Artica MetaLa console Globale de supervision

de serveurs d'infrastructure.

Connexions VPN client/serveur et Sites à Sites

Révision Du 23 Janvier 2011

Table des matières

Introduction : .................................................................................................................................................3Historique du projet :.................................................................................................................................................................3A qui s'adresse Artica Meta ?.....................................................................................................................................................3

Une console multiple-serveurs, multiple-entreprises Internet/Intranet.....................................................................................3Dans les nuages (cloud).............................................................................................................................................................3Multiples comptes......................................................................................................................................................................3

Sécurité et authentification............................................................................................................................................................3

Architectures.................................................................................................................................................................................. 4Architecture WAN.....................................................................................................................................................................4Architecture LAN......................................................................................................................................................................4

Maintenance et surveillance..........................................................................................................................................................5Applications Web et systèmes :..................................................................................................................................................5Applications de messagerie :......................................................................................................................................................5Applications de communication :...............................................................................................................................................5Applications de partage de fichiers :..........................................................................................................................................5Applications de proxy :..............................................................................................................................................................5

Administration d'un parc VPN via Artica Meta...........................................................................................6

A) Clients distants au serveur VPN :............................................................................................................................................6Activation du serveur VPN........................................................................................................................................................7Configuration du poste client Windows VPN.............................................................................................................................9Installation du client VPN sur Windows..................................................................................................................................10Routage des points distants......................................................................................................................................................11

Comment remédier au problème des deux points distants avec la même tranche IP ?........................................................11Mise en place du routage dans Artica Meta..............................................................................................................................12

B) Réseaux VPN sites à sites........................................................................................................................................................13Principe de base.......................................................................................................................................................................13Ajouter un site distant..............................................................................................................................................................14Autoriser à traverser le site distant...........................................................................................................................................16Routages additionnels..............................................................................................................................................................17État des sites distants...............................................................................................................................................................17Faire tout communiquer...........................................................................................................................................................17

Introduction :

Historique du projet :

Artica Meta est la consécration du projet Open Source « Artica ».Le projet Open Source Artica est né en Janvier 2004.Le projet Artica a pour but de valoriser les fonctionnalités offertes par la plate-forme Linux à travers une console d'administration locale installée sur le serveur Linux.Cette console permettant alors de configurer un serveur Linux sans connaissances Unix particulières.Artica propose alors la gestion de la messagerie, du partage de fichiers, des accès VPN, du proxy Internet avec les sécurités qui s'imposent comme l'anti-Spam, l'antivirus et le contrôle des sites web.

Artica Meta est né en Décembre 2010.

Cette console d'administration a pour but de fédérer, centraliser, surveiller les serveurs d'infrastructure Artica de façon locale où à travers Internet.

A qui s'adresse Artica Meta ?

Cette console d'administration s'adresse tout particulièrement aux SSI qui offrent des services d'infogérance et de maintient à distance de plusieurs parcs informatiques.Étant donné quelle permet la création d'organisations hermétiques, elle s'adapte tout à fait à ce type d'infrastructure.Bien entendu, elle s'adresse aussi aux architectures qui s'en rapproche telles que les GIE et entreprises multi-sites.

Une console multiple-serveurs, multiple-entreprises Internet/Intranet

Dans les nuages (cloud)

Artica Meta est une console « passive ». C'est à dire qu'elle n'est pas incitatrice des communications.Les serveurs Artica se connectent à fréquence régulière sur le port Web de la console afin d'éditer leurs états et de récupérer les tâches à effectuer localement.Fort de cette méthode de communication et utilisant uniquement les ports du moteur Web qui la supporte (Apache, lighttpd...), elle peut s'implémenter sur un serveur WAN disponible sur Internet en IP publique.Le SSL pouvant s'implémenter de façon standard, elle assure la sécurité et la protection des données émises par les serveurs clients.Toutefois, cette architecture peut être implantée dans un réseau local LAN où les communications sont alors

uniquement localisées dans le réseau intranet de l'entreprise.

Multiples comptes

Lors de l'authentification à la console, les serveurs utilisent un numéro de série.Ce numéro de série ne doit pas rappeler un numéro de « licence ». C'est un identifiant unique permettant d'affecter les serveurs clients à une organisation.Ainsi, il est possible de créer plusieurs organisations qui vont hermétiquement regrouper des « grappes » de serveurs.Chaque organisation dispose de comptes administrateurs qui peuvent disposer de droits spécifiques sur l' infrastructure.

