๐ FICHE DE COURS รLรVEโ๏ธ
"VPN ยท Tunnelisation ยท Site-ร -Site ยท Nomade ยท Protocoles"โ๏ธ
Version 1.0 โ BTS SIO SISR โ Annรฉe 1 โ Semaine 14
PARTIE II โ Le VPN : Concept et Tunnelisationโ๏ธ
II.A. Dรฉfinitionโ๏ธ
VPN = Virtual Private Network โ Rรฉseau Privรฉ Virtuel
๐ Texte
DรFINITION OPรRATIONNELLE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Un VPN est une connexion sรฉcurisรฉe et chiffrรฉe
รฉtablie sur un rรฉseau public (Internet)
simulant une liaison rรฉseau privรฉe dรฉdiรฉe.
TROIS PROPRIรTรS FONDAMENTALES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ CONFIDENTIALITร : Le trafic est chiffrรฉ (AES-256)
โ Illisible pour un observateur sur le trajet
โก AUTHENTIFICATION : Les deux extrรฉmitรฉs sont vรฉrifiรฉes
โ Certificats X.509 ou clรฉ prรฉ-partagรฉe (PSK)
โ Impossible de se connecter sans les bonnes credentials
โข INTรGRITร : Les donnรฉes ne peuvent pas รชtre modifiรฉes
โ HMAC-SHA256/384 vรฉrifie chaque paquet
โ Un paquet altรฉrรฉ est dรฉtectรฉ et rejetรฉ
CE QU'UN VPN N'EST PAS
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Un VPN n'anonymise pas complรจtement (le fournisseur VPN voit)
โ Un VPN commercial (NordVPN, ProtonVPN) โ VPN d'entreprise
(usages totalement diffรฉrents)
โ Un VPN ne protรจge pas des malwares sur votre machine
โ Un VPN ne remplace pas HTTPS (couches complรฉmentaires)
II.B. La Tunnelisation : Principe Techniqueโ๏ธ
๐ Texte
CONCEPT DE TUNNELISATION (Encapsulation)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
SANS VPN : Paquet IP classique
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ En-tรชte IP โ En-tรชte TCP โ Donnรฉes (HTTP...) โ
โ Src: 192.168.1.10 โ โ
โ Dst: 10.0.0.5 (intranet) โ GET /fichier.xlsx โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Visible sur Internet, routeurs intermรฉdiaires lisent tout
AVEC VPN : Paquet encapsulรฉ et chiffrรฉ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ En-tรชte IP EXTERNE โ En-tรชte VPN โ PAQUET CHIFFRร โ
โ Src: 82.64.12.5 โ (IPsec/UDP) โ โโโโโโโโโโโโโโโโโโโโ โ
โ Dst: 51.75.88.3 โ โ (paquet original cachรฉ)โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ โ
Adresse IP PUBLIQUE Tout le contenu
(visible sur Internet) est chiffrรฉ ici
CE QUI SE PASSE CรTร RรSEAU
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Machine cliente Serveur VPN
192.168.1.10 (IP privรฉe) 51.75.88.3 (IP publique)
โ โ
โ Encapsulation + Chiffrement โ
โ [IP externe: 82.64.12.5โ51.75.88.3]โ
โ [Contenu chiffrรฉ AES-256] โ
โโโโโโโโโ INTERNET PUBLIC โโโโโโโโโโโโโโบ
โ (routeurs voient seulement โ
โ l'IP externe, pas le contenu)โ
โ
Dรฉcapsulation
Dรฉchiffrement
โ
Rรฉseau interne
10.0.0.0/24
(intranet, fichiers...)
