https://fr-wiki.ikoula.com/api.php?action=feedcontributions&feedformat=atom&user=Alexandre.berthoud204dcIkoula Wiki - Contributions de l’utilisateur [fr]2026-04-11T03:09:38ZContributions de l’utilisateurMediaWiki 1.35.3https://fr-wiki.ikoula.com/index.php?title=Utilisateur:Alexandre.berthoud204dc&diff=20505Utilisateur:Alexandre.berthoud204dc2016-02-22T18:20:33Z<p>Alexandre.berthoud204dc : create user page</p>
<hr />
<div></div>Alexandre.berthoud204dchttps://fr-wiki.ikoula.com/index.php?title=Mettre_en_place_un_VPN_L2TP/IPSEC&diff=20506Mettre en place un VPN L2TP/IPSEC2016-02-22T18:18:51Z<p>Alexandre.berthoud204dc : Page créée avec « <span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_tra... »</p>
<hr />
<div><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="he"></span><span data-link_translate="ro"></span><span data-link_translate="ru"></span><span data-link_translate="pl"></span><span data-link_translate="ja"></span><span data-link_translate="ar"></span><span data-link_translate="zh"></span><span data-link_translate="ro"></span><span data-link_translate="pl"></span><span data-link_translate="de"></span><span data-link_translate="nl"></span><span data-link_translate="it"></span><span data-link_translate="pt"></span><span data-link_translate="es"></span><span data-link_translate="en"></span><!-- Début de l'article. Placez votre texte ci-après et n'hésitez pas à personnaliser les chapitres selon votre besoin --><br />
<br />
==Introduction== <!--T:1--><br />
Un VPN (Virtual Private Network) est un système permettant de créer un lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le milieu de la dématérialisation fiscale et dans le travail à distance, ainsi que pour l'accès à des structures de type cloud computing. L'avantage du L2TP (Layer 2 Tunelling Protocol) réside dans l'utilisation d'une clé prépartagée en plus des identifiants de connexion habituels. A cela s'ajoute IPSEC, une technologie d'encapsulation cryptée dans la trame IP.<br />
<br />
==Prérequis== <!--T:2--><br />
Pour suivre ce tuto vous devez disposer de:<br/><br />
<br />
- Une machine sous une distribution Linux (Debian 8, Fedora, CentOS, Ubuntu, Raspberry Pi, ...) ''Ne fonctionne pas sous Debian 8 à cause des repository d'OpenSwan qui n'existent plus''<br/><br />
- Connaître votre adresse ip publique, si vous ne la connaissez pas allez [http://http://www.mon-ip.com/ ici!]<br/><br />
<br />
==Tutoriel== <!--T:3--><br />
Tout d'abord, loguez vous en root (ou via un utilisateur qui a les droits superuser). vous pouvez utiliser Putty pour vous connecter à une machine à distance via SSH ou ouvrez simplement un terminal si vous avez accès à l'interface graphique de votre machine.<br />
<br />
===Update et installation des paquets===<br />
Tout d'abord, mettez à jour votre machine et installez les repository nécessaires:<br/><br />
<syntaxhighlight lang="bash"><br />
apt-get update && apt-get upgrade -y<br />
apt-get install openswan xl2tpd ppp lsof<br />
</syntaxhighlight><br />
<br />
''OpenSwan va vous poser des questions, répondez y avec les valeurs par défaut''<br />
<br/><br/><br />
<br />
===Ajout des règles au firewall===<br />
Ensuite, nous allons ajouter une regle à iptables pour autoriser la trafic du VPN: (remplacez %SERVERIP% par l'ip de votre serveur)<br />
<syntaxhighlight lang="bash"><br />
iptables -t nat -A POSTROUTING -j SNAT --to-source %SERVERIP% -o eth0<br />
</syntaxhighlight><br />
<br />
<br/><br />
Puis executez les commandes suivantes pour activer le routing des paquets IP:<br />
<syntaxhighlight lang="bash"><br />
echo "net.ipv4.ip_forward = 1" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.conf.all.accept_redirects = 0" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.conf.all.send_redirects = 0" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.conf.default.rp_filter = 0" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.conf.default.accept_source_route = 0" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.conf.default.send_redirects = 0" | tee -a /etc/sysctl.conf<br />
