Créer une VM pour un serveur OpenVPN

Créer une machine virtuelle (VM) pour un serveur OpenVPN est une excellente solution pour sécuriser votre navigation ou accéder à votre réseau local à distance.

Ce tutoriel explique comment préparer la VM sur VMware ESXi et y installer le logiciel OpenVPN Server. La consommation en ressources est très faible, ainsi on pourra se satisfaire de 1 vCPU, 1 Go de RAM et 10 Go de disque.

Ce long tutoriel a été inspiré du guide officiel appliance VMware pour OpenVPN.

Télécharger la VM OpenVPN Server Access

Télécharger le fichier OVA (format VMware) sur le site OpenVPN. Il faut s’identifier ou créer un compte gratuit si nécessaire.

Créer une machine virtuelle VMware pour serveur OpenVPN

1. Se connecter à l’interface d’administration de VMware ESXi / vSphere / Hypervisor.

2. Créer une nouvelle VM.

3. Sélectionner « Déployer une machine virtuelle à partir d’un fichier OVF ou OVA » :

1. Donner un nom à la VM et charger le fichier .ova précédemment téléchargé :

1. Indiquer un Datastore de stockage pour héberger la machine virtuelle.

2. Préciser une interface réseau (celle par défaut) et le type de provisionnement du disque (Thin ou Thick, Mince ou Statique). Le type « Thin » est compatible et recommandé par OpenVPN Access Server.

1. Valider la création de la VM. On remarque le nom de produit (Open VPN Access Server ESXi) et le nom des fichiers, dont « OpenVPN_Access_Server_ESXi-disk1.vmdk » qui est le disque virtuel de la VM.

1. Laisser se créer la VM et ne toucher à rien en attendant que l’opération se termine.

Configurer la VM OpenVPN

1. Ouvrir une console pour accéder à l’écran virtuel de la VM.

1. S’identifier avec les informations suivantes :

• Login : root
• Password : openvpnas

1. Une série de questions est demandée. Le guide officiel recommande de valider les propositions par défaut (avec  la touche « Entrée« ). Il sera de toute façon possible de modifier ces paramètres par la suite.

1. Un message indique que la configuration est terminée et affiche les URL d’accès.

Clavier azerty

Par défaut en qwerty, il sera bien plus pratique d’utiliser un clavier azerty sur la VM si c’est le type de clavier utilisé.

La procédure est détaillée ici : configurer un clavier azerty sur Ubuntu.

1. Dans le terminal, taper :

dpkg-reconfigure keyboard-configuration

1. Sélectionner « Generic 105-key (Intl) PC » dans l’écran qui s’affiche.

1. Valider « French« .

2. Une seconde fois, confirmer « French« .

3. Pour la configuration de la touche AltGr, sélectionner « The default for the keyboard layout » et « No compose key« .

4. Basculer le clavier qwerty en azerty avec la commande « setupcon« . Le clavier est maintenant en azerty et le restera après redémarrage de la VM.

IP fixe

Définir une adresse IP fixe pour la machine virtuelle Open VPN. Il n’est pas du tout recommandé de laisser une IP automatique attribuée par un DHCP pour éviter que celle-ci change et rende le VPN indisponible pour les utilisateurs.

Depuis Ubuntu 18 et plus récent, actuelle version de l’appliance, la configuration se fait de cette manière. Un tutoriel dédié à la configuration IP pour Ubuntu avec netplan est à lire ici.

1. Dans le Terminal, taper la commande suivante :

nano /etc/netplan/01-netcfg.yaml

1. La configuration par défaut en DHCP est :

network:
    Version: 2
    Renderer: networkd
    ethernets:
       eth0:
          Dhcp4: yes

1. La configuration cible peut être la suivante, à adapter selon la configuration à mettre en place :

network:
    Version: 2
    Renderer: networkd
    ethernets:
       eth0:
          Dhcp4: no
          Addresses: 192.168.1.10/24
          Gateway: 192.168.1.1
          Nameservers:
              Addresses: 192.168.1.1, 8.8.8.8

1. Enregistrer et quitter (avec nano, faire CTRL + X, puis « Y » pour « yes » et Entrée).

2. Appliquer les modifications :

netplan apply

1. On peut redémarrer la VM pour être sûr de travailler sur la nouvelle adresse IP :

reboot

Date et heure

Par défaut, la VM OpenVPN est configurée sur le fuseau horaire du Pacifique – Californie – Los Angeles.

1. Dans un Terminal ou par SSH, taper :

dpkg-reconfigure tzdata

1. Choisir une région géographique (« Europe » par exemple).

1. Sélectionner la capitale du pays / ville importante pour configurer le fuseau horaire local, par exemple « Paris« .

2. Le time zone est ainsi défini, on peut le vérifier par la commande « date » :

Modifier le mot de passe root

Le mot de passe par défaut est donc le même pour toutes les installations de l’appliance VMware. Puisque les pirates connaissent bien ce code par défaut, il est vivement recommandé de modifier ce mot de passe avant même la configuration de OpenVPN.

1. Pour changer le mot de passe root :

passwd

1. Indiquer un autre mot de passe et le confirmer.

Mise à jour de OpenVPN et du système

1. En premier lieu, il faut libérer les mises à jour du paquet openvpn-as :

apt-mark unhold openvpn-as

1. Demander la recherche et l’installation des mises à jour système :

apt update
apt upgrade

1. Une fois tout installé, empêcher à nouveau les modifications du paquet lié à Open VPN :

apt-mark hold openvpn-as

Définir un mot de passe pour le compte openvpn

La VM appliance est configurée avec un compte utilisateur Ubuntu dédié à l’administration de OpenVPN. Le login est « openvpn » mais aucun password n’est configuré pour l’instant. Tout comme pour « root », il faut définir un mot de passe complexe et personnalisé pour « openvpn ».

1. Pour personnaliser le mot de passe de openvpn :

passwd openvpn

1. Indiquer un mot de passe et le confirmer.