Remarques :

Ce tutoriel nécessite un accès à Oracle Cloud. Pour vous inscrire à un compte gratuit, reportez-vous à Introduction à Oracle Cloud Infrastructure Free Tier.
Il utilise des exemples de valeurs pour les informations d'identification, la location et les compartiments Oracle Cloud Infrastructure. Lorsque vous terminez votre atelier, remplacez ces valeurs par celles propres à votre environnement cloud.

Configuration de OpenVPN pour l'accès distant dans une seule région sur Oracle Cloud Infrastructure

Introduction

Avec le travail à distance et l'adoption du cloud en hausse, l'accès sécurisé aux ressources de l'entreprise n'a jamais été aussi critique. Un VPN à accès distant permet aux utilisateurs de se connecter au réseau de leur organisation depuis n'importe où, chiffrant toutes les données pour les protéger des accès non autorisés. Que vous travailliez à partir d'un bureau distant, à domicile ou en déplacement, un réseau privé virtuel (VPN) garantit que les connexions restent privées et sécurisées.

Dans cette série de tutoriels, nous vous guiderons pas à pas dans le processus de création de l'architecture décrite dans l'image suivante.

VPN dans Oracle Cloud Infrastructure (OCI)

Le VPN est essentiel pour établir une communication sécurisée entre votre data center on-premise, un autre environnement cloud utilisé par votre organisation ou des bureaux distants avec votre configuration OCI. Dans OCI, vous pouvez avoir besoin de deux types de VPN, chacun adapté à différents cas d'utilisation.

VPN site à site : connecte des réseaux entiers, ce qui le rend idéal pour lier plusieurs bureaux ou branches en toute sécurité avec OCI. Le VPN site à site est un service natif disponible dans OCI. Il utilise le protocole IPSec standard du secteur pour fournir une connectivité privée et sécurisée à OCI à partir de vos réseaux et sites d'entreprise à l'aide de votre connexion Internet existante.
VPN d'accès distant (VPN de point à site) : contrairement au VPN de site à site, qui connecte des réseaux entiers les uns aux autres, le VPN d'accès distant établit une connexion sécurisée entre un seul appareil (utilisateur) et le réseau de destination à l'aide d'une application client VPN. Pour le moment, OCI ne propose pas de service VPN d'accès à distance natif. Toutefois, vous pouvez y parvenir en utilisant des images Marketplace telles que OpenVPN que vous pouvez déployer sur une instance de calcul.

Remarque : ce tutoriel se concentre uniquement sur la configuration d'un VPN d'accès à distance à l'aide de OpenVPN.

Présentation de OpenVPN

OpenVPN est une solution VPN largement utilisée qui est disponible en plusieurs variantes pour répondre à différents besoins. Dans ce tutoriel, nous allons nous concentrer sur :

OpenVPN Access Server : conçu spécifiquement pour les entreprises, il protège la communication des données, sécurise l'Internet of Things (IoT) et fournit un accès distant sécurisé aux ressources sur site, de centre de données ou de cloud public. Il comprend une interface de gestion basée sur le Web et est idéal pour les entreprises à la recherche d'un VPN fiable et de qualité professionnelle. OpenVPN L'installation d'Access Server et son utilisation pour deux connexions VPN simultanées sont gratuites. Dans ce tutoriel, vous allez le déployer sur une instance OCI Compute à partir de Marketplace.
OpenVPN Connect : client VPN officiel pour Windows, macOS, iOS et Android. A la fin de ce tutoriel, vous allez installer OpenVPN Connect et l'utiliser pour vous connecter au serveur d'accès OpenVPN, puis tester la connectivité aux ressources privées cible dans le cloud.

Pour plus d'informations sur les différents produits OpenVPN, reportez-vous à Quel produit OpenVPN vous convient ?.

Objectifs

Provisionnez OpenVPN Access Server à partir du marketplace OCI et effectuez la configuration initiale.
Configurez le serveur d'accès OpenVPN pour l'accès distant.
Configurez le routage et la sécurité OCI requis pour accéder à votre machine virtuelle cible dans la même région que OpenVPN (Toronto).
Installez OpenVPN Connect sur votre PC et testez l'accès à la machine virtuelle cible.

Architecture finale pour la première partie du tutoriel

Vous allez créer l'environnement suivant à partir de zéro.

