Serveur

Sélectionnez le bouton Ajouter situé juste en dessous du tableau des serveurs VPN

Les certificats utilisés par chaque participant doivent être délivrés par la même autorité

Consultez le menu Configuration > Sécurité > Magasin de certificats pour ajouter des certificats et des CRL personnalisés.

Actif

Activer ou désactiver une connexion

Nom

Nom unique de la connexion

Numéro de port

Numéro de port du protocole de transport

Le port doit être différent de celui utilisé par les serveurs d’accès distant

Protocole

UDP ou TCP

Périphérique réseau virtuel

TUN ou TAP.

  • TUN: Les données VPN sont envoyées sur la couche réseau (L3)

  • TAP: Les données VPN sont envoyées via la couche liaison de données (L2)

Utiliser le certificat usine

Utiliser le certificat d’usine

Choisir un certificat personnalisé

Utiliser un certificat personnalisé

Adresse réseau VPN & Masque réseau VPN

Le serveur OpenVPN attribue automatiquement une adresse IP au routeur client VPN. Laissez les valeurs par défaut 172.16.0.0 et 255.255.0.0

Cette adresse IP VPN ne doit pas être confondue avec l’adresse IP de l’interface WAN.

Délai de détection de perte de connexion

Définit la période des messages de contrôle Un message de contrôle (également appelé message Keep-alive) est envoyé périodiquement par le serveur VPN pour s’assurer que le VPN doit rester actif. En conséquence, il définit la durée maximale pendant laquelle une connexion VPN restera établie avant d’être supprimée si aucune réponse au message de contrôle VPN n’est reçue du routeur distant.

La valeur doit être sélectionnée avec soin; si le VPN a été supprimé, pour une raison quelconque, le routeur attendra pendant cette période avant de relancer le VPN.

Délai de retransmission

Durée pendant laquelle le serveur attendra la réponse au message de contrôle de maintien en vie avant de le répéter.

Chiffrement

Algorithme utilisé pour chiffrer les données

Example 1. Valeurs possibles

AES-256-GCM, AES-128-GCM, AES-256-CBC, AES-192-CBC, AES-128-CBC, Auto

Authentification

Algorithme d’authentification

Example 2. Valeurs possibles

MD5, SHA1, SHA-256, SHA-384, SHA-512

Diffie Hellman

Groupe Diffie Hellman

Activer le protocole TLSv1 (Seulement pour la compatibilité)

Utiliser la version 1 de TLS. Cette version ne doit être utilisée que pour la compatibilité avec les anciens appareils. Si non coché, la version TLS est 1.2 minimum.

Désactiver la compression

Désactiver la compression

Activer tls-auth

Activer tls-auth

Clé tls-auth

Clé pour tls-auth

Activer tls-crypt

Activer tls-crypt

Clé tls-crypt

Clé pour tls-crypt

Activer tls-crypt-v2

Activer tls-crypt-v2, ne peut pas être utilisé avec tls-crypt et tls-auth

Clé tls-crypt-v2

Valeur de clé pour le serveur tls-crypt-v2

Priorité du serveur

Métrique utilisée pour toutes les routes poussées

Pousse la route locale aux clients VPN

Si cette option est activé, le serveur diffuse aux clients la route vers le domaine IP de son réseau local (adresse IP LAN et adresse IP supplémentaire LAN s’il y en a une)

Pousse les routes statiques aux clients VPN

Si cette option est activé, le serveur diffuse aux clients les routes statiques qui ont été configurées dans le serveur VPN

Pousse les routes des clients

Il existe deux solutions pour permettre à un appareil connecté à un routeur client VPN d’échanger des données avec un autre appareil connecté à un autre routeur client VPN.

  • La première consiste à définir une route statique dans les deux routeurs clients VPN. Un appareil connecté à un routeur client VPN peut échanger des données avec un appareil connecté au réseau LAN du serveur VPN, mais pas avec un appareil connecté à un autre routeur client VPN.

  • La seconde consiste à sélectionner l’option Pousse les routes des clients. Le serveur VPN diffuse à tous les clients VPN la route vers chacun d’eux. De cette façon, chaque appareil du réseau peut échanger des données avec chaque autre appareil. La définition de routes statiques n’est plus nécessaire.

Première et deuxième route spécifique à pousser:

Ces paramètres permettent de diffuser des routes spécifiques vers les clients.

Afficher les paramètres avancés

Afficher les paramètres avancés

tun-mtu

Maximum Transmission Units (Maximum Transmission Units)

fragment

Activez la fragmentation interne des paquets afin qu’aucun paquet UDP supérieur à cette valeur en octets ne soit envoyé.

mssfix

Annoncer aux sessions TCP sur le tunnel qu’elles doivent limiter la taille de leurs paquets d’envoi de telle sorte qu’une fois qu’OpenVPN les a encapsulés, la taille du paquet UDP résultant qu’OpenVPN envoie à son homologue ne dépassera pas cette valeur en octets.