Comment installer et configurer OpenVPN sur Debian

OpenVPN est sans aucun doute le meilleur moyen de rejoindre un réseau en toute sécurité via Internet, OpenVPN est une ressource VPN open source qui nous permet en tant qu'utilisateurs de masquer notre navigation pour éviter d'être victimes sur le réseau.

Ce sont des aspects très importants au niveau de la sécurité que nous devons prendre en compte et cette fois nous allons analyser le processus de Configuration OpenVPN dans un environnement Debian 8.

NoterAvant de commencer le processus d'installation, il est important de répondre à certaines exigences, à savoir :

  • Utilisateur racine.
  • Droplet Debian 8, nous avons actuellement Debian 8.1

1. Comment installer OpenVPN


La première étape que nous allons faire est mettre à jour tous les packages de l'environnement à l'aide de la commande :
 apt-get mise à jour

Une fois les packages téléchargés et mis à jour installons OpenVPN en utilisant easy-RSA pour les problèmes de cryptage. Nous allons exécuter la commande suivante :

 apt-get install openvpn easy-rsa

Ensuite nous devons configurer notre OpenVPN, les fichiers de configuration OpenVPN sont stockés dans le chemin suivant : /etc/openvpn et nous devons les ajouter à notre configuration, nous allons utiliser la commande suivante :

 gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.conf
Une fois que nous avons extrait ces fichiers dans le chemin sélectionné, nous allons les ouvrir à l'aide de l'éditeur nano, nous exécuterons la commande suivante :
 nano /etc/openvpn/server.conf
Nous verrons la fenêtre suivante :

Une fois que nous y sommes nous devons apporter quelques modifications au fichier, ces changements sont essentiellement :

  • Sécurisation du serveur avec un cryptage de haut niveau
  • Autoriser le trafic Web vers la destination
  • Empêcher le filtrage des requêtes DNS en dehors de la connexion VPN
  • Autorisations d'installation

Nous allons doubler la longueur de la clé RSA qui est utilisé lorsque les clés du serveur et du client sont générées, pour cela nous allons rechercher dans le fichier les valeurs suivantes et nous allons modifier la valeur dh1024.pem par la valeur dh2048.pem :

 # Diffie paramètres hellman. # Générez le vôtre avec : # openssl dhparam -out dh1024.pem 1024 # Remplacez 2048 par 1024 si vous utilisez des clés # 2048 bits. dh dh1024.pem

Voyons maintenant s'assurer que le trafic est correctement redirigé vers la destination, décommentons push "redirect-gateway def1 bypass-dhcp" en supprimant le; au début de celui-ci. dans le fichier server.conf :

 # Si elle est activée, cette directive configurera # tous les clients pour rediriger leur # passerelle réseau par défaut via le VPN, provoquant # tout le trafic IP tel que la navigation Web et # et les recherches DNS à passer par le VPN # (La machine serveur OpenVPN peut avoir besoin de NAT # ou pontez l'interface TUN / TAP vers internet # en ***** pour que cela fonctionne correctement).; appuyez sur "redirect-gateway def1 bypass-dhcp"

La prochaine étape sera dire au serveur d'utiliser OpenDNS pour la résolution de noms DNS Tant que cela est possible, de cette façon nous évitons que les requêtes DNS soient en dehors de la connexion VPN, nous devons localiser le texte suivant dans notre fichier :

 # Certains paramètres réseau spécifiques à Windows # peuvent être transmis aux clients, tels que les adresses de serveur DNS # ou WINS. ATTENTION : # http://openvpn.net/faq.html#dhcpcaveats # Les adresses ci-dessous font référence aux # serveurs DNS publics fournis par opendns.com.; poussez "dhcp-option DNS 208.67.222.222"; poussez "dhcp-option DNS 208.67.220.220"
Là, nous devons décocher le push "dhcp-option DNS 208.67.222.222" et pousser les commentaires "dhcp-option DNS 208.67.220.220" en supprimant le; Depuis le début.

Enfin nous allons définir les autorisations Dans le même fichier sur lequel nous travaillons, nous plaçons le texte suivant :

 # Vous pouvez supprimer ce commentaire sur # les systèmes non Windows.; utilisateur personne ; groupe nogroup
Nous procédons à décocher supprimer le signe; dès le début des textes utilisateur personne Oui groupe sans groupe.

