Combiné à un proxy, un réseau virtuel privé (VPN) est la meilleure solution qui vous permet de naviguer sur Internet tout en protégeant votre identité et en masquant votre activité. OpenVPN figure incontestablement parmi les outils les plus fiables. C'est une plateforme open source qui vous permet d'avoir votre propre VPN et d'installer votre propre serveur pour établir une connexion sécurisée. Toutefois, l'utilisation de ce VPN requiert une certaine maîtrise des outils informatiques, surtout en ce qui concerne les serveurs. Suivez ces 12 étapes pour y arriver.
Remarque importante avant de commencer
Pour pouvoir appliquer les étapes qui vont suivre, vous aurez besoin de Windows Server. Vous devez également installer OpenSSL (nous verrons comment). Il vous permettra de mettre en place les certificats de connexion. On vous invite à recourir aux packages disponibles sur slproweb.com. C'est ici que vous trouverez la dernière version téléchargeable d'OpenSSL Light. Passons aux travaux pratiques à présent.
Étape 1 : l'installation d'OpenSSL
Une fois OpenSSL téléchargé, lancez l'installation. L'outil d'installation vous propose un contrat de licence qu'il faut accepter. La prochaine étape consiste à sélectionner le chemin d'installation. N'oubliez pas de cocher la case « The OpenSSL binaries (/bin) directory » pour copier les DLLs OpenSSL dans le dossier bin. Lorsque ces étapes seront effectuées, il ne vous restera plus qu'à cliquer sur « installer » et, enfin, « finish ».
Étape 2 : ajouter OpenSSL dans les variables d'environnement
C'est une étape cruciale de l'installation d'un serveur OpenVPN.
Variables d'environnement, c'est quoi ?
Rappelons tout d'abord ce que sont ces variables. En informatique, elles sont utilisées par les processus d'un système d'exploitation donné. Elles vont lui permettre d'échanger des informations entre les différents programmes de hiérarchie différente. C'est une sorte de trait d'union entre eux.
Ajout d'OpenSSL dans les variables d'environnement : mode d'emploi
Vous allez donc ajouter OpenSSL à ces variables. Pour ce faire, lancez l'outil « Exécuter » de Windows en appuyant sur les touches « Windows » et « R » de votre clavier. Tapez « SystemPropertiesAdvanced » et cliquez sur « OK ». Une nouvelle fenêtre avec plusieurs onglets va apparaître. Dans les « Paramètres avancées », sélectionnez « Variables d'environnement » qui se trouve en bas.
Une autre fenêtre va s'afficher. Vous verrez, entre-autres, « Path ». Éditez-le. Ensuite, sélectionnez « Nouveau » pour pouvoir ajouter » % ProgramFiles %OpenSSL-Win64bin ». Lorsque ce sera fait, vous devez ouvrir l'invite de commandes. Une fois celui-ci lancé, exécutez la commande « openssl »…. et ce sera fait : l'OpenSSL est enfin installé sur votre appareil.
Étape 3 : installer OpenVPN
Après avoir installé OpenSSL, il est temps d'installer OpenVPN pour pouvoir y déployer votre propre serveur. Pour ce faire, rendez-vous sur ce site pour télécharger le logiciel. Une fois chose faite, lancez le logiciel d'installation. N'oubliez pas de choisir la version qui correspond à l'architecture de votre ordinateur : 32 ou 64 bits.
Pour pouvoir installer OpenVPN en tant que serveur, vous devez sélectionner « Customize » et non « Install Now ». Il faut ensuite suivre ces étapes :
- Sur la fenêtre qui va s'afficher dans l'outil d'installation, activez le « Service OpenVPN ». De cette façon il sera opérationnel au démarrage de Windows.
- Vous devez également installer EazyRSA. Il vous permettra de mettre en place les certificats requis pour le serveur et pour les clients.
- Cliquez sur « Close » lorsque ces opérations seront terminées.
Étape 4 : la mise en place de l'autorité de certification (CA)
Dans cette partie du processus de l'installation d'un serveur OpenVPN sur Windows, vous allez mettre au point une PKI (infrastructure clés publiques). C'est à travers elle que vous allez pouvoir mettre en place des certificats pour les serveurs et pour les clients. Tout d'abord, lancez l'invite de commandes et saisissez-y les deux commandes qui vont suivre. Elles vous permettront de faire entrer EazyRSA dans le shell :
- C :UsersAdministrator>cd C :Program FilesOpenVPNeasy-rsa
- C :Program FilesOpenVPNeasy-rsa>EasyRSA-Start.bat
Vous avez la possibilité de supprimer la configuration déjà présente sur votre machine, mais ça reste facultatif. Néanmoins, si vous souhaitez le faire, tapez « #./easyrsa clean-all » dans l'invite de commandes. Par la suite, vous devez initialiser la PKI en tapant « yes » afin de confirmer la commande « #./easyrsa init-pki ».
La mise en place de l'autorité de certification (AC)
À présent, vous allez mettre en place l'AC. Pour ce faire, il faut saisir la commande dans l'invite de commandes : « #./easyrsa build-ca nopass
[…]
Enter PEM pass phrase : PEMpa$$td
Verifying – Enter PEM pass phrase : PEMpa$$td
[…]
Common Name (eg : your user, host, or server name) [Easy-RSA CA] : ovpn ».
Pour mettre en place la paire de clé pour votre serveur, saisissez cette commande : « #./easyrsa build-server-full server nopass
[…]
Enter pass phrase for C :/Program Files/OpenVPN/easy-rsa/pki/private/ca.key : PEMpa$$td ».
