Qu'est-ce que OpenVPN?
Généralement, les logiciels et le matériel VPN sont coûteux à mettre en œuvre. Si vous ne l’avez pas déjà deviné, OpenVPN est une solution VPN open source libre de tout (tambour). Aux côtés d'OpenVPN, Tomato constitue une solution idéale pour ceux qui souhaitent une connexion sécurisée entre deux réseaux sans avoir à ouvrir leur portefeuille. Bien sûr, OpenVPN ne fonctionnera pas tout de suite. Il faut un peu de peaufinage et de configuration pour que tout soit parfait. Ne vous inquiétez pas cependant; Nous sommes ici pour vous faciliter la tâche. Prenez donc une tasse de café bien chaude et commençons.
Pour plus d'informations sur OpenVPN, visitez le site officiel Qu'est-ce qu'OpenVPN? page.
Conditions préalables
Ce guide suppose que vous utilisez actuellement Windows 7 sur votre PC et que vous utilisez un compte administratif. Si vous êtes un utilisateur Mac ou Linux, ce guide vous donnera une idée du fonctionnement des choses. Cependant, vous devrez peut-être faire quelques recherches supplémentaires pour que tout soit parfait. De plus, nous installerons une version spéciale de Tomato appelée TomatoUSB VPN sur un routeur Linksys WRT54GL version 1.1. Pour savoir si votre routeur est compatible avec TomatoUSB, consultez leur page Types de construction.
Le début de ce guide suppose que vous avez soit:
- le firmware d'origine de Linksys installé sur votre routeur ou
- le firmware de la tomate, nous avons décrit dans notre dernier article
Prenez note du texte au-dessus de certaines étapes indiquant s’il s’agit du firmware Linksys ou du firmware Tomato.
Installation de TomatoUSB
Dans un article précédent, nous avions expliqué comment installer le micrologiciel Tomato v1.28 d'origine à partir du site Web de PolarCloud. Malheureusement, cette version de Tomato n’était pas livrée avec le support OpenVPN, nous allons donc installer une version plus récente appelée TomatoUSB VPN.
La première chose à faire est de vous rendre sur la page d'accueil de TomatoUSB et de cliquer sur le lien Télécharger le Tomato USB.
Télécharger VPN sous le Noyau 2.4 (stable) section. Enregistrez le fichier.rar sur votre ordinateur.
Vous aurez besoin d’un programme pour extraire le fichier.rar. Nous vous suggérons d’utiliser WinRAR car il est gratuit et facile à utiliser. Vous pouvez télécharger vous-même une copie de la version gratuite sur leur site web. Après avoir installé WinRAR, cliquez avec le bouton droit sur le fichier que vous avez téléchargé, puis cliquez sur Extraire ici Vous devriez alors voir deux fichiers appelés CHANGELOG et tomate-NDUSB-1.28.8754-vpn3.6.trx.
Si vous utilisez le firmware Linksys…
Ouvrez votre navigateur et entrez l’adresse IP de votre routeur (192.168.1.1 par défaut). Vous serez invité à entrer un nom d'utilisateur et un mot de passe. Les valeurs par défaut d'un Linksys WRT54GL sont «admin» et «admin».
Cliquez sur le bouton Parcourir et naviguez vers les fichiers VPN TomatoUSB extraits. Sélectionnez le tomate-NDUSB-1.28.8754-vpn3.6.trx fichier, puis cliquez sur le bouton Mettre à niveau dans l'interface Web. Votre routeur commencera à installer TomatoUSB VPN et devrait prendre moins d'une minute. Après environ une minute, ouvrez une invite de commande et tapez ipconfig –release pour déterminer la nouvelle adresse IP de votre routeur. Puis tapez ipconfig –renew. L’adresse IP à droite de Default Gateway… est l’adresse IP de votre routeur.
Remarque: Après avoir installé Tomato, allez à Administration> Configuration et sélectionnez “Effacer toutes les NVRAM…”.
Si vous utilisez le firmware Tomato…
Ouvrez votre navigateur et entrez l’adresse IP de votre routeur. Nous supposons que si vous avez installé Tomato, vous connaissez l'adresse IP de votre routeur. Si vous n’êtes pas sûr, la valeur par défaut est 192.168.1.1. Ensuite, tapez votre nom d'utilisateur et votre mot de passe.
