Configurez un VPN L2TP/IPSEC au travers d’une livebox sur Mac OSX

VPN osx

Voici le guide pratique pour faire fonctionner un VPN L2TP au travers d’une livebox Pro V3. Pourquoi L2TP/ipsec ? Il reste le protocole le mieux intégré nativement sur tous vos terminaux. pas besoin de logiciels tiers pour s’en servir sous mac ou Windows,IOS ou android. OpenVPN est surement un cran au dessus en terme de sécurité mais nécessite souci un logiciel tiers sur la plupart de vos devices.  Même si vous êtes un pro du VPN vous aurez certainement déjà eu des difficultés à configurer un VPN L2TP/ipsec. Voyez comment contourner le souci : 

Environnement de travail :

Routeur ADSL (Box) : Livebox Pro V3
Serveur VPN: Mac MiniServer  mi 2012
Client VPNMac OSX/Iphone
Type de VPNL2TP/ Ipsec

Dans notre exemple, nous voulons créer une connexion sécurisée depuis l’extérieur vers un serveur VPN L2TP sur notre LAN. Une fois connecté cela nous permettra d’accéder à n’importe quelle ressource de notre réseau de manière sécurisée et distante. Adaptez ce guide à vos solutions de serveur et client VPN utilisés si besoin.

Commençons par configurer correctement notre Serveur. Il s’agit d’un Mac mini que nous configurerons par l’appli Mac OS Server. (Si vous utilisez un autre serveur accélérez directement à la partie configuration de la box.

 

Configuration du serveur VPN

Ouvrez l’application OS Server.
Puis, sélectionnez la partie VPN

osx vpn server L2TP mac mini

La plupart des réglages en place conviendront donc nous n’en modifierons que certains.

Remplissez les champs indiqués comme suit:

  • Configure VPN for:  validez L2TP
  • VPN Hostname: entrez le nom DNS dynamique ou l’adresse IP publique de votre Box.
  • Client addresses: définissez le nombre de clients maximum connectés en même temps.
  • DNS Settings: vous pouvez définir les serveurs DNS qui seront utilisés par vos clients VPN.

Mettez le serveur VPN s’il est serveur DNS, sinon celui de votre préférence conviendra.

Enfin, pensez à créer les utilisateurs qui devront utiliser le VPN dans le menu Utilisateurs de votre serveur :

osx server user creation vpn

Votre serveur VPN est prêt à établir des connexions. Vous pouvez tester en établissant une connexion depuis le même réseau que le serveur. Cela validera la bonne configuration du serveur.

Paramétrage de la Box

Au début je pensais configurer une redirection des ports nécessaire à la construction du tunnel vers mon seveur VPN. Mais après de multiple essais, et tentatives de configuration, de recherches, d’engueulades avec Orange…Etc. Il s’avère tout simplement que cela ne marche pas! (Suivez ce guide si vous voulez essayer quand même…)

A – Ajouter votre hôte dans la DMZ

Malgré ce qui est écrit, sur les règles NAT/PAT, les règles ne fonctionneront pas si l’hôte concerné par les règles n’est pas dans la DMZ. Cherchez pas la logique….

vpn livebox pro v3 DMZ

 

En gros, on vient de rendre note serveur VPN complètement accessible depuis Internet. La sécurité selon Orange c’est qu’une DMZ by-pass les règles de firewall, de NAT et rend l’hôte complètement accessible…

Maintenant que notre Hôte est ouvert à tout vent, il convient donc de restreindre son accès par l’ajout d’un firewall Tiers.

B – Configuration du firewall

Sur OSX, le firewall par défaut est PF (Packet Filter) qui a déjà fait ses preuves pour son efficacité, mais qui n’est pas du tout user-friendly avec son interface de gestion seulement en ligne de commande. Pour pallier à ça, je vous recommande, Icefloor qui est juste une interface de config front-end sympa de PF. Vous pouvez le télécharger ici.

On niveau des régles de filtrage, les régles suivantes conviendront à la plupart des usages :

Connexions entrantes :

GroupeServicesSens de interface
AnyVPN L2TP/Ipsecentrant0.0.0.0/0en0
 LANALLentrantLAN_NETWORKen0
 VPN_CLIENTSOSX ESSENTIALS Services

Partage SMB

Partage AFP

entrantVPN_Networkppp0

De cette manière, on autorise juste les connexions VPNVPN L2TP/Ipsec depuis internet. (groupe Any). On autorise tout depuis le LAN. On restreint l’accès au service nécessaire pour les clients VPN. (Configuration à adapter selon vos besoins)

Voici à quoi ressemble l’écran de configuration des règles dans icefloor :

Icefloor osx vpn config

Voilà notre serveur est configuré avec un accès relativement sécurisé.

Configuration du client VPN

A – Sur Mac OSX

Pour créer une connexion VPN sur un terminal OSX il suffit de se rendre dans
Préférences Système / Réseau puis de cliquer sur le petit + et de sélectionner :

  • interface :       VPN
  • Type de VPN: L2TP via Ipsec

VPN L2TP OSX

Cliquez sur le bouton Créer

Ensuite, dans le panneau qui s’ouvre il faut saisir les informations suivantes :
Renseignez les champs :

  • Adresse du serveur : nom dns dynamqiue ou adresse IP publique de votre serveur VPN
  • Nom du compte: compte utilisateur configuré pour l’accès VPN sur le serveur VPN

 

OSX VPN Config

 

Puis cliquez sur : Réglages d’authentification

OSX VPN config réglages
Renseignez les informations nécessaires de mot de passe utilisateur et de clé partagée définies sur votre serveur VPN.
Enfin, cliquez sur Avancé en bas à droite, pour sélectionner les options suivantes:
vpn L2TP OSX options avancées

 

Puis, Cliquez sur appliquer en bas en droite pour enregistrer les paramètres.

 

B – Sur Iphone

Voici la procédure pour vous connecter depuis un Iphone :

Iphone VPN L2TP

 

Rendez-vous dans Réglages / Général / VPN pour ajouter une nouvelle configuration avec les informations suivantes :

– Description : L2TP

– Serveur : l’IP publique de la box ou notre nom DNS dynamique

– Compte : Notre compte utilisé pour se connecter sur le serveur VPN

– RSA : non

– Mot de passe : Associé au compte sur le serveur VPN

– Secret : la clé partagée définie sur le serveur VPN

– Tout envoyer : oui

 

 

 

Voilà, vous êtes au bout, bonne connexion 😉

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *