OpenVPN : Créer et Configurer votre propre serveur VPN

Pourquoi configurer votre propre serveur VPN en utilisant OpenVPN?

• Peut-être êtes-vous un fournisseur de services VPN ou un administrateur système, ce qui vous incombe de configurer votre propre serveur VPN .
• Vous ne faites pas confiance à la politique de non-journalisation des fournisseurs de services VPN, vous optez donc pour l’auto-hôte.
• Vous pouvez utiliser le VPN pour mettre en œuvre la politique de sécurité du réseau. Par exemple, si vous utilisez votre propre serveur de messagerie , vous pouvez demander aux utilisateurs de se connecter uniquement à partir de l’adresse IP du serveur VPN en créant une liste blanche d’adresses IP dans le pare-feu . Ainsi, votre serveur de messagerie est renforcé pour empêcher les activités de piratage.
• Peut-être êtes-vous simplement curieux de savoir comment fonctionne le serveur VPN.

Fonctionnalités du serveur OpenVPN

• Léger et rapide. Dans mon test, j’ai pu regarder des vidéos YouTube 4K sur YouTube qui est bloqué dans mon pays (la Chine).
• Fonctionne sur Linux et la plupart des serveurs BSD.
• Il existe un logiciel client OpenVPN pour Linux, macOS, Windows, Android et iOS, et OpenWRT.
• Prend en charge la comptabilité RADIUS.
• Prend en charge l’hébergement virtuel (plusieurs domaines).
• Facile à configurer
• Prend en charge la sécurité SSL/TLS, le pontage Ethernet, le transport par tunnel TCP ou UDP via des proxies ou NAT.
• Prise en charge des adresses IP dynamiques et DHCP
• Évolutivité à des centaines ou des milliers d’utilisateurs
• Prend en charge le cryptage conventionnel à l’aide d’une clé secrète pré-partagée (mode clé statique) ou de la sécurité par clé publique (mode SSL/TLS) à l’aide de certificats client et serveur

Conditions

Pour suivre ce tutoriel, vous aurez besoin d’un VPS (Virtual Private Server) pouvant accéder librement aux sites bloqués (Hors de votre pays ou système de filtrage Internet). Je recommande OVHCloudVPS ou Kamatera VPS, qui comprend :

• 30 jours d’essai gratuit.
• À partir de 4 $/mois (1 Go de RAM)
• VPS basé sur KVM hautes performances
• 9 centres de données dans le monde, dont les États-Unis, le Canada, le Royaume-Uni, l’Allemagne, les Pays-Bas Hong Kong.

Étape 1 : Installer le serveur OpenVPN sur Ubuntu 22.04/20.04

Connectez-vous à votre serveur Ubuntu 22.04/20.04. Utilisez ensuite la commande apt pour installer le package ocserv à partir du référentiel Ubuntu par défaut.

sudo apt update
sudo apt install -y openvpn openvpn-systemd-resolved easy-rsa

Étape 2 : configurer l’authentification par certificat dans OpenVPN

OpenVPN prend en charge l’authentification par mot de passe (clé pré-partagée), mais c’est très limité. Vous ne pouvez générer qu’une seule clé pré-partagée. Pour prendre en charge plusieurs utilisateurs, nous devons utiliser l’authentification par certificat. Chaque utilisateur aura son propre certificat.

Pour ce faire, nous devons mettre en place une infrastructure à clé publique (PKI), qui comprend :

• Une autorité de certification (AC).
• Une clé de serveur et un certificat.
• Une clé client et un certificat.

Configurer une autorité de certification (AC)

Une autorité de certification émet des certificats de serveur et des certificats de client. Par exemple, Let’s Encrypt est une autorité de certification qui émet des certificats de serveur TLS gratuits. Cependant, Let’s Encrypt n’émet pas de certificats client, nous devons donc configurer une autorité de certification privée pour OpenVPN.

