Comment configurer un VPN avec OpenVPN de manière sécurisée et complète

Dernière mise à jour: 16/10/2025
Auteur: Isaac
  • OpenVPN offre une sécurité renforcée avec TLS 1.2/1.3, AEAD et tls-crypt.
  • Le choix entre AES-GCM et ChaCha20 dépend de la matériel et la performance.
  • PKI avec Easy-RSA et politiques par client permettent le contrôle et la révocation.
  • Les tests de fuite DNS/IPv6 et le réglage des itinéraires garantissent une utilisation sans surprise.

Configuration d'OpenVPN étape par étape

Si vous recherchez un moyen fiable de protéger vos connexions ou d'accéder à votre réseau depuis n'importe où, OpenVPN est l'un des protocoles les plus sûrs et les plus polyvalents Que vous puissiez mettre en œuvre chez vous ou dans votre entreprise, ce guide vous guidera dès le départ : de quoi s'agit-il, ce dont vous avez besoin et comment le mettre en place. Linux, Windows et les routeurs, et comment connecter des clients sur différents systèmes.

Au-delà du simple marche/arrêt, Vous apprendrez à configurer le cryptage moderne, à éviter les échecs typiques, à tester les fuites DNS/IPv6 et à optimiser les performances.. Inclut les modes TUN et TAP, tls-crypt vs tls-auth, l'utilisation du serveur d'accès, les déploiements sur Omada et ASUS, et Ruses clé pour CG-NAT, routes et pare-feu.

Qu'est-ce qu'un VPN et pourquoi OpenVPN ?

vpn

Une VPN crée un tunnel crypté entre votre appareil et un serveur, de sorte que Votre véritable IP est masquée et vos données voyagent protégéesCela permet un travail à distance sécurisé, un accès aux ressources internes et un contournement responsable des blocages géographiques.

OpenVPN, en revanche, est un logiciel libre et un protocole largement audité qui fonctionne sur Windows, macOS, GNU/Linux, iOS y Android, ainsi que dans de nombreux routeursIl est basé sur SSL/TLS, prend en charge les certificats numériques et l'authentification supplémentaire via nom d'utilisateur et mot de passe.

Avantages et inconvénients de l'utilisation d'un VPN

Parmi les avantages les plus évidents, vous trouverez la confidentialité et la sécurité : Le trafic est crypté, le suivi est minimisé et vous pouvez naviguer en toute tranquillité d'esprit.Il permet également un accès à distance sécurisé aux réseaux internes, ce qui est essentiel dans les environnements professionnels.

De plus, de nombreuses personnes utilisent le VPN pour accéder au contenu disponible dans d'autres pays ou sur des réseaux qui appliquent des blocages, en respectant toujours les lois et conditions de service de chaque plateforme.

Du côté le moins amical, La vitesse peut être affectée par le cryptage et le rebond des paquets., notamment dans les services gratuits ou si l'algorithme est mal choisi sur du matériel sans accélération. La source du applications pour éviter les logiciels malveillants.

Performances OpenVPN : vitesse, latence et stabilité

Avec une configuration appropriée, OpenVPN offre des vitesses constantes, une bonne latence et une grande stabilité.En général, l’utilisation d’UDP réduit la surcharge par rapport à TCP et est plus rapide dans la plupart des scénarios.

  Quelles données les assistants IA collectent-ils et comment pouvez-vous réellement vous en protéger ?

Sur les ordinateurs sans AES-NI (accélération matérielle), ChaCha20-Poly1305 est généralement plus performant que AES-GCMSi votre processeur accélère AES, essayez les deux pour décider ; parfois, AES-GCM gagne en débit.

Quel est le but de configurer OpenVPN à la maison ou au travail ?

Configurer votre propre serveur vous permet de naviguer en toute sécurité même sur un réseau Wi-Fi public, Connectez-vous comme si vous étiez chez vous et accédez aux services internes tels que des fichiers, des imprimantes, des caméras IP ou des serveurs NAS.

Bien sûr, vous aurez besoin que votre connexion dispose d'une IP publique ou d'une solution pour Évitez CG-NAT (Carrier-Grade NAT), car sans ports ouverts, vous ne recevrez pas de connexions entrantes.Les connexions avec de bonnes vitesses de téléchargement (par exemple, 30 Mbps ou plus) améliorent considérablement l'expérience.

