Note :

Ce tutoriel nécessite l'accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, voir Démarrer avec le niveau gratuit d'Oracle Cloud Infrastructure.
Il utilise des exemples de valeurs pour les données d'identification, la location et les compartiments d'Oracle Cloud Infrastructure. À la fin de votre laboratoire, remplacez ces valeurs par celles qui sont propres à votre environnement en nuage.

Configurer OpenVPN pour l'accès distant dans une seule région sur Oracle Cloud Infrastructure

Présentation

Avec le travail à distance et l'adoption croissante du nuage, l'accès sécurisé aux ressources de l'entreprise n'a jamais été aussi essentiel. Un VPN d'accès distant permet aux utilisateurs de se connecter au réseau de leur organisation de n'importe où, en chiffrant toutes les données pour les protéger contre les accès non autorisés. Que vous travailliez depuis un bureau distant, à domicile ou en déplacement, un réseau privé virtuel (VPN) garantit que les connexions restent privées et sécurisées.

Dans cette série de tutoriels, nous allons vous guider étape par étape dans le processus de construction de l'architecture décrite dans l'image suivante.

RPV dans Oracle Cloud Infrastructure (OCI)

Un RPV est essentiel pour établir une communication sécurisée entre votre centre de données sur place, un autre environnement en nuage utilisé par votre organisation ou des bureaux à distance, avec votre configuration OCI. Dans OCI, vous pouvez avoir besoin de deux types de RPV, chacun adapté à différents cas d'utilisation.

RPV site à site : Connecte des réseaux complets, ce qui le rend idéal pour lier plusieurs bureaux ou succursales en toute sécurité avec OCI. Le RPV site à site est un service natif disponible dans OCI. Il utilise le protocole IPSec standard de l'industrie pour fournir une connectivité privée et sécurisée entre vos réseaux et sites d'entreprise et OCI à l'aide de votre connexion Internet existante.
RPV à accès distant (RPV point à site) : Contrairement au RPV site à site, qui connecte des réseaux entiers les uns aux autres, le RPV à accès distant établit une connexion sécurisée entre un seul appareil (utilisateur) et le réseau de destination à l'aide d'une application client RPV. Pour le moment, OCI n'offre pas de service RPV d'accès distant natif. Toutefois, vous pouvez le faire en utilisant des images du marché des applications telles que OpenVPN que vous pouvez déployer sur une instance de calcul.

Note : Ce tutoriel se concentre uniquement sur la configuration d'un RPV avec accès distant à l'aide de OpenVPN.

Aperçu de OpenVPN

OpenVPN est une solution VPN largement utilisée qui est disponible en plusieurs variantes pour répondre à différents besoins. Dans ce tutoriel, nous allons nous concentrer sur :

OpenVPN Access Server : Conçu spécifiquement pour les entreprises, il protège la communication de données, sécurise Internet of Things (IoT) et fournit un accès distant sécurisé aux ressources sur place, de centre de données ou de nuage public. Il comprend une interface de gestion Web et est idéal pour les entreprises à la recherche d'un VPN fiable et de qualité professionnelle. OpenVPN Access Server est gratuit à installer et à utiliser pour deux connexions VPN simultanées. Vous allez le déployer sur une instance de calcul OCI à partir du marché des applications dans ce tutoriel.
OpenVPN Connect : Client RPV officiel pour Windows, macOS, iOS et Android. À la fin de ce tutoriel, vous installerez OpenVPN Connect et l'utiliserez pour vous connecter au serveur d'accès OpenVPN, puis vous testerez la connectivité à vos ressources privées cibles dans le nuage.

Pour plus d'informations sur les différents produits OpenVPN, voir Quel produit OpenVPN vous convient le mieux?.

Objectifs

Provisionnez OpenVPN Access Server à partir du marché des applications OCI et effectuez la configuration initiale.
Configurez OpenVPN Access Server pour l'accès distant.
Configurez le routage et la sécurité OCI requis pour accéder à votre machine virtuelle cible dans la même région que OpenVPN (Toronto).
Installez OpenVPN Connect sur votre PC et testez l'accès à la machine virtuelle cible.

Architecture finale pour la première partie du tutoriel

Vous allez créer l'environnement suivant à partir de zéro.

