10.4. VPNs intersites

Vous avez vu précédemment que le serveur Free-EOS permet l'accès de manière sécurisée en PPTP à un utilisateur distant via Internet. Mais ce mécanisme ne fonctionnera pas correctement dans le cas par exemple où vous avez un petit réseau local déporté, relié à Internet, dont tous les utilisateurs ont besoin d'accéder aux services du serveur Free-EOS.

Schéma VPN

Le résultat obtenu sera pour les utilisateurs de voir les trois réseaux internes comme un réseau interne unique. La technologie mise en oeuvre par Free-EOS pour cela s'appelle IPSEC. Comme le montre le schéma les données circulent sur Internet entre les passerelles IPSEC Free-EOS dans des tunnels cryptés, pour garantir la sécurité des échanges. De plus ces tunnels masquent sur Internet les adresses IP réelles des postes, ce qui permet aux trames IP des réseaux internes, en principe non routables sur Internet, de passer quand même à travers le réseau public.

Il est aussi possible avec IPSEC d'interconnecter un seul ordinateur avec le réseau interne. Cette méthode n'est pas impémentée actuellement dans le gestionnaire de serveur Free-EOS.

Il est important pour la mise en oeuvre de VPN IPSEC que les réseaux internes interconnectés n'aient pas d'adresses en commun, qui doubonneraient dans le VPN construit. D'où l'importance d'établir un plan d'adressage cohérent pour l'ensemble de votre organisation.

La description d'IPSEC n'est pas du ressort de ce manuel qui vous explique le plus simplement comment mettre en oeuvre avec Free-EOS un VPN. Vous pourrez trouver plus d'information sur IPSEC par exemple sur le site Hervé Schauer Consultants.

La liaison entre chaque serveur Free-EOS IPSEC distant et votre serveur Free-EOS IPSEC doit être décrite. Elle doit même l'être deux fois, une fois à chaque extémité de la liaison. Si donc vous voulez interconnecter en VPN 3 sites, il vous faudra générer 6 configurations, deux sur chaque serveur. Pour 4 sites, il vous en faut 12, trois sur chaque serveur.

Voici l'écran permettant de définir une liaison VPN IPSEC sur un serveur :

Schéma VPN

10.4.1. Clé publique de cryptage

Le cryptage des données sur le liaison IPSEC est assurée par une méthode de cryptage utilisant un mécanisme de "clé publique"+"clé privée". Les données evoyées par un serveur Free-EOS sur la liaison IPSEC sont encrypétes avec sa clé privée. Pour pouvoir les décoder, le serveur Free-EOS a besoin de connaître la clé publique du serveur d'émission. Elle est affichée par l'écran suivant :

Il vous appartient donc de noter et d'envoyer si besoin votre clé publique aux administarteurs des serveurs Free-EOS des sites distants avec lesquels vous voulez créer un VPN. Une option vous est offerte pour l'envoyer directement par courriel.

10.4.2. Paramétrer une liaison VPN IPSEC

Nous allons illustrer, à titre d'exemple comment paramétrer la liaison VPN IPSEC entre deux sites, respectivement nommés site_A et site_B. Ces deux sites sont dotés chacun d'un serveur Free-EOS configuré en serveur et passerelle, et reliés à Internet.

Voici les caractéristiques des serveurs de ces deux sites :

Site_A Site_B
Addresse IP Interne: 172.18.1.1 Addresse IP interne: 172.18.2.1
Masque réseau interne: 255.255.255.0 Masque réseau interne: 255.255.255.0
Addresse IP externe: 195.160.228.251 Addresse IP externe: 205.45.35.100
Adresse IP Passerelle externe: 195.160.228.254 Adresse IP Passerelle externe: 205.45.35.110

Comme indiqué précédemment, vous devrez procéder à l'ajout de deux liaisons, une sur le serveur A et l'autre sur le serveur B. En plus des indications du tableau précédent, chaque site devra posséder la clé publique de l'autre site, que l'administrateur lui aura envoyé par courriel comme indiqué.

Voici l'écran que devra remplir l'administrateur du site A sur son serveur :

ajout VPN IPSEC a

 

Voici l'écran que devra remplir à son tour l'administrateur du site B sur son serveur :

ajout VPN IPSEC b

Vous remarquerez qu'un serveur Free-EOS doit être déclaré "serveur" et l'autre "client". Peu importe lequel, il convient juste que les administrateurs se mettent d'accord.

 

Attention

Le but du VPN est bien que les deux réseaux internes initiaux ne fassent plus qu'un seul réseau interne. Le réseau interne du site A vea donc devenir réseau interne du site B, et réciproquement. Cela va donc impliquer une déclaration de ces nouveaux réseaux internes sur chacun des sites. Cette déclaration est faite comme indiquée en 10.3.

Pour notre exemple voici les réseaux à déclarer :

sur le Site A on ajoute le réseau sur le Site B on ajoute le réseau
Addresse réseau: 172.18.2.0 Addresse réseau: 172.18.1.0
Masque sous-réseau: 255.255.255.0 Masque sous-réseau: 255.255.255.0
Routeur: 172.18.1.1 Routeur: 172.18.2.1

10.4.3. Ajouter un serveur WINS VPN IPSEC

Chaque serveur Free-EOS joue par défaut le rôle de serveur WINS pour son réseau interne. Cela se fait sans que vous n'ayez rien eu à configurer. Ce rôle de serveur WINS permet en particulier que les machines de votre réseau local interne apparaissent en voisinage réseau. Lorsqu'on fait un VPN IPSEC, on demande en général à un seul des deux serveurs Free-EOS de tenir ce rôle. On utilisera celui qui est désigné comme "serveur IPSEC".

Donc dans ce cas vous aurez une dernière manipulation à faire pour la mise en place de votre VPN : déclarer comme serveur WINS le serveur Free-EOS "serveur IPSEC" sur le serveur Free-EOS "client IPSEC".

Dans notre cas, sur le serveur Free-EOS du site B :