Comment configurer un serveur openvpn sur debian 9

Que vous souhaitiez accéder à Internet en toute sécurité et en toute sécurité tout en étant connecté à un réseau Wi-Fi public non fiable, contourner le contenu géo-restreint ou permettre à vos collègues de se connecter en toute sécurité au réseau de votre entreprise lorsque vous travaillez à distance, l'utilisation d'un VPN est la meilleure solution.

Un VPN vous permet de vous connecter à des serveurs VPN distants, de sécuriser votre connexion et de surfer sur le Web de manière anonyme en gardant vos données de trafic privées.

Il existe de nombreux fournisseurs de VPN commerciaux parmi lesquels vous pouvez choisir, mais vous ne pouvez jamais être vraiment sûr que le fournisseur n'enregistre pas votre activité. L'option la plus sûre est de configurer votre propre serveur VPN.

Ce tutoriel expliquera comment installer et configurer OpenVPN sur Debian 9. Nous vous montrerons également comment générer des certificats clients et créer des fichiers de configuration

OpenVPN est une solution VPN SSL (Secure Socket Layer) open source complète. Il implémente l'extension réseau sécurisée OSI de couche 2 ou 3 à l'aide du protocole SSL / TLS.

Conditions préalables

Pour terminer ce tutoriel, vous aurez besoin de:

Révocation des certificats clients

Révoquer un certificat signifie invalider un certificat signé afin qu'il ne puisse plus être utilisé pour accéder au serveur OpenVPN.

Pour révoquer un certificat client, procédez comme suit:

1. Connectez-vous à votre machine CA et basculez vers le répertoire EasyRSA:

   cd EasyRSA-v3.0.6

   Exécutez le script easyrsa à l'aide de l'argument de revoke , suivi du nom du client que vous souhaitez révoquer:

   ./easyrsa revoke client1

   Vous serez invité à vérifier que vous souhaitez révoquer le certificat. Tapez yes et appuyez sur enter pour confirmer:

   Please confirm you wish to revoke the certificate with the following subject: subject= commonName = client1 Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes…

   Si votre clé CA est protégée par mot de passe, vous serez invité à saisir le mot de passe. Une fois vérifié, le script révoquera le certificat.

   … Revocation was successful. You must run gen-crl and upload a CRL to your infrastructure in order to prevent the revoked cert from being accepted.

   Utilisez l'option gen-crl pour générer une liste de révocation de certificats (CRL):

   ./easyrsa gen-crl

   An updated CRL has been created. CRL file: /home/causer/EasyRSA-v3.0.6/pki/crl.pem

   Téléchargez le fichier CRL sur le serveur OpenVPN:

   scp ~/EasyRSA-v3.0.6/pki/crl.pem serveruser@your_server_ip:/tmp

   Connectez-vous à votre serveur serveur OpenVPN et déplacez le fichier vers le répertoire /etc/openvpn :

   sudo mv /tmp/crl.pem /etc/openvpn

   Ouvrez le fichier de configuration du serveur OpenVPN:

   sudo nano /etc/openvpn/server1.conf

   Collez la ligne suivante à la fin du fichier

   /etc/openvpn/server1.conf

   crl-verify crl.pem

   Enregistrez et fermez le fichier.

   Redémarrez le service OpenVPN pour que la directive de révocation prenne effet:

   sudo systemctl restart openvpn@server1

   À ce stade, le client ne devrait plus être en mesure d'accéder au serveur OpenVPN à l'aide du certificat révoqué.

Conclusion

Dans ce tutoriel, vous avez appris comment installer et configurer un serveur OpenVPN sur une machine Debian 9.

sécurité VPN Debian