Guide OpenVPN pour téléphones SIP couvrant les bases du VPN, l’installation du serveur sous Ubuntu et Windows, la création des certificats, la configuration client, l’import sur le téléphone et le VPN NAT.
Un réseau privé virtuel, ou VPN, est une connexion réseau sécurisée établie sur un réseau public. Contrairement à une connexion réseau ordinaire, il utilise des protocoles de tunnel dédiés afin d’assurer le chiffrement des données, la vérification de leur intégrité et l’authentification des utilisateurs. Cela permet d’éviter que les informations transmises soient consultées, modifiées ou copiées. Du point de vue de la sécurité de la connexion réseau, cela revient à créer une ligne privée sur un réseau public. Comme cette ligne privée est logique et non physique, elle est appelée réseau privé virtuel. Un système VPN comprend un serveur VPN, des clients VPN et des tunnels. Étant donné que la transmission via Internet est beaucoup moins coûteuse que la location d’une ligne dédiée, le VPN permet aux entreprises de transmettre des informations privées et confidentielles de manière sûre et économique via Internet.
Ce guide présente la configuration VPN avec OpenVPN. OpenVPN est un outil tiers open source de configuration de réseau privé virtuel, qui peut utiliser des équipements existants pour construire une passerelle d’application VPN.
OpenVPN est un outil tiers open source de configuration de réseau privé virtuel, qui peut utiliser des équipements existants pour construire une passerelle d’application VPN. Les sections suivantes décrivent le déploiement et la configuration du serveur sous Ubuntu et Windows.
2.1.1 Installer le serveur OpenVPN
Sous Ubuntu, saisissez les commandes suivantes :
sudo apt-get -y install openvpn libssl-dev openssl
sudo apt-get -y install easy-rsa
2.1.2 Création des certificats
Exécutez les commandes suivantes pour générer la configuration initiale des certificats nécessaire au fonctionnement normal d’OpenVPN :
sudo mkdir /etc/openvpn/easy-rsa/
sudo cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
sudo su
sudo vi /etc/openvpn/easy-rsa/vars
----->Modifiez les paramètres du certificat selon les besoins :
export KEY_COUNTRY=”CN”
export KEY_PROVINCE=”BJ”
export KEY_CITY=”BeiJing”
export KEY_ORG=”fanvil”
export KEY_EMAIL=”fanvil@fanvil.com”
export KEY_OU=”fanvil”
export KEY_NAME=”server”
Exécuter vars : source vars
Si c’est la première exécution, tout nettoyer : ./clean-all
Générer le certificat CA : ./build-ca
Générer le certificat serveur : ./build-key-server server
Générer le certificat client : ./build-key client
Générer la bibliothèque de clés Diffie-Hellman. ./build-dh
Configurez l’environnement du serveur et placez les fichiers de configuration de certificats correspondants dans le répertoire spécifié :
cp keys/ca.crt /etc/openvpn/
cp keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn
mv /etc/openvpn/dh2048.pem /etc/openvpn/dh1024.pem
cp keys/client.key keys/client.crt /etc/openvpn/
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
cd /etc/openvpn
gzip -d server.conf.gz
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
Démarrer le serveur :
/etc/init.d/openvpn restart
2.3.1 Installer le serveur OpenVPN
Recherchez en ligne et téléchargez la version Windows d’OpenVPN. Cette installation utilise OpenVPN GUI. Double-cliquez sur le logiciel téléchargé et installez-le avec les options par défaut. Veillez à cocher le composant easy-rsa pendant l’installation. Le chemin par défaut est C:\Program Files\OpenVPN.
2.3.2 Création des certificats
Avant l’opération, l’environnement doit d’abord être initialisé :
Modifiez la partie suivante de C:\Program Files\OPENVPN\easy-rsa\vars.bat.sample selon votre situation :
set HOME=C:\Program Files\OPENVPN\easy-rsa
set KEY_COUNTRY=CN #(pays)
set KEY_PROVINCE=BEIJING #(province)
set KEY_CITY= BEIJING #(ville)
set KEY_ORG=WINLINE #(organisation)
set KEY_EMAIL=admin@winline.com.cn #(adresse e-mail)
Le contenu commençant par # ci-dessus est un commentaire. Ne l’écrivez pas dans le fichier.