NOTION D'INTERFACE VIRTUELLE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Le client VPN crรฉe une interface rรฉseau virtuelle (tun0/tap0) :
โ Interface physique : eth0 (192.168.1.10) โ vers box/routeur
โ Interface VPN : tun0 (10.8.0.2) โ vers rรฉseau interne VPN
Tout le trafic vers le rรฉseau interne passe par tun0
โ Encapsulรฉ, chiffrรฉ, envoyรฉ via eth0 vers le serveur VPN
PARTIE III โ Types de VPNโ๏ธ
III.A. VPN Site-ร -Siteโ๏ธ
๐ Texte
VPN SITE-ร-SITE (LAN-to-LAN)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
DรFINITION
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Tunnel VPN PERMANENT entre deux (ou plusieurs) rรฉseaux locaux.
รtabli entre les รฉquipements de bordure (routeurs, firewalls).
TRANSPARENT pour les utilisateurs (ils ne savent pas qu'il y a un VPN).
TOPOLOGIE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
SITE PARIS (Siรจge) SITE LYON (Agence)
โโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโ
Rรฉseau : 10.1.0.0/24 Rรฉseau : 10.2.0.0/24
Serveur fichiers : 10.1.0.10 Postes de travail
Serveur intranet : 10.1.0.20 Imprimantes
โ โ
โโโโโโโผโโโโโโโ โโโโโโโผโโโโโโโ
โ Firewall โ โ Firewall โ
โ pfSense โ TUNNEL VPN โ pfSense โ
โ Paris โโโโโโโโโโโโโโโโโโโโค Lyon โ
โ IP pub: โ (IPsec/IKEv2) โ IP pub: โ
โ 82.64.12.5 โ โ 91.23.45.6 โ
โโโโโโโโโโโโโโ โโโโโโโโโโโโโโ
โ โ
Internet โโโโโโโโโโโโโโโโโโโโโโโโโ Internet
Rรฉsultat : Un poste de Lyon (10.2.0.5) peut accรฉder
au serveur Paris (10.1.0.10) comme s'ils
รฉtaient sur le mรชme rรฉseau local.
CAS D'USAGE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Entreprise multi-sites (siรจge + agences + filiales)
โ Interconnexion de datacenters
โ Partenariats B2B (accรจs contrรดlรฉ aux ressources partagรฉes)
CARACTรRISTIQUES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ
Transparent pour les utilisateurs (pas de client VPN)
โ
Connexion permanente (toujours disponible)
โ
Haut dรฉbit possible (dรฉbit dรฉpend de l'Internet)
โ
Gestion centralisรฉe (sur les รฉquipements rรฉseau)
โ Moins flexible (fixรฉ entre des sites prรฉdรฉfinis)
โ Nรฉcessite des รฉquipements compatibles des deux cรดtรฉs
โ Si le tunnel tombe โ Communication inter-sites interrompue
III.B. VPN Nomade (Remote Access)โ๏ธ
๐ Texte
VPN NOMADE / ACCรS DISTANT (Remote Access VPN)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
DรFINITION
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Connexion ร la demande entre un CLIENT individuel (poste nomade)
et le rรฉseau de l'entreprise.
Nรฉcessite un CLIENT VPN installรฉ sur le poste de l'utilisateur.
TOPOLOGIE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Commercial en dรฉplacement Rรฉseau entreprise
โโโโโโโโโโโโโโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโ
Hรดtel, gare, domicile 10.0.0.0/16
IP publique dynamique Serveur fichiers, ERP, email
โ โ
โโโโโโโผโโโโโโโ โโโโโโโโโโผโโโโโโโ
โ Client VPN โ โ Serveur VPN โ
โ (OpenVPN, โ โโโ TUNNEL VPN โโโโบ โ (Concentrateurโ
โ WireGuard,โ (ร la demande) โ VPN) โ
โ FortiVPN) โ โ IP pub: โ
โ IP VPN: โ โ 51.75.88.3 โ
โ 10.8.0.5 โ โโโโโโโโโโโโโโโโโ
โโโโโโโโโโโโโโ
Une fois connectรฉ : Le poste du commercial obtient une IP
dans le rรฉseau VPN (10.8.0.5) et peut accรฉder ร tous
les services internes comme s'il รฉtait au bureau.
