Projet :

• installer un serveur VPN ;
• Installer et utiliser une autorité de certification (CA) sur un serveur différent pour la gestion des certificats nécessaires à l'établissement des tunnels VPN des clients (importation et signature des demandes de certificats).
• Le logiciel EasyRSA permettra de créer une infrastructure de clé publique sur le CA, ainsi que la gestion des clés et des demandes de signature des certificats serveur et client.

Ressource :

• https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10
• https://openmaniak.com/fr/openvpn.php
• https://www.openssl.org/

# apt update
# apt install openvpn

Par sécurité il est préférable d'utiliser un serveur dédié, déconnecté du réseau quand il n'est pas utilisé, et qui sera l'autorité de certification.

# wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
# tar xvf EasyRSA-3.0.8.tgz

• copier le fichier vars.example en vars

# cd EasyRSA-3.0.8
# cp vars.example vars

• éditer le fichier vars pour modifier ces lignes en les décommentant

#set_var EASYRSA_REQ_COUNTRY    "US"
#set_var EASYRSA_REQ_PROVINCE   "California"
#set_var EASYRSA_REQ_CITY       "San Francisco"
#set_var EASYRSA_REQ_ORG        "Copyleft Certificate Co"
#set_var EASYRSA_REQ_EMAIL      "me@example.net"
#set_var EASYRSA_REQ_OU         "My Organizational Unit"

• lancer le script easyrsa pour initialiser la PKI sur le CA serveur

# ./easyrsa init-pki

• génération du CA en indiquant le common name et en supprimant la nécessité d'utiliser une passphrase pour chaque action sur le CA avec le paramètre no-pass :

# ./easyrsa build-ca nopass

• Téléchargez EasyRSA

# wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
# tar xvf EasyRSA-3.0.8.tgz

• lancer le script easyrsa pour initialiser le dossier PKI sur le client OpenVPN

# cd EasyRSA-3.0.8
# ./easyrsa init-pki

• génération des clés avec l'option nopass en précisant le nom du serveur OpenVPN

# ./easyrsa gen-req OpenVPN nopass

• copie de la clé privée du serveur

# cp pki/private/OpenVPN.key /etc/openvpn/

• transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)

# scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/OpenVPN.req /tmp
</code >
    * sur le serveur CA, importer le fichier de demande
<code shell>
# ./easyrsa import-req /tmp/OpenVPN.req OpenVPN

• signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes

# ./easyrsa sign-req server OpenVPN

• transfert du certificat signé du CA vers le serveur OpenVPN

# scp pki/issued/OpenVPN.crt root@ip_serveur_OpenVPN:/tmp

• transfert du certificat public du CA vers le serveur OpenVPN

# scp pki/ca.crt root@ip_serveur_OpenVPN:/tmp

• copie sur le serveur OpenVPN des fichier OpenVPN.crt et ca.crt du dossier /tmp dans le dossier /etc/openvpn

# cp /tmp/{OpenVPN.cet,ca.crt} /etc/openvpn

• création sur le serveur OpenVPN d'une clé Diffie-Hellman qui sera utilisée pour les échanges de clés

# ./easyrsa gen-dh

• génération d'une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur:

# openvpn --genkey --secret ta.key

• copie de la clé dh.pem et de la signature ta.key dans le dossier /etc/openvp:

# cp ta.key /etc/openvpn
# cp pki/dh.pem /etc/openvpn

La démarche à suivre est la suivante :

• création d'un script sur le serveur OpenVPN qui va automatiquement générer les fichier de configuration du client VPN contenant tous les clés requises et les certificats. Cela évite d'avoir à transférer les clés, les certificats et les fichiers de configuration aux clients et de rationaliser le processus d'adhésion au VPN.

