Tiens, pour faire un ptit VPN, y'a ça qui traîne sur le site...
Tuto réalisé par
Elfeclair
--- VPN Roadwarrior sur IPCop 1.4 ---
__________________________
1 - Paramètrer le VPN sur IPCop 1.4
===================================
Accéder aux pages de configuration du VPN
- <https://vpn.societe.com:445/cgi-bin/vpnmain.cgi>
Paramétrer le VPN
Paramètres généraux
-------------------
- Nom d'hôte : vpn.societe.com (ou adresse ip fixe de votre firewall)
- VPN sur rouge : activé
- VPN sur bleu : désactivé (à moins que vous n'en ayez besoin)
- Cliquer "Enregistrer"
Générerer les certificats racine et système
Autorités de certification
--------------------------
- Cliquer "Généreration des certificats racine et système" pour qu'IPCop
génère lui-même ses certificats
- Nom d'organisation : societe (le nom de votre societe)
- Nom d'hôte d'IPCop : vpn.societe.com (ou adresse ip fixe de votre firewall)
- Votre adresse E-mail :
admin@societe.com (votre adresse email)
- Pays : France
- Cliquer "Généreration des certificats racine et système"
Créer un VPN
Contrôle et statut de la connexion
----------------------------------
- Cliquer "Ajouter"
- Choisir le type de VPN "RPV système à réseau (RoadWarrior)"
- Cliquer "Ajouter"
Connexion
---------
- Nom : Utilisateur1 (votre nom sans espace)
- Interface : Red
- Sous-réseau local : 172.16.0.0/255.255.255.0 (le réseau vert de votre LAN)
- Serveur/IP distant: laisser vide pour pouvoir se connecter du monde entier
- Remarque: RoadWarrior Utilisateur1 (ou RoadWarrior le nom de l'utilisateur du VPN)
- Activé : Oui
- Poursuivre avec la configuration avancée : Oui
Authentification
----------------
- Choisir "Générer un certificat"
- Nom d'utilisateur ou Nom du système (CN): Utilisateur1 (le nom de l'utilisateur du VPN)
- Adresse e-mail de l'utilisateur:
Utilisateur1@societe.com (l'email de l'utilisateur du VPN)
- Nom d'Organisation : societe (le nom de votre societe)
- Pays : France
- Mot de passe du fichier PKCS12: XXXXXXX
- Mot de passe du fichier PKCS12 (confirmation) : XXXXXXX
- Cliquer "Enregister"
Avancé
------
Je ne sais pas si tous ces paramètres doivent avoir nécessairement ces valeurs.
Ce sont les réglages qui fonctionnent dans ma configuration, mais ce ne sont
pas les seuls et peut-être pas les meilleurs. De plus ces réglages dépendent
des caractéristiques du client VPN (SSH Sentinel ici) et de son paramétrage
également.
- Compression : Non
- Encryptage IKE
- 3DES
- Twofish (256 bits)
- Twofish (128 bits)
- Blowfish (256 bits)
- Blowfish (128 bits)
- Cryptage ESP
- 3DES
- Twofish (256 bits)
- Twofish (128 bits)
- Blowfish (256 bits)
- Blowfish (128 bits)
- Utilisez seulement les paramètres proposés : Oui
- NAT traversal : Oui
- Intégrité IKE
- SHA1
- MD5
- Grouptype IKE :
- MODP-1024
- Intégrité ESP
- SHA1
- MD5
- Grouptype ESP :
- MODP-1024
- Cliquer "Enregistrer"
Exporter le certificat
Contrôle et statut de la connexion
----------------------------------
- Cliquer sur l'icone disquette du VPN voulu
- Sauver le fichier username1.p12
2 - Installer SSH Sentinel 1.3.2.2
==================================
Rapatrier SSH Sentinel 1.3.2.2
http://nts.wustl.edu/wireless/SSHSentinel1.3.2.2.exe
La version 1.3 est gratuite pour un usage non commerciale.
La version 1.4 est payante dans tous les cas.
Lancer l'installation de SSH Sentinel 1.3.2.2
Welcome to SSH Sentinel Installation
- Next
Do you wish to accept the terms of Licensing Agreement ?
- Yes
Setup parameters
- Next
Setup parameters
- Next
Move the mouse to generate a random seed
- Move the mouse
- Continue : Suivant
Information
- Subject information : Administrator Email
- Administrator Email :
Utilisateur1@societe.com
- Suivant
Create a self-signed certificate
- Suivant
Sauver le fichier
- Suivant
Paramétrage des algorithmes de cryptage
- Next
SSH Installation Completed
- Yes, restart the computer : Finish
3 - Configurer SSH Sentinel 1.3.2.2
===================================
Faire un clic droit sur l'icone de SSH Sentinel dans la zone de notification
- Choisir l'option "Run Policy Editor ..."
Importer le certificat
----------------------
- Sélectionner l'onglet "Key Management"
- Cliquer droit sur "My Keys"
- Choisir l'option "Import"
- Régler le type de fichier sur "PKCS #12"
- Ouvrir le fichier certificat exporté depuis IPCop : utilisateur1.p12
- Entrer le mot de passe pour décrypter le certificat : XXXXXXXX
- Cliquer "Ok"
- Accepter l'installation du certificat de l'utilisateur
- Yes
- Accepter l'installation du certificat du serveur
- Yes
- Cliquer sur "Appliquer"
Parametrer le VPN
-----------------
- Sélectionner l'onglet "Security Policy"
- Double-cliquer sur l'élement : "VPN Connections"
- Double-cliquer sur l'élement "Add ..."
