Chapitre 7. Configuration d'une connexion VPN

Un réseau privé virtuel (VPN) est un moyen de se connecter à un réseau local via Internet. IPsec fourni par Libreswan est la méthode préférée pour créer un VPN. Libreswan est une implémentation IPsec de l'espace utilisateur pour le VPN. Un VPN permet la communication entre votre réseau local et un autre réseau local distant en établissant un tunnel à travers un réseau intermédiaire tel que l'internet. Pour des raisons de sécurité, un tunnel VPN utilise toujours l'authentification et le cryptage. Pour les opérations cryptographiques, Libreswan utilise la bibliothèque NSS.

7.1. Configuration d'une connexion VPN avec le centre de contrôle

Si vous utilisez Red Hat Enterprise Linux avec une interface graphique, vous pouvez configurer une connexion VPN dans l'interface GNOME control-center.

Conditions préalables

  • Le paquet NetworkManager-libreswan-gnome est installé.

Procédure

  1. Appuyez sur la touche Super, tapez Settings et appuyez sur Entrée pour ouvrir l'application control-center.
  2. Sélectionnez l'entrée Network sur la gauche.
  3. Cliquez sur l'icône .
  4. Sélectionnez VPN.

  5. Sélectionnez l'entrée de menu Identity pour voir les options de configuration de base :

    General

    Gateway - Le nom ou l'adresse IP de la passerelle VPN distante.

    Authentication

    Type

    • IKEv2 (Certificate)- le client est authentifié par un certificat. Il est plus sûr (par défaut).

    • IKEv1 (XAUTH) - est authentifié par un nom d'utilisateur et un mot de passe, ou par une clé pré-partagée (PSK).

      Les paramètres de configuration suivants sont disponibles dans la section Advanced:

      Figure 7.1. Options avancées d'une connexion VPN

      networking vpn advanced options
      Avertissement

      Lors de la configuration d'une connexion VPN basée sur IPsec à l'aide de l'application gnome-control-center, la boîte de dialogue Advanced affiche la configuration, mais ne permet aucune modification. Par conséquent, les utilisateurs ne peuvent pas modifier les options IPsec avancées. Utilisez plutôt les outils nm-connection-editor ou nmcli pour configurer les propriétés avancées.

      Identification

    • Domain - Si nécessaire, saisissez le nom de domaine.

      Security

    • Phase1 Algorithms - correspond au paramètre ike Libreswan - entrez les algorithmes à utiliser pour l'authentification et la mise en place d'un canal crypté.

    • Phase2 Algorithms - correspond au paramètre esp Libreswan - entrez les algorithmes à utiliser pour les négociations IPsec.

      Cochez le champ Disable PFS pour désactiver Perfect Forward Secrecy (PFS) afin d'assurer la compatibilité avec les anciens serveurs qui ne prennent pas en charge PFS.

    • Phase1 Lifetime - correspond au paramètre ikelifetime Libreswan - durée de validité de la clé utilisée pour chiffrer le trafic.

    • Phase2 Lifetime - correspond au paramètre salifetime Libreswan - combien de temps une instance particulière d'une connexion doit durer avant d'expirer.

      Notez que la clé de cryptage doit être modifiée de temps en temps pour des raisons de sécurité.

    • Remote network - correspond au paramètre rightsubnet Libreswan - le réseau privé distant de destination qui doit être atteint par le VPN.

      Cochez le champ narrowing pour activer le rétrécissement. Notez qu'il n'est efficace que dans la négociation IKEv2.

    • Enable fragmentation - correspond au paramètre fragmentation Libreswan - autorise ou non la fragmentation IKE. Les valeurs valides sont yes (par défaut) ou no.
    • Enable Mobike - correspond au paramètre mobike Libreswan - autorise ou non le protocole de mobilité et de multihébergement (MOBIKE, RFC 4555) pour permettre à une connexion de migrer son point d'extrémité sans avoir à redémarrer la connexion depuis le début. Ce protocole est utilisé sur les appareils mobiles qui passent d'une connexion câblée à une connexion sans fil ou à une connexion de données mobile. Les valeurs sont no (par défaut) ou yes.

  6. Sélectionnez l'entrée de menu IPv4:

    IPv4 Method

    • Automatic (DHCP) - Choisissez cette option si le réseau auquel vous vous connectez utilise un serveur DHCP pour attribuer des adresses dynamiques IP.
    • Link-Local Only - Choisissez cette option si le réseau auquel vous vous connectez ne dispose pas d'un serveur DHCP et si vous ne souhaitez pas attribuer manuellement des adresses IP. Des adresses aléatoires seront attribuées conformément à RFC 3927 avec le préfixe 169.254/16.
    • Manual - Choisissez cette option si vous souhaitez attribuer manuellement les adresses IP.

    • Disable - IPv4 est désactivé pour cette connexion.

      DNS

      Dans la section DNS, lorsque Automatic est ON, passez à OFF pour entrer l'adresse IP d'un serveur DNS que vous souhaitez utiliser en séparant les IP par une virgule.

      Routes

      Notez que dans la section Routes, lorsque Automatic est ON, les routes DHCP sont utilisées, mais vous pouvez également ajouter des routes statiques supplémentaires. Lorsque OFF, seules les routes statiques sont utilisées.

    • Address - Saisissez l'adresse IP d'un réseau ou d'un hôte distant.
    • Netmask - Le masque de réseau ou la longueur du préfixe de l'adresse IP saisie ci-dessus.
    • Gateway - L'adresse IP de la passerelle menant au réseau ou à l'hôte distant saisi ci-dessus.

    • Metric - Un coût de réseau, une valeur de préférence à donner à cet itinéraire. Les valeurs inférieures seront préférées aux valeurs supérieures.

      Use this connection only for resources on its network

      Cochez cette case pour éviter que la connexion ne devienne la route par défaut. En sélectionnant cette option, seul le trafic spécifiquement destiné aux itinéraires appris automatiquement sur la connexion ou saisis manuellement est acheminé sur la connexion.

  7. Pour configurer les paramètres IPv6 dans une connexion VPN, sélectionnez l'entrée de menu IPv6:

    IPv6 Method

    • Automatic - Choisissez cette option pour utiliser IPv6 Stateless Address AutoConfiguration (SLAAC) afin de créer une configuration automatique et sans état basée sur l'adresse matérielle et les annonces de routeur (RA).
    • Automatic, DHCP only - Choisissez cette option pour ne pas utiliser RA, mais demander directement des informations à DHCPv6 pour créer une configuration avec état.
    • Link-Local Only - Choisissez cette option si le réseau auquel vous vous connectez ne dispose pas d'un serveur DHCP et si vous ne souhaitez pas attribuer manuellement des adresses IP. Des adresses aléatoires seront attribuées conformément à RFC 4862 avec le préfixe FE80::0.
    • Manual - Choisissez cette option si vous souhaitez attribuer manuellement les adresses IP.

    • Disable - IPv6 est désactivé pour cette connexion.

      Notez que DNS, Routes, Use this connection only for resources on its network sont communs aux paramètres de IPv4.

  8. Une fois que vous avez fini de modifier la connexion VPN, cliquez sur le bouton Ajouter pour personnaliser la configuration ou sur le bouton Appliquer pour l'enregistrer dans la configuration existante.
  9. Passez le profil à ON pour activer la connexion VPN.

Ressources supplémentaires

  • nm-settings-libreswan(5)