Préalables

Accès à une location OCI et autorisations pour gérer le réseau et les services de calcul requis.
Connaissance de base du VPN.
Comprendre de base le routage et la sécurité du réseau OCI et leurs fonctionnalités : réseau en nuage virtuel (VCN), tables de routage, passerelle de routage dynamique (DRG) et listes de sécurité.

Tâche 1 : Créer une passerelle de routage dynamique

Connectez-vous à la console OCI et cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Réseau.
2. Cliquez sur Passerelle de routage dynamique.
Cliquez sur Créer une passerelle de routage dynamique.
1. Entrez un nom pour la passerelle DR.
2. Cliquez sur Créer une passerelle de routage dynamique.
La passerelle DRG a été créée.
Nous ajoutons chaque composant que nous provisionnons à la fin de chaque tâche à l'architecture. Ainsi, vous pouvez voir à quoi ressemble notre environnement jusqu'à présent.

Tâche 2 : Configurer un réseau en nuage virtuel satellite

Tâche 2.1 : Créer un VCN

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Réseau.
2. Cliquez sur Réseaux en nuage virtuels.
Cliquez sur Créer un VCN.
1. Entrez un nom pour le réseau VCN.
2. Entrez 10.1.0.0/24 comme bloc IPv4 CIDR.
3. Cliquez sur Créer un VCN.
Le VCN Spoke-VCN-1 a été créé.

Tâche 2.2 : Attacher le VCN à la passerelle DRG

Allez à la page Détails des réseaux en nuage virtuels.
1. Cliquez sur Attachements de passerelle de routage dynamique.
2. Cliquez sur Créer un attachement de passerelle DRG.
1. Entrez un nom pour l'attachement.
2. Sélectionnez Location courante comme Emplacement de la passerelle de routage dynamique.
3. Sélectionnez la passerelle DRG créée dans la tâche 1.
4. Cliquez sur Créer un attachement de passerelle DRG.
Le VCN est attaché à la passerelle DRG.

Tâche 2.3 : Créer un sous-réseau privé

Dans la page Détails des réseaux en nuage virtuels, cliquez sur Créer un sous-réseau.
1. Entrez un nom pour le sous-réseau.
2. Sélectionnez Régional.
3. Entrez 10.1.0.0/27 comme bloc IPv4 CIDR.
1. Sélectionnez Table de routage par défaut dans Table de routage.
2. Sélectionnez Sous-réseau privé.
1. Sélectionnez Liste de sécurité par défaut dans Liste de sécurité.
2. Cliquez sur Créer un sous-réseau.
Le sous-réseau privé a été créé.

Tâche 2.4 : Configurer le routage et la sécurité sur le sous-réseau

Dans la page Détails des réseaux en nuage virtuels, cliquez sur le sous-réseau privé.
Cliquez sur Table de routage qui est une table de routage affectée.
Assurez-vous d'ajouter la règle suivante.
- 192.168.0.0/24 - DRG : Achemine le trafic destiné au Hub-Public-Subnet qui aura le serveur d'accès OpenVPN à la passerelle DRG.
La partie de routage pour le sous-réseau Spoke-VCN-1 est terminée. Effectuons la sécurité maintenant. Allez à la page Détails du sous-réseau et cliquez sur la liste de sécurité affectée.
Assurez-vous d'autoriser le trafic entrant.
- Demandes d'écho (ping de trafic) à partir de Hub-Public-Subnet (ICMP, type 8). C'est pour tester à la fin.
Assurez-vous d'autoriser tout le trafic sortant.
L'environnement actuel devrait ressembler à cela.

Tâche 3 : Provisionner une machine virtuelle de test (`Target-Instance-1`)

Tâche 3.1 : Générer une paire de clés SSH avec le générateur de clés PuTTY (facultatif)

Notes :

Nous utilisons PuTTY dans ce tutoriel pour générer des clés SSH et accéder aux machines virtuelles, mais n'hésitez pas à utiliser tout autre outil similaire de votre choix.

Cela n'est nécessaire que si un accès SSH est requis pour l'instance. Dans ce tutoriel, nous allons tester uniquement en effectuant une commande ping sur l'instance.

