Voici comment configurer votre propre serveur VPN

Vous rencontrez des serveurs VPN principalement dans le monde de l'entreprise: ils permettent aux employés d'accéder en toute sécurité au réseau de l'entreprise sur la route ou à domicile. Néanmoins, un serveur VPN peut également être utile lorsque vous êtes vous-même en déplacement et que vous souhaitez accéder à Internet plus en toute sécurité ou accéder à des fichiers sur votre réseau domestique.

Astuce 01: Protocoles VPN

Il existe de nombreux services VPN et certains peuvent être utilisés gratuitement, même sans trop de restrictions, comme ProtonVPN. Via un logiciel client sur votre appareil mobile ou votre ordinateur, vous vous connectez ensuite à l'un des serveurs VPN proposés, après quoi vous pouvez continuer sur Internet via un tel serveur.

L'approche de cet article est plus ambitieuse: nous allons mettre en place notre propre serveur VPN au sein de notre réseau domestique. Vpn signifie réseau privé virtuel (également appelé réseau privé virtuel en néerlandais) et cela signifie que vous connectez des réseaux physiquement séparés les uns des autres. Une telle connexion fonctionne normalement via Internet et ce n'est pas exactement l'environnement le plus sûr. C'est pourquoi tout le trafic de données est crypté via une telle connexion VPN: un tunnel virtuel est en quelque sorte créé entre les deux réseaux.

Plusieurs protocoles VPN sont disponibles, notamment pptp, sstp, ikev2, l2tp / ipsec, OpenVPN et WireGuard. Ce dernier est prometteur, mais est toujours en cours de développement et n'est pas encore largement soutenu. Nous choisissons OpenVPN ici car il est open source, dispose d'un cryptage fort et est disponible sur presque toutes les plateformes.

Pour le moment, OpenVPN est toujours considéré comme le meilleur protocole VPN

Routeur

En fait, votre routeur est le meilleur endroit pour configurer un serveur VPN dans votre réseau domestique. Après tout, tout le trafic de données des sites Web que vous visitez sur la route passera d'abord par votre serveur VPN. S'il s'agit de votre routeur, ce trafic reviendra immédiatement sur votre appareil mobile. Si votre serveur VPN est sur un NAS ou un PC, le trafic de données doit d'abord aller de votre routeur à cet appareil et de là à votre routeur. Une étape intermédiaire supplémentaire, mais en pratique vous ne remarquerez pas beaucoup ce retard.

Malheureusement, de nombreux routeurs domestiques courants n'ont pas la possibilité de configurer un serveur VPN. S'il manque effectivement un service VPN à votre routeur, le firmware du DD-WRT peut offrir un moyen de sortir. Surfez ici et entrez votre modèle de routeur. Avec de la chance, oui dira dans la colonne Pris en charge et vous pouvez télécharger le fichier du firmware pour flasher votre routeur. Attention, vous effectuez une opération aussi sensible à vos risques et périls! Cliquez ici pour les instructions.

Astuce 02: Installation sur un NAS

Nous allons d'abord vous montrer comment installer un serveur OpenVPN sur un NAS. Les fabricants de NAS bien connus tels que QNAP et Synology proposent leur propre application pour ajouter un serveur VPN. Nous examinons comment faire cela sur un Synology NAS avec une version récente de DiskStation Manager (DSM). Connectez-vous à l'interface Web de DSM, l'adresse par défaut est: 5000 ou: 5001.

Ouvrez le Centre de packages , recherchez l'application VPN Server sous Tous les packages et cliquez sur Installer . Après l'installation, cliquez sur Ouvrir : le serveur peut gérer plusieurs protocoles VPN, PPTP, L2TP / IPSec et OpenVPN sont répertoriés . En principe, ils peuvent même être actifs en même temps, mais on se limite au protocole OpenVPN. Cliquez sur OpenVPN et cochez la case Activer le serveur OpenVPN. Définissez une adresse IP interne virtuelle pour votre serveur VPN. Par défaut, il est défini sur 10.8.0.1, ce qui signifie que les clients VPN recevront essentiellement une adresse comprise entre 10.8.0.1 et 10.8.0.254. Vous pouvez choisir parmi une plage d'adresses IP comprise entre 10.0.0.1 et 10.255.255.1, entre 172.16.0.1 et 172.31.255.1 et entre 192.168.0.1 et 192.168.255.1. Assurez-vous que la plage ne chevauche pas les adresses IP actuellement utilisées dans votre réseau local.

Vous pouvez installer un serveur OpenVPN sur certains appareils NAS

Astuce 03: Choix du protocole

Dans la même fenêtre de configuration, vous définissez également le nombre maximum de connexions simultanées, ainsi que le port et le protocole. Par défaut, le port est 1194 et le protocole UDP , ce qui est généralement bien. Si vous avez déjà un autre service en cours d'exécution sur ce port, vous définirez bien sûr un numéro de port différent.