Sécurité et authentificationLorsque un serveur Artica se connecte sur la console afin d'envoyer son état et de récupérer les ordres à effectuer localement, il subit une vérification d'un triplet de jetons uniques.– Le numéro de série « entreprise »– Le compte du certificateur.– Le mot de passe du certificateur.

Si l'un des triplet n'est pas authentifié, la communication est rejeté par la console globale de management.

Architectures

Architecture WAN

L'architecture WAN permet d'installer la console de supervision en DMZ ou sur un serveur en IP publique.Des serveurs hébergés par des entreprises qui n'ont aucun rapport entre elles seront configurés afin de se connecter à fréquence régulière sur le point publique.

Architecture LAN

L'architecture LAN pour Artica Meta n'est pas très différente de l'architecture WAN, on considère simplement que la console est hébergée dans le réseau de l'entreprise en DMZ ou bien directement dans le réseau local.

Maintenance et surveillance.

La console de supervision assure un premier niveau de surveillance qui est celui des systèmes Linux que supportent Artica tels que Ubuntu, RedHat, Centos, Debian, Mandriva, OpenSuse 32/64 bits(les plans de développement devraient annoncer le support de Microsoft Windows 2008 server core).

Elle s'attarde alors sur • Les charges machines, • Les capacités de stockage tels que les disques durs et mémoires.• Le maintient des systèmes (patchs et mises à jour logiciels)

Elle assure aussi l'installation et la surveillance des principaux logiciels « mode démon » libres suivants :

Applications Web et systèmes :

• Apache• pure-ftpd• VirtualBox• Mysql

Applications de messagerie :

• Postfix• Spamassassin• Kaspersky For Linux File server• Kaspersky Anti-Spam gateway• amavisd-new• milter-greylist• ClamAV• Zarafa• cyrus-imap

Applications de communication :

• OpenVPN

Applications de partage de fichiers :

• Samba• gluster

Applications de proxy :

• Squid• SquidClamav• Kaspersky For Proxy server• DansGuardian• squidGuard• UfdbGuard• C-icap.

Administration d'un parc VPN via Artica MetaArtica Meta est capable de construire un Parc VPN en partant de 0.

La console d'administration permet de fabriquer 2 types de réseaux VPN. Un réseau pour les postes des travail Nomades qui souhaitent accéder aux ressources de l'entreprise et un réseau de site à sites permettant d'interconnecter deux réseaux à travers Internet.

A) Clients distants au serveur VPN :C'est le cas le plus classique : Offrir aux postes distants l'accès au réseau de l'entreprise via Internet.

La mise en place de cette plate-forme est assez simple en soi :

L'entreprise dispose d'un pare-feu et devra faire une règle NAT sur le serveur Artica sur le port 1194 UDP (le port et le protocole sont modifiables).Un client VPN est installé sur chaque poste distant.Ce client VPN sera en charge de se connecter sur le port spécifié et d'établir la liaison sécurisée vers le réseau de l'entreprise.

Des clients VPN sont disponibles à cette adresse :https://community.openvpn.net/openvpn/wiki/RelatedProjects toutefois la console Artica Meta vous propose déjà le téléchargement d'un client VPN mais rien en vous empêche d'en choisir un plus approprié sur le site OpenVPN.

Activation du serveur VPN

Dans le menu de gauche, choisir l'option OpenVPN.Un tableau s'affiche vous permettant de visualiser les serveurs qui disposent du logiciel OpenVPN.

Il affiche sur la gauche, un icône avec deux états :• Un rond vert indique que le mode serveur est activé.• Un rond gris indique que le logiciel serveur OpenVPN est présent sur la machine mais n'est pas activé.

Cliquez sur le serveur qui deviendra serveur VPN.

Une fois dans la section OpenVPN du serveur, choisissez l'onglet «paramètres serveur »

Vous pouvez prendre les valeur par défaut. Pour une construction rapide, cochez simplement la case : Activer le mode serveur.

Sinon indiquez le port d'écoute et le protocole du serveur VPN (ce port devra disposer d'une règle de NAT sur le pare-feu afin que les postes et serveurs distants puissent communiquer).

Indiquer l'adresse IP publique de votre routeur qui effectue la règle de NAT et le port ouvert sur votre pare-feu. Ce paramètre permettra au serveur distant de construire les fichiers de configuration pour les postes clients.

Vous pouvez indiquer un nom DNS dans le champs.Faites attention aux ports car ils sont nécessaires pour la bonne construction des connexions VPN.