Prérequis

Accès à une location OCI et droits d'accès permettant de gérer le réseau et les services de calcul requis.
Connaissance de base du VPN.
Compréhension de base du routage et de la sécurité du réseau OCI et de leurs fonctionnalités : réseau cloud virtuel (VCN), tables de routage, passerelle de routage dynamique (DRG) et listes de sécurité.

Tâche 1 : créer une passerelle de routage dynamique

Connectez-vous à la console OCI et cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Fonctions de réseau.
2. Cliquez sur Passerelle de routage dynamique.
Cliquez sur Créer une passerelle de routage dynamique.
1. Entrez un nom pour DRG.
2. Cliquez sur Créer une passerelle de routage dynamique.
Le DRG a été créé.
Nous ajoutons à l'architecture tous les composants que nous provisionnons à la fin de chaque tâche. Ainsi, vous pouvez voir à quoi ressemble notre environnement jusqu'à présent.

Tâche 2 : configurer un réseau cloud virtuel satellite

Tâche 2.1 : création d'un VCN

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Fonctions de réseau.
2. Cliquez sur Réseaux cloud virtuels.
Cliquez sur Créer VCN.
1. Entrez un nom pour le VCN.
2. Saisissez 10.1.0.0/24 en tant que bloc IPv4 CIDR.
3. Cliquez sur Créer VCN.
Le VCN Spoke-VCN-1 a été créé.

Tâche 2.2 : attacher le VCN au DRG

Accédez à la page Détails des réseaux cloud virtuels.
1. Cliquez sur Attachements de passerelle de routage dynamique.
2. Cliquez sur Créer une pièce jointe DRG.
1. Entrer un nom pour la pièce jointe.
2. Sélectionnez Location en cours comme Emplacement DRG.
3. Sélectionnez DRG créé dans la tâche 1.
4. Cliquez sur Créer une pièce jointe DRG.
Le VCN est attaché au DRG.

Tâche 2.3 : création d'un sous-réseau privé

Sur la page Détails des réseaux cloud virtuels, cliquez sur Créer un sous-réseau.
1. Entrez un nom pour le sous-réseau.
2. Sélectionnez Régional.
3. Saisissez 10.1.0.0/27 en tant que bloc IPv4 CIDR.
1. Sélectionnez Table de routage par défaut dans Table de routage.
2. Sélectionnez Sous-réseau privé.
1. Sélectionnez Liste de sécurité par défaut dans Liste de sécurité.
2. Cliquez sur Créer un sous-réseau.
Le sous-réseau privé a été créé.

Tâche 2.4 : configuration du routage et de la sécurité sur le sous-réseau

Sur la page Détails des réseaux cloud virtuels, cliquez sur le sous-réseau privé.
Cliquez sur Table de routage, qui est une table de routage affectée.
Veillez à ajouter la règle suivante.
- 192.168.0.0/24 - DRG : acheminez le trafic vers Hub-Public-Subnet, qui aura le serveur d'accès OpenVPN vers le DRG.
La partie de routage du sous-réseau Spoke-VCN-1 est terminée. Effectuez maintenant la sécurité. Accédez à la page Détails du sous-réseau et cliquez sur la liste de sécurité affectée.
Veillez à autoriser le trafic entrant.
- Demandes d'écho (trafic ping) à partir de Hub-Public-Subnet (ICMP, type 8). C'est pour tester à la fin.
Assurez-vous d'autoriser tout le trafic sortant.
L'environnement actuel devrait ressembler à ceci.

Tâche 3 : provisionnement d'une machine virtuelle de test (`Target-Instance-1`)

Tâche 3.1 : génération de la paire de clés SSH avec le générateur de clés PuTTY (facultatif)

Remarques :

Nous utilisons PuTTY dans ce tutoriel pour générer des clés SSH et accéder aux machines virtuelles, mais n'hésitez pas à utiliser tout autre outil similaire de votre choix.

Cette opération est nécessaire uniquement si un accès SSH est requis à l'instance. Dans ce tutoriel, nous allons tester la commande uniquement en envoyant une commande ping à l'instance.

