Temps de lecture estimé: 4 minutes

Vous êtes-vous déjà connecté à un réseau Wi-Fi auquel vous ne faites pas entièrement confiance? Je parle des réseaux publics comme dans les hôtels ou les clubs. Dans ce cas, comment pourriez-vous faire pour surfer en toute sécurité en utilisant un réseau “faible”? Via un VPN.

Un VPN (Réseau privé virtuel) est un réseau privé de télécommunications, établi comme une connexion entre des sujets utilisant un protocole de transmission public et partagé, comme la suite de protocoles Internet.

Tiré de Wikipedia

Le but des VPN est d'offrir aux entreprises, à moindre coût, les mêmes possibilités que pour les lignes privées de location, mais en utilisant des réseaux publics partagés: un VPN peut donc être vu comme l'extension géographique d'un réseau local privé sécurisé d'entreprise qui relie des sites au sein de l'entreprise elle-même, diversement répartis sur un large territoire, exploiter le routage IP pour le transport à l'échelle géographique et créer en fait un réseau LAN, dit précisément “virtuel” et “privé”, équivalent à une infrastructure de réseau physique (c'est-à-dire avec des connexions physiques) dédié.

Tiré de Wikipedia

Tout est clair? En se connectant à un VPN, ce sera comme si notre client était physiquement dans le LAN du serveur. Nous verrons les hôtes que le serveur voit, nous aurons des limites (venez pare-feu ou liste noire) que le serveur a.

Il existe une variété de services VPN disponibles, chacun avec des caractéristiques différentes. Google lui-même a récemment lancé son VPN (vous devez vous abonner à Google One), les autres sont gratuits. Ils diffèrent tous par la vitesse, sécurité et services offerts. Beaucoup de VPN, aussi commerciale, utiliser OpenVPN comme logiciel pour gérer les VPN.

OpenVPN crée un tunnel crypté entre deux points, empêchant tout “Partie trois” pour accéder aux données de trafic. En démarrant votre propre serveur VPN, vous deviendriez votre propre fournisseur VPN. De nombreux services propriétaires utilisent OpenVPN comme backend, alors pourquoi vous lier à un en particulier quand vous pourriez avoir le contrôle total?

Créer un serveur Linux

Il y a peu à dire ici. Toute distribution Linux doit être installée sur un PC. Le matériel du PC en question ne doit pas nécessairement être de dernière génération si nous voulons l'utiliser uniquement comme serveur VPN. Pour notre article, nous utiliserons Fedora, mais ne vous sentez pas lié à cette distribution: OpenVPN est installable sur n'importe quel système Linux.

Paramètres réseau

Après avoir installé Fedora sur notre PC, nous devrons configurer le réseau. Pour ce faire, nous devrons nous connecter via la console ou SSH.

Nous téléchargeons d'abord les mises à jour et redémarrons le système.

~$ sudo dnf update -y && reboot

Reconnectons-nous et désactivons le pare-feu.

~$ systemctl disable firewalld.service

~$ systemctl stop firewalld.service

Vous voudrez peut-être activer certaines règles de votre pare-feu pour le réseau interne. Si c'est le cas, terminez d'abord la configuration d'OpenVPN avec le pare-feu désactivé. Vous activerez les règles de pare-feu plus tard. Il y a un post très détaillé sur le blog RedHat.

L'adresse IP

Les commandes ci-dessous supposent que votre interface réseau arrive “appeler” du système ens3. Dans votre cas, ils peuvent avoir un autre identifiant, puis vérifiez comment il est appelé avec la commande suivante.

~$ sudo nmcli connection show
NAME  UUID                                  TYPE      DEVICE
ens3  18916b35-9d58-42bc-bdc6-fc0659480875  ethernet  ens3

Vous devrez vous assurer que vous pouvez vous connecter à distance à votre serveur VPN. Il y a deux manières: définir l'adresse IP de manière statique sur le réseau local (et c'est mon conseil), ou laissez le routeur faire le travail “sale”.

Configurer l'IP manuellement

Définir l'adresse IP comme statique, la passerelle et le DNS avec la commande suivante (entrez l'IP de votre serveur).

~$ sudo nmcli connection modify ens3 ipv4.addresses 10.10.10.97/24
~$ sudo nmcli connection modify ens3 ipv4.gateway 10.10.10.1
~$ sudo nmcli connection modify ens3 ipv4.dns 10.10.10.10
~$ sudo nmcli connection modify ens3 ipv4.method manual
~$ sudo nmcli connection modify ens3 connection.autoconnect yes

Et enfin, nous définissons un nom d'hôte.

~$ sudo hostnamectl set-hostname OVPNserver

Si vous avez un serveur DNS local, vous devrez définir une entrée DNS avec le nom d'hôte pointant vers l'adresse IP du serveur VPN.

Redémarrez votre PC et assurez-vous que les paramètres indiqués sont effectifs lorsque vous le rallumez.

Faites en sorte que votre routeur configure l'IP

Le routeur que vous utilisez dans votre réseau (que vous l'avez acheté, ou qu'il vous a été prêté par votre FAI) il intègre probablement un serveur DHCP qui attribue arbitrairement des adresses IP aux appareils connectés. Votre nouveau serveur VPN est exactement l'un des appareils du réseau auquel le routeur a attribué une adresse IP.

Le problème survient lorsque le routeur ne peut garantir que chaque appareil ne pourra jamais obtenir la même IP lors d'une éventuelle reconnexion. Le routeur essaiera très probablement d'attribuer la même adresse, mais il peut le changer en fonction du nombre d'appareils connectés, ou à d'autres variables que nous ne connaissons pas (chaque fabricant fixe des règles arbitraires).

Cependant, presque tous les routeurs ont aujourd'hui une interface Web de configuration où nous réserverons les adresses IP pour chaque appareil spécifique.

Il n'y a pas d'interface universelle pour les routeurs… chaque fabricant a développé celui qui selon le service marketing est le plus adapté à ses clients. Il faudra regarder dans les paramètres du routeur “I.P statique”, le “DHCP” et assurez-vous que chaque fois que le PC ou le routeur est redémarré, l'adresse IP attribuée à cet ordinateur particulier reste toujours la même.

Connectez-vous au serveur

En plus d'intégrer un serveur DHCP, selon toute vraisemblance, votre routeur intégrera également un pare-feu. Normalement, c'est génial parce que vous ne voulez jamais que quelqu'un s'introduit dans votre réseau local. Cependant, nous devons configurer le routeur pour laisser les connexions à notre serveur VPN ouvertes, ou nous ne pourrons pas nous connecter.

La meilleure situation serait d'obtenir une adresse IP statique auprès du FAI de référence. En Italie, les IP statiques ont un coût dans la facture (quelques euros en fait), vous aurez donc plus facilement envie de contacter un service privé mais gratuit comme dynDNS (configurable également sous Linux), ou un service connecté au routeur (comme, mais pas seulement, service MonFritz par FritzBox!).

OpenVPN utilise le port UDP 1194 di default. Vous devrez configurer la redirection de port de votre routeur pour acheminer le trafic entrant vers le port 1194 à la porte 1194 de votre serveur VPN. Vous pouvez également changer la porte d'entrée à volonté et vous devrez vous en souvenir lorsque vous tenterez d'accéder.

Ah, comme avant il n'y a pas d'interface standard pour tous les routeurs. Parfois on l'appelle “Redirection de port”, parfois “Serveur virtuel”, le (dans certains cas) “Qualifications” (ou plus).