Modes TUN et TAP : lequel choisir ?

OpenVPN peut fonctionner au niveau de la couche 3 (TUN) ou de la couche 2 (TAP). TUN crée un tunnel IP point à point et constitue le mode le plus courant pour acheminer des sous-réseaux séparés avec moins de surcharge.

Le mode TAP fonctionne comme un pont Ethernet et encapsule les trames L2, utile si vous avez besoin que les points de terminaison soient sur le même sous-réseau, mais cela ajoute plus de trafic et de conflits potentiels lorsque les sous-réseaux se chevauchent.

Versions recommandées de cryptographie et de TLS

Pour les certificats, il est très courant aujourd'hui d'utiliser des EC (courbes elliptiques) avec secp521r1 et SHA-512 comme hachage, à condition que les clients et les serveurs soient compatibles et à jour.

Sur le canal de contrôle (TLS), réduire à TLS 1.2 et activer TLS 1.3 si disponible avec des suites telles que TLS_AES_256_GCM_SHA384 ou TLS_CHACHA20_POLY1305_SHA256. PFS sur ECDHE doit être présent.

Pour le canal de données, AES-256-GCM ou CHACHA20-POLY1305 sont des options robustesLes deux sont AEAD, ils ne nécessitent donc pas d'authentification distincte. Ils évitent les chiffrements traditionnels comme BF-CBC.

Renforce la première phase de négociation avec crypte-tls (ou tls-crypt-v2 le cas échéant) pour atténuer les attaques DoS et masquer les métadonnées initiales des paquets. tls-auth fournit un support hérité, mais tls-crypt fournit un cryptage de canal HMAC.

Préparations essentielles

Avant de commencer : Vérifiez votre IP publique, ouvrez le port sur le toupie et assurez-vous que vous n'êtes pas derrière CG-NATSi vous n'avez pas d'adresse IP fixe, pensez à DDNS pour associer un domaine à votre adresse IP dynamique.

Sur les serveurs Linux, préparez Easy-RSA 3 pour PKI et maintenir OpenVPN et les bibliothèques cryptographiques à jour. Sous Windows, l'interface graphique OpenVPN s'installe conducteurs TAP et fournit des exemples de configuration.

  Google AI Mode : la nouvelle ère de la recherche avec l'intelligence artificielle

Installation et configuration sur GNU/Linux (Debian/Ubuntu) avec Easy-RSA 3

Installez le package avec APT : sudo apt update && sudo apt install openvpn. Téléchargez ensuite Easy-RSA 3, décompressez-le et configurez le fichier vars avec les paramètres EC, courbe et hachage souhaités.

Exemples utiles : set_var EASYRSA_ALGO ec; set_var EASYRSA_CURVE secp521r1; set_var EASYRSA_DIGEST 'sha512'Utilisez le mode cn_only si vous préférez simplifier les DN en nom commun.

Initialiser la PKI avec ./easyrsa init-pki, créez votre autorité de certification avec ./easyrsa build-ca (avec phrase secrète pour la clé privée de l'AC, fortement recommandé) et génère des requêtes et des clés pour le serveur et chaque client avec ./easyrsa nom gen-req.

Signez le certificat du serveur avec ./easyrsa sign-req server nom_serveur et ceux des clients avec ./easyrsa sign-req client nom_client. Ensuite, créez la clé HMAC avec openvpn –genkey –secret ta.key pour tls-crypt.

Organisez vos dossiers pour ne pas vous perdre : serveur (ca.crt, server.crt, server.key, ta.key) et un par client avec leur crt, key, ca et ta.key.

Exemple de configuration de serveur OpenVPN (Linux)

Définissez le port et le protocole (UDP recommandé), Choisissez dev tun, définissez le chiffrement et les suites de chiffrement tls, la courbe ECDH et la version TLS minimaleIl définit également le sous-réseau virtuel, le DNS que vous allez pousser et les autorisations utilisateur sur le démon.

