Utilisation VPN hors locaux Cen depuis le 01/10/2024

Depuis le 01/10/2024, nous avons migré de l’outil Openvpn à Wireguard pour augmenter les débits de transmission (entre x2 et x10)

[rouge]Attention[/rouge], si après avoir tout configuré, la connexion ne s’établit parfois pas, consulter depuis votre navigateur web un site que nous hébergeons comme celui-ci puis relancez la connexion.

Pour les pressés la nouvelle procédure

Desinstaller openvpn
Avant tout, il faut enlever l’application que vous n’utiliserez plus depuis le panneau de configuration, cf capture écran ci-dessous

Désinstallation du programme openVPN
Lestrat Ludovic

Installer wireguard

  • sous windows : récupérer l’installateur ici https://download.wireguard.com/windows-client/ et procéder à une installation standard,
  • sous linux (base debian) : normalement le paquet est dans les dépots donc apt install wireguard

Recuperer votre clef VPN

Sur notre instance nextcloud, répertoire permanent/informatique/vpn récupérez votre fichier de clef qui a la forme suivante ’n199_ZZZ.conf’ ou :

  • 99 est un nombre compris entre 00 et 99,
  • ZZ sont vos initiales, sur 3 lettres si nécessaire
    Enregistrer le sur votre ordinateur le temps du paramétrage (vous pourrez le supprimer une fois le paramétrage fait).

Configuration VPN dans wireguard sous windows

  • lancer Wireguard,
  • choisissez en bas "importer le(s) tunnel(s) à partir du fichier",
  • allez chercher votre fichier,
  • la configuration apparaît sur la droite,
    Configuration importée
    Ludovic Lestrat
  • pour lancer la connexion il suffit de cliquer sur le bouton "activer"
  • si tout va bien, un voyant vert apparaît avec écrit "état : activée",
    Etat activée de la connexion
    Ludovic Lestrat

    [rouge]Attention[/rouge] : ce voyant vert ne signifie pas forcément que la connexion est bien établie (et oui, ce serait trop simple). Si vous tentez d’accéder aux ressources serveurs et que çà ne marche pas, c’est sans doute qu’il y a un soucis. Comment savoir ? en regardant dans l’onglet "journal"
    Quand tout va bien, le journal va ressembler à quelque chose comme cela :

    connexion établie
    Ludovic Lestrat

    Si vous voyez que plusieurs tentatives de handshake échouent, çà indique un soucis et il faudra vous rapprocher de votre administrateur.

    Echec de connexion ’handshake’
    Ludovic Lestrat

Configuration VPN dans wireguard sous linux

Dans un terminal, lancer la commande nm-connection-editor

nm-connection-editor
Ludovic Lestrat
  • cliquer en bas à gauche sur le bouton "+",
  • choisir dans la liste déroulante le type de connexion "wireguard",
  • en haut donnez un nom a voter connexion, par exemple "VPN WG_199_XX",
  • onglet wireguard : reportez dans le champ "cléprivée" la valeur indiquée dans le fichier de conf dans la partie "[interface] Privatekey =",
    linux, onglet wireguard
    Ludovic Lestrat
    • ensuite créer un nouveau pair en cliquant sur le bouton "ajouter",
    • dans le champ "Clé publique", reportez la valeur du fichier de conf "[Peer] PublicKey =",
    • pour le champ "IPs Autorisés" reportez la valeur du fichier de conf "[Peer] AllowedIPs ="
    • champ "Endpoint", reportez la valeur du fichier de conf "[Peer] Endpoint="
    • pour pouvoir saisir la valeur du champ "Clé prépartagée", il faut commencer par cliquer au bout du champ sur le petit bouton qui vous permet de définir pour qui vous allez enregistrer le mot de passe, et indiquez pour "tous les utilisateurs". La valeur à reporter est à prendre dans "[Peer] PresharedKey="
      Linux, configuration du peer
      Ludovic Lestrat
    • appliquer les modifs,
  • passer à l’onglet "Paramètres IPV4" :
    • choisir la méthode manuelle,
    • reporter l’adresse IP depuis "[interface] Address=" sans le masque reseau, soit 10.X.X.Z,
    • pour le masque indiquez 32,
    • attention, [rouge]ne pas saisir de passerelle[/rouge],
    • en serveurs DNS, reportez la valeur de "[interface] DNS=",
      Linux, onglet IPV4
      Ludovic Lestrat
    • enregistrer vos modifications,
  • onglet général :
    • si vous ne voulez pas que le VPN s’active systématiquement, décocher la case "se connecter automatiquement avec la priotité" ,
    • cocher la case "tous les utilisateurs peuvent se connecter à ce réseau"
    • enregistrer les modifs
  • vous pouvez fermer l’application nm-connection-editor

Depuis votre interface, dans la barre principale, dans la liste déroulante des réseaux vous devriez voir apparaître votre connexion VPN disponible et activable.

Sources les pages suivantes :

Rappel Contexte

Afin d’assurer la sécurité de notre réseau interne, les accès réseaux entre nos différents sites passent par des flux sécurisés appelés VPN (Virtual Private Network). Il faut imaginer un tunnel reliant nos locaux au travers du web mondial. Tout ce qui passe dans ce tunnel est crypté à l’entrée et décrypté à l’arrivée.

Ce dispositif connecte nos différents locaux, mais quid des personnes nomades qui travaillent parfois chez elle, chez un partenaire, depuis une connexion mobile GSM ou depuis un wifi public ? Et bien une solution existe pour eux, une connexion VPN privative qu’ils vont devoir installer sur leurs ordinateurs. C’est le sujet de cet article.

Possibilités offertes par la connexion VPN

Une fois connecté au VPN nomade, les possibilités suivantes vous sont accessibles :

  • accès au serveur de fichiers des différents locaux et donc à ses fichiers, soit avec un explorateur de fichier, soit avec un outil spécifique (filezilla ou winscp sous windows),
  • accès en VNC ou bureau à distance des machines partagées (postes aveugles notamment),
  • votre connexion à internet ne passera pas par le VPN, et ceux afin de ne pas avoir de perte de débit sur cet usage.

Important ! : depuis le passage à pfsense, toutes les connexions VPN passent par le parefeu situé sur notre serveur dédié hébergé par OVH depuis juin 2023. Aucune connexion ne se fait directement sur un des parefeux des antennes. Le parcours jusqu’aux différents serveurs passent par les liaison VPN site à site qui existent entre les parefeux des différents locaux et de celui du serveur dédié.

Environnement inadapté pour que çà fonctionne

Le VPN fonctionnera très bien dans les contextes suivants :

  • connexion perso standard,
  • WIFI public,
  • Connexion par telephone portable (data opérateur)

Par contre, il peut être bloqué si :

  • vous êtes chez un partenaire avec une grosse infrastructure de sécurité (parefeu),
  • en formation avec là aussi des parefeux,
  • chez vous si vous avec un parefeu un peu costaud. Dans ce dernier cas, je peux vous venir en aide pour faire les réglages nécessaire sur votre parefeu.