Installez PuTTY à partir d'ici : Téléchargez PuTTY.
Ouvrez le générateur de clés PuTTY et cliquez sur Générer.
Pointez le curseur de la souris sur la zone vide jusqu'à ce que la génération de la clé soit terminée.
Cliquez sur enregistrer la clé privée. Cette option sera utilisée lors de l'accès à l'instance.
1. Entrez un nom pour le fichier de clés privées.
2. Cliquez sur Enregistrer.
Copiez la clé publique et collez-la dans un fichier texte. Nous en avons besoin lors de la création de la machine virtuelle.

Tâche 3.2 : Provisionner l'instance de calcul `Target-Instance-1`

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Calculer.
2. Cliquez sur Instances.
Cliquez sur Créer une instance.
Entrez un nom pour l'instance.
Conservez les paramètres Image et forme par défaut.
Dans Réseau principal, entrez les informations suivantes.
1. Sélectionnez le VCN Spoke-VCN-1.
2. Sélectionnez le sous-réseau privé.
1. Sélectionnez Affecter manuellement une adresse IPv4 privée.
2. Entrez l'adresse IPv4 privée pour l'instance 10.1.0.30.
1. Collez la clé publique générée dans la tâche 3.1.
2. Cliquez sur Créer.

Note : À l'étape précédente, sélectionnez l'option "Aucune clé SSH" si vous ne prévoyez pas d'accéder à l'instance.

L'instance de calcul Target-Instance-1 a été créée.
L'environnement actuel devrait ressembler à cela.

Tâche 4 : Configurer le réseau en nuage virtuel du centre

Tâche 4.1 : Créer un VCN

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Réseau.
2. Cliquez sur Réseaux en nuage virtuels.
Cliquez sur Créer un VCN.
1. Entrez un nom pour le réseau VCN.
2. Entrez 192.168.0.0/16 comme bloc IPv4 CIDR.
3. Cliquez sur Créer un VCN.
Le VCN Hub-VCN a été créé.

Tâche 4.2 : Attacher le VCN à la passerelle DRG

Allez à la page Détails des réseaux en nuage virtuels.
1. Cliquez sur Attachements de passerelle de routage dynamique.
2. Cliquez sur Créer un attachement de passerelle DRG.
1. Entrez un nom pour l'attachement.
2. Sélectionnez Location courante comme Emplacement de la passerelle de routage dynamique.
3. Sélectionnez la passerelle DRG créée dans la tâche 1.
4. Cliquez sur Créer un attachement de passerelle DRG.
Le VCN est attaché à la passerelle DRG.

Tâche 4.3 : Créer une passerelle Internet

Allez à la page Détails des réseaux en nuage virtuels.
1. Cliquez sur Passerelles Internet.
2. Cliquez sur Créer une passerelle Internet.
1. Entrez un nom pour la passerelle Internet.
2. Cliquez sur Créer une passerelle Internet.
La passerelle Internet a été créée.

Tâche 4.4 : Créer un sous-réseau public

Dans la page Détails des réseaux en nuage virtuels, cliquez sur Créer un sous-réseau.
1. Entrez un nom pour le sous-réseau.
2. Sélectionnez Régional.
3. Entrez 192.168.0.0/24 comme bloc IPv4 CIDR.
1. Sélectionnez Table de routage par défaut dans Table de routage.
2. Sélectionnez Sous-réseau public.
1. Sélectionnez Liste de sécurité par défaut dans Liste de sécurité.
2. Cliquez sur Créer un sous-réseau.
Le sous-réseau public a été créé.

Tâche 4.5 : Configurer le routage et la sécurité sur le sous-réseau

Dans la page Détails des réseaux en nuage virtuels, cliquez sur le sous-réseau public.
Cliquez sur Table de routage qui est une table de routage affectée.
Assurez-vous d'ajouter les règles suivantes.
- 0.0.0.0/0 - IGW : Pour avoir un accès bidirectionnel à Internet, cela est nécessaire pour que nous puissions accéder au serveur OpenVPN public.
- 10.1.0.0/27 - DRG : Achemine le trafic destiné à Spoke-Private-Subnet qui a l'instance de test cible vers la passerelle DRG.
Comme nous avons terminé la partie de routage pour le sous-réseau Hub-VCN, faisons la sécurité maintenant. Allez à la page Détails du sous-réseau et cliquez sur la liste de sécurité affectée.
Assurez-vous d'autoriser le trafic entrant lié au serveur d'accès OpenVPN.
- Trafic TCP depuis n'importe où (port 443 et port 943).
- Trafic UDP depuis n'importe où (port 1194).
Assurez-vous d'autoriser tout le trafic sortant.
L'environnement actuel devrait ressembler à cela.

