Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Réseaux Discussion :

VPN et télétravail


Sujet :

Réseaux

  1. #1
    Membre régulier
    VPN et télétravail
    Bonjour à tous,

    Mon entreprise souhaites mettre en place le télétravail pour 8 de nos employés. Il m'est donc demandé de trouver une manière de faire en sorte que ces employés puisse avoir accès a notre réseau afin d'avoir accès aux serveurs de fichier et de pouvoir faire des prise de contrôle à distance de leur PC depuis chez eux.

    Jusqu’à présent nous utilisions Teamviewer pour qu'ils puissent prendre le contrôle à distance de leur PC et ainsi travailler à distance, mais nous avons déjà eu a subir quelques pannes des serveur Teamviewer et de plus il faut acheter une licence chaque année pour disposé de la dernière version de teamviewer.

    J'ai cru voir que pour le télétravail le mieux est de mettre en place un serveur VPN. Pourriez vous me confirmer cela? et si cela est vrai pourriez vous m'indiquer comment faire (je ne suis pas du tout spécialiser dans les réseaux de base)?
    est-il possible d'installer un serveur VPN sur un machine virtuel ?

    Merci d'avance pour vos réponses.

  2. #2
    Membre confirmé
    Bonjour,

    Ah oui Teamviewer quand même ...

    En effet, une des solutions les plus utilisés pour le télétravail reste la solution VPN.
    Tu as une multitude de choix, voici quelque exemples : Pulse, ZeroTier, Napsis, Bitdefender, etc... à vous de trouver la solution la plus adaptée pour votre environnement d'entreprise

    En ce qui concerne l'hébergement du VPN sur une machine virtuelle, oui c'est tout à faire possible, mais dans ce cas, il faut éviter de la mettre sur un hyperviseur (celui qui héberge tes VM) qui se trouve au cœur du réseau, plutôt vers l'extérieur pour limiter les risques.

    Cordialement,

    Quelle prétention de prétendre que l'informatique est récente : Adam et Eve avaient déjà un Apple !

    Si mon message t'a été d'une bonne aide et si tu as réussis alors n'oublie pas de marquer ton sujet comme

    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  3. #3
    Membre régulier
    Tout d'abord merci de ta réponse.

    Oui je sais teamviewer ....

    Quelle serait selon toi(vous pour les autres qui lisent le sujet) le plus simple a mettre en place et le moins cher?
    J’avoue ne pas trop savoir ce qu'il faut regarder exactement comme je n'y connais pas grand chose.

    oui ça allait de soit pour moi concernant l'hyperviseur .

  4. #4
    Membre confirmé
    Pas de soucis

    Un des VPN qui est le plus utilisé et qui fonctionne très bien, qui est open-source (version payante entreprise possible il me semble) reste OpenVPN.

    Quelle prétention de prétendre que l'informatique est récente : Adam et Eve avaient déjà un Apple !

    Si mon message t'a été d'une bonne aide et si tu as réussis alors n'oublie pas de marquer ton sujet comme

    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  5. #5
    Membre régulier
    Ok je vais regarder ça alors merci.
    Je risque de venir reposer des questions pour la mise en place.
    Je fermerai le ticket dès que tout sera en place.

  6. #6
    Membre régulier
    Bonjour,

    je reviens ici car suite à mon installation d'openvpn je rencontre un problème.

    J'ai suivi le tutoriel suivant : https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-8

    Mon problème est que lorsque je met mon fichier "client.ovpn" sur mon PC client et que je tente de me connecter avec le serveur VPN j'obtiens l'erreur suivante :

    Tue Feb 12 11:45:25 2019 NOTE: --user option is not implemented on Windows
    Tue Feb 12 11:45:25 2019 NOTE: --group option is not implemented on Windows
    Tue Feb 12 11:45:25 2019 WARNING: cannot stat file 'ta.key': No such file or directory (errno=2)
    Options error: --tls-auth fails with 'ta.key': No such file or directory (errno=2)
    Options error: Please correct these errors.
    Use --help for more information.
    j'ai bien relu le tutoriel met je ne trouve rien à propos d'un fichier "ta.key" ai-je oublié quelques chose ou ce tuto n'est pas complet?
    j'ai trouver une réponse sur google. J'ai donc réussi à générer ce fichier à partir de la commande :
    openvpn --genkey --secret /etc/openvpn/ta.key
    et je l'ai placé dans le dossier Config de mon openVPN client(Windows 10).