« Par exemple, si vous décidez que pour atteindre le serveur VPN il faudra utiliser host.company.com:80 et que vous avez un règle NAT qui transfert les échanges du port 80 vers le port 9985 du serveur VPN Artica, indiquez bien dans la partie Adresse IP publique host.company.com et 80 dans port puis, dans le champs port d'écoute, la valeur 9985. »

Indiquez un mot de passe qui est une sécurité supplémentaire permettant de générer le certificat SSL.

Attention, changer les paramètres dans la section serveur et clients, fait reconstruire les certificats du serveur distant et les scripts clients. Il faudra alors que vos utilisateurs récupèrent les scripts de configuration à nouveau. En faites, Ces paramètres ne sont pas prévus pour être changés tout le temps.

Configuration du poste client Windows VPN

Lorsque le serveur distant Artica effectue des changements fondamentaux des ses paramètres, il construit automatiquement un fichier zip pour chaque utilisateur référencé dans sa base et les envoient à la console globale de management.

Attention, changer les paramètres dans la section serveur et clients, fait reconstruire les certificats du serveur distant et les scripts clients. Il faudra alors que vos utilisateurs récupèrent les scripts de configuration à nouveau. En faites, Ces paramètres ne sont pas prévus pour être changés tout le temps.

Après l'application des paramètres, le serveur distant va envoyer les fichiers de paramètres client à la console d'administration.

Dans l'onglet « scripts clients » vous trouverez au bout de quelques minutes un tableau des utilisateurs VPN locaux qui appartiennent au serveur que vous avez choisi.

Dans ce tableau, vous avez deux liens de téléchargements :• La flèche verte vous permet de télécharger les fichiers de configuration pour chaque utilisateur.• Le lien « client » vous permet de télécharger le programme d'installation du client VPN pour Microsoft Windows.

Logiciel que vous devrez installer sur chaque poste de travail que fera l'objet d'un accès VPN.

Si vous voulez connecter un nouveau client Windows, voici la procédure :Téléchargez les deux liens correspondants.

Installation du client VPN sur Windows

Exécutez le programme d'installation sur le poste client.

En faites, il n'y a pas grand choses à faire, les valeurs par défaut de l'installation sont les plus efficaces.

Nous admettrons que vous placez les fichiers du client VPN dans C:\program Files\OpenVPN

L'installation effectuée, décompressez le fichier zip téléchargé à l'aide de la flèche verte sur Artica Meta dans :

C:\program Files\OpenVPN\Config

Une fois les fichiers décompressés, à l'aide du clique droit de la souris et sur l'icône à côté de l'horloge situé en bas à droite , choisissez dans le menu contextuel « le nom de l'utilisateur »/connect

Si la connexion est un succès, le client devrait vous afficher dans sa console d'évènements la nouvelle adresse du serveur et l'état de connexion.

Le poste client se verra attribué une adresse IP définie dans la tranche spécifiée parArtica Meta au niveau de la configuration des postes clients.

Cette configuration, telle qu'elle est précisée permet uniquement à une poste distant de se connecter au serveur Artica.

Dans certains cas, le serveur Artica, aussi serveur VPN assure des services tels que la messagerie/Webmail, groupwares ou serveur de fichiers. Ceci, permettant aux utilisateurs distants d'accéder aux principaux services.

« Toutefois il peut être intéressant d'offrir la possibilité aux utilisateurs distants de pouvoir communiquer avec les autres ordinateurs du réseau local.Ils pourront ainsi utiliser des ressources disponibles autour du serveur Artica VPN comme par exemple une imprimante, un stockage de fichiers et/ou une application métier. »

Nous allons approfondir, dans le paragraphe suivant, le routage d'un client VPN distant vers les ordinateurs du réseau local.

Routage des points distants

Pour que les équipements distants puissent discuter avec le réseau local, il faut s'assurer que les tranches d'adresses accordées ne soient pas identiques.

On retrouve bien souvent ce problème lorsque l'on souhaite connecter un salarié en « télétravail » dans une entreprise qui utilise les paramètres par défaut des routeurs ADSL.

Plus précisément, prenons le cas de Orange dont les LiveBox Pro proposent un DHCP en 192.168.1.0/255.255.255.0 et les LiveBox « personnelles » proposent elles aussi la même tranche IP.

Forcer un routage de la tranche 192.168.1.0/255.255.255.0 vers l'entreprise n'a pas de sens en soi. Le poste distant se verra adresser 2 passerelles qui on la même tranche d'adresses (laquelle prendre?)