Un squelette de serveur (adaptez-le à votre environnement) : Utilisez les routes locales, le DNS et le cryptage pris en charge par vos clients. N'oubliez pas qu'avec le cryptage AEAD, vous n'avez pas besoin d'authentification séparée.

port 1194
proto udp
dev tun

ca ca.crt
cert servidor.crt
key servidor.key
dh none

# HMAC y ocultación del canal inicial
tls-crypt ta.key

# Cifrado y TLS (comprobar compatibilidad)
cipher AES-256-GCM
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
tls-version-min 1.2
ecdh-curve secp521r1
reneg-sec 0

# Topología y red virtual
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

# Rutas y DNS para clientes
push 'route 192.168.1.0 255.255.255.0'
push 'redirect-gateway def1'
push 'dhcp-option DNS 208.67.222.222'
push 'dhcp-option DNS 208.67.220.220'

client-to-client
keepalive 10 120
max-clients 100

user nobody
group nogroup
persist-key
persist-tun

status openvpn-status.log
verb 3
explicit-exit-notify 1

Commencer avec sudo openvpn serveur.conf et attendez le message « Séquence d'initialisation terminée ». Si ce n'est pas le cas, vérifiez les chemins d'accès aux fichiers et la compatibilité du chiffrement.

Configuration client (Linux/Windows/macOS)

Créez un profil par client avec les mêmes paramètres de cryptage et TLS que le serveur. Les principales différences sont la directive « client », la directive « distante » avec IP ou domaine et ses fichiers d'identité.

client
dev tun
proto udp
remote ejemplo.dyndns.org 1194
resolv-retry infinite
nobind
persist-key
persist-tun

ca ca.crt
cert cliente1.crt
key cliente1.key

remote-cert-tls server
cipher AES-256-GCM
# Para TLS 1.3 si aplica
tls-ciphersuites TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

# HMAC/ocultación
tls-crypt ta.key

verb 3

Sous Windows, placez le fichier .ovpn et les certificats dans le dossier GUI d'OpenVPN (par défaut dans « C:\\Users\\YourUser\\OpenVPN\\config ») et se connecter à partir de l'icône de la zone de notificationSur macOS, utilisez OpenVPN Connect ou un client compatible.

  Google Meet intègre la traduction vocale en temps réel à l'IA : fonctionnalités et scénarios d'utilisation

Routes et NAT sur votre réseau

Pour rendre les ordinateurs du réseau local distant accessibles depuis le VPN, Une route statique peut être requise sur votre routeur pointant vers le sous-réseau 10.8.0.0/24 avec le serveur OpenVPN comme passerelle.

Si vous souhaitez acheminer tout le trafic client via le VPN, utiliser « push redirect-gateway def1 » et proposer DNS Fiable. Prévenez les fuites DNS en ajustant les résolveurs clients et les pare-feu.

Utilisation du serveur d'accès OpenVPN sous Linux

OpenVPN Access Server simplifie l'administration via une console Web : Vous installez le package, accédez à https://IP:943/admin, acceptez les conditions et activez le service.Vous pouvez créer des utilisateurs, télécharger des profils et des clients pour chaque système.

Il y a des limites dans la version gratuite (par exemple, deux connexions simultanées) et des options avancées comme les profils de connexion automatiques ou la désactivation de la compression si cela pose des problèmes.

Clients sur Windows, macOS, Linux, Android et iOS

Sous Windows et macOS, vous pouvez utiliser OpenVPN Connect ou l’interface graphique de la communauté ; Importez le profil .ovpn et authentifiez-vous. Sous Linux, installez le package openvpn, placez le profil dans '/etc/openvpn' et démarrez le service.

Sur Android et iOS, l'application OpenVPN Connect permet Importez le profil via l'URL du serveur ou en téléchargeant le fichier .ovpnAssurez-vous de saisir le port, le nom d'utilisateur et, le cas échéant, le mot de passe ou la 2FA corrects.

Configuration sur routeurs et contrôleurs : ASUS et Omada

De nombreux routeurs ASUS incluent un serveur OpenVPN intégré : Activez-le sur le site Web du routeur, choisissez le port, créez des utilisateurs et exportez le .ovpn. Fonctionne mieux avec une IP WAN publique et un micrologiciel mis à jour.

Dans les environnements Omada, vous pouvez configurer une politique VPN client-site : Définit OpenVPN comme serveur, port, tunnel complet ou divisé, DNS et utilisateurs. Exportez le profil .ovpn pour les clients.