CAS D'USAGE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Tรฉlรฉtravail (accรจs intranet, ERP, fichiers depuis domicile)
โ Commerciaux / Techniciens en dรฉplacement
โ Prestataires externes (accรจs limitรฉ et contrรดlรฉ)
โ Administration de serveurs depuis l'extรฉrieur (sysadmins)
CARACTรRISTIQUES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ
Trรจs flexible (depuis n'importe quel rรฉseau)
โ
Authentification forte par utilisateur (MFA possible)
โ
Politique par utilisateur (segmentation des accรจs)
โ
Connexion ร la demande (pas de ressources consommรฉes en permanence)
โ Nรฉcessite un client VPN sur chaque poste
โ Dรฉpend de l'Internet de l'utilisateur
โ Scalabilitรฉ : Plus d'utilisateurs = Plus de ressources serveur
COMPARAISON SITE-ร-SITE vs NOMADE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Site-ร -Site โ Nomade
โโโโโโโโโโโโโโโโโโโโผโโโโโโโโโโโโโโโโโโโผโโโโโโโโโโโโโโโโโโโ
รtabli entre โ Rรฉseaux entiers โ Poste โ Rรฉseau
Initiรฉ par โ รquipement rรฉseauโ Utilisateur
Durรฉe โ Permanent โ ร la demande
Client requis โ Non (transparent)โ Oui (logiciel)
Authentification โ Certificat/PSK โ Utilisateur/Cert
Cas d'usage โ Multi-sites โ Tรฉlรฉtravail
PARTIE IV โ Protocoles VPNโ๏ธ
IV.A. IPsec (Internet Protocol Security)โ๏ธ
๐ Texte
IPsec โ LE STANDARD HISTORIQUE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Protocole : Couche 3 (Rรฉseau) โ Intรฉgrรฉ dans le protocole IP
Standard : RFC 4301 (IETF) โ Utilisรฉ depuis 1995
DEUX MODES DE FONCTIONNEMENT
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
MODE TRANSPORT
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Seul le payload IP est chiffrรฉ.
L'en-tรชte IP reste en clair.
โ Usage : Chiffrement bout en bout entre 2 hรดtes
MODE TUNNEL (plus courant)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Le paquet IP entier est encapsulรฉ dans un nouveau paquet.
โ Usage : VPN Site-ร -Site (entre les firewalls/routeurs)
DEUX PROTOCOLES COMPOSANTS
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
AH (Authentication Header)
โ Intรฉgritรฉ + Authentification SANS chiffrement (rare)
ESP (Encapsulating Security Payload)
โ Intรฉgritรฉ + Authentification + CHIFFREMENT (standard)
โ C'est ESP qu'on utilise toujours en pratique
IKE / IKEv2 (รchange de clรฉs)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Internet Key Exchange : Protocole d'รฉtablissement du tunnel
โ Phase 1 : Authentification des deux parties (certificats ou PSK)
โ Phase 2 : Nรฉgociation des algorithmes + รฉchange de clรฉ DH
โ รtablit les SA (Security Associations) : paramรจtres du tunnel
SUITES CRYPTOGRAPHIQUES IPsec RECOMMANDรES (2025)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
IKEv2 + ECDH P-256 + AES-256-GCM + SHA-384
โ Suite 4 (RFC 8221) โ Standard moderne
IV.B. OpenVPNโ๏ธ
๐ Texte
OpenVPN โ LE STANDARD OPEN SOURCE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Protocole : Couche applicative (UDP ou TCP port 443/1194)
License : Open Source (GPL)
Support : Windows, macOS, Linux, Android, iOS, routeurs
FONCTIONNEMENT
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Utilise TLS pour l'authentification et l'รฉchange de clรฉ