Tâche 5 : Provisionner et configurer le serveur d'accès OpenVPN

Tâche 5.1 : Provisionner OpenVPN à partir du marché des applications

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Marketplace.
2. Cliquez sur Toutes les applications.
1. Entrez OpenVPN dans la barre de recherche.
2. Sélectionnez OpenVPN Access Server BYOL.
1. Notez qu'avec cette image, vous obtiendrez deux connexions simultanées pour FREE.
2. Sélectionnez la version.
3. Cliquez sur Lancer l'instance.
Entrez un nom pour l'instance.
Conservez les paramètres Image et forme par défaut.
Dans Réseau principal, entrez les informations suivantes.
1. Sélectionnez le VCN Hub-VCN.
2. Sélectionnez le sous-réseau public.
1. Sélectionnez Affecter manuellement une adresse IPv4 privée.
2. Entrez 192.168.0.2 comme adresse IPv4 privée pour l'instance.
3. Sélectionnez Affecter automatiquement une adresse IPv4 publique.
1. Collez la clé publique générée dans la tâche 3.1.
2. Cliquez sur Créer.
L'instance de calcul OpenVPN a été créée.
1. Notez l'adresse IP publique de l'instance.
2. Le nom d'utilisateur par défaut est ubuntu. Toutefois, nous ne l'utiliserons pas lors de la connexion à l'instance.

Tâche 5.2 : Accéder à la machine virtuelle OpenVPN à partir de PuTTY et terminer la configuration initiale

Ouvrez la configuration PuTTY.
1. Cliquez sur Données d'identification.
2. Chargez la clé privée téléchargée dans la tâche 3.1.
1. Cliquez sur Session.
2. Entrez les informations suivantes .
  - Nom d'hôte : Entrez l'adresse IP publique de l'instance OpenVPN.
  - Type de connexion : Sélectionnez SSH.
  - Port : Entrez 22.
3. Cliquez sur Ouvrir.
Cliquez sur accepter.
Entrez openvpnas dans le champ Nom d'utilisateur.
1. Entrez oui pour convenir des conditions.
2. Appuyez sur Entrée car nous n'avons pas l'intention d'avoir plus d'un serveur d'accès.
3. Appuyez sur Entrée.
1. Appuyez sur Entrée pour sélectionner l'algorithme par défaut (RSA).
2. Appuyez sur Entrée pour sélectionner la taille de clé par défaut (2048).
3. Appuyez sur Entrée pour sélectionner l'algorithme par défaut (RSA).
1. Appuyez sur Entrée pour sélectionner la taille de clé par défaut (2048).
2. Appuyez sur Entrée pour sélectionner le numéro de port par défaut (943).
3. Appuyez sur Entrée pour sélectionner le numéro de port par défaut (443).
4. Appuyez sur Entrée pour confirmer.
5. Appuyez sur Entrée pour confirmer.
6. Appuyez sur Entrée pour confirmer.
1. Appuyez sur Entrée pour utiliser openvpn comme nom d'utilisateur par défaut lors de la connexion à l'interface utilisateur d'administration.
2. Remplissez votre nouveau mot de passe et appuyez sur Entrée.
3. Remplissez à nouveau le mot de passe et appuyez sur Entrée.
4. Appuyez sur Entrée.
1. La configuration est terminée.
2. Notez l'URL de l'interface utilisateur d'administration : https://192.168.0.2:943/admin.
3. Notez l'URL de l'interface utilisateur client : https://192.168.0.2:943/.
Note : Nous utiliserons l'adresse IP publique pour accéder à l'interface utilisateur de l'administrateur au lieu de l'adresse privée indiquée dans la capture d'écran suivante.