De plus, vous pouvez également choisir tcp au lieu de udp. Tcp a une correction d'erreur intégrée et vérifie que chaque bit est arrivé correctement. Cela offre plus de stabilité de connexion, mais est légèrement plus lent. Udp, ​​en revanche, est un «protocole sans état» sans correction d'erreur, ce qui le rend plus adapté aux services de streaming, où la perte d'un certain nombre de bits est généralement moins grave.

Notre conseil: essayez d'abord l'UDP. Vous pouvez éventuellement commencer à expérimenter par la suite et choisir, par exemple, le port TCP 8080, ou même le port https 443, car ceux-ci sont généralement bloqués moins rapidement par un pare-feu (d'entreprise). Gardez à l'esprit que vous devez également définir le protocole choisi dans les paramètres de redirection de port (voir astuce 5).

Vous pouvez normalement laisser les autres options de la fenêtre de configuration intactes. Confirmez vos choix avec Appliquer .

Astuce 04: Exporter la configuration

Au bas de la fenêtre, vous trouverez le bouton Exporter la configuration . Cela exporte un fichier zip qui a été décompressé et produit à la fois un certificat (.crt) et un profil de configuration (.ovpn). Vous avez besoin du fichier ovpn pour vos clients OpenVPN (voir également les astuces 6 à 8). Ouvrez le fichier ovpn avec le programme Notepad. Dans la (troisième) ligne, remplacez la désignation YOUR_SERVER_IP dans la télécommande YOUR_SERVER_IP 1194par l'adresse IP externe de votre routeur et la désignation 1194 par le port que vous avez défini dans la fenêtre de configuration OpenVPN. Un moyen rapide de trouver cette adresse IP externe est lorsque vous passez de votre réseau interne à un site comme www.whatismyip.com (voir encadré «Ddns»). Vous pouvez également remplacer cette adresse IP par un nom d'hôte, tel que celui d'un service DNS (voir la même case).

Un peu plus loin dans le fichier ovpn, vous verrez la ligne # redirect-gateway def1. Ici, vous supprimez le hachage, donc redirection-gateway def1. Cette option garantit que pratiquement tout le trafic réseau est acheminé au-delà du VPN. Si cela pose des problèmes, réinitialisez la ligne d'origine. Plus d'informations à ce sujet (et sur d'autres problèmes techniques d'OpenVPN) peuvent être trouvées ici.

Enregistrez le fichier modifié avec la même extension.

Ddns

De l'extérieur, vous accédez généralement à votre réseau domestique via l'adresse IP publique de votre routeur. Vous trouverez cette adresse lorsque vous surfez de votre réseau vers un site comme www.whatismyip.com. Il est probable que votre fournisseur ait attribué cette adresse IP de manière dynamique, vous n'avez donc aucune garantie que cette adresse IP restera toujours la même. C'est ennuyeux si vous souhaitez régulièrement accéder à votre réseau (et à votre serveur OpenVPN) de l'extérieur.

Un service DNS dynamique (ddns) offre une issue possible. Cela garantit qu'un nom de domaine fixe est lié à cette adresse IP et dès que l'adresse change, l'outil ddns correspondant (qui s'exécute localement quelque part dans votre réseau, comme sur votre routeur, NAS ou PC) fait connaître la nouvelle adresse. au service ddns, qui met immédiatement à jour le lien. L'un des fournisseurs DNS gratuits les plus flexibles est Dynu.

Astuce 05: Redirection de port

Un message apparaîtra vous demandant de vérifier les paramètres de redirection de port et le pare-feu en ce qui concerne le port défini (standard 1194 udp).

Nous commençons par le pare-feu. Vous êtes censé accéder au serveur OpenVPN via le port udp 1194 et vous devez ensuite vous assurer que votre pare-feu ne bloque pas ce port. Vous pouvez trouver le pare-feu sur votre NAS via l' onglet Panneau de configuration / Sécurité / Pare-feu . Avec le pare-feu activé, vérifiez via le bouton Modifier les règles si le port en question n'est pas verrouillé. Cela s'applique également au pare-feu de votre routeur, s'il est activé.

Le concept de redirection de port est plus complexe. Si vous souhaitez accéder à votre serveur OpenVPN depuis l'extérieur de votre réseau interne, vous devrez utiliser l'adresse IP publique de votre routeur. Lorsque vous demandez une connexion OpenVPN avec le port UDP 1194 via cette adresse IP, votre routeur doit savoir à quelle machine il doit transmettre la demande pour ce trafic de port, qui dans notre cas est l'adresse IP interne de votre nas.

Consultez le manuel de votre routeur pour savoir comment configurer correctement la redirection de port ou visitez http://portforward.com/router pour plus d'instructions.

En général, cela se passe comme suit: connectez-vous à l'interface Web de votre routeur, recherchez un (sous) titre comme Redirection de port et ajoutez un élément avec les informations suivantes: nom de l'application, adresse IP du nas, interne port, port externe et protocole. Par exemple, cela pourrait être: OpenVPN, 192.168.0.200, 1194, 1194, UDP. Confirmez vos modifications.