L’ utilitaire  OpenSSL  est largement utilisé pour configurer une autorité de certification, mais sa syntaxe de ligne de commande est complexe. Au lieu de cela, nous pouvons utiliser l’ utilitaire easy-rsa , qui est installé à l’étape 1. Comme son nom l’indique, c’est plus simple que openssl.

Tout d’abord, exécutez la commande suivante pour copier le répertoire /usr/share/easy-rsa/  dans /etc/openvpn/.

sudo make-cadir /etc/openvpn/easy-rsa

En suite basculez vers l’utilisateur root.

sudo su -

Accédez  au répertoire /etc/openvpn/easy-rsa/ que vous venez de créer.

cd /etc/openvpn/easy-rsa/

Initialiser une infrastructure à clé publique.

./easyrsa init-pki

Créez ensuite une autorité de certification.

./easyrsa build-ca

Il vous sera demandé d’entrer une phrase de passe pour l’autorité de certification. Lorsqu’on vous demande de définir un nom commun pour l’autorité de certification, vous pouvez appuyer sur Enterpour choisir le nom par défaut : Easy-RSA CA.

Créer une clé de serveur et un certificat

Générez une paire de clés et une demande de certificat pour le serveur OpenVPN. 

ATTENTION : Remplacez openvpn.example.compar un vrai sous-domaine pour votre serveur OpenVPN. Vous devrez entrer un nom commun. Utilisez ce sous-domaine comme nom commun.

./easyrsa gen-req openvpn.example.com nopass

Générer des paramètres Diffie Hellman.

./easyrsa gen-dh

Signez maintenant la demande de certificat. Le certificat du serveur sera créé.

./easyrsa sign-req server openvpn.example.com

Générez une clé statique OpenVPN pour améliorer la sécurité SSL/TLS.

openvpn --genkey tls-auth /etc/openvpn/easy-rsa/pki/ta.key

Créer une clé client et un certificat

Générez une demande de certificat pour l’utilisateur user01.

./easyrsa gen-req user01 nopass

Signez cette demande de certificat. Le certificat client sera créé. Vous devrez entrer la phrase de passe CA⁽¹⁾.

./easyrsa sign-req client user01

Chaque utilisateur VPN doit avoir son propre certificat/clé.

Étape 3 : Modifier le fichier de configuration du serveur OpenVPN

Copiez l’exemple de fichier de configuration du serveur.

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn/server.conf

Modifiez ce fichier.

sudo nano /etc/openvpn/server.conf

Au début de ce fichier, vous pouvez trouver la ligne suivante, qui active le port UDP sur l’adresse IPv4 publique du serveur.

proto-udp

Ajoutez une deuxième directive pour prendre en charge IPv6.

proto udp
proto udp6

Trouvez ensuite les lignes suivantes.

ca ca.crt
cert serveur.crt
key server.key # Ce fichier doit rester secret

Les 3 lignes spécifient l’emplacement du certificat CA, du certificat du serveur et de la clé privée du serveur. Nous devons utiliser l’emplacement réel.

ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/openvpn.examples.com.crt
key /etc/openvpn/easy-rsa/pki/private/openvpn.examples.com.key

Ensuite, trouvez le réglage des paramètres Diffie hellman.

dh dh2048.pem

Changez-le en :

dh /etc/openvpn/easy-rsa/pki/dh.pem

La ligne suivante spécifie le réseau privé IPv4 pour OpenVPN.

Le serveur OpenVPN aura l’adresse  IP privée 10.8.0.1.

server 10.8.0.0 255.255.255.0

Ajoutez une deuxième directive pour activer l’adressage privé IPv6.

server 10.8.0.0 255.255.255.0
server-ipv6 2001:db8:0:123 ::/64

Par défaut, OpenVPN utilise la topologie net30  du réseau, qui est obsolète. Trouvez la ligne suivante.