• Création d'une arborescence sur le serveur OpenVPN pour stocker les certificats et clés des clients

# mkdir -p ~/client-configs/keys

• Définition des droits pour sécuriser le dossier

# chmod -R 700 ~/client-configs

• génération des clés avec l'option nopass en précisant le nom du client

# ./easyrsa gen-req client1 nopass

• copie de la clé privée du client1 dans le dossier /client-configs/keys

# cp pki/private/client1.key ~/client-configs/keys

• transfert de la requête client1.req sur le serveur CA :

Depuis le serveur CA
# scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/client1.req /tmp

• import de la demande de certificat à signer :

Depuis le serveur CA
# ./easyrsa import-req /tmp/client1.req client1

• signature du certificat de client1 en précisant qu'il s'agit d'une requête de type client et en confirmant le common name client1 avec le mot yes:

Depuis le serveur CA
# ./easyrsa sign-req client client1

• copie du certificat du client1.crt dans le dossier /client-configs/keys du serveur OpenVPN

Depuis le serveur CA
# scp pki/issued/client1.crt root@ip_serveur_OpenVPN:/root/client-configs/keys

• récupération de la clé ta.key du serveur OpenVPN pour la mettre dans le dossier /client-configs/keys du serveur OpenVPN

Depuis le serveur OpenVPN
# cd EasyRSA-3.0.8
# cp ta.key ~/client-configs/keys

• copie du fichier ca.crt du CA dans le dossier /client-configs/keys

Depuis le serveur OpenVPN
# cp /etc/openvpn/ca.crt ~/client-configs/keys

Configuration du serveur OpenVPN avec les clés et certificats du serveur et du client

• copier-coller l'exemple de configuration

# cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
# gzip -d /etc/openvpn/server.conf.gz

• modification du fichier de configuration /etc/openvpn/server.conf

# nano /etc/openvpn/server.conf

• faites les modifications suivantes :
  • changer dh dh2048.pem par dh dh.pem
  • ajouter auth SHA256 après la ligne cipher AES-256-CBC
  • décommentez (enlever le ;) les lignes suivantes :
    • user nobody
    • group nogroup
  • adapter le nom des clés et certificat au nom du serveur VPN :
    • changer cert server.crt par cert OpenVPN.crt
    • changer key server.key par cert OpenVPN.key

Ces modifications permettent la création d'un tunnel VPN entre deux ordinateurs mais n'oblige pas à utiliser le tunnel. Pour router tout le trafic à travers le VPN, il faut pousser la configuration du DNS vers les clients en ajoutant les modifications suivantes au fichier server.conf.

• décommenter la ligne redirect-gateway

push "redirect-gateway def1 bypass-dhcp"

• indiquer les DNS public fournis par opendns.com. La reconfiguration du DNS fera utiliser le tunnel VPN comme passerelle par défaut

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Par défaut OpenVPN utilise le port UDP 1194. Pour autoriser ce port avec ufw

# ufw allow 1194/udp

Lien : https://doc.ubuntu-fr.org/ufw

• configurer le routage en modifiant le fichier /etc/sysctl.conf (décommentez la ligne)

net.ipv4.ip_forward=1

• appliquer la modification

# sysctl -p

• modification du parefeu UFW pour le NAT en modifiant le fichier /etc/ufw/before.rules pour ajouter les règles suivantes:

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
 
# START OPENVPN RULES
# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
# Allow traffic from OpenVPN client to eth0 (change to the interface you discovered!)
-A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE
COMMIT
# END OPENVPN RULES
 
# Don't delete these required lines, otherwise there will be errors

• configurer UFW pour autoriser par défaut forwarded packets en modifiant le fichier /etc/default/ufw pour accept à l apalce de DROP.

DEFAULT_FORWARD_POLICY="ACCEPT"

• activer les nouvelles règles de ufw

# ufw disable
# ufw enable

• comme le fichier de configuration est /etc/openvpn/server.conf, ajouter @server à l afin du nom