Votre serveur OpenVPN peut nécessiter des travaux clés sur le pare-feu et le routeur

Serveur OpenVPN séparé

Si vous n'avez pas de NAS et que votre routeur ne prend pas en charge OpenVPN, vous pouvez toujours configurer un tel serveur OpenVPN vous-même sur un ordinateur sous Linux ou Windows.

Une telle procédure est assez compliquée. Vous devez suivre différentes étapes et sous Windows, cela se fait principalement à partir de l'invite de commande. Après avoir installé le logiciel OpenVPN Server (voir astuce 8), vous devez créer un certificat CA, suivi de la création de certificats pour le serveur et les clients OpenVPN nécessaires. Vous avez également besoin de paramètres dits DH (Diffie-Hellman) ainsi que d'une clé TLS (sécurité de la couche de transport). Enfin, ici aussi, vous devez créer et modifier des fichiers ovpn, et vous assurer que votre serveur autorise le trafic nécessaire.

Via ce lien, vous trouverez un plan étape par étape pour Windows 10, pour Ubuntu via ce lien.

Astuce 06: Profil du client mobile

La configuration d'un serveur OpenVPN est une première étape, mais après cela, vous devez vous connecter au serveur à partir d'un ou plusieurs clients VPN (tels que votre ordinateur portable, téléphone ou tablette). Nous commençons par connecter un client mobile.

Pour iOS et Android, la configuration d'une connexion fonctionne plus facilement avec une application client OpenVPN telle que OpenVPN Connect gratuit . Vous pouvez trouver cette application dans les magasins d'applications officiels d'Android et d'Apple.

Nous prenons Android comme exemple. Téléchargez et installez l'application. Avant de démarrer l'application, assurez-vous que le fichier de profil ovpn se trouve sur votre appareil mobile (voir astuce 4). Si nécessaire, vous pouvez le faire via un détour via un service tel que WeTransfer ou un service de stockage cloud tel que Dropbox ou Google Drive. Démarrez OpenVPN Connect et choisissez OVPN Profile . Confirmez avec Autoriser , reportez-vous au fichier VPNconfig.ovpn téléchargé et sélectionnez Importer . Si vous souhaitez ajouter des profils supplémentaires par la suite, vous pouvez simplement le faire via le bouton plus.

Astuce 07: Connectez le client

Entrez un nom approprié pour votre connexion VPN et remplissez les détails corrects dans Nom d'utilisateur et mot de passe . Ces informations de connexion doivent bien sûr avoir accès à votre serveur VPN, sur le Synology NAS, ouvrir la section Droits sur VPN Server et placer une coche à côté du (des) utilisateur (s) prévu (s) sur OpenVPN . Vous pouvez choisir de mémoriser le mot de passe, si vous le jugez suffisamment sûr. Confirmer avec Ajouter . Le profil a été ajouté, appuyez dessus pour démarrer la connexion.

L'application peut se plaindre que le fichier de profil n'a pas de certificat client (il a un certificat de serveur), car un Synology NAS ne le génère pas seulement. C'est un peu moins sûr car il n'est pas vérifié s'il s'agit d'un client autorisé, mais bien sûr, vous avez besoin du nom d'utilisateur et du mot de passe pour y accéder. Vous pouvez donc choisir Continuer ici . La connexion devrait être établie un peu plus tard. Vous le remarquerez dans l'icône de clé en haut de l'écran de démarrage.

Astuce 08: client Windows

Pour Windows, vous téléchargez le programme d'installation de Windows 10 à partir de l'interface graphique OpenVPN, il existe également une version pour Windows 7 et 8 (.1). Installez l'outil. Si vous prévoyez également d'installer un serveur OpenVPN sous Windows (voir l'encadré «Serveur OpenVPN séparé»), cochez la case à côté des scripts de gestion des certificats EasyRSA 2 lors de l'installation . Autorisez également l'installation d'un pilote TAP lorsque vous y êtes invité.

Ensuite, vous trouverez l'icône de l' interface graphique OpenVPN sur votre bureau. Sinon, exécutez le programme à partir du dossier d'installation par défaut C: \ Program Files \ OpenVPN \ bin . L'installation doit garantir que vous n'avez pas à exécuter l'outil en tant qu'administrateur. Si cela n'a pas fonctionné pour une raison quelconque, cliquez avec le bouton droit sur le fichier programme et choisissez Exécuter en tant qu'administrateur .

Pointez le programme vers votre fichier de profil ovpn (voir astuce 4). Cliquez avec le bouton droit sur l'icône de l' interface graphique OpenVPN dans la barre d'état système de Windows et choisissez Importer un fichier , puis sélectionnez le fichier VPNConfig.ovpn. Dans le même menu, cliquez sur Se connecter et entrez les informations de connexion nécessaires. Dans la fenêtre d'état, vous pouvez suivre la configuration de la connexion VPN et vous pouvez également lire l'adresse IP attribuée en bas.

Si vous rencontrez des problèmes, cliquez sur Afficher le fichier journal dans le menu . Par défaut, le service OpenVPN démarre avec Windows: vous pouvez le faire via Paramètres, dans l'onglet Général . Vérifiez également que votre pare-feu ne bloque pas la connexion.