Il est maintenant temps de mettre à niveau Tomato vers le VPN TomatoUSB. Cliquez sur Mettre à niveau dans la colonne de gauche, puis cliquez sur le bouton Choisir un fichier. Accédez aux fichiers que nous avons extraits précédemment et choisissez le tomate-NDUSB-1.28.8754-vpn3.6.trx fichier. Puis cliquez sur le bouton de mise à niveau.
Il peut avoir la même adresse IP ou une adresse IP différente après son redémarrage.Dans notre cas, la configuration du routeur était toujours la même, donc notre adresse IP était toujours la même. Pour déterminer la nouvelle adresse IP de votre routeur, ouvrez une invite de commande et tapez ipconfig –release. Puis tapez ipconfig –renew. L’adresse IP à droite de Default Gateway… est l’adresse de votre routeur. Si votre configuration est réinitialisée aux valeurs par défaut, revenez à la page de configuration (Administration> Configuration) et cliquez sur le bouton Choisir un fichier sous Restaurer la configuration. Recherchez le fichier.cfg que vous avez précédemment enregistré sur votre ordinateur et cliquez sur le bouton Restaurer.
Configurer OpenVPN
Que vous disposiez des microprogrammes Linksys ou Tomato, le nouveau VPN TomatoUSB doit maintenant être installé sur votre routeur. Vous remarquerez quelques nouveaux menus dans la colonne de gauche, notamment Utilisation du Web, USB et NAS, et tunneling VPN. Pour ce guide, nous ne nous intéressons qu’au menu VPN Tunnelling. Allez-y, cliquez sur VPN Tunnelling. Gardez cette fenêtre de navigateur ouverte; Nous y reviendrons sous peu.
Création des certificats et des clés
Cliquez sur le bouton Démarrer de Windows et naviguez sous Accessoires. Vous verrez le programme d'invite de commande. Faites un clic droit dessus et cliquez sur Exécuter en tant qu'administrateur.
Dans l'invite de commande, tapez cd c: Program Files (x86) OpenVPN easy-rsa si vous utilisez Windows 7 64 bits, comme indiqué ci-dessous. Type cd c: Program Files OpenVPN easy-rsa Si vous utilisez Windows 7 32 bits, appuyez ensuite sur Entrée.
Maintenant tapez init-config et appuyez sur Entrée pour copier deux fichiers appelés vars.bat et openssl.cnf dans le dossier easy-rsa. Gardez votre commande rapidement, car nous y reviendrons sous peu.
Aller vers C: Program Files (x86) OpenVPN easy-rsa (ou C: Program Files OpenVPN easy-rsa sous Windows 7 32 bits) et faites un clic droit sur le fichier nommé vars.bat. Cliquez sur Modifier pour l'ouvrir dans le Bloc-notes. Sinon, nous vous recommandons d’ouvrir ce fichier avec Notepad ++ car il formatera beaucoup mieux le texte du fichier. Vous pouvez télécharger Notepad ++ à partir de leur page d'accueil.
La partie inférieure du fichier est ce qui nous préoccupe. À partir de la ligne 31, changez le KEY_COUNTRY valeur, KEY_PROVINCE Par exemple, nous avons changé notre province en «IL», notre ville en «Chicago», notre organisation en «HowToGeek» et l’envoi par courrier électronique à notre propre adresse électronique. De même, si vous utilisez Windows 7 64 bits, modifiez le MAISON valeur de la ligne 6 à % ProgramFiles (x86)% OpenVPN easy-rsa. Ne changez pas cette valeur si vous utilisez Windows 7 32 bits. Votre fichier devrait ressembler au nôtre ci-dessous (avec vos valeurs respectives, bien sûr). Enregistrez le fichier en l’écrasant une fois l’édition terminée.
Retournez à votre invite de commande et tapez vars et appuyez sur Entrée. Puis tapez Nettoie tout et appuyez sur Entrée. Enfin, tapez construire-ca et appuyez sur Entrée.