# systemctl start openvpn@server

• visualiser le status du service openvpn

# systemctl status openvpn@server

• visualiser l'interface tun0 du service openvpn

# systemctl status openvpn@server

• activer le démarrage automatique du service

# systemctl enable openvpn@server

• création d'un dossier de stockage des configuration clients

# mkdir -p ~/client-configs/files

• copie d'un exemple de configuration client

# cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf

• modification du fichier ~/client-configs/base.conf

# nano ~/client-configs/base.conf

• faites les modifications suivantes :
  • changer remote my-server-1 1194 par remote @ip_openvpn 1194
  • ajouter auth SHA256 après la ligne cipher AES-256-CBC
  • décommentez (enlever le ;) les lignes suivantes :
    • user nobody
    • group nogroup
  • ajouter à la fin du fichier key-direction 1
  • ajouter à la fin du fichier les lignes suivantes qui seront utilisées par l'utilitaire resolvconf des clietns Linux :

# script-security 2
# up /etc/openvpn/update-resolv-conf
# down /etc/openvpn/update-resolv-conf

• création du script de génération du fichier de configuration client

# nano ~/client-configs/make_config.sh

Voici le contenu du fichier utilisant l'utilisateur compte qui peut utiliser sudo :

#!/bin/bash

# First argument: Client identifier

KEY_DIR=/home/compte/client-configs/keys
OUTPUT_DIR=/home/compte/client-configs/files
BASE_CONFIG=/home/compte/client-configs/base.conf

cat ${BASE_CONFIG} \
    <(echo -e '<ca>') \
    ${KEY_DIR}/ca.crt \
    <(echo -e '</ca>\n<cert>') \
    ${KEY_DIR}/${1}.crt \
    <(echo -e '</cert>\n<key>') \
    ${KEY_DIR}/${1}.key \
    <(echo -e '</key>\n<tls-auth>') \
    ${KEY_DIR}/ta.key \
    <(echo -e '</tls-auth>') \
    > ${OUTPUT_DIR}/${1}.ovpn

• rendre le script exécutable

# chmod 700 ~/client-configs/make_config.sh

• générer un fichier de configuration client

compte$ cd ~/client-configs
compte$ sudo ./make_config.sh client1

$ sftp sammy@your_server_ip:client-configs/files/client1.ovpn ~/

client$ sudo apt update
client$ sudo apt install openvpn

• vérifier la présence du script update-resolv-conf

client$ ls /etc/openvpn

• Transférer le script client1.ovpn situé sur le serveur OpenVPN sur le client

client$ # scp compte@ip_serveur_OpenVPN:client-configs/files/client1.opvn /

• modifier le fichier client1.ovpn si le script update-resolv-conf existe en décommentant les lignes suivantes :

client$ nano client1.ovpn

script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf

• pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus
  • DNS leak
  • https://iflorian.com/openvpn-block-outside-ds/

# eviter DNS leak
pull-filter ignore "block-outside-dns"

client$ sudo openvpn --config client1.ovpn

• pour démarrer automatiquement le client VPN au lancement du client :
  • copier le fichier de configuration du client VPN client1.ovpn dans /etc/openvpn en changeant l'extension ovpn par conf ce qui donne client1.conf :

client$ sudo cp client1.ovpn /etc/openvpn/client1.conf

• modifier le fichier de configuration /etc/default/openvpn en décommentant et en renseignant le nom du fichier de configuration (ne pas mettre l'extension .conf):

AUTOSTART="client1"

• activer le lancement automatique du lien VPN au démarrage du client

client$ sudo systemctl enable openvpn

• sur le serveur CA exécuter le script easyrsa et confirmant avec le mot yes :

Depuis le serveur CA
# cd  cd EasyRSA-v3.0.8
# ./easyrsa revoke client1

• création d'un liste de révocation de certificats (CRL)

Depuis le serveur CA
# ./easyrsa gen-crl

• transfert du fichier crl.pem sur le serveur OpenVPN dans le dossier /etc/openvpn

Depuis le serveur CA
# scp pki/crl.pem root@ip_serveur_OpenVPN:/etc/openvpn

• modifier la configuration du serveur OpenVPN pour prendre en compte la liste de certificat révoqué :

Depuis le serveur OpenVPN
# nano /etc/openvpn/server.conf

* Ajouter à la fin du fichier /etc/openvpn/server.conf a ligne suivante :

crl-verify crl.pem

• redémarrer le serveur OpenVPN

# systemctl restart openvpn@server