    après cela le message à été différent :
    Tue Feb 12 14:53:46 2019 NOTE: --user option is not implemented on Windows
    Tue Feb 12 14:53:46 2019 NOTE: --group option is not implemented on Windows
    Tue Feb 12 14:53:46 2019 OpenVPN 2.4.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 26 2018
    Tue Feb 12 14:53:46 2019 Windows version 6.2 (Windows 8 or greater) 64bit
    Tue Feb 12 14:53:46 2019 library versions: OpenSSL 1.1.0h 27 Mar 2018, LZO 2.10
    Tue Feb 12 14:53:46 2019 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
    Tue Feb 12 14:53:46 2019 Need hold release from management interface, waiting...
    Tue Feb 12 14:53:47 2019 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'state on'
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'log all on'
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'echo all on'
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'bytecount 5'
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'hold off'
    Tue Feb 12 14:53:47 2019 MANAGEMENT: CMD 'hold release'
    Tue Feb 12 14:53:47 2019 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Feb 12 14:53:47 2019 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
    Tue Feb 12 14:53:47 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.1.22:1194
    Tue Feb 12 14:53:47 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Tue Feb 12 14:53:47 2019 UDP link local: (not bound)
    Tue Feb 12 14:53:47 2019 UDP link remote: [AF_INET]192.168.1.22:1194
    Tue Feb 12 14:53:47 2019 MANAGEMENT: >STATE:1549979627,WAIT,,,,,,
    Tue Feb 12 14:54:47 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Tue Feb 12 14:54:47 2019 TLS Error: TLS handshake failed
    j'observe que le problème vient encore du TLS mais je ne vois pas ce que j'ai mal fait, à par le fameux ta.key que je n'avais pas dans le tutoriel.

    et là j’avoue que je sèche un peu.

    pour information :
    pour mes tests j'ai mis le serveur openVPN sur une machine virtuel et je tente d'y accéder à travers un PC sur le même réseau. d'où le 192.168.1.22.

    Merci d'avance pour vos suggestions concernant la résolution de mon problème.

  7. #7
    Membre régulier
    Bonjour,
    j'ai trouvé ma solution . Il semble que le fichier ta.key n'était pas au bon endroit sur le serveur.

    Par contre je n'arrive toujours pas a me connecter avec mon client Windows 10.
    J'obtiens le message suivant sur mon client :
    Wed Feb 13 15:27:03 2019 SIGUSR1[soft,tls-error] received, process restarting
    Wed Feb 13 15:27:03 2019 MANAGEMENT: >STATE:1550068023,RECONNECTING,tls-error,,,,,
    Wed Feb 13 15:27:03 2019 Restart pause, 300 second(s)
    Wed Feb 13 15:32:03 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.0.23:1194
    Wed Feb 13 15:32:03 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
    Wed Feb 13 15:32:03 2019 UDP link local: (not bound)
    Wed Feb 13 15:32:03 2019 UDP link remote: [AF_INET]192.168.0.23:1194
    Wed Feb 13 15:32:03 2019 MANAGEMENT: >STATE:1550068323,WAIT,,,,,,
    Wed Feb 13 15:33:03 2019 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Wed Feb 13 15:33:03 2019 TLS Error: TLS handshake failed

    Voici mon fichier server.conf ( ligne décommenter uniquement)
    port 1194
    proto udp
    dev tun
    ca ca.crt
    cert server.crt
    key server.key # This file should be kept secret
    dh dh2048.pem
    server 10.8.0.0 255.255.255.0
    ifconfig-pool-persist /var/log/openvpn/ipp.txt
    push "redirect-gateway def1 bypass-dhcp"
    push "dhcp-option DNS 208.67.222.222"
    push "dhcp-option DNS 208.67.220.220"
    keepalive 10 120
    tls-auth ta.key 0 # This file is secret
    cipher AES-256-CBC
    user nobody
    group nogroup
    persist-key
    persist-tun
    status /var/log/openvpn/openvpn-status.log
    log /var/log/openvpn/openvpn.log
    log-append /var/log/openvpn/openvpn.log
    verb 9
    explicit-exit-notify 1
    voici mon fichier client.ovpn
    client
    dev tun
    proto udp
    remote 192.168.0.23 1194
    resolv-retry infinite
    nobind
    user nobody
    group nogroup
    persist-key
    persist-tun
    remote-cert-tls server
    tls-auth ta.key 1
    cipher AES-256-CBC
    # Set log file verbosity.
    verb 4