Après avoir exécuté le construire-ca Lors de la commande, vous serez invité à entrer votre nom de pays, votre état, votre localité, etc. Comme nous avons déjà défini ces paramètres dans notre vars.bat fichier, nous pouvons ignorer ces options en appuyant sur Entrée, mais! Avant de commencer à appuyer sur la touche Entrée, faites attention au paramètre Nom commun. Vous pouvez entrer n'importe quoi dans ce paramètre (c'est-à-dire votre nom). Assurez-vous simplement d'entrer quelque chose. Cette commande génère deux fichiers (un certificat de l'autorité de certification racine et une clé de l'autorité de certification racine) dans le dossier easy-rsa / keys.
Nous allons maintenant construire une clé pour un client. Dans le même type d'invite de commande clé de construction client1. Vous pouvez modifier «client1» comme vous le souhaitez (par exemple, Acer-Laptop). Veillez simplement à entrer le même nom que le nom commun lorsque vous y êtes invité. Par exemple, lorsque vous exécutez la commande clé de construction Acer-Laptop, votre nom commun doit être «Acer-Laptop». Parcourez toutes les valeurs par défaut comme la dernière étape que nous avons faite (sauf pour Common Name, bien sûr). Cependant, à la fin, il vous sera demandé de signer le certificat et de vous engager. Tapez «y» pour les deux et cliquez sur Entrée.
Ne vous inquiétez pas non plus si vous recevez l’erreur «Impossible d’écrire‘ état aléatoire ’». J’ai remarqué que vos certificats sont toujours fabriqués sans problème. Cette commande produira deux fichiers (une clé Client1 et un certificat Client1) dans le dossier easy-rsa / keys. Si vous souhaitez créer une autre clé pour un autre client, répétez l'étape précédente, mais veillez à modifier le nom commun.
Le dernier certificat que nous allons générer est la clé du serveur. Dans la même invite de commande, tapez build-key-server serveur. Vous pouvez remplacer «serveur» à la fin de la commande par tout ce que vous souhaitez (comme HowToGeek-Server). Comme toujours, veillez à entrer le même nom que le nom commun lorsque vous y êtes invité. Par exemple, lorsque vous exécutez la commande build-key-server HowToGeek-Server, votre nom commun doit être “HowToGeek-Server”. Appuyez sur Entrée et parcourez toutes les valeurs par défaut sauf Nom commun. À la fin, tapez «y» pour signer le certificat et validez. Cette commande produira deux fichiers (une clé de serveur et un certificat de serveur) dans le dossier easy-rsa / keys.
Dans le même type d'invite de commande construire-dh. Cette commande produira un fichier (dh1024.pem) dans le dossier easy-rsa / keys.
Création des fichiers de configuration pour le client
Avant de modifier des fichiers de configuration, nous devons configurer un service DNS dynamique. Utilisez ce service si votre fournisseur de services Internet vous envoie de temps en temps une adresse IP externe dynamique. Si vous avez une adresse IP externe statique, passez à l'étape suivante.
Nous vous suggérons d'utiliser DynDNS.com, un service qui vous permet de pointer un nom d'hôte (c'est-à-dire howtogeek.dyndns.org) sur une adresse IP dynamique. Il est important pour OpenVPN de toujours connaître l’adresse IP publique de votre réseau. En utilisant DynDNS, OpenVPN saura toujours comment localiser votre réseau, quelle que soit votre adresse IP publique. Inscrivez-vous pour un nom d'hôte et pointez-le sur votre adresse IP publique. Une fois que vous vous êtes inscrit au service, n’oubliez pas de configurer le service de mise à jour automatique dans Tomato sous Basique> DDNS.
Revenons maintenant à la configuration d'OpenVPN. Dans l'Explorateur Windows, accédez à C: Program Files (x86) OpenVPN sample-config si vous utilisez Windows 7 64 bits ou C: Program Files OpenVPN sample-config si vous utilisez Windows 7. 32 bits. Dans ce dossier, vous trouverez trois exemples de fichiers de configuration; nous ne nous intéressons qu'au client.ovpn fichier.
Clic droit sur client.ovpn et ouvrez-le avec Notepad ou Notepad ++. Vous remarquerez que votre fichier ressemblera à l'image ci-dessous:
Cependant, nous voulons notre client.ovpn fichier à ressembler à ce image ci-dessous. Veillez à remplacer le nom d’hôte DynDNS par votre nom d’hôte à la ligne 4 (ou remplacez-le par votre adresse IP publique si vous en avez une statique). Laissez le numéro de port sur 1194 car il s’agit du port standard OpenVPN. Veillez également à modifier les lignes 11 et 12 pour refléter le nom du fichier de certificat et du fichier de clé de votre client. Enregistrez-le en tant que nouveau fichier.ovpn dans le dossier OpenVPN / config.
