Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Debian » 11 » LDF400 - Administration de la Sécurité » LDF408 - Cryptologie

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
elearning:workbooks:debian:11:sec:l108 [2025/12/04 09:31] adminelearning:workbooks:debian:11:sec:l108 [2025/12/07 14:17] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
- 
-OPENVPN 
  
 Version : **2026.01** Version : **2026.01**
Ligne 53: Ligne 51:
         * Introduction         * Introduction
         * Utilisation         * Utilisation
-    * LAB #4 - Mise en place d'un VPN avec OpenVPN +
-      * Présentation +
-      * Configuration commune au client et au serveur +
-      * Configuration du client +
-      * Configuration du serveur +
-      * Tests +
-        * Du client vers le serveur +
-        * Du serveur vers le client+
  
 =====Le Problématique===== =====Le Problématique=====
Ligne 1592: Ligne 1583:
 trainee@debian12:~$ ls /tmp/scp_test trainee@debian12:~$ ls /tmp/scp_test
 /tmp/scp_test /tmp/scp_test
-</code> 
- 
-=====LAB #4 - Mise en place d'un VPN avec OpenVPN===== 
- 
-====4.1 - Présentation==== 
- 
-**%%OpenVPN%%** : 
- 
-  * permet à des pairs de s'authentifier entre eux à l'aide : 
-    * d'une **clé privée partagée** à l'avance,  
-    * de **certificats** ou,  
-    * à partir de la version 2.0 et à condition que le serveur possède un certificat, de **couples de noms d'utilisateur/mot de passe** sans besoin d'un certificat client 
-  * utilise de manière intensive la bibliothèque d'authentification **%%OpenSSL%%** ainsi que le protocole **SSLv3/TLSv1**,  
-  * n'est pas compatible avec IPsec ou d'autres logiciels VPN.  
- 
-====Configuration commune au client et au serveur==== 
- 
-Installez le paquet openvpn : 
- 
-<code> 
-root@debian12:~# apt install openvpn 
-</code> 
- 
-Naviguez au répertoire **/etc/openvpn** et créez la clef partagée : 
- 
-<code> 
-[root@centos7 ~]# cd /etc/openvpn/ 
- 
-root@debian12:/etc/openvpn# openvpn --genkey secret static.key 
- 
-root@debian12:/etc/openvpn# cat static.key 
-# 
-# 2048 bit OpenVPN static key 
-# 
------BEGIN OpenVPN Static key V1----- 
-77b47829a9d17aacc71b05a2bfa9bcba 
-e90370cc07238a5adb74ef479e87547d 
-fc18a69c3c5307bdc1ca27c7aa6f3a35 
-e09e815a27f50c28699be3af28decd3c 
-b319923c2fe3826c2afb41d2e0239229 
-fee9bc33566941e09e2f905f1bcbb59a 
-55cf8d535334ac46eda3f35be0b7e22b 
-c3261de182f7cde5cc7d756420907514 
-0399672d104cebee31a44ca6d89663c7 
-784b928e893c4d3a6e7d294e94266e1b 
-5a98f80f797651199069902be01d2bbd 
-94765d310f8d0466484a0e7cbf10bb98 
-d247127aa53a6c18a6def6ed73a28b69 
-b7d052209318057e2ccb9660fc42543b 
-d79dab314ecbc19a6b8936255c17d673 
-fb0bdc3856a034ffc3931a7d645d6d96 
------END OpenVPN Static key V1----- 
-</code> 
- 
-<code> 
-root@debian12:~# scp /etc/openvpn/static.key trainee@10.0.2.45:/tmp/static.key 
-trainee@10.0.2.45's password:  
-static.key                                                                                                                                                                      100%  636     1.2MB/  00:00 
-</code> 
- 
-====Configuration du client==== 
- 
-<code> 
-root@debian12:/etc/openvpn# ssh -l trainee 10.0.2.45 
-trainee@10.0.2.45's password: trainee 
-Activate the web console with: systemctl enable --now cockpit.socket 
- 
-Last login: Fri Nov 28 09:47:05 2025 from ::ffff:10.0.2.46 
- 
-[trainee@centos8 ~]$ su - 
-Password: fenestros 
-</code> 
- 
-<code> 
-[root@centos8 ~]# dnf install epel-release 
-</code> 
- 
-<code> 
-[root@centos8 ~]# dnf install openvpn 
-</code> 
- 
-<code> 
-[root@centos8 ~]# mv /tmp/static.key /etc/openvpn 
-[root@centos8 ~]# ls /etc/openvpn 
-client  server  static.key 
-</code> 
- 
-Créez le fichier **/etc/openvpn/client/client.conf** : 
- 
-<code> 
-[root@centos8 ~]# vi /etc/openvpn/client/client.conf 
-[root@centos8 ~]# cat /etc/openvpn/client/client.conf 
-remote 10.0.2.46 
-dev tun 
-port 1194 
-proto udp 
-comp-lzo 
-ifconfig 10.0.0.2 10.0.0.1 
-secret /etc/openvpn/static.key 
-</code> 
- 
-Lancez openvpn en ligne de commande et en arrière plan en spécifiant une journalisation : 
- 
-<code> 
-[root@centos8 ~]# openvpn --config /etc/openvpn/client/client.conf > /var/log/vpn 2>&1 & 
-[1] 14598 
-</code> 
- 
-Vérifiez ensuite que le **socket** d'openvpn soit ouvert : 
- 
-<code> 
-[root@centos8 ~]# netstat -an | grep 1194 
-udp        0      0 0.0.0.0:1194            0.0.0.0:    
-</code> 
- 
-Constatez ensuite la table de routage : 
- 
-<code>                             
-[root@centos8 ~]# netstat -ar 
-Kernel IP routing table 
-Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface 
-default         _gateway        0.0.0.0         UG        0 0          0 ens18 
