maintenant cette règle en cliquant sur la petite icône grise de l'interrupteur d'alimentation à côté de notre nouvelle règle. Il devrait passer au vert pour indiquer que la règle de pare-feu est maintenant appliquée.


Ensuite, nous devons créer une règle de masquage, afin que nous puissions faire passer le trafic via le VPN et vers l'interface réseau externe.

  1. Toujours dans la Network Protection section de la barre latérale, cliquez sur le NAT sous-section.
  2. Dans la Mascarade cliquez sur + New Masquerading Rule... .
  3. Cliquez sur l'icône de dossier à côté de l'entrée Réseau.
  4. Cliquez et faites glisser dans le réseau VPN que nous avons créé précédemment.
  5. Remplacez l'entrée de l'interface par External (WAN) .
  6. Laissez l'entrée Utiliser l'adresse sur << Primary address >> .
  7. Lorsque vous avez terminé, cliquez sur Save pour créer la règle.



  8. Pour activer la règle, cliquez sur le bouton grisé à côté de la règle afin qu'elle devienne verte.

Configuration client

Pour se connecter à notre serveur OpenVPN, nous devons télécharger la configuration client pour notre utilisateur. Sur la machine client :

  1. Ouvrez un navigateur et accédez à https://your-server-ip .
  2. Entrez le nom d'utilisateur et le mot de passe de l'utilisateur et connectez-vous.



  3. Cliquez sur Accès à distance onglet.
  4. Cliquez sur Download à côté de "Cliquez ici pour télécharger le fichier de configuration pour configurer le VPN SSL sur Linux, MacOS X, BSD ou Solaris".
  5. Il devrait télécharger un fichier nommé "[email protected]".



Configuration de la viscosité

Si Viscosity n'est pas déjà en cours d'exécution, démarrez Viscosity maintenant. Dans la version Mac vous verrez l'icône Viscosité apparaître dans la barre de menu. Dans la version Windows vous verrez l'icône Viscosité apparaître dans la barre d'état système.

Cliquez sur l'icône Viscosité dans la barre de menu (Windows :barre d'état système) et sélectionnez 'Préférences...' :




Cela vous montre la liste des connexions VPN disponibles. Nous supposons que vous avez récemment installé Viscosity, donc cette liste est vide. Cliquez sur le bouton '+' et sélectionnez Import Connection> From File... :



Accédez à l'emplacement du fichier "[email protected]" et ouvrez-le. Vous verrez un message contextuel pour indiquer que la connexion a été importée.

(Facultatif) Autoriser l'accès à Internet

Par défaut, la connexion VPN permettra l'accès au serveur de fichiers et aux autres ordinateurs du réseau domestique/bureau (LAN). Cependant, si vous souhaitez également que tout le trafic Internet soit envoyé via la connexion VPN, il est nécessaire d'apporter une dernière modification à la connexion :

  1. Double-cliquez sur votre connexion dans la fenêtre Préférences de viscosité pour ouvrir l'éditeur de connexion
  2. Cliquez sur Réseau onglet.
  3. Cliquez sur le menu déroulant "Tout le trafic" et sélectionnez l'option "Envoyer tout le trafic via une connexion VPN". Il n'est pas nécessaire d'entrer une passerelle par défaut.
  4. Cliquez sur Save bouton.

Connexion et utilisation de votre connexion VPN

Vous êtes maintenant prêt à vous connecter. Cliquez sur l'icône Viscosity dans la barre de menus macOS ou dans la barre d'état système de Windows pour ouvrir le menu Viscosity, sélectionnez la connexion que vous avez importée et Viscosity se connectera.

Pour vérifier que le VPN est opérationnel, vous pouvez ouvrir la fenêtre Détails à partir du menu Viscosité. Cela vous permettra de voir les détails de connexion, le trafic et le journal OpenVPN.



Ça y est, vous avez configuré votre propre serveur OpenVPN. Félicitations, vous êtes maintenant libre de profiter des avantages d'exploiter votre propre serveur OpenVPN !


OpenVPN

  1. Comment installer et configurer un serveur OpenVPN sur Ubuntu 22.04

  2. Comment installer et héberger un serveur OpenVPN avec Docker

  3. Configurer un serveur Obfuscation avec Obfsproxy et Viscosity

  4. Installer et configurer le serveur OpenVPN sur Ubuntu 20.04

  5. Installer et configurer le serveur OpenVPN FreeBSD 12

Configuration d'un serveur OpenVPN avec Sophos XG et Viscosity

Configurer un serveur OpenVPN avec Synology et Viscosity

Configuration d'un serveur OpenVPN avec Tomato router et Viscosity

Configuration d'un serveur OpenVPN avec Ubiquiti EdgeRouter (EdgeOS) et Viscosity

Configurer un serveur OpenVPN avec Ubuntu et Viscosity

Configurer un serveur OpenVPN avec VyOS et Viscosity