Installer un serveur VPN à partir de Raspberry Pi : tutoriel avec OpenVPN

La sécurité des accès Internet ouverts laisse souvent à désirer. Pour naviguer en toute liberté sur le Web, une des meilleures solutions est d’installer un VPN (virtual private network). Si l’on installe un serveur VPN personnel, on a tout de même accès à son réseau local depuis n’importe quelle connexion Internet.

Pour installer un réseau virtuel et privé, il est d’abord nécessaire de disposer d’un ordinateur qui joue le rôle de serveur. Le Raspberry Pi constitue pour ce faire une option bon marché.

Un VNP est installé sur un réseau local (LAN), auquel il est également possible d’avoir accès depuis l’extérieur. Ceci permet de créer un réseau virtuel de communication, à travers lequel sont transmises les requêtes et les réponses entre le serveur VPN et les clients VPN (c’est-à-dire les appareils connectés au serveur).

Avec un VPN personnalisé, il est donc possible d’accéder au réseau local depuis tout réseau Internet. Ceci vous permet d’accéder aux données dans le LAN, de vous connecter à distance à divers appareils (comme une imprimante ou un fax), et d’utiliser votre connexion locale à distance. Grâce à une connexion chiffrée à votre serveur VPN, il est possible de naviguer de manière plus sécurisée sur le Net, comme si vous surfiez sur des réseaux wifi publics ouverts non protégés.

Pour qu’une telle connexion sécurisée soit rendue possible, il est indispensable d’installer un serveur VPN sur votre ordinateur et votre réseau local, et qu’il soit en permanence connecté à Internet. L’ordinateur fonctionne ainsi comme l’hôte du réseau virtuel privé, et les différents appareils (ordinateur portable, smartphone et tablette) sont connectés au serveur grâce à un programme client. À partir de là, si vous accédez via un client à une connexion Internet qui se trouve en dehors de votre propre LAN, sur votre serveur VPN, il va s’agir d’une connexion cryptée, également appelée tunnel VPN.

Ce tunnel VPN, qui commence avec le client et se termine avec votre serveur VPN, s’étend tout le long de la connexion Internet. C’est la raison pour laquelle le tunnel est bien plus sécurisé que les connexions ouvertes standard. Les pirates ont donc du mal à pénétrer dans les tunnels et à interrompre la connexion. Un VNP personnel permet donc, même au sein des réseaux wifi ouverts, de protéger vos données sensibles (les données bancaires notamment).

Transformer un Raspberry Pi en serveur VPN est une opération particulièrement intéressante d’un point de vue économique, car le prix d’achat du nano-ordinateur et des accessoires nécessaires est relativement faible. Par ailleurs, la consommation d’énergie sur le long terme est bien moindre que celle d’un serveur classique. C’est donc une solution qui offre généralement un bon rapport qualité-prix, même s’il existe depuis de nombreuses alternatives au Raspberry Pi.

OpenVPN peut servir de VPN pour différentes raisons. Il s’agit d’abord d’un programme VPN gratuit et très populaire, compatible avec de très nombreux systèmes d’exploitation (Windows, OS X, Android, iOS, Linux et d’autres). Par ailleurs, le programme convainc avec son installation facile et sa grande stabilité.

Pour suivre notre tutoriel vous aurez besoin des éléments suivants :

• Un Raspberry Pi (nous conseillons le modèle 2 ou un modèle ultérieur)
• Une micro carte SD sur laquelle vous aurez installé le système d’exploitation Raspbian Jessie
• Une connexion Internet continue (de préférence avec un câble), ainsi qu’une alimentation (micro cable UBS) pour le Raspberry Pi.

Il s’agit ensuite de décider si l’on souhaite installer un serveur VPN directement sur le Raspberry Pi (avec moniteur, souris et clavier connectés), ou à travers un client SSH. La maintenance du serveur à distance au moyen du SSH est la version conseillée dans la plupart des cas, car vous pouvez ainsi accéder au serveur VPN à partir d’un autre ordinateur. 