Comme nous le savons, OpenVPN fonctionne par défaut en tant qu'utilisateur root permettant de modifier n'importe quel paramètre, avec le dernier changement, nous allons le limiter à l'utilisateur personne et au groupe nogroup pour des raisons de sécurité.
Nous enregistrons les modifications à l'aide de la combinaison de touches :

Ctrl + O

Et nous quittons l'éditeur en utilisant :

Ctrl + X

Maintenant, nous allons activer le transfert de paquets vers le réseau externe, pour cela nous exécuterons la commande suivante :

 echo 1> / proc / sys / net / ipv4 / ip_forward
Nous devons rendre ce changement permanent, non pas que nous devions le faire chaque fois que nous démarrons le système, pour le rendre continu, nous allons entrer le fichier systcl à l'aide de l'éditeur nano, pour cela, nous exécuterons ce qui suit :
 nano /etc/sysctl.conf
La fenêtre suivante s'affichera :

Nous allons localiser la ligne suivante :

 # Décommentez la ligne suivante pour activer le transfert de paquets pour IPv4 # net.ipv4.ip_forward = 1
NoterRappelons que nous pouvons utiliser la recherche de l'éditeur en utilisant la combinaison de touches :

Ctrl + W

Là, nous allons décocher le commentaire net.ipv4.ip_forward = 1 en supprimant le symbole #.

La prochaine étape que nous devons franchir est configurer UFW. UFW est une configuration de pare-feu pour les tables IP, nous allons donc faire quelques ajustements pour changer la sécurité UFW. Dans un premier temps, nous allons installer les packages UFW à l'aide de la commande suivante :

 apt-get install ufw

Une fois les packages UFW nécessaires téléchargés et installés, nous allons configurer UFW pour autoriser les connexions SSH, pour cela nous exécuterons les opérations suivantes :

 ufw autoriser ssh

Dans notre cas nous travaillons sur le port 1194 d'UDP, nous devons configurer ce port pour que la communication soit satisfaisante, nous entrerons ceci :

 ufw autoriser 1194 / udp
NoterNous pouvons voir les ports de notre console en utilisant la commande lsof -iUDP

Ensuite, nous allons éditer le fichier de configuration UFW pour cela, nous entrerons avec l'éditeur nano dans le chemin suivant :

 nano / etc / par défaut / ufw
La fenêtre suivante s'ouvrira :

Là, nous allons faire quelques modifications, nous allons localiser la ligne suivante, où nous allons changer DROP en ACCEPTER.

 DEFAULT_FORWARD_POLICY = "DÉPOSER"
La prochaine étape est ajouter des règles dans UFW pour la traduction des adresses réseau et le masquage correct des adresses IP des utilisateurs qui se connectent. Ouvrons le fichier suivant à l'aide de l'éditeur nano :
 nano /etc/ufw/before.rules
Nous verrons que la fenêtre suivante s'affiche :

Nous allons ajouter le texte suivant :

 # START OPENVPN RULES # NAT table rules * nat: POSTROUTING ACCEPT [0: 0] # Autoriser le trafic du client OpenVPN vers eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES

Une fois ces modifications effectuées, nous procéderons à activer UFW à l'aide de la commande suivante :

 ufw activer

À vérifier les règles de pare-feuj'utilise la commande suivante :

 statut ufw 

2. Créer un certificat d'autorité OpenVPN


La prochaine étape de notre processus est créer le certificat d'autorité pour la connexion via OpenVPNRappelons qu'OpenVPN utilise ces certificats pour chiffrer le trafic. OpenVPN prend en charge la certification bidirectionnelle, c'est-à-dire que le client doit authentifier le certificat du serveur et vice versa.
Nous allons copier les scripts sur easy-RSA à l'aide de la commande suivante :
 cp -r / usr / share / easy-rsa / / etc / openvpn
Nous allons créer un répertoire pour stocker les clés, nous utiliserons la commande suivante :
 mkdir / etc / openvpn / easy-rsa / clés
La prochaine étape est modifier les paramètres du certificat, nous utiliserons la commande suivante :
 nano/etc/openvpn/easy-rsa/vars
La fenêtre suivante s'affichera :

Nous allons modifier les paramètres suivants en fonction de nos besoins :

 exporter KEY_COUNTRY = "CO" exporter KEY_PROVINCE = "BO" exporter KEY_CITY = "Bogota" exporter KEY_ORG = "Solvetic" exporter KEY_EMAIL = "[email protected]" exporter KEY_OU = "Solvetic"

Dans le même fichier, nous allons éditer la ligne suivante :

 # X509 Exportation du champ d'objet KEY_NAME = "EasyRSA"
Nous allons remplacez la valeur EasyRSA par le nom du serveur souhaité, nous utiliserons le nom Solvetic.