โ Certificats X.509 (PKI) ou PSK pour l'authentification
โ AES-256-GCM pour le chiffrement des donnรฉes
โ Interface tun (routage L3) ou tap (bridge L2)
AVANTAGES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ
Port 443/UDP = Traverse presque tous les firewalls et proxys
โ
Open source = Auditable, pas de backdoor possible (theoretically)
โ
Trรจs flexible (authentification cert + login/MDP + 2FA)
โ
Communautรฉ large, documentation abondante
โ
Fonctionne sur tout
INCONVรNIENTS
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Plus lent que WireGuard (userspace, overhead TLS)
โ Configuration complexe (PKI requise)
โ Protocole "vieillissant" (conรงu dans les annรฉes 2000)
FICHIER DE CONFIG TYPIQUE (client)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
# /etc/openvpn/client.conf
client
dev tun
proto udp
remote vpn.entreprise.fr 1194
ca ca.crt # Certificat Root CA (S13)
cert client.crt # Certificat client
key client.key # Clรฉ privรฉe client
cipher AES-256-GCM
auth SHA256
tls-version-min 1.2
verb 3
IV.C. WireGuardโ๏ธ
๐ Texte
WireGuard โ LE NOUVEAU STANDARD
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Crรฉรฉ par : Jason Donenfeld (2018)
Protocole : Couche rรฉseau (UDP uniquement)
Code source : ~4 000 lignes (vs ~70 000 pour OpenVPN)
INNOVATION PRINCIPALE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Cryptographie moderne, fixe et non nรฉgociable :
ECDH X25519 (รฉchange de clรฉ)
ChaCha20-Poly1305 (chiffrement + auth)
BLAKE2s (hash)
Curve25519 (signatures)
โ Aucune nรฉgociation de suite crypto โ Moins d'erreurs de config
โ Code minimal โ Surface d'attaque rรฉduite โ Facilement auditable
AVANTAGES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ
Trรจs rapide (2-3ร plus rapide qu'OpenVPN, proche de l'overhead nul)
โ
Trรจs simple ร configurer (quelques lignes)
โ
Intรฉgrรฉ dans le noyau Linux 5.6+ (pas de dรฉpendance)
โ
Reconnexion instantanรฉe (roaming : changer de Wi-Fi โ tunnel maintenu)
โ
Moderne (ED25519, X25519, ChaCha20)
INCONVรNIENTS
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ UDP uniquement โ Bloquรฉ par certains rรฉseaux restrictifs
โ Moins de fonctionnalitรฉs (pas de TCP, routage moins flexible)
โ Jeune (moins de recul sur la sรฉcuritรฉ ร long terme)
CONFIGURATION WIREGUARD (serveur)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
# /etc/wireguard/wg0.conf (serveur)
[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <clรฉ privรฉe du serveur>
[Peer]
# Client : Alice
PublicKey = <clรฉ publique d'Alice>
AllowedIPs = 10.8.0.2/32 # IP allouรฉe ร Alice dans le tunnel
EOF
# /etc/wireguard/wg0.conf (client Alice)
[Interface]
Address = 10.8.0.2/24
PrivateKey = <clรฉ privรฉe d'Alice>
DNS = 10.8.0.1
[Peer]
PublicKey = <clรฉ publique du serveur>
Endpoint = vpn.entreprise.fr:51820
AllowedIPs = 10.0.0.0/8 # Tout le rรฉseau interne via VPN
IV.D. SSL VPN / VPN Webโ๏ธ
๐ Texte
SSL VPN (TLS VPN)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Utilise HTTPS/TLS (port 443) โ Traverse TOUS les firewalls.
Peut fonctionner via navigateur web (sans client installรฉ).