Il existe à cette fin plusieurs programmes largement répandus, tels que PuTTY et WinSCP (pour Windows), ou OpenSSH (pour les systèmes d’exploitation Unix), qui vous permettent de gérer et contrôler le Raspberry Pi. Il s’agit ensuite de connecter le logiciel SSH au Raspberry Pi en spécifiant son adresse IPv4 dans le client (c’est-à-dire l’ordinateur à partir duquel vous souhaitez accéder au Raspberry Pi), et les relier l’un à l’autre. Vous pouvez par exemple inscrire l’adresse IP de votre Raspberry Pi dans le navigateur.

Pour utiliser un client SSH, il est recommandé d’assigner une adresse IP fixe privée au Raspberry Pi au sein du réseau local. Dans le cas contraire, il sera nécessaire de changer votre adresse IP dynamique à chaque fois que vous souhaiterez accéder au nano-ordinateur via SSH et y connecter le client. Plus important encore, il est essentiel de lier une adresse IP privée statique pour pouvoir utiliser OpenVNP : le serveur VNP doit être accessible en permanence par le réseau local à la même adresse.

De plus, vous devez maintenir le serveur VNP accessible en permanence depuis Internet à la même adresse. Toutefois, une connexion Internet classique dispose en général d’une adresse IP publique dynamique, qui se renouvelle au plus tard toutes les 24h, afin d’éviter que le serveur soit accessible constamment grâce à la même adresse IP. Si votre connexion Internet n’a pas d’adresse IP publique statique, vous pouvez établir un DNS dynamique (DDNS). 

Dans un autre article, vous pourrez obtenir des renseignements sur la marche à suivre pour attribuer une adresse IP statique à un Raspberry Pi, et les différentes options qui existent pour installer un DDNS. Si vous souhaitez maintenir votre Raspberry Pi en ligne en tant que serveur permanent, il est recommandé de veiller à le mettre à jour et vérifier régulièrement son niveau de sécurité.

L’installation avec OpenVNP peut maintenant débuter. Pour ce faire, commencez par ouvrir le terminal (la console) de votre Raspberry Pi.

Avant de débuter l’installation avec OpenVPN en elle-même, il est recommandé de rechercher et d’installer sur votre Raspberry Pi toutes les mises à jour disponibles : pour ce faire, il suffit d’entrer les commandes suivantes sur la console :

Si vous n’avez pas encore changé les identifiants par défaut de votre Raspberry Pi (nom d’utilisateur « Pi » et mot de passe « Raspberry »), il est temps de le faire, sinon n’importe qui pourra accéder à votre système, localement ou sur le réseau via SSH. Grâce à la commande ci-dessous, vous accéderez à la configuration de votre nano-ordinateur, et pourrez choisir un mot de passe sécurisé.

Commencez par utiliser la commande ci-dessous pour installer le programme OpenVPN et OpenSSL, qui permet d’encrypter la connexion Internet :

Après avoir installé OpenVPN, copiez les scripts tout prêts « easy-rsa » dans le fichier de configuration OpenVPN. C’est ici que vous pourrez créer de nombreux certificats et des clés. La commande suivante fonctionne seulement sous Raspbian Jessie (pour les systèmes d’exploitation Wheezy précédents, le script se trouve à l’emplacement « /usr/share/doc/openvpn/examples/easy-rsa/2.0 ») :

Ouvrez ensuite le fichier suivant dans la console : « /etc/openvpn/easy-rsa/vars », et entrez-y la commande ci-dessous :

Il s’agit maintenant d’ajuster ce fichier. Vous pouvez modifier les paramètres en remplaçant l’intégralité de la ligne « export EASY_RSA="`pwd` » par la commande suivante :

La longueur de la clé peut également être ajustée, ce qui détermine le niveau de sécurité du cryptage. Un Raspberry 3 dispose d’assez de puissance pour supporter sans problème une clé d’une longueur de 2048 bits. Avec la version 2 en revanche, ce cryptage dégrade considérablement la vitesse, et il est par conséquent recommandé d’utiliser un cryptage de 1024 bits seulement : c’est à vous d’apprécier, selon votre utilisation, quel paramètre parmi la vitesse de connexion ou le niveau de cryptage est le plus important. Un cryptage de 4096 bits est quant à lui utile dans certains cas seulement. On peut changer la longueur de la clé et ajuster la quantité de bits dans la ligne « export KEY_SIZE=2048 ».