Maintenant, nous allons configurer les paramètres Diffie-Helman en utilisant un outil intégré à OpenSSL appelé dhparam. Nous allons entrer et exécuter la commande suivante :

 openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Une fois le certificat généré, nous changer le répertoire easy-RSA à l'aide de la commande :

 cd/etc/openvpn/easy-rsa
Nous allons initialiser la PKI, nous utiliserons la commande :
… / Var

Nous allons effacer les autres touches afin qu'ils n'interfèrent pas avec l'installation à l'aide de la commande :

 ./Nettoie tout
Maintenant, nous allons construire le certificat à l'aide de la commande OpenSSL suivante :
 ./construire-ca

Nous pourrons voir une série de questions liées aux informations précédemment saisies, de cette manière le certificat a été généré. Ensuite, nous allons démarrer notre serveur OpenVPN, pour cela Nous allons éditer le fichier situé dans le chemin /etc/openvpn/easy-rsa en utilisant le nom de clé précédemment spécifié, dans notre cas Solvetic. Nous allons exécuter la commande suivante :

 ./build-key-server Solvetic

Dans les lignes ci-dessous, nous pouvons laisser l'espace vide et appuyer sur Entrée :

 Veuillez saisir les attributs 'extra' suivants à envoyer avec votre demande de certificat Un mot de passe de défi [] : Un nom d'entreprise facultatif [] :
La fenêtre suivante s'affichera où il faudra saisir la lettre y (oui) pour accepter les deux questions suivantes : Signer le certificat et demander des certificats.

Voyons maintenant déplacer les certificats et les clés vers / etc / chemin openvpn, nous exécuterons la commande suivante :

 cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} / etc/openvpn
Une fois ce processus terminé, nous démarrer le service OpenVPN à l'aide de la commande :
 démarrage du service openvpn
À voir le statut nous utiliserons la commande :
 état du service openvpn

Notre prochaine étape sera de créer les certificats et les clés pour les clients qui souhaitent se connecter au VPN. Idéalement, pour des raisons de sécurité, chaque client qui se connecte au serveur a son propre certificat et sa propre clé, ne le partagez jamais, par défaut OpenVPN n'autorise pas les connexions simultanées avec le même certificat et la même clé. Nous allons créer la clé pour notre client, pour cela nous entrerons la commande suivante :

 ./build-key Client_Name, dans notre exemple nous allons utiliser la commande suivante : ./build-key Tests

Nous remplissons les champs obligatoires puis nous allons copier la clé générée dans le répertoire easy-RSA.

 cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.
Voyons maintenant télécharger l'outil Winscp gratuitement à partir du lien ci-dessous. Cet outil va nous permettre de nous connecter via SFTP ou FTP à notre machine Debian pour vérifier que les fichiers sont bien créés. Une fois que nous l'aurons téléchargé et exécuté, ce sera la fenêtre que nous pourrons voir :

Là, nous entrons l'adresse IP de la machine Debian, rappelez-vous que l'IP peut être validée à l'aide de la commande ifconfig, nous entrons les informations d'identification et une fois que nous cliquons sur Connect, nous pouvons voir ce qui suit :

AGRANDIR

Là, on peut voir sur le côté droit les fichiers respectifs des clés et des clés. Pour accéder via OpenVPN, nous allons télécharger l'outil à partir du lien suivant OpenVPN version 2.3.11. Une fois que nous l'avons téléchargé, nous devons prendre en compte les modifications apportées audit outil, la première chose que nous allons faire est de copier les fichiers clés et les clés dans le chemin où OpenVPN est généralement installé :

 C:\Program Files\OpenVPN\config
Plus tard, nous créerons un fichier dans le bloc-notes ou l'éditeur de texte dont nous disposons avec les informations suivantes :
 client dev tun proto udp distant 192.168.0.12 1194 clé client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verbe 3
NoterL'IP est celle de notre machine Debian et le port, comme nous l'avons vu précédemment, est UDP 1194.
Ce fichier doit être enregistré avec l'extension .ovpn.