    <ca>
    -----BEGIN CERTIFICATE-----
    MIIEwTCCA6mgAwIBAgIJAJaS6zu77EVGMA0GCSqGSIb3DQEBCwUAMIGbMQswCQYD
    VQQGEwJGUjELMAkGA1UECBMCRlIxFDASBgNVBAcTC01PTlRQRUxMSUVSMQ0wCwYD
    ...
    v/7sGoRPpNzaNM+N8kG/264F/Ra5xSti8/2f3SQxIOLWgXO+5qpzNXO7Dsu14wNK
    nHeO47OGNX/ZVGBGyFY5zNt8is2AvEydLDQjpXaxO0NP7p/efnelYvaR9CUvWuaq
    bYCVopiYvwRP+EK8XwLlGZYCmFTe
    -----END CERTIFICATE-----
    </ca>
    <cert>
    Certificate:
    ...
    OVjePRx4oPTmAIaoXpuqooI1Y8/8SrOVAZ6QH+hWoJnq60e7IR7vFhWtLpqwQRR+
    NNsyT9N943AZjmZQkqQRERv57jDEV+UW1pqP9F1LPcEFigYS2FCHTwKy+OIfB8Rq
    G88ygGsFNxMNxnqQHQ==
    -----END CERTIFICATE-----
    </cert>
    <key>
    -----BEGIN PRIVATE KEY-----
    MIIEvgIBADANBgkqhkiG9w0BAQEFAASCBKgwggSkAgEAAoIBAQCv84/KSF70lzg8
    dxGG6PzfUrBn6K7cVirFnKZOBKR9L0W59ZIxZJQKUNjcQJ1320FHBIvQ/x+wibG8
    ...
    zkF3juYzLJ0QufKTjJl8IqtxH18E+DtY+ZzwpqeNsZGNVKXacyAKpxBqHYxOPK/8
    Dxidk5+oJEfsu7NSLH4ELlgQ
    -----END PRIVATE KEY-----
    </key>

    Mon dossier /var/log/openvpn reste definitivement vide....
    et dans le fichier /var/log/syslog je ne trouve pas grand chose d'interessant.
    Pourriez vous m'indiquer ce que j'ai fait de mal?

  8. #8
    Expert confirmé
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    remote 192.168.0.23 1194
    Ce serait étonnant ! Cela doit être l'adresse ip publique de ton serveur

  9. #9
    Membre régulier
    Ce serait étonnant ! Cela doit être l'adresse ip publique de ton serveur
    actuellement j'essai de me connecter sur ce serveur sur mon réseau local avant de tenter avec l'adresse public de ma livebox.
    Dites moi si je me trompe mais je dois pouvoir faire ça non ?

    je précise que j'ai également testé avec l'IP public sans plus de succès

  10. #10
    Membre régulier
    Bon avec l'adresse IP local c'est "tombé en marche" suite au reboot de la VM du serveur VPN....

    Par contre ça ne fonctionne pas depuis l'adresse IP public.

    Pour information nous avons une Livebox Pro v4.

    voici ce que j'ai paramétré :
    - Config NAT/PAT :
    application/Service : "OpenVPN"
    protocol : UDP
    Adresse IP externe autorisé : Tous
    Masque réseaux externe : TOUS
    port externe 1194
    port interne 1194
    equipement/adresse IP : 192.168.0.23
    dans le doute j'ai également ajouté :
    application/Service : "OpenVPN TCP"
    Protocol : TCP
    Adresse IP externe autorisé : Tous
    Masque réseaux externe : TOUS
    port externe 1194
    port interne 1194
    équipement/adresse IP : 192.168.0.23
    et dans le pare feu de la live box je suis passé en règle personnalisé et j'ai ajouté la règle :
    application/service : "VPN"
    protocole : UDP
    IP source 192.168.0.0
    masque IP source : 255.255.255.255
    port source : 1194
    IP destination : tous
    masque IP destination : TOUS
    port destination : 1194
    action : accepter
    connaîtriez vous une commande permettant de faire une espèce de ping ou de traceroute pour une adresse IP et un port particulier.
    je souhaiterais ainsi vérifier que ma redirection est bien appliquée

