Cédric_Portfolio/OpenVPN

Installation et configuration du serveur :

Installation d'OpenVPN :
- Mise à jour du système :
```
apt update
```
- Installation des paquets nécessaires :
```
apt install openvpn -y
```
- Ajout de /usr au PATH :
```
export PATH=$PATH:/user/sbin
```
- Vérification de l'installation :
```
openvpn --version
```
Génération de la clé statique (Static Key) :
- Création du répertoire pour les clés :
```
mkdir -p /etc/openvpn/keys
```
- Génération de la clé pré-partagée :
```
openvpn --genkey secret /etc/openvpn/keys/static.key
```
- Vérification :
```
ls -la /etc/openvpn/keys/
cat /etc/openvpn/keys/static.key
```
Note : Cette clé sera partagée entre le serveur et TOUS les clients. C'est beaucoup plus simple qu'une PKI mais moins sécurisé pour un grand nombre de clients.

Création du fichier de configuration serveur :

Création du répertoire serveur :
```
mkdir -p /etc/openvpn/server
```
Création de la configuration :
```
nano /etc/openvpn/server/server.conf
```

Contenu de /etc/openvpn/server/server.conf :

# Mode point-to-point avec clé statique
dev tun
ifconfig 10.8.0.1 10.8.0.2

# Port et protocole
port 1194
proto udp

# Clé pré-partagée (remplace les certificats PKI)
secret /etc/openvpn/keys/static.key

# Paramètres de sécurité
cipher AES-256-CBC
auth SHA256

# Paramètres de connexion
keepalive 10 120
persist-key
persist-tun

# Logs
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3

Création du répertoire de logs :
```
mkdir -p /var/log/openvpn
```
Activation du routage IP :
- Vérification de la ligne existante :
```
sysctl net.ipv4.ip_forward
```
- Si la le retour de commande est net.ipv4.ip_forward = 0, rajouter la ligne :
```
nano /usr/lib/sysctl.d/50-default.conf
```
- Rajouter la ligne à la fin du fichier :
```
net.ipv4.ip_forward=1
```
- Activer les changements :
```
sysctl -p /usr/lib/sysctl.d/50-default.conf
```
- Vérification :
```
sysctl net.ipv4.ip_forward
```
Configuration d'iptables pour le NAT
- Installation d'iptables :
```
apt install iptables iptables-persistent -y
```
- Vérification de votre interface réseau LAN :
```
ip addr show
```
- Nettoyage des règles existantes pour éviter les conflits :
```
iptables -F
iptables -t nat -F
iptables -X
```
- Configuration des politiques par défaut (tout accepter) :
```
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
```
- Ajout des règles NAT pour le VPN :
```
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens33 -j MASQUERADE
iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
iptables -A FORWARD -d 10.8.0.0/24 -m state --state RELATED,ESTABLISHED -j ACCEPT
```
  Note : Remplacez ens33 par le nom de votre interface réseau LAN si différent.
- Sauvegarde des règles pour persistance au redémarrage :
```
netfilter-persistent save
```
- Vérification des règles :
```
iptables -t nat -L -v -n
iptables -L FORWARD -v -n
```
Démarrage du service OpenVPN :
- Activation au démarrage automatique :
```
systemctl enable openvpn-server@server
```
- Démarrage du service :
```
systemctl start openvpn-server@server
```
- Vérifiez que le serveur reste accessible sur le réseau :
```
ping -c 3 172.30.0.254
ping -c 3 172.30.0.1
```
- Vérification de l'interface VPN :
```
ip addr show tun0
```
  Vous devriez voir une interface tun0 avec l'adresse IP 10.8.0.2/32.
- Vérification des routes :
```
ip route show
```
- Consultation des logs :
```
tail -20 /var/log/openvpn/openvpn.log
```

Configuration de PFSense :

Connexion à l'interface web de PFSense : https://ip_LAN
Règle de pare-feu WAN (autoriser OpenVPN) :
- Naviguer vers Firewall > Rules > WAN
- Cliquer sur Add (bouton avec flèche vers le haut)
- Configurer :
  - Action : Pass
  - Interface : WAN
  - Protocol : UDP
  - Source : Any
  - Destination : WAN address
  - Destination Port Range : Other → openvpn (dans les deux champs)
- Cliquer sur Save puis Apply Changes
Redirection de port (NAT Port Forward) :
- Naviguer vers Firewall > NAT > Port Forward
- Cliquer sur Add (bouton avec flèche vers le haut)
- Configurer :
  - Interface : WAN
  - Protocol : UDP
  - Destination : WAN address
  - Destination Port Range : Other → 1194 (dans les deux champs)
  - Redirect Target IP : 172.30.0.2
  - Redirect Target Port : openvpn
  - Description : OpenVPN to VPN Server
  - Filter rule association : Add associated filter rule
- Cliquer sur Save puis Apply Changes
Règle LAN pour le trafic VPN :
- Naviguer vers Firewall > Rules > LAN
- Cliquer sur Add (bouton avec flèche vers le haut)
- Configurer :
  - Action : Pass
  - Interface : LAN
  - Protocol : Any
  - Source : Network → 10.8.0.0/24
  - Destination : LAN net
  - Description : Allow VPN clients to LAN
- Cliquer sur Save puis Apply Changes
Dans le cas où l’adresse IP du WAN est une adresse privé :
- Aller dans Interfaces > WAN
- Tout en bas, décocher Block private network and loopback addresses et Block logon networks cela autorisera les adresses IP privées sur le WAN

Création du fichier client :

Préparation sur le serveur VPN :
- Création du répertoire pour les fichiers clients :
```
mkdir -p /root/client-configs
```
- Copie de la clé statique :
```
cp /etc/openvpn/keys/static.key /root/client-configs/
```

Création du fichier de configuration client :

nano /root/client-configs/client.ovpn

Contenu de client.ovpn :

# Mode client point-to-point
dev tun
ifconfig 10.8.0.2 10.8.0.1

# Adresse du serveur VPN
# IMPORTANT: Remplacez par l'IP WAN de votre pfSense ou votre IP publique
remote 192.168.1.52 1194

# Protocole
proto udp

# Paramètres de connexion
nobind
persist-key
persist-tun

# Paramètres de sécurité (doivent correspondre au serveur)
cipher AES-256-CBC
auth SHA256

# Niveau de logs
verb 3

# Routes vers le réseau LAN (IMPORTANT pour accéder au réseau interne)
route 172.30.0.0 255.255.255.0

# Chemin vers la clé statique (sera modifié pour Windows)
secret "C:\\Program Files\\OpenVPN\\config\\static.key"

Transfert des fichiers vers le client :
- Afficher la configuration client :
```
cat /root/client-configs/client.ovpn
```
- Afficher la clé statique :
```
cat /root/client-configs/static.key
```

Configuration du client Windows :

Installation d'OpenVPN sur Windows :
- Télécharger OpenVPN GUI
- Installer (version Windows Installer, 64-bit)
- Redémarrer si nécessaire
Import du fichier de configuration :
Copier les fichiers client.ovpn et static.key dans C:\Program Files\OpenVPN\config\
Connexion au VPN :
- Si le poste se trouve dans le réseau de l’AD, retirez le et mettez le en NAT.
- Lancer OpenVPN GUI (en tant qu'administrateur si nécessaire)
- Clic droit sur l'icône dans la barre des tâches
- Sélectionner Connect
- Attendre la connexion (icône devient verte)
Vérification de la connexion :
Via powershell ou une invite de commande :
- Vérifier l'adresse IP VPN :
```
ipconfig
```
- Vous devriez voir une interface "OpenVPN Data Channel Offload" avec IP 10.8.0.x
- Tester la connectivité :
```
ping 10.8.0.1
ping 172.30.0.1
ping 172.30.0.2
ping 172.30.0.254
```

Optimisation du DNS (PowerShell administrateur) :
Dans le cas où le DNS n'est pas celui de l'AD, forcer le DNS :

Prioriser l'interface VPN :

Set-NetIPInterface -InterfaceAlias "OpenVPN Data Channel Offload" -InterfaceMetric 1

Vérifier les métriques :

Get-NetIPInterface | Where-Object {$_.ConnectionState -eq "Connected"} | Select-Object InterfaceAlias, InterfaceMetric, AddressFamily | Sort-Object InterfaceMetric

Tester la résolution DNS :
```
nslookup MySocCBt.fr
nslookup Serveur01
```