3. Test d'accès client OpenVPN


Exécutons OPenVPN et ce sera l'environnement avec lequel nous nous retrouverons :

Nous entrons les informations d'identification de l'utilisateur pour vous connecter et cliquez sur D'accord et nous pouvons voir ce qui suit

RemarqueNous établissons cette connexion à partir d'un ordinateur Windows 7.

Maintenant, nous pouvons voir dans la barre de notification que la connexion a réussi et nous pouvons voir la nouvelle adresse IP.

Si nous faisons un clic droit sur l'outil (icône dans la barre de notification), nous avons les options suivantes :

De là, nous pouvons effectuer les tâches que nous jugeons nécessaires. Par exemple, oui nous sélectionnons Afficher le statut nous verrons ce qui suit :

4. Outils de sécurité OpenVPN']


Il ne fait aucun doute que le La navigation sur Internet peut entraîner des problèmes de sécurité tels que les virus, le vol d'informations, les logiciels espions, etc., pour cette raison, il existe des outils que nous pouvons mettre en œuvre pour améliorer la sécurité de notre machine une fois que le OpenVPN.

Parlons de Clamav qui est un antivirus puissant qui nous aidera à garder le contrôle sur les fichiers ou processus infectés dans notre Debian 8.1. Il s'agit d'un logiciel open source qui nous permet de détecter les chevaux de Troie, les logiciels malveillants et autres menaces latentes sur nos ordinateurs. Le processus d'installation est très simple, pour cela nous exécuterons la commande suivante :

 Sudo apt-get install clamav

Plus tard, nous exécuterons palourde afin que toute la base de données Clamav soit mise à jour.
Pour lancer une analyse sur la machine, nous allons entrer la syntaxe suivante :

 Clamscan -infected -remove -recursive / home
Après un moment, nous verrons un résumé de la tâche d'analyse :

Un autre outil que nous pouvons utiliser pour améliorer notre sécurité est Privoxy qui fonctionne comme un proxy Web et comprend des fonctions avancées pour protéger la confidentialité, gérer les cookies, contrôler l'accès, supprimer les publicités, entre autres. Pour l'installer sur notre système Debian 8.1, nous exécuterons la commande suivante :

 Sudo apt-get install privoxy

N'oubliez pas que si nous sommes en tant qu'utilisateurs root, sudo n'est pas nécessaire. Une fois tous les packages Privoxy téléchargés et installés, nous allons modifier certains paramètres dans son fichier de configuration, pour cela nous exécuterons la commande suivante :

 Sudo nano/etc/privoxy/config
Les éléments suivants seront affichés :

Là, nous devons localiser la ligne adresse d'écoute localhost : 8118 et nous devons ajouter 2 paramètres, ajoutez d'abord le symbole # au début de cette ligne et entrez en dessous le terme listen-address ip_of_nour machine : 8118, dans notre cas c'est :

 écouter-adresse 192.168.0.10:8118.
Une fois cela fait, nous allons redémarrer le service en utilisant:
 sudo /etc/init.d/privoxy redémarrer

Ensuite, nous allons dans le navigateur que nous avons dans Debian et procédons à la modification des paramètres du proxy, nous devons confirmer que l'adresse IP est celle que nous avons ajoutée et que le port est 8118. Dans notre exemple, nous utilisons IceWeasel et nous devons entrer :

  • préférences
  • Avancée
  • Rapporter
  • Configuration de la connexion
  • Configuration manuelle du proxy

Une fois configuré, nous cliquons sur OK. Maintenant, nous pouvons voir comment Privoxy nous aide en matière de sécurité:

Il existe d'autres outils qui peuvent nous aider à améliorer la navigation en utilisant notre OpenVPN, nous pouvons implémenter :

DnsmasqIl nous fournit des services DNS de cette manière, nous utilisons uniquement le cache DNS.

HAVPAvec cet outil, nous avons un proxy avec antivirus, il analyse tout le trafic à la recherche de virus ou de comportements étranges.

Comme nous pouvons le voir, il est très important de prendre des mesures qui nous aident à garder le contrôle sur notre navigation et d'être très clair que le bon fonctionnement de Debian 8.1

Continuons à explorer tous les grands avantages que Debian 8.1 nous offre et améliorons notre environnement puisque beaucoup d'entre nous sont administrateurs, coordinateurs ou responsables du domaine informatique et ces conseils nous aident à faire face au quotidien plus facilement et avec la possibilité ne pas avoir de problèmes critiques à l'avenir qui peuvent être un gros casse-tête.

Installer LAMP sur Debian 8

wave wave wave wave wave