Installez PuTTY à partir de cet emplacement : Télécharger PuTTY.
Ouvrez le générateur de clés PuTTY et cliquez sur Générer.
Placez le curseur de la souris sur la zone vide jusqu'à ce que la génération de clé soit terminée.
Cliquez sur Enregistrer la clé privée. Elle sera utilisée lors de l'accès à l'instance.
1. Entrez le nom du fichier de clés privées.
2. Cliquez sur Enregistrer.
Copiez la clé publique et collez-la dans un fichier texte. Nous en avons besoin lors de la création de la machine virtuelle.

Tâche 3.2 : provisionner l'instance de calcul `Target-Instance-1`

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Calculer.
2. Cliquez sur Instances.
Cliquez sur Créer une instance.
Saisissez un nom pour l'instance.
Conservez les paramètres Image et forme par défaut.
Dans Réseau principal, entrez les informations suivantes.
1. Sélectionnez le VCN Spoke-VCN-1.
2. Sélectionnez le sous-réseau privé.
1. Sélectionnez Affecter manuellement une adresse IPv4 privée.
2. Entrez l'adresse IPv4 privée de l'instance 10.1.0.30.
1. Collez la clé publique générée dans la tâche 3.1.
2. Cliquez sur Créer.

Remarque : à l'étape précédente, sélectionnez l'option Aucune clé SSH si vous ne prévoyez pas d'accéder à l'instance.

L'instance de calcul Target-Instance-1 a été créée.
L'environnement actuel devrait ressembler à ceci.

Tâche 4 : configurer le réseau cloud virtuel Hub

Tâche 4.1 : création d'un VCN

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Fonctions de réseau.
2. Cliquez sur Réseaux cloud virtuels.
Cliquez sur Créer VCN.
1. Entrez un nom pour le VCN.
2. Saisissez 192.168.0.0/16 en tant que bloc IPv4 CIDR.
3. Cliquez sur Créer VCN.
Le VCN Hub-VCN a été créé.

Tâche 4.2 : attacher le VCN au DRG

Accédez à la page Détails des réseaux cloud virtuels.
1. Cliquez sur Attachements de passerelle de routage dynamique.
2. Cliquez sur Créer une pièce jointe DRG.
1. Entrer un nom pour la pièce jointe.
2. Sélectionnez Location en cours comme Emplacement DRG.
3. Sélectionnez DRG créé dans la tâche 1.
4. Cliquez sur Créer une pièce jointe DRG.
Le VCN est attaché au DRG.

Tâche 4.3 : création d'une passerelle Internet

Accédez à la page Détails des réseaux cloud virtuels.
1. Cliquez sur Passerelles Internet.
2. Cliquez sur Créer une passerelle Internet.
1. Entrez le nom de la passerelle Internet.
2. Cliquez sur Créer une passerelle Internet.
La passerelle Internet a été créée.

Tâche 4.4 : création d'un sous-réseau public

Sur la page Détails des réseaux cloud virtuels, cliquez sur Créer un sous-réseau.
1. Entrez un nom pour le sous-réseau.
2. Sélectionnez Régional.
3. Saisissez 192.168.0.0/24 en tant que bloc IPv4 CIDR.
1. Sélectionnez Table de routage par défaut dans Table de routage.
2. Sélectionnez Sous-réseau public.
1. Sélectionnez Liste de sécurité par défaut dans Liste de sécurité.
2. Cliquez sur Créer un sous-réseau.
Le sous-réseau public a été créé.

Tâche 4.5 : configuration du routage et de la sécurité sur le sous-réseau

Sur la page Détails des réseaux cloud virtuels, cliquez sur le sous-réseau public.
Cliquez sur Table de routage, qui est une table de routage affectée.
Veillez à ajouter les règles suivantes.
- 0.0.0.0/0 - IGW : pour disposer d'un accès bidirectionnel à Internet, cela est nécessaire pour accéder au serveur OpenVPN public.
- 10.1.0.0/27 - DRG : acheminez vers le DRG le trafic destiné à Spoke-Private-Subnet qui dispose de l'instance de test cible.
Comme nous avons terminé la partie de routage pour le sous-réseau Hub-VCN, assurons la sécurité maintenant. Accédez à la page Détails du sous-réseau et cliquez sur la liste de sécurité affectée.
Veillez à autoriser le trafic entrant lié au serveur d'accès OpenVPN.
- Trafic TCP à partir de anywhere (port 443 et port 943).
- Trafic UDP à partir de anywhere (port 1194).
Assurez-vous d'autoriser tout le trafic sortant.
L'environnement actuel devrait ressembler à ceci.