  11. #11
    Expert confirmé
    application/service : "VPN"
    protocole : UDP
    IP source 192.168.0.0
    masque IP source : 255.255.255.255
    port source : 1194
    IP destination : tous
    masque IP destination : TOUS
    port destination : 1194
    action : accepter

    -> source : 192.168.0.0/32 ????
    -> Ton range est pas bon

  12. #12
    Membre régulier
    oups erreur de recopie le masque était : 255.255.255.0

    finalement j'ai eu orange au téléphone, et il semble que je ne puisse pas utilisé mon adresse public à l’intérieur du réseau de la livebox d'où le fait que pour mes tests en local l'adresse public ne fonctionnait pas.

    Donc cela fonctionne maintenant depuis l’extérieur.
    J'ai maintenant quelques petites questions ( soyez indulgent avec ma naïveté je n'y connais vraiment rien en VPN et j'ai juste quelques bases en réseau) :

    - combien de personnes peuvent se connecter à ce serveur vpn en simultané?
    - Cela se paramètre-t-il ?

    -quels sont les fichiers a regénérer a chaque client ? ( client.crt, client.key ça c'est sur, mais le ta.key et ca.crt sont toujours identiques)
    - les certificats que j'ai généré ont-ils une période de validité?
    - peux-t-il y avoir des conflits d'adresse ip ? actuellement sur le réseau du serveur je suis en 192.168.0.X tandis que sur mon pc externe je suis en 192.168.1.X. mais j'imagine que si avec mon pc externe le réseau été en 192.168.0.X également il pourrait y avoir des conflits. non ? est-ce géré ?

  13. #13
    Expert confirmé
    Citation Envoyé par flamme34 Voir le message

    - combien de personnes peuvent se connecter à ce serveur vpn en simultané?
    - Cela se paramètre-t-il ?
    A priori autant que ton serveur physique est capable de supporter ( ram / cpu ) et que ta bande passante est capable de supporter.


    Citation Envoyé par flamme34 Voir le message

    -quels sont les fichiers a regénérer a chaque client ? ( client.crt, client.key ça c'est sur, mais le ta.key et ca.crt sont toujours identiques)
    - les certificats que j'ai généré ont-ils une période de validité?
    Pour chaque client, tu dois générer une clé publique et sa clé privée et éventuellement des options spécifiques à chaque clients
    Il y a effectivement une période de validité mais cette validité peu être "longue" pour autant que le mécanisme soit toujours "sur"


    Citation Envoyé par flamme34 Voir le message

    - peux-t-il y avoir des conflits d'adresse ip ? actuellement sur le réseau du serveur je suis en 192.168.0.X tandis que sur mon pc externe je suis en 192.168.1.X. mais j'imagine que si avec mon pc externe le réseau été en 192.168.0.X également il pourrait y avoir des conflits. non ? est-ce géré ?
    C'est une très bonne question qui va dépendre essentiellement de ta configuration.
    Je m'explique. Pour autant que tu ne connectes que des machines directement, tu ne vas pas avoir de soucis.
    Par contre si tu connecte des LAN et que tu veux router d'un lan à l'autre, dans ce cas, tu pourrais avoir des soucis.

  14. #14
    Membre régulier
    C'est une très bonne question qui va dépendre essentiellement de ta configuration.
    Je m'explique. Pour autant que tu ne connectes que des machines directement, tu ne vas pas avoir de soucis.
    Par contre si tu connecte des LAN et que tu veux router d'un lan à l'autre, dans ce cas, tu pourrais avoir des soucis.
    Non pour l'instant c'est uniquement pour des utilisateurs "nomades".

    Je vous remercie toi et Skyxia pour votre aide.
    Vu que ça semble fonctionner a présent je passe le sujet en résolu .

  15. #15
    Responsable Systèmes

    Je rajouterais qu'un certificat peut être révoqué, ce qui te permet d'interdire l'accès à une personne qui ne doit plus se connecter.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutor...s/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

###raw>template_hook.ano_emploi###