S’offrir une vie privée sur le net avec OpenVPN

Pour les maniaques qui se demandent comment cacher leur vie privée sur internet lorsqu’ils utilisent une bonne WiFi gratuite… Voilà une petite solution qui peut être mise en place sous Debian.

J’ai testé la configuration suivante sous un VPS OVH avec Debian 7.5, je recommande d’utiliser un serveur ou une machine virtuelle dédiée pour OpenVPN. Car la configuration qui sera mise en place utilisera le port 443 (Port SSL utilisé pour le protocol https) et le pare-feu aura très peu de filtrage. Pour mettre en place ce serveur VPN, je me suis basé sur un article rédigé par nicolargo. Cependant j’ai apporté des modifications pour qu’il me convienne le mieux possible.

---

Le fonctionnement de OPENVPN

Avant de commencer, il important de connaitre le fonctionnement du logiciel. Vous aurez le serveur à installer ainsi que le client qui vous servira à vous connecter sur votre serveur. Le serveur disposera de ses propres clés de cryptage ainsi que chaque appareil, il sera donc nécessaire de générer les clés privées pour le serveur et vos périphériques.La configuration que je vais proposée dans cet article servira à rediriger votre trafic de votre PC ou mobile via le canal de votre serveur pour ensuite sortir sur internet.

Le service DHCP de OpenVPN ne délivrera pas de passerelle par défaut à vos clients. Ne soyez pas étonnés si aucune Gateway n’est présente lorsque vous effectuerez un ipconfig sur vos clients. Ce sont des règles de routages qui effectuerons le transfert de votre trafic internet vers le serveur. Par chance, le client OpenVPN se chargera de mettre en place ces règles par rapport aux règles de routage que nous mettrons en place sur le serveur avec iptable.

---

 

Installation de openvpn et configuration

Pour l’installation, rien de plus simple en utilisant apt-get :

apt-get install openvpn

Le fichier de configuration du serveur se trouve dans /etc/openvpn :

nano /etc/openvpn/server.conf

Et il suffit de copier coller la configuration que je vous propose, bien sûr il est possible de la modifier selon vos besoins :

# Serveur TCP/443
mode server
proto tcp
port 443

# Nom de la carte virtuel qui sera utilisé

dev tun0

# Cles et certificats du serveur

# Certificat d'authenticité à bien garder sur le serveur
ca /etc/openvpn/certificats/cacert.pem

# Clé et certificat du serveur :
cert /etc/openvpn/certificats/linux01.pem
key /etc/openvpn/certificats/linux01-key.pem

#Protocol Diffie-Hellman
dh /etc/openvpn/certificats/dh1024.pem

#Tunel de cryptage en AES
cipher AES-256-CBC

# Reseau

# Plage d’adresse IP utilisé. Ici en classe A
server 10.8.0.0 255.255.255.0

#Redirection du 
push "redirect-gateway def1"

#Injection des serveurs DNS pour les clients. Il s'agit des serveurs DNS Level3
push "dhcp-option DNS 209.244.0.3"
push "dhcp-option DNS 209.244.0.4"
keepalive 10 120

# Securite - Service Chrooter
user nobody
group nogroup
chroot /etc/openvpn/jail
persist-key
persist-tun
comp-lzo

# Log
verb 3
mute 20
status openvpn-status.log
log-append /var/log/openvpn.log

 

Warning! Lors du premier lancement de votre serveur OpenVPN, vérifiz que la carte virtuelle est bien dev0 en effectuant ifconfig. Si vous vous apercevez d’un changement, effectuez la modification de la ligne « dev ».

 

---