Ajouter une connexion VPN
-------------------------
- Gateway name : vpn.societe.com (ou adresse ip fixe de votre firewall)
- Remote network :
- Cliquer sur "..."
- Network name : societe
- IP adress : 192.168.0.0 (l'adresse réseau (vert) du LAN coté IPCop)
- Subnet mask : 255.255.255.0 (le masque de sous-réseau (vert) du LAN coté IPCop)
- Cliquer sur "Ok"
- Authentication key : societe ca certification
- Use legagy proposal : non activé
- Cliquer sur "Ok"
- Cliquer sur "Appliquer"
Paramètres supplémentaires
--------------------------
- Sélectionner l'onglet "Security Policy"
- Double-cliquer sur l'élement : "VPN Connections"
- Double-cliquer sur l'élement "vpn.societe.com"
Je ne sais pas si tous ces paramètres doivent avoir nécessairement ces valeurs.
Ce sont les réglages qui fonctionnent dans ma configuration, mais ce ne sont
pas les seuls et peut-être pas les meilleurs. De plus ces réglages dépendent
des caractéristiques du Serveur VPN (IPCop ici) et de son paramétrage
également.
IPSec/IKE proposal
------------------
- Cliquer sur "Settings"
- IKE Proposal Encryption algorithm : Twofish
- IKE Proposal Integrity function : MD5
- IKE Mode : main mode
- IKE group : MODP 1024 (group 2)
- IPSec Proposal Encryption algorithm : Twofish
- IPSec Proposal Integrity function : HMAC-MD5
- IPSec mode : tunel (le choix est figé)
- PFS group : MODP 1024 (group2)
- Attach only thge selected values to the proposal : Non
- Cliquer sur "Ok"
Virtual IP address
------------------
- Désactiver "Acquire virtual IP address"
Advanced
--------
Cliquer sur l'onglet "Advanced"
- Apply IP compression : non
- Si le client Roadwarrior est derrière est routeur qui fait du NAT
- Activer : Enable Network Adress Translation Traversal
- Cliquer sur "Ok"
- Ok
Vérification
------------
Parfois, surement un bug de SSH Sentinel 1.3, les réglages IPSec/IKE se remettent
à la valeur par defaut (Rjindaël) après le paramétrage de l'adresse IP virtuelle.
Il faut donc vérifier les réglages après les éventuelles modifications.
4 - Activer le VPN
==================
Faire un clic droit sur l'icone de SSH Sentinel dans la Zone de notification
- Choisir l'option "Select VPN"
- Sélectionner "vpn.societe.com"
L'élément "vpn.societe.com" est activé
5 - Test de VPN
===============
Sur le poste VPN client, faire un ping vers une adresse du réseau local (vert) coté IPCop.
Une bonne adresse est l'adresse ethernet d'IPCop coté LAN (vert)
> ping 192.168.0.1 si c'est l'adresse d'IPCop coté LAN
La réponse doit être du genre :
> Envoi d'une requête 'ping' sur 192.168.0.1 avec 32 octets de données :
> Réponse de 192.168.0.1 : octets=32 temps=198 ms TTL=64
> Réponse de 192.168.0.1 : octets=32 temps=178 ms TTL=64
> Réponse de 192.168.0.1 : octets=32 temps=278 ms TTL=64
> Réponse de 192.168.0.1 : octets=32 temps=135 ms TTL=64
> Statistiques Ping pour 192.168.173.1:
> Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
> Durée approximative des boucles en millisecondes :
> Minimum = 2ms, Maximum = 4ms, Moyenne = 2ms
5 - Désactiver le VPN
==================
Faire un clic droit sur l'icone de SSH Sentinel dans la Zone de notification
- Choisir l'option "Select VPN"
- Désélectionner "vpn.societe.com"
L'élément "vpn.societe.com" est désactivé
6 - Remarques
=============
Afficher la page VPN d'IPCop alors qu'une connexion VPN est établie, coupe la connexion VPN.
Après quelques essais infructeux, il est parfois nécessaires de redémarrer l'IPCop.
7 - Tests
=========
SSH Sentinel peut produire des logs. Ils peuvent être visualisés à l'écran ou écrit dans un fichier.
Faire un clic droit sur l'icone de SSH Sentinel dans la Zone de notification
- Choisir l'option "Auditing / View IKE log Windows"
- Choisir : IPsec/IKE logging : Low ou Moderate ou Detailled selon vos besoins
Faire un clic droit sur l'icone de SSH Sentinel dans la Zone de notification
- Choisir l'option "Run Policy Editor ..."
- Double-cliquer sur l'élement : "VPN Connections"
- Sélectionner le VPN voulu et cliquer sur "Diagnostics..."
Vous avez alors des infos supplémentaires sur le connexion.
________________________________
Voilà...
Perso, je l'ai mise en oeuvre, ça n'a pas marché puis ça a marché et depuis ça ne marche plus, quoi que je fasse...
Bon courage