DEUX MODES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ PORTAIL WEB : Accรจs ร des applications via navigateur
โ Intranet, webmail, applications mรฉtier
โ Pas de client VPN requis
โ Accรจs granulaire (par application, pas tout le rรฉseau)
โก TUNNEL TLS : Client VPN s'installe en extension navigateur
โ Accรจs au rรฉseau complet
โ Plus transparent pour l'utilisateur
EXEMPLES
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Fortinet FortiGate SSL VPN
โ Cisco AnyConnect (maintenant Cisco Secure Client)
โ Pulse Secure
โ GlobalProtect (Palo Alto)
โ F5 BIG-IP APM
IV.E. Tableau Comparatif des Protocolesโ๏ธ
๐ Texte
COMPARAISON DES PROTOCOLES VPN
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ IPsec/IKEv2โ OpenVPN โ WireGuard โ SSL VPN
โโโโโโโโโโโโโโโผโโโโโโโโโโโโโผโโโโโโโโโโโโผโโโโโโโโโโโโผโโโโโโโโโโ
Couche rรฉseau โ L3 (IP) โ L4/L7 โ L3 (IP) โ L7 (TLS)
Transport โ UDP 500/ โ UDP/TCP โ UDP 51820 โ TCP 443
โ 4500 โ 1194/443 โ โ
Vitesse โ โ
Rapide โ โ ๏ธ Moyen โ โ
โ
Trรจs โ โ ๏ธ Moyen
Traversรฉe FW โ โ Bloquรฉ โ โ
443 โ โ ๏ธ UDP โ โ
โ
443
Configuration โ โ ๏ธ Complexeโ โ ๏ธ Modรฉrรฉ โ โ
Simple โ โ
Facile
Sans client โ โ Non โ โ Non โ โ Non โ โ
Oui
Site-ร -site โ โ
โ
Top โ โ
Bon โ โ
Bon โ โ Non
Nomade โ โ
Bon โ โ
โ
Top โ โ
โ
Top โ โ
โ
Top
Open source โ Standard โ โ
GPL โ โ
GPL โ โ Souvent
Maturitรฉ โ 30 ans โ 20 ans โ 7 ans โ Variable
Recommandรฉ โ Infra pro โ Universel โ Moderne โ Portail web
โโโโโโโโโโโโโโโดโโโโโโโโโโโโโดโโโโโโโโโโโโดโโโโโโโโโโโโดโโโโโโโโโโ
PARTIE V โ Architecture VPN d'Entrepriseโ๏ธ
V.A. Composants d'une Infrastructure VPNโ๏ธ
๐ Texte
COMPOSANTS D'UNE INFRASTRUCTURE VPN D'ENTREPRISE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ CONCENTRATEUR VPN (VPN Gateway / Serveur VPN)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Point de terminaison des tunnels VPN
โ Authentifie les clients (certificats, LDAP, RADIUS)
โ Gรจre le routage entre les tunnels et le rรฉseau interne
โ Exemples : pfSense, Cisco ASA, FortiGate, Checkpoint, VPS OpenVPN
โก FIREWALL (souvent couplรฉ au concentrateur)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Filtre le trafic entrant depuis le VPN
โ Applique des rรจgles par utilisateur/groupe
โ Segmentation : Un nomade n'accรจde pas aux mรชmes ressources
qu'un administrateur
โข SERVEUR RADIUS / LDAP (Authentification)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Active Directory โ LDAP โ Authentification login/MDP
โ FreeRADIUS โ Gรจre l'authentification + autorisation VPN
โ Intรฉgration MFA (Google Authenticator, Duo Security)
โฃ PKI (vu en S13)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Root CA + AC intermรฉdiaire
โ Certificats clients (pour authentification mutuelle)
โ Certificat serveur VPN
โค CLIENTS VPN
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ Dรฉployรฉs via GPO (Windows) ou MDM (mobiles)
โ Configurรฉs automatiquement (profil VPN)
โ Exemples : OpenVPN client, WireGuard, GlobalProtect, FortiClient
V.B. Architecture VPN Enterprise Complรจteโ๏ธ