Tâche 5 : provisionnement et configuration du serveur d'accès OpenVPN

Tâche 5.1 : provisionner OpenVPN à partir de Marketplace

Cliquez sur le menu hamburger (≡) dans le coin supérieur gauche.
1. Cliquez sur Marketplace.
2. Cliquez sur Toutes les applications.
1. Saisissez OpenVPN dans la barre de recherche.
2. Sélectionnez OpenVPN Access Server BYOL.
1. Avec cette image, vous obtiendrez deux connexions simultanées pour FREE.
2. Sélectionnez version.
3. Cliquez sur Lancer l'instance.
Saisissez un nom pour l'instance.
Conservez les paramètres Image et forme par défaut.
Dans Réseau principal, entrez les informations suivantes.
1. Sélectionnez le VCN Hub-VCN.
2. Sélectionnez le sous-réseau public.
1. Sélectionnez Affecter manuellement une adresse IPv4 privée.
2. Entrez 192.168.0.2 en tant qu'adresse IPv4 privée pour l'instance.
3. Sélectionnez Affecter automatiquement une adresse IPv4 publique.
1. Collez la clé publique générée dans la tâche 3.1.
2. Cliquez sur Créer.
L'instance de calcul OpenVPN a été créée.
1. Notez l'adresse IP publique de l'instance.
2. Par défaut, Nom utilisateur est ubuntu. Toutefois, nous ne l'utiliserons pas lors de la connexion à l'instance.

Tâche 5.2 : accès à la machine virtuelle OpenVPN à partir de PuTTY et exécution de la configuration initiale

Ouvrez la configuration PuTTY.
1. Cliquez sur Credentials.
2. Téléchargez la clé privée téléchargée dans la tâche 3.1.
1. Cliquez sur Session.
2. Saisissez les informations suivantes .
  - Nom d'hôte : entrez l'adresse IP publique de l'instance OpenVPN.
  - Type de connexion : sélectionnez SSH.
  - Port : entrez 22.
3. Cliquez sur Ouvrir.
Cliquez sur accepter.
Entrez openvpnas en tant que nom utilisateur.
1. Entrez yes pour accepter les conditions.
2. Appuyez sur Entrée car nous n'avons pas l'intention de disposer de plusieurs serveurs d'accès.
3. Appuyez sur Entrée.
1. Appuyez sur Enter pour sélectionner l'algorithme par défaut (RSA).
2. Appuyez sur Entrée pour sélectionner la taille de la clé par défaut (2048).
3. Appuyez sur Enter pour sélectionner l'algorithme par défaut (RSA).
1. Appuyez sur Entrée pour sélectionner la taille de la clé par défaut (2048).
2. Appuyez sur Entrée pour sélectionner le numéro de port par défaut (943).
3. Appuyez sur Entrée pour sélectionner le numéro de port par défaut (443).
4. Appuyez sur Enter pour confirmer.
5. Appuyez sur Enter pour confirmer.
6. Appuyez sur Enter pour confirmer.
1. Appuyez sur Entrée pour utiliser openvpn comme nom utilisateur par défaut lors de la connexion à l'interface utilisateur d'administration.
2. Remplissez votre nouveau mot de passe et appuyez sur Entrée.
3. Remplissez à nouveau le mot de passe et appuyez sur Entrée.
4. Appuyez sur Entrée.
1. La configuration est terminée.
2. Notez l'URL de l'interface utilisateur d'administration : https://192.168.0.2:943/admin.
3. Notez l'URL de l'interface utilisateur client : https://192.168.0.2:943/.
Remarque : nous allons utiliser l'adresse IP publique pour accéder à l'interface utilisateur d'administration au lieu de l'adresse privée illustrée dans la capture d'écran suivante.