Comment remédier au problème des deux points distants avec la même tranche IP ?

Il existe deux solutions :

Nouvelle tranche pour les serveurs de ressources :

Ce que l'on souhaite c'est que les postes de travail connectés en VPN puissent accéder à des ressources partagées (les postes des autres utilisateurs n'ont que peu d'intérêts)

On peut dans ce cas, séparer les serveurs de ressources et les placer dans une tranche d'adresses dédiée. Cette tranche sera connue des postes du réseau local et aussi des postes connectés en VPN.

Si cette opération est trop lourde à mettre en place, il suffit alors de rajouter des cartes réseaux « virtuelles » avec cette nouvelle tranche.

Les postes locaux utiliseront alors la tranche réseau traditionnelle alors que les postes VPN utiliseront la nouvelle tranche réseau adressée par les cartes virtuelles.

Forcer tout le routage vers le VPN

Cette technique consiste à indiquer la tranche 0.0.0.0/0.0.0.0 aux postes distants ainsi cela oblige le poste distant à passer par le réseau VPN pour l'ensemble des adresses réseaux.

Cette technique dispose toutefois d'un point négatif. En effet l'utilisateur ne pourra pas utiliser sont réseau local pour accéder à ses ressources personnelles.

Par exemple, s'il souhaite « surfer » sur Internet, il passera automatiquement par le VPN et les équipements de l'entreprise

Mise en place du routage dans Artica Meta

La mise en place des règles de routage pour les clients VPN est assez simple à mettre en œuvre.

Cliquez dans la section « routages additionnels »

Dans cette section vous êtes en mesure d'indiquer les tranches d'adresses de votre réseau interne qui seront alors redirigées vers le réseau VPN.

Indiquez l'adresse IP avec un 0 à la fin comme 10.10.1.0 et le masque de réseau comme 255.255.255.224 et cliquez sur le bouton « ajouter »

Si vous voulez forcer le client distant à passer toutes ses connections vers le VPN indiquez uniquement 0.0.0.0 comme adresse et 0.0.0.0 comme masque de réseau.

Lorsque le serveur Artica VPN distant va accepter le changement de configuration VPN, celui va redémarrer ses services. Les sessions VPN seront alors coupées un court instant.Les utilisateurs distants devront alors arrêter le VPN et le redémarrer si ils veulent obtenir les nouveaux paramètres de routage.

B) Réseaux VPN sites à sitesC'est le cas qui devient de plus en plus demandé : Interconnecter des sites ADSL entre eux à travers Internet afin d'en faire une entité unique et fusionnée.

Aujourd'hui, les connections ADSL sont de plus en plus nombreuses et offrent une bande passante de plus en plus importante.Interconnecter des sites ADSL en VPN permet de s'abroger des lignes « louées » beaucoup plus coûteuses à mettre en place.

Artica Meta permet de facilement interconnecter des sites distants en VPN le plus simplement possible sans connaissances particulières.

Ce qui diffère d'un réseau VPN clients/serveur, dans cette architecture, c'est qu'il s'agit d'interconnecter des serveurs Artica OpenVPN entre eux.

Ces serveurs Artica interconnectés seront des passerelles permettant de lier les réseaux locaux aux réseaux distants.

Lorsqu'un poste de travail souhaite communiquer avec un autre poste de travail situé dans un réseau distant, il s'adressera d'abord à son serveur VPN qui sera en charge de transférer les paquets réseaux vers un autre serveur VPN distant approprié.

De la même façon que pour connecter un poste de travail distant, il faut s'assurer que l'adressage des différents réseaux ne soient pas identiques.

Veillez à vérifier qu'aucun réseau distant ne dispose du même adressage.

Principe de base

Le principe d'inter-connections de plusieurs réseaux s'effectue à l'aide d'un serveur Artica que l'on choisira comme « concentrateur »

Ce serveur sera le point d'accroche de tous les autres sites distants. On peut alors parler d'architecture en « étoile »

Cette architecture dispose d'un avantage important :

Seul le « concentrateur » doit faire l'oeuvre d'une règle de NAT sur la pare-feu est dispose d'un port ouvert sur Internet.Il n'est par conséquent pas possible de se connecter sur les sites distants en direct.

L'inconvénient majeur est que ce concentrateur reste le « tallon d'achille » du réseau.S'il le serveur vient à être indisponible, c'est l'ensemble du parc qui est impacté !