Tâche 5.3 : Configurer l'accès à distance

Ouvrez un onglet du navigateur.
1. Accédez à l'URL suivante : https://<publicip>/admin, assurez-vous de remplacer <publicip> par l'adresse IP publique de l'instance OpenVPN que vous avez créée.
2. Cliquez sur Avancé.
3. Cliquez sur Continuer.
1. Entrez openvpn dans le champ Nom d'utilisateur.
2. Entrez le mot de passe.
3. Cliquez sur Connexion.
Cliquez sur Accepter.
Comme nous l'avons mentionné précédemment, deux connexions VPN gratuites vous sont accordées en même temps.
1. Cliquez sur Configuration.
2. Cliquez sur Paramètres de réseau.
3. Entrez l'adresse IP publique de l'instance OpenVPN dans Nom d'hôte ou adresse IP.
4. Cliquez sur enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
1. Cliquez sur Configuration.
2. Cliquez sur Paramètres du RPV.
3. Sous Routage, ajoutez le sous-réseau privé Spoke-VCN-1 (10.1.0.0/27) auquel nous prévoyons d'accéder au moyen d'un RPV.
4. Cliquez sur enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
Configurez votre nom d'utilisateur que vous allez utiliser lors de la connexion au RPV à partir du client OpenVPN sur votre appareil.
1. Cliquez sur Gestion des utilisateurs.
2. Cliquez sur Autorisations d'utilisateur.
3. Entrez votre nouveau nom d'utilisateur.
4. Sélectionnez Autoriser la connexion automatique.
5. Cliquez sur Paramètres supplémentaires.
6. Entrez le mot de passe.
7. Cliquez sur enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
Le nom d'utilisateur a été créé.
Tous les composants sont désormais provisionnés comme indiqué dans l'architecture et prêts à être testés.

Tâche 6 : Tester et valider

L'image suivante présente le scénario de test que nous voulons terminer.

Tâche 6.1 : Installer OpenVPN Connect

Téléchargez OpenVPN Connect sur votre ordinateur local à partir d'ici : OpenVPN Connect for Windows.
1. Exécutez le fichier .msi téléchargé.
2. Cliquez sur Suivant.
1. Sélectionnez J'accepte les conditions de la convention de licence.
2. Cliquez sur Suivant.
Cliquez sur Installer.
Cliquez sur Terminer.

Tâche 6.2 : Configurer OpenVPN Connect

Cliquez sur Accepter.
1. Dans Type Server Address or Cloud ID (Type d'adresse de serveur ou ID nuage), entrez https://<publicip> comme adresse IP publique du serveur OpenVPN.
2. Cliquez sur Suivant.
Cliquez sur accepter.
Dans Importer un profil, utilisez les informations de profil que vous avez fournies dans la tâche 5.3.
1. Entrer le nom d'utilisateur.
2. Entrez le mot de passe.
3. Le champ Nom du profil est rempli automatiquement.
4. Sélectionnez Importer le profil de connexion automatique.
5. Sélectionnez Se connecter après l'importation.
6. Cliquez sur Importer.
1. Vous êtes maintenant CONNECTÉ.
2. Notez que vous serez déconnecté d'Internet lorsqu'il sera connecté au moyen d'un RPV.

Tâche 6.3 : Ping sur l'instance `Target-Instance-1`

Effectuer une commande ping sur Target-Instance-1 (10.1.0.30). Comme vous le voyez, le test est réussi.
Désactivez le VPN lorsque vous avez terminé le test.
Cliquez sur Confirmer.
Vous êtes DISCONNECTÉ maintenant.
Si vous essayez de ping à nouveau, vous remarquerez que le ping échoue.
Si vous vérifiez les journaux du sous-réseau satellite, vous pouvez voir le trafic provenant de OpenVPN (192.168.0.2) vers Target-Instance-1 (10.1.0.30) et la réponse renvoyée.

Étapes suivantes

Dans la deuxième partie du tutoriel Configurer OpenVPN pour l'accès à distance entre plusieurs régions sur Oracle Cloud Infrastructure, nous allons étendre la même configuration pour inclure une autre région que nous connecterons à une connexion d'appairage distant. Vous utiliserez le même serveur d'accès OpenVPN pour vous connecter aux ressources de la nouvelle région de récupération après sinistre après avoir configuré la configuration de réseau requise.

Remerciements

Auteur - Anas abdallah (spécialiste du réseau en nuage)

Autres ressources d'apprentissage

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.

Informations sur le titre et les droits d'auteur

Set up OpenVPN for Remote Access in a Single Region on Oracle Cloud Infrastructure

G27739-02