Configuration d’un serveur openvpn sur Raspbian

Installation de paquets supplémentaires

Installation des paquets nécessaires :

apt-get install openvpn easy-rsa sslh

Configuration openvpn

port 1194

proto tcp-server
mode server
tls-server

dev tun

topology subnet

client-config-dir /etc/openvpn/ccd/

ca /etc/openvpn/ca.crt
cert /etc/openvpn/serveur.crt
key /etc/openvpn/serveur.key
dh /etc/openvpn/dh1024.pem

server 10.7.0.0 255.255.255.0
route 10.7.0.0  255.255.255.0
push route-delay 8

push "route-gateway 10.7.0.1"
push "route 0.0.0.0 0.0.0.0"
push "dhcp-option DNS 10.7.0.1"
push "redirect-gateway local def1"


#ifconfig-pool 10.7.0.200 10.7.0.250 255.255.255.0

#Cette ligne ajoute sur le client la route du réseau du serveur
#push "route 10.7.0.0 255.255.255.0"
#push "route-gateway 10.7.0.1"
#Ces lignes indiquent aux clients l'adresse des serveur DNS et WINS
#push "dhcp-option DNS 10.7.0.1"

keepalive 10 120

comp-lzo
ping-timer-rem
persist-tun
persist-key

verb 3
mute 5

Configuration du multiplexeur sslh

Ajouter les lignes suivantes dans /etc/default/sslh :

DAEMON_OPTS="--user sslh --listen 0.0.0.0:443 --ssh 127.0.0.1:22 --openvpn 127.0.0.1:1194 --ssl 127.0.0.1:445 --pidfile /var/run/sslh/sslh.pid"

sslh permet de multiplexer les protocoles sur le port 443. Cela permet de passer outre les firewall filtrants les ports hors 443… On a donc la possibilité d’attaquer les protocoles ssh, openvpn et https sur le même port.

Configuration de firehol

Comme nous avons modifié les réseaux, il faut les ajouter à firehol. Édition du fichier /etc/firehol/firehol.conf pour y ajouter les lignes suivantes :

interface tun0 vpnlan
        policy reject

        server dns accept
        server http accept
        server https accept
        server ICMP accept
        server ssh accept
        server smtp accept

        client all accept
        masquerade

router vpn2internet inface "tun0" outface "eth0"
       masquerade
       route all accept

Redémarrer firehol :

service restart firehol

La suite

Et on peut passer à la suite : configuration de lighttpd