Ajouter un site distant

Pour ajouter un site distant sélectionnez le serveur VPN qui servira de « concentrateur ».

• Pour se faire, cliquez dans le menu de gauche sur Réseau & Cartes réseau / OpenVPN• Sur la partie de droite cliquez sur l'onglet « Sites distants »• Cliquez sur le rond vert qui représente une croix.

• Un nouveau formulaire d'ajout va s'afficher.• À l'aide du bouton « parcourir.. » sélectionnez le serveur Artica OpenVPN du site distant que vous souhaitez raccrocher

au serveur « concentrateur »• Indiquez la tranche IP principale du site distant.• Cliquez sur le bouton « ajouter »

Remarquez que la croix de suppression n'est pas ajoutée à côté du site distant rajouté.En effet, pour supprimer le site distant, vous devez attendre que le serveur Artica réplique correctement l'information depuis Artica Meta.Une fois que le serveur Artica distant à accusé réception, la croix rouge s'affichera.Pour rappel, le serveur distant, vérifie ses tâches sur la console globale par défaut toutes les 15 minutes

Vous pouvez « forcer » la synchronisation en cliquant sur le lien en bas à droite.Cette opération ajoute un ordre pour le concentrateur d'exporter les configurations clients et sites distants à la console globale de management.

Lors d'une synchronisation, les données du serveur distant sont prioritaires à celles de la console globale de management.

Si le concentrateur à accepté l'ajout ou la modification des paramètres du site distant, il va générer les scripts client et les envoyer à la console Artica Meta.

Vous serez en mesure de pouvoir télécharger ces scripts avec l'icon Winzip qui s'affiche que si les scripts client ont étés envoyés par le concentrateur.

Lorsque les scripts sont envoyés par le concentrateur, Artica Meta va vérifier si ce script est à destination d'un serveur qui est managé.Si le script correspond à un serveur managé, Artica Meta va généré un ordre automatique au serveur Artica du site distant afin qu'il le télécharge et l'applique localement.Le site distant établira alors une session VPN sur le concentrateur de façon automatique.

Vous pouvez « forcer » cette opération afin de générer vous même un ordre de téléchargement au serveur VPN du site distant.Il suffit alors de cliquer sur l'icône correspondant représentant un dossier avec deux flèches rouges.

Autoriser à traverser le site distant

Cette première opération de réplication permet d'interconnecter les serveurs entre eux. Toutefois une opération reste à faire afin que l'on puisse « traverser » le serveur VPN du site distant pour atteindre les éventuels systèmes informatique situé dans son réseau local.

Si les réplications entre le site distant et Artica Meta se sont correctement effectuées, dans les paramètres du site distant, un nouveau formulaire s'affiche.Ce formulaire vous permet de choisir l'interface réseau du serveur sur le site distant.Si vous choisissez une interface réseau, alors une règle va se créer sur le site distant afin d'autoriser les connexions VPN à utiliser l'interface pour atteindre les équipements sur le site distant.

Routages additionnels

Le serveur VPN distant reçoit les routes qui sont définies par le serveur VPN.Sans doutes que le serveur VPN ne connais pas toutes les routes IP disponibles pour atteindre des réseaux.

Dans les propriétés du site distant, en dessous de « routages » additionnels, vous trouverez les routes

Notez que vous ne pouvez pas supprimer un routage qui à été défini par le serveur VPN concentrateur. C'est la raison pour laquelle sur certaines routes, vous n'avez pas la possibilité de les supprimer.

Avec l'icône « plus » vous pouvez ajouter une route supplémentaire.Cette route sera alors envoyée au site distant et son VPN redémarrera avec la nouvelle route ajoutée.

État des sites distants

lorsque le site distant a pris en compte les paramètres il va envoyer l'état de ses services à la console globale de management.

Dans la section OpenVPN, en cliquant sur « sites distants » vous devriez voir apparaître les noms des sites ainsi que leur temps de vie en mémoire.

Faire tout communiquer.

Il reste une dernière chose à effectuer mais Artica ne pourra pas gérer cette opération (sauf dans le cas ou vous utilisez un Artica serveur en temps que serveur DHCP)Il va falloir communiquer à tous vos postes de travail ou systèmes informatiques (par l'intermédiaire de votre serveur DHCP ou bien de votre routeur) toutes les routes nécessaires pour atteindre les différents sites distants.

Chaque réseau d'un site distant devra avoir comme passerelle son serveur Artica VPN (y compris pour le « concentrateur »)