Atelier de Professionnalisation 3 — IMCP

Déploiement d'un Serveur OpenVPN

Installation et configuration complète d'un tunnel VPN sécurisé sous pfSense pour l'infrastructure M2L — création de l'autorité de certification, gestion des accès utilisateurs et export client.

Contexte & Prérequis

Ce projet s'inscrit dans la continuité de l'audit M2L (AP2) : après avoir segmenté le réseau en VLANs et sécurisé le WiFi, l'objectif est désormais d'offrir un accès distant sécurisé à l'infrastructure pour les administrateurs. La solution retenue est OpenVPN, déployé directement sur le pfSense existant.

Prérequis avant déploiement

Accès pfSense

Interface d'administration du pare-feu M2L disponible et opérationnelle.

IP publique WAN

Adresse IP publique de l'interface WAN connue 88.185.203.206.

Réseau local M2L

Plage IP locale identifiée : 172.16.0.0/16.

Réseau tunnel VPN

Plage dédiée au tunnel sans conflit : 10.87.0.0/24.

1

Création de l'Autorité de Certification (CA) et du Certificat Serveur

Étape 1

Vérification initiale

Avant toute création, vérifier l'état des certificats existants.

Menu : System → Certificates

Onglet : Certificates — vérifier les certificats présents

Étape 2

Création de l'Autorité de Certification

Naviguer dans System → Certificates → Authorities et cliquer sur Add.

Nom m2l.local
Trust Store Coché ✓
Type de clé RSA
Longueur 8192 bits
Algorithme sha512
Durée de vie 3650 jours
Common Name m2l.local

💡 Pourquoi 8192 bits ?

Une clé RSA de 8192 bits (minimum 4096) garantit une robustesse cryptographique à long terme pour l'autorité racine, qui ne sera utilisée que pour signer d'autres certificats.

Étape 3

Création du Certificat Serveur

Retourner dans Certificates → Add pour créer le certificat spécifique au serveur OpenVPN.

Nom M2L.local
Type de clé / Taille RSA 4096 bits
Algorithme sha512
Durée de vie 398 jours
Certificate Type Server Certificate
Alternative Names (FQDN) m2l.local
2

Création des Accès Utilisateurs

Étape 1

Accès au gestionnaire d'utilisateurs

Menu : System → User Manager

Étape 2

Ajout et paramétrage de l'utilisateur

Cliquer sur Add et remplir les informations d'identification.

⚠️ Point critique

Dans la section Group membership, déplacer impérativement le groupe admins vers la liste de droite ("Member of"). Sans cette action, l'utilisateur n'aura pas les droits nécessaires pour se connecter via VPN.

Étape 3

Génération du certificat lié à l'utilisateur

En bas du formulaire utilisateur, cocher "Click to create a user certificate".

Autorité de certification M2L.local
Type de clé / Taille RSA 2048 bits
Algorithme sha256
Durée de validité 3650 jours
3

Déploiement et Configuration du Serveur OpenVPN

Étape 1

Lancement de l'assistant de configuration

Menu : VPN → OpenVPN → onglet Wizard

Étape 2

Type de serveur d'authentification

Type of Server : Local User Access → Next

Étape 3

Choix des certificats

CA : M2L.local → Next

Certificat serveur : M2L.local → Next

Étape 4

Configuration Réseau et Cryptographie

Description M2L-ADMIN-VPN
Protocole TCP on IPv4 only
Interface WAN
Port local 65001
Chiffrement AES-256-GCM

💡 Choix du port 65001

Utiliser un port non standard évite le scanning automatique des ports VPN courants (1194). Seul l'algorithme 256 bits (AES-256-GCM) doit être conservé dans la liste Data Encryption.

Étape 5

Paramètres du Tunnel (Tunnel Settings)

IPv4 Tunnel Network 10.87.0.0/24
IPv4 Local Network (M2L) 172.16.0.0/16
Client Settings — Topology Subnet
Étape 6

Règles de Pare-feu (Firewall Rules)

Cocher impérativement les deux cases pour autoriser les flux.

Firewall Rule

Autorise les connexions extérieures vers le port VPN depuis le WAN.

OpenVPN Rule

Autorise le trafic interne au tunnel vers le réseau local M2L.

Cliquer sur Next, puis Finish pour terminer la configuration du serveur.

4

Installation de l'Exportateur Client

Étape 1

Installation du paquet supplémentaire

Le paquet openvpn-client-export n'est pas installé par défaut sur pfSense.

Menu : System → Package Manager → Available Packages

Rechercher : openvpn-client-export → Install

Étape 2

Configuration de l'export

Naviguer dans VPN → OpenVPN → Client Export.

Host Name Resolution Other
Host Name (IP publique) 88.185.203.206
Verify Server CN Do not verify

Cliquer sur Save as default pour enregistrer ces paramètres.

Étape 3

Téléchargement du client

En bas de la page Client Export, repérer l'utilisateur souhaité et choisir le format d'export adapté.

🪟

Windows Installer

Package .exe avec configuration intégrée, installation en un clic.

📄

Inline

Fichier .ovpn unique intégrant tous les certificats. Compatible multi-OS.

📦

Archive

ZIP contenant la config et les certificats séparés. Pour configuration manuelle.

Documentation complète

La documentation technique complète (captures d'écran pas-à-pas) est disponible en téléchargement.

Télécharger la documentation PDF →

Informations projet

Type
Atelier de Professionnalisation 3
Contexte
Infrastructure M2L — IMCP
Objectif
Accès distant sécurisé VPN
Solution
OpenVPN sur pfSense
Phases
4 phases — 13 étapes

Les 4 phases

  1. 1

    Création CA & Certificat Serveur

    RSA 8192 bits, sha512, durée 3650 j

  2. 2

    Création des accès utilisateurs

    Cert. utilisateur RSA 2048 bits, sha256

  3. 3

    Configuration serveur OpenVPN

    TCP/65001, AES-256-GCM, tunnel 10.87.0.0/24

  4. 4

    Export client

    Package openvpn-client-export, Windows/Inline/Archive

Stack technique

OpenVPN pfSense PKI / CA RSA 8192 AES-256-GCM sha512 TCP/65001 EAP-PEAP RADIUS

Compétences mobilisées

  • ✓ Déploiement VPN en production
  • ✓ Gestion d'une PKI (CA, certificats)
  • ✓ Cryptographie appliquée (RSA, AES)
  • ✓ Configuration avancée pfSense
  • ✓ Gestion des règles de pare-feu
  • ✓ Gestion des utilisateurs et groupes
  • ✓ Export et déploiement client VPN
  • ✓ Rédaction de documentation technique

Paramètres clés du VPN

Port d'écoute TCP/65001
Chiffrement AES-256-GCM
Réseau tunnel 10.87.0.0/24
Réseau local M2L 172.16.0.0/16
Clé CA RSA 8192 bits
Clé serveur RSA 4096 bits
Clé utilisateur RSA 2048 bits