;topology subnet

Décommentez la ligne  pour utiliser la topologie subnet du réseau.

topology subnet

Trouvez la ligne suivante

;push "redirect-gateway def1 bypass-dhcp"

Décommentez-le (supprimez le point-virgule du début) et ajoutez également une deuxième pushdirective, afin que le serveur OpenVPN devienne la passerelle pour les clients VPN. Ils utiliseront également OpenVPN comme serveur DNS.

push "redirect-gateway def1 bypass-dhcp"
push "route-ipv6 2000::/3"

Si vous souhaitez que les clients VPN utilisent un serveur DNS particulier, recherchez les deux lignes suivantes.

; push "dhcp-option DNS 208.67.222.222"
; push "dhcp-option DNS 208.67.220.220"

Décommentez-les et modifiez l’adresse IP du serveur DNS.

push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 1.1.1.1"

Trouvez la ligne suivante.

;client-to-client

Décommentez-le, afin que les clients VPN puissent se pinger.

client-to-client

Enfin, trouvez la ligne suivante.

#Ce fichier est secret
tls-auth ta.key 0 

Spécifiez l’emplacement réel de la clé statique OpenVPN.

tls-auth /etc/openvpn/easy-rsa/pki/ta.key 0

Enregistrez et fermez le fichier. Démarrez le serveur OpenVPN.

sudo systemctl enable --now openvpn@server

Vérifiez son état :

sudo systemctl status openvpn@server

Comme vous pouvez le voir, il est actif (en cours d’exécution) et le démarrage automatique au démarrage est activé.

Étape 4 : Activer le transfert IP

Pour que le serveur VPN achemine les paquets entre les clients VPN et Internet, nous devons activer le transfert IP en exécutant la commande suivante.

echo "net.ipv4.ip_forward = 1" | sudo tee /etc/sysctl.d/60-custom.conf

Exécutez également les deux commandes suivantes pour activer l’algorithme TCP BBR afin d’augmenter la vitesse TCP.

echo "net.core.default_qdisc=fq" | sudo tee -a /etc/sysctl.d/60-custom.conf

echo "net.ipv4.tcp_congestion_control=bbr" | sudo tee -a /etc/sysctl.d/60-custom.conf

Appliquez ensuite les modifications avec la commande ci-dessous. L’ option -p chargera les paramètres sysctl à partir du fichier /etc/sysctl.d/60-custom.conf. Cette commande conservera nos modifications lors des redémarrages du système.

sudo sysctl -p /etc/sysctl.d/60-custom.conf

Étape 5 : Configurer le masquage IP dans le pare-feu

Nous devons configurer le masquage IP dans le pare-feu du serveur, afin que le serveur devienne un routeur virtuel pour les clients VPN. J’utiliserai UFW, qui est un frontal du pare-feu iptables/nftable. Installez UFW sur Ubuntu avec :

sudo apt install ufw

Tout d’abord, vous devez autoriser le trafic SSH.

sudo ufw allow 22/tcp

Recherchez ensuite le nom de l’interface réseau principale de votre serveur.

ip addr

Comme vous pouvez le voir, il est nommé ens3sur mon serveur Ubuntu.

Pour configurer le masquage IP, nous devons ajouter la commande iptables dans un fichier de configuration UFW.

sudo nano /etc/ufw/before.rules

Par défaut, il existe certaines règles pour la filtertable. Ajoutez les lignes suivantes à la fin de ce fichier. Remplacez ens3par votre propre nom d’interface réseau.

# règles de table NAT
*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.8.0.0/24 -o ens3 -j MASQUERADE

# Terminez chaque table avec la ligne 'COMMIT' ou ces règles ne seront pas traitées
COMMIT

Dans l’éditeur de texte Nano, vous pouvez aller à la fin du fichier en appuyant sur Ctrl+W, puis en appuyant sur Ctrl+V.

