Il peut y avoir de nombreuses raisons pour aboutir à l’installation d’un tunnel VPN. Nous allons voir ici 2 méthodes pour mettre en place ce type de tunnel. Tout d’abord une méthode plutôt utilisable lors d’un besoin temporaire avec SSH puis pur un tunnel permanent avec OpenVPN.

Ce que j’appelle ici un besoin temporaire, c’est par exemple un tunnel qui ne doit rester en place que le temps d’une intervention.

Pour ce type de tunnel, SSH et son option -w sont bien pratiques

Il faut tout d’abord mettre en place certains éléments au niveau du serveur:

Dans /etc/ssh/sshd_config, rajouter (ou modifier)

PermitRootLogin yes
PermitTunnel point-to-point

Ne pas oublier ensuite de redémarrer le service:

/etc/init.d/ssh restart

Voici maintenant un exemple d’utilisation (côté client):

Commande de base:

ssh -w 0:0 root@toto.exemple.test

Cette commande exécutée côté client établie un tunnel entre les 2 machines cependant cela ne suffit pas, il faut également mettre en place des paramètres IP:

ssh -w 0:0 root@toto.exemple.test ifconfig tun0 192.168.0.20 pointopoint 192.168.0.21

ifconfig tun0 192.168.0.21 pointopoint 192.168.0.20

Une fois ces 2 commandes exécutées, le tunnel sécurisé est ouvert et les paramètres IP sont attribués, il ne reste plus qu’à utiliser ce tunnel. Une fois le poste redémarré ou la connexion interrompue, le tunnel n’existe plus.

Bien souvent, un tunnel permanent est nécessaire et bien plus pratique. Pour ce type de tunnel VPN, un outil efficace est OpenVPN.

Sa mise en œuvre se révèle relativement simple mais nécessite quelques conditions:

Ces tunnels sont en général mis en place entre des routeurs.

Il faut paramétrer les parefeux de sorte à accepter la mise en place de ceux-ci.

Passons à la configuration d’OpenVPN:

L’installation d’OpenVPN est relativement simple, apt-get install openvpn openssh-server openssl

Pour ce qui est de la configuration, nous allons partir ici sur une solution simple et graphique. Nous allons installer et utiliser

network-manager-openvpn.

Ouvrir le gestionnaire de connexion réseaux à l’onglet VPN

Cliquer sur « Ajouter »

Choisir type de connexion « OpenVPN »

La passerelle est l’adresse IP ou le nom du poste distant.

Pour cette configuration, nous allons utiliser une authentification de type clé statique (la même pour les deux machines).

La clé peut être crée simplement à l’aide de la commande suivante:

openvpn -genkey -secret nom_de_la_cle.pem

Il suffit de sélectionner cette clé dans l’interface puis indiquer l’adresse IP locale.

Cette clé devra ensuite être transmise sur le second poste et la configuration du second poste devra être effectuée de la même manière en inversant simplement la passerelle et l’adresse IP locale. Il est également possible de définir diverses routes d’un côté comme de l’autre afin par exemple de pouvoir accéder à l’ensemble du réseau de l’autre côté.