Créer son serveur OpenVPN avec les routeurs Milesight

Prerequis : 

Afin de configurer votre routeur Milesight pour le transformer en serveur OpenVPN, il vous faudra:

• Un routeur UR de la marque Milesight

• Un pc sous windows et installer les softs suivants : 

  • VC redist x64 : Download Redistribuable Visual C++ pour Visual Studio 2015 from Official Microsoft Download Center

  • Open SSL : GitHub - openssl/openssl: TLS/SSL and crypto library

  • OpenVPN : Community Downloads | OpenVPN

easy-rsa2 : GitHub - OpenVPN/easy-rsa-old: This is a small RSA key management package, based on the openssl command line tool

Initialisation de l’environnement

copie des fichiers easy-rsa2

Il faut que les fichiers des sous dossiers de l’archive Git easy-rsa2 : 

“\easy-rsa-old-master\easy-rsa-old-master\easy-rsa\2.0” 

et

“\easy-rsa-old-master\easy-rsa-old-master\easy-rsa\Windows”

soient copiés à l’emplacement où se trouve OpenVPN

Le dossier “\program files\OpenVPN\easy-rsa” doit ressembler à 

Commandes d’initialisation dans le shell windows

Exécutez les commandes suivantes dans le shell de Windows (ouvrez le en administrateur) : 

cd C:\Program Files\OpenVPN\easy-rsa

init-config

vars

clean-all

Puis enfin la commande : 

build-ca

Il vous sera demandé de rentrer les informations. La plupart des champs peuvent être laissés par défaut sauf le COMMON Name. Il est conseillé de remplir correctement tous les champs.

Génération du certificat et de la clé serveur

Il faut saisir la commande suivante : 

build-key-server server

Comme précédemment, 

 La plupart des champs peuvent être laissés par défaut sauf le COMMON Name. Il faudra renseigner “server”.

Puis aux questions "Sign the certificate?” et "1 out of 1 certificate requests certified, commit? [y/n]" : il faudra répondre oui (y)

Créer les certificats clients

Afin de créer les certificats clients, il faut saisir la commande suivante : 

build-key client1

build-key client2

build-key client3

build-key clientxx , etc..

N’oubliez pas que pour chaque client, assurez-vous de taper le nom commun approprié lorsque vous y êtes invité, c’est-à-dire « client1 », « client2 » ou « client3 ». Utilisez toujours un nom commun unique pour chaque client.

Ne saisissez pas de mot de passe pour les certificats client sauf si vous souhaitez que l’authentification se fasse par certificat ET par identification. Auquel cas il faudra remplacer le script build-key-pass. Plus d’infos sur le site OpenVPN.

Enfin, aux questions "Sign the certificate?” et "1 out of 1 certificate requests certified, commit? [y/n]" : il faudra répondre oui (y)

Générer des paramètres Diffie Hellman

Les paramètres Diffie Hellman doivent être générés pour le serveur OpenVPN

avec la commande : 

build-dh

Récupérer les fichiers certificats et clés

Dans le sous dossier /easy-rsa/keys se trouvent les fichiers à mettre sur le routeur Milesight

Ce sont ces fichiers que l’on va importer dans le routeur Milesight.

Mise en place du serveur OpenVPN sur le routeur Milesight

Dans Network → VPN → OpenVPN Server, il faut saisir les informations relatives à la configuration du serveur OpenVPN.

Il n’est pas nécessaire de disposer d’un fichier .ovpn

ATTENTION : dans Listening IP il faut renseigner l’adresse publique du routeur. Si vous utilisez une carte SIM M2M avec IP publique, vous pouvez renseigner l’IP de la carte SIM. Sinon, avec une carte SIM standard, il faut utiliser une adresse Dyndns.

Ceci est un exemple de configuration, vous trouverez plus d’informations sur les différents paramétrages à cette adresse : https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/

Importation des fichiers de certification

Dans Network → VPN → Certification vous pouvez importer les fichiers comme suit : 

Cliquez sur “Browse” pour sélectionner le fichier correspondant puis sur “Import”.

• CA → “ca.crt”

• Public Certificate → “server.crt”

• Private Key → “server.key”

• DH → “dh2048.pem”

• TA → “ca.key”

N’oubliez pas d’appuyer sur “Save” et “Apply”

Vérification du fonctionnement du serveur

Dans le menu Status → VPN, vous verrez si le serveur VPN est actif

Connecter un autre routeur en tant que client

Afin de connecter un autre routeur en tant que client, il faut se rendre sur ledit routeur dans : 

Network → VPN → OpenVPN Client

Et remplir les informations en fonction des réglages du serveur.

Attention, le champ REMOTE IP ADRESS doit correspondre à la valeur du champ LISTENING IP ADDRESS du serveur

et le champ Remote Tunnel IP doit correspondre au champ Client Subnet du serveur.

Il faut également importer sur le routeur Client dans Network → VPN → Certification les certificats tel que : 

Vérification de la connectivité des clients

Dans le menu Status → VPN dans la section “Connected list” vous verrez si le ou les clients sont connectés  :