-10.0.0.1        0.0.0.0         255.255.255.255 UH        0 0          0 tun0 
-10.0.2.0        0.0.0.0         255.255.255.0           0 0          0 ens18 
-192.168.122.0   0.0.0.0         255.255.255.0           0 0          0 virbr0 
-</code> 
- 
-Notez la présence de la route via **tun0**. 
- 
-Constatez ensuite le montage du tunnel en regardant le contenu du fichier de journalisation **/var/log/vpn** : 
- 
-<code> 
-[root@centos7 ~]# tail /var/log/vpn 
-</code> 
- 
-L'architecture réseau sera donc la suivante : 
- 
-<file> 
-                                   serveur <------------Votre réseau-------------> client 
-                                      |                                               | 
-                                      |                                               | 
-                                  eth0@ifxxx                                      eth0@ifxxx 
-                                  172.yy.0.3                                      172.yy.0.4  
-</file> 
- 
-====Configuration du serveur==== 
- 
-Créez le fichier **/etc/openvpn/server/server.conf** : 
- 
-<code> 
-root@debian12:~# vi /etc/openvpn/server/server.conf 
- 
-root@debian12:~# cat /etc/openvpn/server/server.conf 
-dev tun 
-ifconfig 10.0.0.1 10.0.0.2 
-secret /etc/openvpn/static.key 
-port 1194 
-proto udp 
-user nobody 
-group nobody 
-daemon 
-comp-lzo 
-keepalive 10 60 
-ping-timer-rem 
-persist-tun 
-persist-key 
-log /var/log/vpn 
-verb 1 
-</code> 
- 
-Arrêtez le service **firewalld** : 
- 
-<code> 
-root@debian12:~# systemctl stop firewalld 
- 
-root@debian12:~# iptables -L 
-Chain INPUT (policy ACCEPT) 
-target     prot opt source               destination          
- 
-Chain FORWARD (policy ACCEPT) 
-target     prot opt source               destination          
- 
-Chain OUTPUT (policy ACCEPT) 
-target     prot opt source               destination 
-</code> 
- 
-Lancez openvpn en ligne de commande et en arrière plan en spécifiant une journalisation : 
- 
-<code> 
-root@debian12:~# openvpn --config /etc/openvpn/server/server.conf > /var/log/vpn 2>&1 & 
-[1] 11644 
-</code> 
- 
-Vérifiez ensuite que le **socket** d'openvpn soit ouvert : 
- 
-<code> 
-[root@centos7 ~]# netstat -an | grep 1194 
-udp        0      0 0.0.0.0:1194                0.0.0.0:    
-</code> 
- 
-Constatez ensuite la table de routage : 
- 
-<code>                             
-[root@centos7 ~]# netstat -ar  
-Kernel IP routing table 
-Destination     Gateway         Genmask         Flags   MSS Fenêtre irtt Iface 
-0.0.0.0         10.0.2.2        0.0.0.0         UG        0 0          0 enp0s3 
-10.0.0.1        0.0.0.0         255.255.255.255 UH        0 0          0 tun0 
-10.0.2.0        0.0.0.0         255.255.255.0           0 0          0 enp0s3 
-</code> 
- 
-Constatez ensuite le montage du tunnel en regardant le contenu du fichier de journalisation **/var/log/vpn** : 
- 
-<code> 
-[root@centos7 ~]# tail /var/log/vpn 
-</code> 
- 
-====Tests==== 
- 
-===Du client vers le serveur=== 
- 
-Sur le client, utilisez la commande ping pour envoyer des paquets dans le tunnel : 
- 
-<code> 
-[root@centos6 ~]# ping -c3 10.0.0.1 
-PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data. 
-64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=7.62 ms 
-64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.35 ms 
-64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.000 ms 
- 
---- 10.0.0.1 ping statistics --- 
-3 packets transmitted, 3 received, 0% packet loss, time 2047ms 
-rtt min/avg/max/mdev = 0.000/2.994/7.629/3.323 ms 
-</code> 
- 
-===Du serveur vers le client=== 
- 
-Sur le serveur, utilisez la commande ping pour envoyer des paquets dans le tunnel : 
- 
-<code> 
-[root@centos7 ~]# ping -c5 10.0.0.2 
-PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data. 
-64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=2.59 ms 
-64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=9.08 ms 
-64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=7.24 ms 
-64 bytes from 10.0.0.2: icmp_seq=4 ttl=64 time=7.03 ms 
-64 bytes from 10.0.0.2: icmp_seq=5 ttl=64 time=4.08 ms 
- 
---- 10.0.0.2 ping statistics --- 
-5 packets transmitted, 5 received, 0% packet loss, time 4034ms 
-rtt min/avg/max/mdev = 2.597/6.008/9.084/2.340 ms 
 </code> </code>
  
 ----- -----
 Copyright © 2025 Hugh Norris. Copyright © 2025 Hugh Norris.

Piste : LDF406 - Sécurité Applicative LDF407 - Balayage des Ports LDF405 - System Hardening LDF409 - Gestion de la Sécurité de Docker LDF403 - Authentification LDF400 - Administration de la Sécurité LDF408 - Cryptologie LDF404 - Système de Fichiers LDF410 - Validation de la Formation LDF401 - Gestion des Droits

Menu