Les lignes ci-dessus ajouteront ( -A ) une règle à la fin de la chaîne POSTROUTING de la table nat . Il reliera votre réseau privé virtuel à Internet. Et cachez également votre réseau du monde extérieur. Ainsi, Internet ne peut voir que l’adresse IP de votre serveur VPN, mais ne peut pas voir l’adresse IP de votre client VPN, tout comme votre routeur domestique masque votre réseau domestique privé.

Par défaut, UFW interdit le transfert de paquets. Nous pouvons autoriser le transfert pour notre réseau privé. Trouvez la ufw-before-forwardchaîne dans ce fichier et ajoutez les 3 lignes suivantes, qui accepteront le transfert de paquets si l’adresse IP source ou l’adresse IP de destination se trouve dans la 10.8.0.0/24plage.

# autoriser le transfert pour un réseau de confiance 
# pour les deux direction source et destination 
-A ufw-before-forward -s 10.8.0.0/24 -j ACCEPT
-A ufw-before-forward -d 10.8.0.0/24 -j ACCEPT

Enregistrez et fermez le fichier. Activez ensuite UFW.

sudo ufw enable

Si vous avez déjà activé UFW, vous pouvez utiliser systemctl pour redémarrer UFW.

sudo systemctl restart ufw

Maintenant, si vous répertoriez les règles dans la chaîne POSTROUTING de la table NAT en utilisant la commande suivante :

sudo iptables -t nat -L POSTROUTING

Vous pouvez voir la règle de mascarade.

Le traitement des règles de pare-feu par UFW peut prendre un certain temps. Si la règle de masquage ne s’affiche pas, redémarrez UFW à nouveau ( sudo systemctl restart ufw).

Étape 6 : Ouvrez le port 1194 dans le pare-feu

Exécutez la commande suivante pour ouvrir les ports TCP et UDP 1194.

sudo ufw allow 1194/tcp
sudo ufw allow 1194/udp

Le serveur OpenVPN est maintenant prêt à accepter les connexions client.

Si vous exécutez un résolveur DNS local

Pour ceux d’entre vous qui exécutent un résolveur DNS local , si vous avez spécifié 10.10.10.1 comme serveur DNS pour les clients VPN, vous devez autoriser les clients VPN à se connecter au port 53 avec la règle UFW suivante.

sudo ufw insert 1 allow in from 10.8.0.0/24

Vous devez également modifier le fichier de configuration du serveur DNS BIND ( /etc/bind/named.conf.options) pour permettre aux clients VPN d’envoyer des requêtes DNS récursives comme ci-dessous.

allow-recursion { 127.0.0.1; 10.8.0.0/24 ; } ;

Redémarrez ensuite BIND.

sudo systemctl restart named

Comment installer et utiliser le client OpenVPN sur le bureau Ubuntu 22.04/20.04

Exécutez la commande suivante pour installer le client de ligne de commande OpenVPN sur le bureau Ubuntu.

sudo apt install openvpn

Ensuite, vous devez copier le certificat CA, le certificat client, la clé privée du client et le fichier de clé statique du serveur OpenVPN sur l’ordinateur du client. Le chemin des fichiers sur le serveur OpenVPN.

• Certificat CA :/etc/openvpn/easy-rsa/pki/ca.crt
• Certificat client :/etc/openvpn/easy-rsa/pki/issued/user01.crt
• Clé client :/etc/openvpn/easy-rsa/pki/private/user01.key
• Clé statique :/etc/openvpn/easy-rsa/pki/ta.key

Je les ai stockés sous le répertoire/etc/openvpn/client/ sur l’ordinateur du client.

Ensuite, copiez l’exemple de fichier de configuration client.