Il ne vous restera plus qu'à générer les paramètres « Diffie Hellman » à travers la commande « #./easyrsa gen-dh ».
Étape 5 : la mise en place des certificats clients
Là encore, vous aurez besoin de l'invite de commandes de Windows. Commencez par ouvrir shell EazyRSA à travers les commandes : C :UsersAdministrator>cd C :Program FilesOpenVPNeasy-rsa et C :Program FilesOpenVPNeasy-rsa>EasyRSA-Start.bat ». Ensuite, vous devez créer les certificats pour le client01 à travers « #./easyrsa build-client-full client01 nopass
[…]
Enter pass phrase for C :/Program Files/OpenVPN/easy-rsa/pki/private/ca.key : PEMpa$$td »
L'activation des certificats
Ici, vous allez déplacer les fichiers « ca.crt », « dh.pem », « server.crt » et « server.key » dans les répertoires “C :Program FilesOpenVPNconfig-auto” et “C :Program FilesOpenVPNconfig”. Pour rappel, leur emplacement d'origine se trouve dans les répertoires suivants : “C :Program FilesOpenVPNeasy-rsapki”, “C :Program FilesOpenVPNeasy-rsapkiissued” et “C :Program FilesOpenVPNeasy-rsapkiprivate”.
Étape 6 : la configuration du pare-feu Windows
Il est essentiel de configurer le pare-feu de Windows afin d'autoriser les connexions qui seront établies via votre serveur OpenVPN. Aussi, il va falloir mettre en place deux configurations. La première permettra d'ouvrir le port 1194 en udp. C'est ce qui va laisser passer les connexions des clients OpenVPN.
La seconde va autoriser le réseau 10.50.8.0/24. De cette manière, les clients vont pouvoir établir un dialogue avec les services proposés par votre serveur OpenVPN sur Windows, comme le partage des fichiers.
Deux possibilités
Pour réaliser cette procédure, vous avez deux possibilités. Vous pouvez recourir à la Console de Management du Firewall. Ou alors, vous pouvez lancer une console PowerShell en tant qu'Administrateur. Procédons donc à travers cette dernière possibilité.
Mode d'emploi
Tout d'abord, sur cette console, saisissez la commande « PS C : > New-NetFirewallRule -DisplayName « OpenVPN » -Direction Inbound -Protocol UDP -LocalPort 1194 -Action Allow ». Elle permettra de créer la règle qui va laisser passer les connexions entrantes via le port 1194 udp.
Ensuite, pour autoriser les connexions entrantes à partir du réseau 10.50.8.0/24, saisissez la commande « PS C : > New-NetFirewallRule -DisplayName « OpenVPN_Network » -Direction Inbound -RemoteAddress 10.50.8.0/24 -Action Allow ».
Étape 7 : la création du fichier de configuration server.ovpn
À présent, vous allez créer ce fichier dans le répertoire « C :Program FilesOpenVPNconfig-autoserver.ovpn ». Dans la console PowerShell, tapez cette commande : « port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
server 10.50.8.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3″
Étape 8 : redémarrer OpenVPN
Ici, lancez « Exécuter » en appuyant simultanément sur les touches « Windows » et « R » de votre clavier. Puis, tapez « services.msc » pour accéder à la console de gestion des services. Une fois chose faite, cherchez « OpenVPNService », faites un clic droit et sélectionnez « Restart ».
Il existe une autre façon de procéder. Depuis l'invite de commandes, vous pouvez taper les commandes suivantes : « C :Windowssystem32>net stop openvpnservice et C :Windowssystem32>net start openvpnservice ». Ou alors, depuis PowerShell, tapez « C : PS> Restart-Service OpenVPNService ».
Étape 9 : configurer le client
Vous allez suivre les mêmes étapes que l'on a déjà évoquées avec un serveur. Vous devez donc installer OpenVPN pour le client. Aussi, vous devez télécharger le même package. Cependant, pendant le processus d'installation, vous n'aurez pas besoin d'accéder à « Costumize ». Il vous suffit de lancer la procédure par défaut en cliquant sur « Install Now ».
Étape 10 : copier les certificats à partir du serveur
À présent, il faudra récupérer les fichiers « ca.crt », « client01.crt » et « client01.key ». Vous pourrez les retrouver dans les dossiers « C :Program FilesOpenVPNeasy-rsapki », « C :Program FilesOpenVPNeasy-rsapkiissued » et « C :Program FilesOpenVPNeasy-rsapkiprivate ».
Il faudra ensuite les déplacer vers « C :Program FilesOpenVPNconfig ». N'oubliez pas de créer le fichier « C :Program FilesOpenVPNconfigclient.ovpn » avec les droits d'administrateur. Il faut aussi penser à indiquer l'adresse IP de votre serveur.
Étape 11 : l'établissement de la connexion privée
Sur le bureau, cliquez sur OpenVPN GUI avec le bouton droit et sélectionnez « exécuter en tant qu'administrateur ». En bas à droite de l'écran, cliquez sur la petite flèche pour démarrer la connexion via le VPN en question. L'opération sera confirmée par une fenêtre pop-up avec le message « client is now connected ».
Étape 12 : accéder au serveur
Dans cette dernière étape, vous allez enfin pouvoir accéder au serveur OpenVPN que vous venez d'installer sur Windows. Pour rappel, l'opération n'est possible qu'après avoir établi la connexion avec le VPN. Vous pourrez joindre votre serveur depuis l'adresse 10.50.8.1.
N'hésitez pas à partager votre expérience avec nous.