echo "net.ipv4.icmp_ignore_bogus_error_responses = 1" | tee -a /etc/sysctl.conf<br />
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done<br />
sysctl -p<br />
</syntaxhighlight><br />
<br />
Rendons les persistantes au redémarrage de la machine:<br />
<syntaxhighlight lang="bash"><br />
nano /etc/rc.local<br />
</syntaxhighlight><br />
<br />
et ajoutez à la fin juste avant le '''exit 0'''<br />
<syntaxhighlight lang="bash"><br />
for vpn in /proc/sys/net/ipv4/conf/*; do echo 0 > $vpn/accept_redirects; echo 0 > $vpn/send_redirects; done<br />
iptables -t nat -A POSTROUTING -j SNAT --to-source %SERVERIP% -o eth+<br />
</syntaxhighlight><br />
<br />
<br/><br />
===Mise en place d'IPSEC===<br />
<br/><br />
<br />
On crée un nouveau fichier de configuration ipsec:<br />
<syntaxhighlight lang="bash"><br />
mv /etc/ipsec.conf /etc/ipsec.conf.bak && nano /etc/ipsec.conf<br />
</syntaxhighlight><br />
puis collez-y ceci: ''En n'oubliant pas de remplacer %SERVERIP% par l'adresse ip du serveur''<br />
<syntaxhighlight lang="bash"><br />
version 2 # conforms to second version of ipsec.conf specification<br />
<br />
config setup<br />
dumpdir=/var/run/pluto/<br />
#in what directory should things started by setup (notably the Pluto daemon) be allowed to dump core?<br />
<br />
nat_traversal=yes<br />
#whether to accept/offer to support NAT (NAPT, also known as "IP Masqurade") workaround for IPsec<br />
<br />
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v6:fd00::/8,%v6:fe80::/10<br />
#contains the networks that are allowed as subnet= for the remote client. In other words, the address ranges that may live behind a NAT router through which a client connects.<br />
<br />
protostack=netkey<br />
#decide which protocol stack is going to be used.<br />
<br />
force_keepalive=yes<br />
keep_alive=60<br />
# Send a keep-alive packet every 60 seconds.<br />
<br />
conn L2TP-PSK-noNAT<br />
authby=secret<br />
#shared secret. Use rsasig for certificates.<br />
<br />
pfs=no<br />
#Disable pfs<br />
<br />
auto=add<br />
#the ipsec tunnel should be started and routes created when the ipsec daemon itself starts.<br />
<br />
keyingtries=3<br />
#Only negotiate a conn. 3 times.<br />
<br />
ikelifetime=8h<br />
keylife=1h<br />
<br />
ike=aes256-sha1,aes128-sha1,3des-sha1<br />
phase2alg=aes256-sha1,aes128-sha1,3des-sha1<br />
# https://lists.openswan.org/pipermail/users/2014-April/022947.html<br />
# specifies the phase 1 encryption scheme, the hashing algorithm, and the diffie-hellman group. The modp1024 is for Diffie-Hellman 2. Why 'modp' instead of dh? DH2 is a 1028 bit encryption algorithm that modulo's a prime number, e.g. modp1028. See RFC 5114 for details or the wiki page on diffie hellmann, if interested.<br />
<br />
type=transport<br />
#because we use l2tp as tunnel protocol<br />
<br />
left=%SERVERIP%<br />
#fill in server IP above<br />
<br />
leftprotoport=17/1701<br />
right=%any<br />
rightprotoport=17/%any<br />
<br />
dpddelay=10<br />
# Dead Peer Dectection (RFC 3706) keepalives delay<br />
dpdtimeout=20<br />
# length of time (in seconds) we will idle without hearing either an R_U_THERE poll from our peer, or an R_U_THERE_ACK reply.<br />
dpdaction=clear<br />
# When a DPD enabled peer is declared dead, what action should be taken. clear means the eroute and SA with both be cleared.<br />
</syntaxhighlight><br />
<br />
On crée ensuite le ''preshared secret'' (la clé prépartagée):<br />
<syntaxhighlight lang="bash"><br />
nano /etc/ipsec.secrets<br />
</syntaxhighlight><br />
puis entrez cette ligne:<br />
<syntaxhighlight lang="bash"><br />
%SERVERIP% %any: PSK "VotreClePlusOuMoinsSecurisee"<br />
</syntaxhighlight><br />
Pensez à remplace %SERVERIP% par l'ip de votre serveur. si vous séchez pour la création de votre clé vous pouvez utilisez la commande suivante:<br />
<syntaxhighlight lang="bash"><br />
openssl rand -hex 30<br />
</syntaxhighlight><br />
<br />
<br/><br />
On vérifie que tout se passe bien, vous utilisez donc cette commande:<br />
<syntaxhighlight lang="bash"><br />
ipsec verify<br />
</syntaxhighlight><br />
et vous devez obtenir:<br />
<syntaxhighlight lang="bash"><br />
Checking your system to see if IPsec got installed and started correctly:<br />
Version check and ipsec on-path [OK]<br />
Linux Openswan U2.6.38/K3.13.0-24-generic (netkey)<br />
Checking for IPsec support in kernel [OK]<br />
SAref kernel support [N/A]<br />
NETKEY: Testing XFRM related proc values [OK]<br />
[OK]<br />
[OK]<br />
Checking that pluto is running [OK]<br />
Pluto listening for IKE on udp 500 [OK]<br />
Pluto listening for NAT-T on udp 4500 [OK]<br />
Checking for 'ip' command [OK]<br />
Checking /bin/sh is not /bin/dash [WARNING]<br />
Checking for 'iptables' command [OK]<br />
Opportunistic Encryption Support [DISABLED]<br />
</syntaxhighlight><br />
<br />
===Configuration de xl2tpd===<br />
<br />
Commençons par éditer un nouveau fichier de configuration:<br />
<syntaxhighlight lang="bash"><br />
mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak && nano /etc/xl2tpd/xl2tpd.conf<br />
</syntaxhighlight><br />
<br />
puis collez-y ceci:<br />
<syntaxhighlight lang="bash"><br />
[global]<br />
ipsec saref = yes<br />
saref refinfo = 30<br />
<br />
;debug avp = yes<br />
;debug network = yes<br />
;debug state = yes<br />
;debug tunnel = yes<br />
<br />
[lns default]<br />
ip range = 172.16.1.30-172.16.1.100<br />
local ip = 172.16.1.1<br />
refuse pap = yes<br />
require authentication = yes<br />
;ppp debug = yes<br />
pppoptfile = /etc/ppp/options.xl2tpd<br />
length bit = yes<br />
</syntaxhighlight><br />
<br />
===Configuration de PPP===<br />
Pour cette partie, nous allons de nouveau créer un nouveau fichier de configuration ''(trop de nouveau dans une seule phrase :3)'':<br />
<br />
<syntaxhighlight lang="bash"><br />
mv /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.bak && nano /etc/ppp/options.xl2tpd<br />
</syntaxhighlight><br />
<br />
puis insérez-y ceci:<br />
<syntaxhighlight lang="bash"><br />
require-mschap-v2<br />
ms-dns 8.8.8.8<br />
ms-dns 8.8.4.4<br />
auth<br />
mtu 1200<br />
mru 1000<br />
crtscts<br />
hide-password<br />
modem<br />
name l2tpd<br />
proxyarp<br />
lcp-echo-interval 30<br />
lcp-echo-failure 4<br />
</syntaxhighlight><br />
<br />
Ici, j'ai utilisé les DNS publics de Google, libre à vous de les modifier et d'utiliser ceux de votre choix! ;)<br />
<br />
===Ajout des utilisateurs===<br />
<br />
ENFIN! Cette étape cruciale va vous permettre de définier les login et mot de passe des utilisateurs de votre vpn, modifiez simplement ce fichier:<br />
<syntaxhighlight lang="bash"><br />
nano /etc/ppp/chap-secrets<br />
</syntaxhighlight><br />
ci-dessous une ligne typique:<br />
<syntaxhighlight lang="bash"><br />
jean l2tpd 0F92E5FC2414101EA *<br />
</syntaxhighlight><br />
<br/><br />
'''ATTENTION: ce fichier est sensible à la casse, si vous mettez une majuscule, vous devrez la conserver lorsque vous taperez votre login ou mot de passe.'''<br />
<br/><br/><br />
<br />
===Pour finir on redémarre===<br />
<syntaxhighlight lang="bash"><br />
/etc/init.d/ipsec restart && /etc/init.d/xl2tpd restart<br />
</syntaxhighlight><br />
<br />
<!-- Fin de l'article --><br />
<br /><br /><br />
Cet article vous a semblé utile ? <vote /><br />
<br />
<!--T:5--><br />
<br />
<!-- Commentaire --><br />
<comments /><br />
<br />
<!-- Placez ci-dessous la ou les catégories auxquelles se rapporte votre article. Ex: [[Catégorie:VPN]] [[Catégorie:Linux]] --><br />
[[Catégorie:VPN]] [[Catégorie:Linux]] [[Catégorie:Sécurité]]</div>Alexandre.berthoud204dc