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/

Modifiez le fichier.

sudo nano /etc/openvpn/client.conf

Trouvez les lignes suivantes.

remote myserver-1 1194

Spécifiez l’adresse IP publique de votre serveur OpenVPN.

remote 12.34.56.78 1194

Trouvez ensuite les lignes suivantes.

ca ca.crt
cert client.crt
key client.key

Utilisez le chemin d’accès réel pour le certificat CA, le certificat client et la clé privée client.

ca /etc/openvpn/client/ca.crt
cert /etc/openvpn/client/user01.crt
key /etc/openvpn/client/user01.key

Trouvez la ligne suivante.

tls-auth ta.key 1

Utilisez le chemin d’accès réel pour la clé statique.

tls-auth /etc/openvpn/client/ta.key 1

Enregistrez et fermez le fichier. Ensuite, démarrez le client OpenVPN

sudo systemctl restart openvpn@client

Vérifier l’état :

sudo systemctl status openvpn@client

Vérifiez si vous pouvez envoyer un ping au serveur OpenVPN.

ping 10.8.0.1

Rendez-vous ensuite sur https://icanhazip.com . Si tout fonctionne correctement, vous devriez voir l’adresse IP publique du serveur OpenVPN.

Si vous êtes connecté avec succès au serveur VPN, mais que votre adresse IP publique ne change pas, c’est parce que le transfert IP ou le masquage IP ne fonctionne pas. Une fois, j’ai eu une faute de frappe dans ma commande iptables (en utilisant une mauvaise plage d’adresses IP), ce qui a empêché mon ordinateur de naviguer sur Internet.

Pour arrêter ce service Systemd, exécutez

sudo systemctl stop openvpn@client

Si vous souhaitez utiliser Network Manager pour gérer la connexion OpenVPN, vous devez également installer ces packages.

sudo apt install network-manager-openvpn network-manager-openvpn-gnome

Ouvrez un compte Payoneer et obtenez une carte master-card internationale Valable en Tunisie et dans le monde entier. cliquez ici

Payoneer est le partenaire de choix pour le commerce numérique, partout dans le monde. Des paiements sans frontières à une croissance sans limites.

Client graphique OpenVPN pour Windows et macOS

Vous pouvez utiliser le client gratuit et open-source Pritunl OpenVPN : https://client.pritunl.com/

La rapidité

OpenVPN est assez rapide. Je peux l’utiliser pour regarder des vidéos 4k sur YouTube. Comme vous pouvez le voir, ma vitesse de connexion est de 63356 Kbps , ce qui se traduit par 61 Mbit/s .

Et voici les résultats des tests sur speedtest.net .

Débogage

En cas de problème d’établissement de la connexion VPN, vous pouvez modifier le fichier de configuration du serveur OpenVPN ( /etc/openvpn/server.conf) et augmenter le niveau de verbosité du fichier journal à 6.

verb 6

Cette directive est située en bas du fichier.

Ensuite, vous pouvez vérifier les journaux.

• client:sudo journalctl -eu openvpn@client
• serveur:sudo journalctl -eu openvpn@server

Configurer Stunnel (facultatif)

Si vous vivez dans un pays comme la Chine ou l’Iran, votre pare-feu national peut bloquer les connexions OpenVPN. Vous pouvez envelopper le trafic OpenVPN dans un tunnel TLS pour masquer le fait que vous utilisez OpenVPN.

Configurer Stunnel sur le serveur OpenVPN

Modifiez le fichier de configuration du serveur OpenVPN.

sudo nano /etc/openvpn/server.conf

Activez le port TCP.

protocole TCP
proto-udp
proto udp6

Enregistrez et fermez le fichier. Installez ensuite Stunnel sur le serveur OpenVPN.

sudo apt install -y stunnel4

Copiez l’exemple de fichier de configuration :

sudo cp /usr/share/doc/stunnel4/examples/stunnel.conf-sample /etc/stunnel/openvpn.conf

Modifiez le nouveau fichier.

sudo nano /etc/stunnel/openvpn.conf

Recherchez les lignes suivantes et décommentez-les. (Supprimez le point-virgule du début.)

;setuid = stunnel4
;setgid = stunnel4

;pid = /var/run/stunnel.pid

;output = /var/log/stunnel.log

Trouvez les lignes suivantes.

