Voici le guide pratique pour faire fonctionner un VPN L2TP au travers d’une livebox Pro V3. Pourquoi L2TP/ipsec ? Il reste le protocole le mieux intégré nativement sur tous vos terminaux. pas besoin de logiciels tiers pour s’en servir sous mac ou Windows,IOS ou android. OpenVPN est surement un cran au dessus en terme de sécurité mais nécessite souci un logiciel tiers sur la plupart de vos devices. Même si vous êtes un pro du VPN vous aurez certainement déjà eu des difficultés à configurer un VPN L2TP/ipsec. Voyez comment contourner le souci :
Environnement de travail :
| Routeur ADSL (Box) : | Livebox Pro V3 |
| Serveur VPN: | Mac MiniServer mi 2012 |
| Client VPN | Mac OSX/Iphone |
| Type de VPN | L2TP/ Ipsec |
Dans notre exemple, nous voulons créer une connexion sécurisée depuis l’extérieur vers un serveur VPN L2TP sur notre LAN. Une fois connecté cela nous permettra d’accéder à n’importe quelle ressource de notre réseau de manière sécurisée et distante. Adaptez ce guide à vos solutions de serveur et client VPN utilisés si besoin.
Commençons par configurer correctement notre Serveur. Il s’agit d’un Mac mini que nous configurerons par l’appli Mac OS Server. (Si vous utilisez un autre serveur accélérez directement à la partie configuration de la box.
Configuration du serveur VPN
Ouvrez l’application OS Server.
Puis, sélectionnez la partie VPN
La plupart des réglages en place conviendront donc nous n’en modifierons que certains.
Remplissez les champs indiqués comme suit:
- Configure VPN for: validez L2TP
- VPN Hostname: entrez le nom DNS dynamique ou l’adresse IP publique de votre Box.
- Client addresses: définissez le nombre de clients maximum connectés en même temps.
- DNS Settings: vous pouvez définir les serveurs DNS qui seront utilisés par vos clients VPN.
Mettez le serveur VPN s’il est serveur DNS, sinon celui de votre préférence conviendra.
Enfin, pensez à créer les utilisateurs qui devront utiliser le VPN dans le menu Utilisateurs de votre serveur :
Votre serveur VPN est prêt à établir des connexions. Vous pouvez tester en établissant une connexion depuis le même réseau que le serveur. Cela validera la bonne configuration du serveur.
Paramétrage de la Box
Au début je pensais configurer une redirection des ports nécessaire à la construction du tunnel vers mon seveur VPN. Mais après de multiple essais, et tentatives de configuration, de recherches, d’engueulades avec Orange…Etc. Il s’avère tout simplement que cela ne marche pas! (Suivez ce guide si vous voulez essayer quand même…)
A – Ajouter votre hôte dans la DMZ
Malgré ce qui est écrit, sur les règles NAT/PAT, les règles ne fonctionneront pas si l’hôte concerné par les règles n’est pas dans la DMZ. Cherchez pas la logique….
En gros, on vient de rendre note serveur VPN complètement accessible depuis Internet. La sécurité selon Orange c’est qu’une DMZ by-pass les règles de firewall, de NAT et rend l’hôte complètement accessible…
Maintenant que notre Hôte est ouvert à tout vent, il convient donc de restreindre son accès par l’ajout d’un firewall Tiers.
B – Configuration du firewall
Sur OSX, le firewall par défaut est PF (Packet Filter) qui a déjà fait ses preuves pour son efficacité, mais qui n’est pas du tout user-friendly avec son interface de gestion seulement en ligne de commande. Pour pallier à ça, je vous recommande, Icefloor qui est juste une interface de config front-end sympa de PF. Vous pouvez le télécharger ici.
On niveau des régles de filtrage, les régles suivantes conviendront à la plupart des usages :
Connexions entrantes :
| Groupe | Services | Sens | de | interface |
| Any | VPN L2TP/Ipsec | entrant | 0.0.0.0/0 | en0 |
| LAN | ALL | entrant | LAN_NETWORK | en0 |
| VPN_CLIENTS | OSX ESSENTIALS Services Partage SMB Partage AFP | entrant | VPN_Network | ppp0 |
De cette manière, on autorise juste les connexions VPNVPN L2TP/Ipsec depuis internet. (groupe Any). On autorise tout depuis le LAN. On restreint l’accès au service nécessaire pour les clients VPN. (Configuration à adapter selon vos besoins)
Voici à quoi ressemble l’écran de configuration des règles dans icefloor :
Voilà notre serveur est configuré avec un accès relativement sécurisé.
Configuration du client VPN
A – Sur Mac OSX
Pour créer une connexion VPN sur un terminal OSX il suffit de se rendre dans
Préférences Système / Réseau puis de cliquer sur le petit + et de sélectionner :
- interface : VPN
- Type de VPN: L2TP via Ipsec
Cliquez sur le bouton Créer
Ensuite, dans le panneau qui s’ouvre il faut saisir les informations suivantes :
Renseignez les champs :
- Adresse du serveur : nom dns dynamqiue ou adresse IP publique de votre serveur VPN
- Nom du compte: compte utilisateur configuré pour l’accès VPN sur le serveur VPN
Puis cliquez sur : Réglages d’authentification
Renseignez les informations nécessaires de mot de passe utilisateur et de clé partagée définies sur votre serveur VPN.
Enfin, cliquez sur Avancé en bas à droite, pour sélectionner les options suivantes:
Puis, Cliquez sur appliquer en bas en droite pour enregistrer les paramètres.
B – Sur Iphone
Voici la procédure pour vous connecter depuis un Iphone :
Rendez-vous dans Réglages / Général / VPN pour ajouter une nouvelle configuration avec les informations suivantes :
– Description : L2TP
– Serveur : l’IP publique de la box ou notre nom DNS dynamique
– Compte : Notre compte utilisé pour se connecter sur le serveur VPN
– RSA : non
– Mot de passe : Associé au compte sur le serveur VPN
– Secret : la clé partagée définie sur le serveur VPN
– Tout envoyer : oui
Voilà, vous êtes au bout, bonne connexion 😉