Ouvrez cmd avec les droits administrateur, entrez dans DOS, puis exécutez les commandes suivantes pour accéder au répertoire
openvpn\easy-rsa :
init-config
vars
clean-all
Générer le certificat racine : build-ca (appuyez sur Entrée jusqu’à la fin pour utiliser la configuration par défaut)
Générer la bibliothèque de clés Diffie-Hellman : build-dh
Générer le certificat serveur : build-key-server server (appuyez sur Entrée jusqu’à la fin pour utiliser la configuration par défaut)
Générer le certificat client : build-key client (appuyez sur Entrée jusqu’à la fin pour utiliser la configuration par défaut)
2.3.3 Démarrer le serveur
Toutes les clés générées sont stockées dans le répertoire OpenVPN\easy-rsa\keys.
Copiez les certificats générés dans le répertoire OpenVPN\config.
Copiez le fichier de configuration serveur sous OpenVPN\sample-config dans le répertoire OpenVPN\config, puis lancez l’application OpenVPN.
Dans le répertoire d’installation d’OpenVPN, utilisez notepad++ pour ouvrir le fichier server.ovpn ou server.conf. Un exemple de fichier côté serveur est présenté ci-dessous :
port 1194 # Ce port est le port attribué par l’IANA pour OpenVPN et peut être modifié selon les besoins
proto udp # tcp peut également être sélectionné
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0 # Paramètre du segment LAN virtuel ; modifiez-le selon les besoins
ifconfig-pool-persist ipp.txt
keepalive 10 120
client-to-client
comp-lzo
max-clients 100
persist-key
persist-tun
status openvpn-status.log
verb 3
Pour plus de détails, consultez OpenVPN Wiki.
Le client désigne ici les appareils qui prennent en charge OpenVPN. Pour que le téléphone SIP puisse se connecter au serveur OpenVPN, des fichiers de certificats sont nécessaires.
Commencez par modifier le fichier de configuration client client.ovpn ou client.conf. Un exemple de fichier de configuration client est présenté ci-dessous :
client
dev tun
proto udp
remote 192.168.1.135 1194 # domaine/IP et port du serveur
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key comp-lzo
verb 3
Vous pouvez modifier la configuration client en fonction de la configuration côté serveur.
Ensuite, exportez les fichiers client précédemment créés ca.crt, client.crt et client.key pour les utiliser lors de la mise à niveau du téléphone SIP.
Connectez-vous à la page Web du téléphone et cliquez successivement sur Réseau->VPN. Dans le champ de fichiers OpenVPN, téléversez client.ovpn, client.key, client.crt et ca.crt un par un. Une fois le téléversement terminé, le champ de fichiers OpenVPN affiche la taille des fichiers de certificats importés, comme indiqué ci-dessous :
Ouvrez la page de configuration VPN, sélectionnez Open VPN comme mode VPN, activez le VPN, puis cliquez sur le bouton Soumettre. Lorsque la connexion au serveur réussit, l’adresse IP obtenue s’affiche dans le champ d’état de connexion VPN de la page VPN. Comme indiqué ci-dessous, l’adresse IP obtenue est 10.8.0.10.
Méthode d’utilisation :
Importez les certificats VPN dans le téléphone, activez Enable VPN et Enable NAT, puis connectez le PC au port LAN du téléphone. La passerelle du PC doit être définie sur l’adresse IP du téléphone. À ce stade, le PC peut accéder au VPN du téléphone.
PC ping10.8.0.10 peut répondre correctement, et ping www.baidu.com peut également répondre correctement. 10.8.0.10 est l’adresse IP VPN.
Remarque : les modèles actuellement pris en charge incluent J3G/X3U/X3SG/J1P ainsi que X5S/X6/X7/X7C/X210/X210i. Les téléphones X3S/X4/X7 ne sont pas pris en charge pour le moment.