[gmail-pop3]
client = yes
accept = 127.0.0.1:110
connect = pop.gmail.com:995
verifyChain = yes
CApath = /etc/ssl/certs
checkHost = pop.gmail.com
OCSPaia = yes

[gmail-imap]
client = yes
accept = 127.0.0.1:143
connect = imap.gmail.com:993
verifyChain = yes
CApath = /etc/ssl/certs
checkHost = imap.gmail.com
OCSPaia = yes

[gmail-smtp]
client = yes
accept = 127.0.0.1:25
connect = smtp.gmail.com:465
verifyChain = yes
CApath = /etc/ssl/certs
checkHost = smtp.gmail.com
OCSPaia = yes

Cela active les tunnels pour les serveurs SMTP, IMAP et POP3. Supprimez-les et ajoutez les lignes suivantes à la place, afin que Stunnel puisse transmettre le trafic au serveur OpenVPN en écoute sur le port 1194.

[openvpn]
cert=/etc/openvpn/easy-rsa/pki/issued/ openvpn.example.com .crt
key=/etc/openvpn/easy-rsa/pki/private/ openvpn.example.com .key
accept = 0.0.0.0:443
connect = 127.0.0.1:1194

Enregistrez et fermez le fichier. Créez le fichier PID et le fichier journal.

sudo touch /var/run/stunnel4.pid
sudo touch /var/log/stunnel.log

Accordez l’autorisation à l’utilisateur.

sudo chown stunnel4:stunnel4 /var/run/stunnel4.pid
sudo chown stunnel4:stunnel4 /var/log/stunnel.log
sudo setfacl -R -mu:stunnel4:rx /etc/openvpn/easy-rsa/

Démarrez Stunnel.

sudo /usr/bin/stunnel4 /etc/stunnel/openvpn.conf

Vous devriez voir que Stunnel utilise le port 443.

sudo ss-lnpt | grep 443

S’il ne démarre pas, vérifiez le fichier journal : /var/log/stunnel.log. Si votre serveur a un autre processus qui écoute sur le port TCP 443, vous devez l’arrêter, sinon Stunnel ne pourra pas se lier au port TCP 443.

Ouvrez le port TCP 443 dans le pare-feu afin que les clients VPN puissent se connecter à ce port.

sudo ufw autoriser 443/tcp

Configurer Stunnel sur le client OpenVPN

Installez Stunnel sur le client OpenVPN.

sudo apt install -y stunnel4

Créez le fichier de configuration Stunnel.

sudo nano /etc/stunnel/client.conf

Ajoutez les lignes suivantes dans ce fichier.

output = /var/log/stunnel/stunnel.log
pid = /var/run/stunnel/stunnel.pid
client = yes
[openvpn]
sni = openvpn.exemple.com
accept = 127.0.0.1:1194
connect = 12.34.56.78:443

Enregistrez et fermez le fichier. Créez le répertoire log et le répertoire pid.

sudo mkdir /var/log/stunnel/ /var/run/stunnel/

Démarrez le client Stunnel.

sudo stunnel /etc/stunnel/client.conf

Il écoute 127.0.0.1:1194et transmet les requêtes au serveur Stunnel.

sudo ss-lnpt | grep 1194

Ensuite, modifiez le fichier de configuration du client OpenVPN.

sudo nano /etc/openvpn/client.conf

Activez TCP et désactivez UDP.

protocole TCP
;proto-udp

Remplacez l’adresse du serveur distant par 127.0.0.1:1194.

remote 127.0.0.1 1194

Enregistrez et fermez le fichier. Redémarrez ensuite le client OpenVPN.

Emballer

C’est ça! J’espère que ce tutoriel vous a aidé à installer et à configurer OpenVPN sur Ubuntu 22.04/20.04. Comme toujours, si vous avez trouvé cet article utile, abonnez-vous à notre newsletter gratuite pour obtenir plus de trucs et astuces 🙂