Configuration du tunnel VPN de Tomato
L'idée de base consiste maintenant à copier les certificats de serveur et les clés que nous avons créés précédemment et à les coller dans les menus du serveur Tomato VPN. Ensuite, nous allons vérifier quelques paramètres dans Tomato, tester la connexion VPN, puis nous pourrons nous laver les mains et l'appeler un jour!
Ouvrez un navigateur et accédez à votre routeur. Cliquez sur le menu Tunnel VPN dans la barre latérale gauche. Assurez-vous que Server1 et Basic sont également sélectionnés. Configurez vos paramètres exactement comme ils apparaissent ci-dessous. Cliquez sur Enregistrer.
Mise à jour: le mode par défaut est TUN ou tunnel, mais vous souhaitez probablement le remplacer par TAP, qui ponte le réseau à la place. Le mode tunnel mettra vos clients externes sur un réseau différent de celui du réseau interne. Donc, changez définitivement le type d’interface en TAP.
Notre dernière étape consiste à coller les clés et les certificats créés à l’origine. Ouvrez l'onglet Clés à côté de Avancé. Dans l'Explorateur Windows, accédez à C: Program Files (x86) OpenVPN easy-rsa keys sous Windows 7 64 bits (ou C: Program Files OpenVPN easy-rsa keys sur Windows 7 32 bits). Ouvrez chaque fichier correspondant ci-dessous (ca.crt, server.crt, server.key, et dh1024.pem) avec Notepad ou Notepad ++ et copiez le contenu. Collez le contenu dans les cases correspondantes comme indiqué ci-dessous. Je devrais noter que vous n’avez besoin que de coller tout ce qui se trouve ci-dessous -Certificat de cerveau- server.crt. OpenVPN fonctionnera toujours correctement si vous collez le fichier entier, mais il est plus «propre», ne faisant que coller les informations de certificat réelles. Cliquez sur Enregistrer, puis sur Démarrer maintenant.
Configurer un client OpenVPN
Dans cet exemple, nous utiliserons un ordinateur portable Windows 7 en tant que client. La première chose que vous voudrez faire est d’installer OpenVPN sur votre client, comme nous l’avons fait ci-dessus dans les premières étapes de la section Configuration d’OpenVPN. Puis naviguez vers C: Program Files OpenVPN config C’est là que nous allons coller nos fichiers.
Nous devons maintenant revenir sur notre ordinateur d'origine et collecter un total de quatre fichiers à copier sur notre ordinateur portable client. Aller vers C: Program Files (x86) OpenVPN easy-rsa keys encore et copier ca.crt, client1.crt, et client1.key. Collez ces fichiers dans le dossier du client. config dossier.
Enfin, nous devons copier un fichier de plus. Aller vers C: Program Files (x86) OpenVPN config et copier sur le nouveau fichier client.ovpn que nous avons créé précédemment. Collez ce fichier dans le dossier du client. config dossier aussi.
Test du client OpenVPN
Sur l'ordinateur portable client, cliquez sur le bouton Démarrer de Windows, puis sélectionnez Tous les programmes> OpenVPN. Cliquez avec le bouton droit sur le fichier OpenVPN GUI, puis cliquez sur Exécuter en tant qu'administrateur. Notez que vous devez toujours exécuter OpenVPN en tant qu’administrateur pour que cela fonctionne correctement. Pour que le fichier soit toujours exécuté en tant qu'administrateur, cliquez avec le bouton droit de la souris sur le fichier, puis cliquez sur Propriétés. Sous l'onglet Compatibilité, cochez Exécuter ce programme en tant qu'administrateur.
L'icône OpenVPN GUI apparaîtra à côté de l'horloge dans la barre des tâches. Cliquez avec le bouton droit sur l'icône, puis cliquez sur Connecter. Comme nous n’avons qu’un fichier.ovpn dans notre config dossier, OpenVPN se connectera à ce réseau par défaut.
Image par Ewan