Tâche 5.3 : Configuration de l'accès à distance

Ouvrez un onglet de navigateur.
1. Accédez à l'URL suivante : https://<publicip>/admin. Veillez à remplacer <publicip> par l'adresse IP publique de l'instance OpenVPN que vous avez créée.
2. Cliquez ensuite sur Avancé.
3. Cliquez sur Continuer.
1. Entrez openvpn en tant que nom utilisateur.
2. Saisissez le mot de passe.
3. Cliquez sur Connexion.
Cliquez sur Accepter.
Comme nous l'avons mentionné précédemment, deux connexions VPN gratuites vous sont accordées en même temps.
1. Cliquez sur Configuration.
2. Cliquez sur Paramètres réseau.
3. Entrez l'adresse IP publique de l'instance OpenVPN dans Nom d'hôte ou adresse IP.
4. Cliquez sur Enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
1. Cliquez sur Configuration.
2. Cliquez sur Paramètres VPN.
3. Sous Routage, ajoutez le sous-réseau privé de Spoke-VCN-1 (10.1.0.0/27) auquel nous prévoyons d'accéder via un VPN.
4. Cliquez sur Enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
Configurez votre nom d'utilisateur que vous allez utiliser lors de la connexion au VPN à partir du client OpenVPN sur votre appareil.
1. Cliquez sur User Management.
2. Cliquez sur Autorisations utilisateur.
3. Entrez votre nouveau nom utilisateur.
4. Sélectionnez Autoriser la connexion automatique.
5. Cliquez sur Paramètres supplémentaires.
6. Entrez le mot de passe.
7. Cliquez sur Enregistrer les paramètres.
Cliquez sur Mettre à jour le serveur en cours d'exécution.
Le nom utilisateur a été créé.
Désormais, tous les composants sont provisionnés comme indiqué dans l'architecture et prêts à être testés.

Tâche 6 : Tester et valider

L'image suivante présente le scénario de test que nous voulons terminer.

Tâche 6.1 : installation de OpenVPN Connect

Téléchargez OpenVPN Connectez-vous à votre ordinateur local à partir de l'adresse suivante : OpenVPN Connect for Windows.
1. Exécutez le fichier .msi téléchargé.
2. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
1. Sélectionnez J'accepte les conditions du contrat de licence.
2. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Cliquez sur Installer.
Cliquez sur Fin.

Tâche 6.2 : configurer OpenVPN Connect

Cliquez sur Accepter.
1. Dans Saisir l'adresse du serveur ou l'ID cloud, entrez l'adresse IP publique du serveur OpenVPN en tant que https://<publicip>.
2. Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.
Cliquez sur accepter.
Dans Importer un profil, utilisez les informations de profil que vous avez fournies dans la tâche 5.3.
1. Entrez le nom utilisateur.
2. Entrez le mot de passe.
3. Le champ Nom de profil est renseigné automatiquement.
4. Sélectionnez Importer le profil de connexion automatique.
5. Sélectionnez Connexion après l'import.
6. Conseil : par défaut, le portlet Jeu de transport - Services d'import est situé dans l'onglet Portail de l'onglet Administrer de la page Portal Builder.
1. Vous êtes maintenant CONNECTÉ.
2. Notez que vous serez déconnecté d'Internet lorsque vous serez connecté via VPN.

Tâche 6.3 : envoyer un ping à l'instance `Target-Instance-1`

Envoyez une commande ping à Target-Instance-1 (10.1.0.30). Comme vous le voyez, le test a réussi.
Désactivez le VPN lorsque vous avez terminé les tests.
Cliquez sur Confirmer.
Vous êtes maintenant DISCONNECTED.
Si vous essayez de ping à nouveau, vous remarquerez que le ping échoue.
Si vous consultez les journaux de sous-réseau satellite, vous pouvez voir le trafic provenant de OpenVPN (192.168.0.2) vers Target-Instance-1 (10.1.0.30) et la réponse renvoyée.

Etapes suivantes

Dans la deuxième partie du tutoriel Configuration de OpenVPN pour l'accès distant dans plusieurs régions sur Oracle Cloud Infrastructure, nous allons étendre la même configuration pour inclure une autre région que nous allons connecter à l'aide d'une connexion d'appairage à distance. Vous utiliserez le même serveur d'accès OpenVPN pour vous connecter aux ressources de la nouvelle région de récupération après sinistre après avoir configuré la configuration réseau requise.

Remerciements

Auteur : Anas abdallah (spécialiste du réseau cloud)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur docs.oracle.com/learn ou accédez à d'autres contenus de formation gratuits sur le canal Oracle Learning YouTube. De plus, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation produit, consultez le site Oracle Help Center.

Informations relatives au titre et au copyright

Set up OpenVPN for Remote Access in a Single Region on Oracle Cloud Infrastructure

G27740-02