Ensuite, retournez dans le dossier de configuration « easy-rsa », accordez les droits root et intégrez les paramètres réglés précédemment dans les variables de l’environnement en exécutant le script « vars » grâce à la commande « source ». Enfin, vous pouvez rendre le fichier de configuration obtenu accessible via un lien symbolique intitulé « openssl.cnf ».

Commencez par réinitialiser les clés et créez ensuite les premiers fichiers de clés pour OpenVPN.

Le programme vous demande ensuite de rentrer les deux lettres correspondant à votre « nom de pays » : entrez FR pour la France. Les champs suivants ne sont pas essentiels, et vous pouvez directement confirmer en pressant la touche « entrée ».

Ensuite, voici comment générer les fichiers clés pour le serveur :

Entrez à nouveau le code à deux lettres correspondant au pays, et laissez les champs suivants vides. Enfin, confirmez la requête, et générez le certificat en appuyant deux fois sur la touche « Y ».

La section suivante concerne l’installation d’un ou plusieurs clients VPN. Il faut créer un certificat et une clé pour chaque appareil auquel vous souhaitez accéder depuis le serveur VPN. Le processus est similaire à celui utilisé pour installer le certificat et la clé sur le serveur (entrer le code pays et le confirmer deux fois). Vous pouvez attribuer un nom spécifique à chacun des appareils : ceci permet ensuite de créer un client pour un « laptop », une « tablet » ou un « smartphone », grâce à la commande ci-dessous :

Si vous souhaitez attribuer un mot de passe aux clients, il faudra remplacer la commande ci-dessus par celle-ci :

Voici ensuite comment compléter la génération du certificat grâce à la commande pour l’échange de clés Diffie-Hellman :

Cette étape peut prendre du temps. Une fois que le processus est complété, fermez votre session d’utilisateur root :

Ces fichiers sont générés grâce à la commande suivante :

Le fichier vide contient désormais plusieurs commandes, expliquées ci-dessous. En premier lieu, activez le routage par tunnel IP via « dev tun », et sélectionnez le protocole de transport UDP, en sélectionnant « proto udp » Si vous souhaitez utiliser le protocole TCP, sélectionnez « proto tcp »). La ligne suivante vous permet de déterminer si le serveur OpenVNP est accessible sur port 1194, mais ce paramètre peut être modifié.

Ensuite, créez un certificat root (ca) SSL/TLS, un certificat digital (cert) et une clé digitale (key) grâce au fichier « easy-rsa ». Veillez à entrer le bon cryptage de bits (1024, 2048 etc.).

C’est maintenant le moment de préciser que le Raspberry Pi est utilisé en tant que serveur. Pour ce faire, il faut nommer l’adresse IP et le masque réseau de façon à ce qu’ils soient attribués au VPN.

La commande « redirect-gateway def1 bypass-dhcp » permet de diriger l’intégralité du trafic IP vers le tunnel IP. Si vous avez des exigences élevées en ce qui concerne le niveau de sécurité, vous pouvez les expérimenter lors du paramétrage ; si toutefois ceci cause des problèmes ou ralentit la navigation, il est recommandé d’annuler cette configuration. Les instructions ci-dessous, en revanche, devront être utilisées dans tous les cas, car c’est grâce à elles que vous pourrez renommer les serveurs publics DNS avec lesquels fonctionnera votre serveur VPN. Dans la commande suivante, un serveur de IONOS est désigné par « 217.237.150.188 », et un serveur de Google par « 8.8.8.8 ». Vous pouvez toutefois modifier ces codes comme vous le souhaitez en spécifiant les adresses IPv4 d’autres serveurs DNS. Dans la commande « log-append /var/log/openvpn », assurez-vous que l’information de connexion est écrite dans le fichier « /var/log/openvpn ».

