Utilisez des outils open source pour configurer un VPN privé


  • Français


  • Se déplacer d’un endroit à un autre via un réseau informatique peut être une chose délicate. En plus de connaître la bonne adresse et d’ouvrir les bons ports, il y a la question de la sécurité. Pour Linux, SSH est une valeur par défaut populaire, et bien que vous puissiez faire beaucoup avec SSH, c’est toujours “juste” un shell sécurisé (c’est ce que signifie SSH, en fait.) Un protocole plus large pour le trafic crypté est VPN, qui crée un réseau privé virtuel unique entre deux points. Avec lui, vous pouvez vous connecter à un ordinateur sur un autre réseau et utiliser tous ses services (partages de fichiers, imprimantes, etc.) comme si vous étiez physiquement assis dans la même pièce, et chaque bit de données est crypté à partir du point pointer.

    Normalement, pour permettre une connexion VPN, les passerelles de chaque réseau doivent accepter le trafic VPN, et certains ordinateurs de votre réseau cible doivent être à l’écoute du trafic VPN. Cependant, il est possible d’exécuter votre propre micrologiciel de routeur qui exécute un serveur VPN, ce qui vous permet de vous connecter à votre réseau cible sans avoir à vous soucier de la transmission des ports ou à penser à la topographie interne. Mon firmware préféré est OpenWrt, et dans cet article, je montre comment le configurer et comment activer le VPN dessus.

    Qu’est-ce qu’OpenWrt?

    OpenWrt est un projet open source qui utilise Linux pour cibler les périphériques embarqués. Il existe depuis plus de 15 ans et possède une communauté nombreuse et active.

    Il existe de nombreuses façons d’utiliser OpenWrt, mais son objectif principal réside dans les routeurs. Il fournit un système de fichiers entièrement accessible en écriture avec gestion des packages, et comme il est open source, vous pouvez voir et modifier le code et contribuer à l’écosystème. Si vous souhaitez avoir plus de contrôle sur votre routeur, c’est le système que vous souhaitez utiliser.

    OpenWrt prend en charge de nombreux routeurs, y compris des marques célèbres telles que Cisco, ASUS, MikroTik, Réseaux Teltonika, D-Link, Lien TP, Buffle, Ubiquiti, et beaucoup d’autres.

    Qu’est-ce que Wireguard?

    Wireguard est un logiciel de réseau privé virtuel (VPN) open source qui est beaucoup plus rapide, plus simple et plus sécurisé que d’autres options telles que OpenVPN. Il utilise une cryptographie de pointe: ChaCha20 pour la cryptographie symétrique; Courbe 25519 (qui utilise des courbes elliptiques) pour l’accord de clé; et BLAKE2 pour le hachage. Ces algorithmes sont conçus de manière efficace sur les systèmes embarqués. WIreguard est également disponible sur une grande variété de systèmes d’exploitation plates-formes.

    Conditions préalables

    Pour ce projet, vous aurez besoin de:

    • Teltonika RUT955 ou un autre routeur pris en charge par OpenWrt
    • Une adresse IP publique pour vous connecter à votre VPN depuis l’extérieur de votre réseau
    • Un téléphone Android

    Installez OpenWrt

    Pour commencer, téléchargez l’image OpenWrt de votre routeur. Utilisez le sélecteur de firmware pour vérifier si OpenWrt prend en charge votre routeur et téléchargez le firmware. Entrez le modèle de votre routeur et il affichera vos options:

    Sélectionnez la version du micrologiciel que vous souhaitez télécharger en utilisant l’entrée déroulante sur le côté droit du champ de recherche.

    Téléchargez l’image d’usine.

    De nombreux routeurs vous permettent de flasher des micrologiciels non autorisés à partir de l’interface Web, mais Teltonika Networks ne le fait pas. Pour flasher le micrologiciel OpenWrt sur un routeur comme celui-ci, vous devez utiliser le chargeur de démarrage. Pour ce faire, procédez comme suit:

    1. Débranchez le câble d’alimentation du routeur.
    2. Appuyez sur le bouton de réinitialisation et maintenez-le enfoncé.
    3. Branchez le câble d’alimentation du routeur.
    4. Continuez à maintenir le bouton de réinitialisation pendant 5 à 8 secondes après avoir branché le câble d’alimentation.
    5. Définissez l’adresse IP de l’ordinateur sur 192.168.1.15 et le masque de réseau pour 255.255.255.0.
    6. Connectez le routeur et votre ordinateur avec un câble Ethernet sur un port LAN.
    7. Ouvrez un navigateur Web et entrez 192.168.1.1:/index.html.
    8. Téléchargez et flashez le firmware.

    Le processus de clignotement peut prendre jusqu’à trois minutes. Ensuite, vous devriez pouvoir accéder à l’interface Web du routeur en entrant 192.168.1.1 dans un navigateur. Aucun mot de passe n’est défini par défaut.

    Configurer la connectivité réseau

    La connectivité réseau est une exigence. Si votre fournisseur d’accès Internet (FAI) attribue automatiquement votre adresse IP à l’aide de DHCP, il vous suffit de brancher votre câble Ethernet sur le port WAN de votre routeur.

    Si vous devez attribuer l’adresse IP manuellement, accédez à Réseau → Interfaces. Sélectionner Éditer pour modifier votre interface WAN. Du Protocole champ, sélectionnez Adresse statiqueet sélectionnez Protocole de commutation.

    Dans le Adresse IPv4 champ, entrez l’adresse de votre routeur. Ensemble Masque de réseau IPv4 pour correspondre à votre sous-réseau de réseau; entrer le Passerelle IPv4 l’adresse que vous utiliserez pour vous connecter au réseau; et entrez l’adresse du serveur DNS dans le Utilisez des serveurs DNS personnalisés domaine. Enregistrez la configuration.