๐ Texte
ARCHITECTURE VPN ENTERPRISE โ VUE D'ENSEMBLE
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
INTERNET
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ โ
โ โโโโโโโโโโโ VPN nomade โโโโโโโโโโโ โ
โ โTรฉlรฉtravailโโโโโโ TLS โโโโโโโโโโโบโ โ โ
โ โ 10.8.0.5 โ โ ZONE โ โ
โ โโโโโโโโโโโ โ DMZ โ โ
โ โ โ โ
โ โโโโโโโโโโโ VPN nomade โ Concentrโ โ
โ โCommercialโโโโโโ IKEv2 โโโโโโโโโบโ VPN โโโโโโโโโโโโโ โ
โ โ 10.8.0.6 โ โ โ โ โ
โ โโโโโโโโโโโ โ Firewallโ โ โ
โ โโโโโโฌโโโโโ โ โ
โ โโโโโโโโโโโ VPN Site-ร -Site โ โ โ
โ โAgence โโโโโโ IPsec โโโโโโโโโโโโโโโบโ โ โ
โ โLyon โ โ โ โ
โ โโโโโโโโโโโ โ โ โ
โ โโโโโโโโโโโผโโโโโโโโโโโโโโโ โ โ
โ โ RรSEAU INTERNE โ โ โ
โ โ 10.0.0.0/16 โ โ โ
โ โ โ โ โ
โ โ AD/LDAP ERP Fichie โ โ โ
โ โ 10.0.0.10 .20 .30 โ โ โ
โ โ โ โ โ
โ โ RADIUS Backup โ โ โ
โ โ 10.0.0.50 .60 โ โ โ
โ โโโโโโโโโโโโโโโโโโโโโโโโโโโ โ โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
FLUX D'AUTHENTIFICATION NOMADE (OpenVPN + LDAP)
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
1. Client prรฉsente son certificat X.509 (ou login/MDP)
2. Serveur VPN vรฉrifie le certificat (PKI / chaรฎne de confiance)
3. Serveur VPN interroge RADIUS โ qui interroge Active Directory
4. Vรฉrification login/MDP + groupe AD (autorisation)
5. Si MFA configurรฉ : Vรฉrification token TOTP
6. Tunnel รฉtabli : ECDH โ Clรฉ de session AES-256
7. Rรจgles firewall appliquรฉes selon le groupe AD de l'utilisateur
VI. Vocabulaire Clรฉโ๏ธ
| Terme | Dรฉfinition |
|---|---|
| VPN | Virtual Private Network โ Tunnel chiffrรฉ sur rรฉseau public |
| Tunnelisation | Encapsulation d'un paquet IP dans un autre paquet IP (chiffrรฉ) |
| Site-ร -Site | Tunnel VPN permanent entre deux rรฉseaux (LAN-to-LAN) |
| Nomade / Remote Access | Tunnel VPN ร la demande entre un poste individuel et un rรฉseau |
| Concentrateur VPN | รquipement terminant les tunnels VPN cรดtรฉ entreprise |
| IPsec | Suite de protocoles de sรฉcuritรฉ IP (AH, ESP, IKE) โ couche rรฉseau |
| IKEv2 | Internet Key Exchange v2 โ protocole d'รฉtablissement de tunnel IPsec |
| OpenVPN | Solution VPN open source utilisant TLS โ trรจs flexible |
| WireGuard | Protocole VPN moderne, rapide, code minimal, intรฉgrรฉ dans Linux 5.6+ |
| PSK | Pre-Shared Key โ Clรฉ partagรฉe ร l'avance (alternative aux certificats) |
| tun / tap | Interfaces rรฉseau virtuelles crรฉรฉes par le client VPN |
| PFS | Perfect Forward Secrecy โ Clรฉs รฉphรฉmรจres : compromission future โ dรฉchiffrement passรฉ |
| SA | Security Association (IPsec) โ Ensemble des paramรจtres cryptographiques d'un tunnel |
| RADIUS | Remote Authentication Dial-In User Service โ Authentification centralisรฉe |
| Split Tunneling | Technique VPN : Seul le trafic vers le rรฉseau interne passe par le VPN |
| Full Tunnel | Tout le trafic (y compris Internet) passe par le VPN |
| Diffie-Hellman | Protocole d'รฉchange de clรฉ sur canal non sรฉcurisรฉ (1976) |
| ECDH | Version Elliptic Curve de Diffie-Hellman (plus rapide, clรฉs plus courtes) |