Avec « persist-key », les fichiers clés ne sont pas lus à nouveau, et les pilotes des réseaux TAP et TUN ne sont pas redémarrés. Après le démarrage d’un programme, les droits du démon OpenVPN sont restreints par « user nobody » et « group nogroup ». Avec « status /var/log/openvpn-status.log », vous créez un fichier de statut qui rapporte l’état de votre connexion. Il est également recommandé de concilier la précision des informations de connexion grâce à la commande « verb ». Si vous choisissez « 0 », vous ne recevrez aucune notification, à l’exception des messages d’erreur. Une valeur comprise entre 1 et 4 est adaptée à une utilisation normale, et des valeurs supérieures sont à utiliser en cas de résolution de problèmes. Il s’agit ensuite de paramétrer la commande « client à client », qui non seulement détecte le serveur, mais également les autres clients VPN, et d’activer la compression LZO avec « comp-lzo » (cet élément doit également être activé dans le fichier de configuration du client).

Sauvegardez les modifications avec « Ctrl + O » et sortez de l’éditeur avec « Ctrl + X ».

Pour accéder à votre réseau local grâce à un tunnel VPN, il faut créer une redirection. Il convient pour cela de créer d’abord un fichier « /etc/init.d/rpivpn » :

Dans ce fichier, copiez les commentaires suivants afin de créer un titre pour le script Init Linux :

Ensuite, activez « ip forward » en écrivant « 1 » dans ce dossier :

Puis créez une redirection pour les paquets VNP en utilisant le filtre de paquets « iptables ».

Il s’agit ensuite de paramétrer les commandes qui autorisent vos clients VNP à accéder au LAN et à Internet. Voici comment procéder :

Enregistrez et fermez à nouveau le fichier avec « Ctrl + O » et « Ctrl + X ».

Pour que la redirection soit effective, il faut ensuite assigner les droits adaptés au script, et l’installer en tant que script Init.

Ensuite, exécutez le script et redémarrez le serveur VPN.

La dernière étape consiste à regrouper les certificats et les clés de chaque client dans des paquets respectifs. Pour ce faire, il faut leur accorder les droits root en ouvrant le dossier « /etc/openvpn/easy-rsa/keys/ », créer le fichier de configuration client, et entrer les commandes suivantes dans le fichier « laptop ». La configuration est identique pour chaque client, il suffit de changer le nom de l’appareil dont il est question.

Dans le fichier client « opvn », entrez les commandes suivantes :

Il faut toutefois ajuster le contenu des fichiers ci-dessus. À la quatrième ligne, remplacez « x.x.x.x » par l’adresse IP de votre fournisseur DDNS (si vous utilisez une adresse publique statique, vous pouvez simplement l’insérer ici), suivie par le port grâce auquel le serveur VPN doit être accessible. Aux troisième et quatrième rangs, entrez le nom de votre client (ici, « laptop »). Après avoir inséré ces modifications, sauvegardez-les avec « Ctrl + O », puis fermez l’éditeur avec « Ctrl + X ».

Enfin, copiez le fichier de configuration avec les certificats et les clés dans un fichier zip. Si vous n’avez pas encore installé de pack zip sur votre Raspberry Pi, vous pouvez le faire grâce à la commande suivante :

Pour créer un fichier zip, utilisez les commandes ci-dessous en vous assurant que chaque ligne comprend le bon nom de client.

Il faut ensuite ajuster les droits des fichiers et terminer l’installation par « exit ».

Il s’agit ensuite de transférer le fichier zip du Raspberry Pi au client (par exemple via un programme SCP ou SFTC), puis d’installer le client sur l’appareil. Vous pouvez désormais utiliser l’appareil pour accéder au client et à son réseau à partir de n’importe quelle connexion Internet.

Installer un VNP est beaucoup moins coûteux que ce que l’on imagine. Dans la mesure où le Raspberry Pi consomme peu d’énergie, les frais de fonctionnement ne sont pas élevés. Il est par ailleurs possible de gérer la puissance de chacun des composants du serveur (Raspberry Pi, Micro carte SD, etc.)

Par ailleurs, un serveur VPN sur Raspberry Pi est très performant, et vous permet d’accéder à la connexion locale de votre ordinateur depuis n’importe quelle connexion Internet. La connexion VPN cryptée vous permet de naviguer de façon beaucoup plus sécurisée sur le Web, que ce soit sur des réseaux Wifi sécurisés ou non, ou bien dans le cadre des datas de votre contrat mobile. Il est difficile de trouver une connexion mobile qui offre ce niveau de protection.