    C’est ça! Vous avez configuré avec succès votre interface WAN pour obtenir une connectivité réseau.

    Installez les packages nécessaires

    Le micrologiciel n’inclut pas beaucoup de packages par défaut, mais OpenWrt a un gestionnaire de packages avec une sélection de packages que vous pouvez installer. Aller vers Système → Logiciel et mettez à jour votre gestionnaire de packages en sélectionnant Mettre à jour les listes…

    Dans l’entrée Filtre, saisissez Wireguardet attendez que le système trouve tous les packages contenant ce mot clé. Recherchez et installez le package nommé luci-app-wireguard.

    Ce package comprend une interface Web pour configurer Wireguard et installe toutes les dépendances nécessaires au fonctionnement de Wireguard.

    Si vous recevez un avertissement indiquant qu’un paquet est manquant et ne peut pas être trouvé dans les référentiels avant d’installer le paquet Wireguard, ignorez-le et continuez.

    Ensuite, recherchez et installez le package nommé luci-app-ttyd. Cela sera utilisé pour accéder au terminal plus tard.

    Une fois ces packages installés, redémarrez votre routeur pour que les modifications prennent effet.

    Configurer l’interface Wireguard

    Ensuite, créez l’interface Wireguard. Aller vers Réseau → Interfaces et sélectionnez Ajouter une nouvelle interface… en bas à gauche. Dans la fenêtre contextuelle, entrez le nom souhaité pour l’interface, choisissez VPN Wireguard dans la liste déroulante et sélectionnez Créer une interface en bas à droite.

    Dans la nouvelle fenêtre contextuelle, sélectionnez Générer la clé pour générer une clé privée pour l’interface Wireguard. Dans le Port d’écoute champ, entrez le port souhaité. J’utiliserai le port Wireguard par défaut, 51820. Dans le Adresses IP , attribuez l’adresse IP qui sera utilisée pour l’interface Wireguard. Dans cet exemple, j’utilise 10.0.0.1/24. Le nombre 24 indique la taille de mon sous-réseau.

    Enregistrez la configuration et redémarrez l’interface.

    Aller vers Services → Terminal, connectez-vous au shell et entrez la commande wg show. Vous verrez des informations sur votre interface Wiregaurd, y compris sa clé publique. Copiez la clé publique – vous en aurez besoin pour créer des pairs plus tard.

    Configurer le pare-feu

    Aller vers Réseau → Pare-feu et sélectionnez le Les règles de circulation languette. Au bas de la page, sélectionnez Ajouter. Dans le Nom champ de la fenêtre contextuelle, donnez un nom à votre règle, par exemple, Autoriser-wg. Ensuite, changez le Zone de destination de Lan à Appareilet définissez le Le port de destination à 51820.

    Enregistrez la configuration.

    Configurer Wireguard sur un téléphone Android

    Installez le Application Wireguard sur votre téléphone depuis Google Play. Une fois installé, ouvrez l’application et créez une nouvelle interface à partir de zéro. Dans le Nom , entrez le nom que vous souhaitez utiliser pour votre interface. Dans le Clé privée champ, appuyez sur l’icône à double flèche à droite pour générer une paire de clés. Vous aurez besoin de la clé publique ci-dessus pour créer un pair entre votre téléphone et votre routeur. Dans le Adresses champ, attribuez l’adresse IP que vous utiliserez pour atteindre le téléphone via VPN. j’utiliserai 10.0.0.2/24. Dans Écouter le port, entrez dans un port; J’utiliserai à nouveau le port par défaut.

    Enregistrez la configuration.

    Pour ajouter un pair à la configuration, sélectionnez Ajouter un pair. Dans le Clé publique , entrez la clé publique Wireguard de votre routeur. Dans le Point final , entrez l’adresse IP publique et le port de votre routeur séparés par deux-points, par exemple, 12.34.56.78:51820. Dans le Permis jePs , entrez les adresses IP que vous souhaitez atteindre via l’interface Wireguard. (Vous pouvez entrer l’adresse IP de l’interface VPN et l’adresse de l’interface LAN de votre routeur.) Les adresses IP doivent être séparées par des virgules. Vous pouvez également définir la taille du sous-réseau.

    Enregistrez la configuration.

    Il reste une dernière étape dans la configuration: l’ajout d’un pair sur le routeur.

    Ajouter un pair sur le routeur

    Aller vers Réseau → Interfaces et sélectionnez votre interface Wireguard. Aller à la Les pairs onglet et sélectionnez Ajouter un pair. Dans le La description champ, entrez le nom du pair. Dans le Clé publique , entrez la clé publique de l’interface Wireguard de votre téléphone et IP autorisées , entrez l’adresse IP de l’interface Wireguard de votre téléphone. Vérifier la Itinéraires IP autorisés case à cocher.

    Enregistrez la configuration et redémarrez l’interface.

    Tester la configuration

    Ouvrez un navigateur Web sur votre téléphone. Dans la barre d’URL, saisissez l’adresse IP 10.0.0.1 ou alors 192.168.1.1. Vous devriez pouvoir accéder au site Web de votre routeur.

    Votre propre VPN

    De nombreux services VPN sont annoncés ces jours-ci, mais il y a beaucoup à dire sur la possession et le contrôle de votre propre infrastructure, en particulier lorsque cette infrastructure n’existe que pour renforcer la sécurité. Il n’est pas nécessaire de compter sur quelqu’un d’autre pour vous fournir une connexion sécurisée à vos données. En utilisant OpenWrt et Wireguard, vous pouvez avoir votre propre solution VPN open source.

    Source

    Houssen Moshinaly

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

    Copy code