OpenVPN sous Debian Lenny

En environnement professionnel on a souvent besoin d’accéder au réseau de l’entreprise de manière directe… Nous avions déjà parlé de SSL-Explorer qui permet via un client « léger » (une applet JAVA) d’accéder a des services situé dans le réseau interne d’une entreprise. Cependant les VPNs SSL malgré leur forte augmentation doivent répondre a des contraintes assez importantes notamment pour la connexion vers le S.I. de l’entreprise. En effet le VPN SSL a besoin comme point d’entrée la plupart du temps une connexion sécurisée sur le port 443. Ce qui n’est pas forcément facile si l’entreprise possède qu’une seule IP d’entrée et des services déjà disponibles sur ce port.

C’est ce type de contrainte qui me fait préférer le déploiement « ultra-rapide » d’un VPN SSL « lourd ». Aujourd’hui dans l’esprit de la plupart des personnes VPN SSL est synonyme de VPN léger accessible depuis un navigateur. Mais ce n’est pas forcément vrai… et OpenVPN est la pour le prouver. La contrainte essentielle d’OpenVPN est qu’il nécessite un client et qu’il ne s’adapte pas à toutes les typologies de réseau : un certain port doit être ouvert, et non les ports les plus couramment utilisés comme 80, 443…

La commande clé :

aptitude install openvpn

Le reste (la configuration) est suffisamment bien décrit ici (exemple sur Etch mais fonctionne sur Lenny) : Coagul.

Il faut garder à l’esprit que la machine OpenVPN va devenir « un routeur » de l’extérieur vers le réseau interne. Il est nécessaire de bien filtrer les flux depuis et vers cette machine. Il très recommandé d’installer un filtrage IPTables sur la machine. Le firewall Shorewall me semble tout indiqué pour ce type de filtrage rapide.