{"id":240,"date":"2024-04-02T23:43:45","date_gmt":"2024-04-02T21:43:45","guid":{"rendered":"http:\/\/nlion.duckdns.org\/blog\/?p=240"},"modified":"2025-07-16T22:09:55","modified_gmt":"2025-07-16T20:09:55","slug":"projet-client-serveur-vpn","status":"publish","type":"post","link":"https:\/\/nlion.fr\/blog\/projet-client-serveur-vpn\/","title":{"rendered":"Configuration r\u00e9seaux VPN en cascade DIY avec un RaspBerry"},"content":{"rendered":"\n

Avant d’aller plus loin, si vous ne savez pas ce qu’est un VPN, cliquez ici.<\/a>

Pr\u00e9sentation du projet : <\/strong>
Cr\u00e9ation d’un serveur VPN personnel pour acc\u00e9der \u00e0 mon r\u00e9seau local depuis n’importe ou et utilisation d’un service VPN pour acc\u00e9der \u00e0 Internet depuis mon r\u00e9seau local (DIY).
<\/p>\n\n\n

\n
\"R\u00e9seau<\/figure>\n<\/div>\n\n\n

<\/p>\n\n\n\n\n\n\n\n

Dans ma configuration r\u00e9seau en cascade, les VPN se superposent pour fournir une s\u00e9curit\u00e9 renforc\u00e9e et une connectivit\u00e9 robuste.<\/p>\n\n\n\n

Mon serveur VPN personnel constitue le point de d\u00e9part, offrant un acc\u00e8s s\u00e9curis\u00e9 \u00e0 mon r\u00e9seau domestique depuis n’importe o\u00f9. Une fois connect\u00e9 \u00e0 mon r\u00e9seau local, je peux facilement acc\u00e9der \u00e0 tous mes p\u00e9riph\u00e9riques et ressources. Je compl\u00e8te ma strat\u00e9gie en utilisant NordVPN, un service VPN bien \u00e9tabli, pour s\u00e9curiser mon acc\u00e8s \u00e0 Internet. Avec cette approche \u00e0 double niveau, chaque transfert de donn\u00e9es est crypt\u00e9 deux fois, garantissant une confidentialit\u00e9 maximale lors de ma navigation en ligne. La configuration de r\u00e9seaux VPN en cascade assure une tranquillit\u00e9 d’esprit quant \u00e0 la s\u00e9curit\u00e9 de ma connexion, que ce soit pour acc\u00e9der \u00e0 mon r\u00e9seau domestique ou pour surfer sur le web.

Je peux utiliser tous les r\u00e9seaux Internet publics sans crainte. Je ne risque pas l’ \u00ab\u00a0hame\u00e7onnage de point d’acc\u00e8s Wi-Fi\u00a0\u00bb par exemple.

Petit exemple : lorsque je suis hors de chez moi, mon t\u00e9l\u00e9phone se connecte toujours \u00e0 mon r\u00e9seau local via la 4G ou un r\u00e9seau Wi-Fi. Pour acc\u00e9der \u00e0 mon r\u00e9seau ou \u00e0 Internet, il utilise toujours un tunnel VPN vers mon serveur VPN domestique. Ensuite, il se connecte \u00e0 Internet via NordVPN, qui est install\u00e9 apr\u00e8s mon serveur VPN si j’ai besoin. Cela signifie que mon activit\u00e9 en ligne reste invisible pour les fournisseurs Internet (la 4G ou l’acc\u00e8s wifi ou je suis connect\u00e9). Seul NordVPN pourrait conna\u00eetre mon activit\u00e9 en ligne. Cependant, il s’engage dans le contrat \u00e0 ne pas enregistrer de journaux d’activit\u00e9s. Je peux faire ce que je veux du flux de ma connexion vers internet (ins\u00e9rer un filtrage dns par exemple pour les pubs, les tra\u00e7ages, \u2026 ).<\/p>\n\n\n\n

J’ai choisi Wireguard <\/a>comme serveur VPN et OpenVPN<\/a> comme client Nord VPN. J’ai utilis\u00e9 un <\/strong>Raspberry Pi 3B+<\/a> \u00e9quip\u00e9 d’un disque dure ssd externe. Sur le 3B+ le disque externe USB est bootable directement sans manipulation pr\u00e9alable.

Il est judicieux avant de vous lancer dans ce projet d’avoir souscrit un service de Dynamic Domain Name System (DDNS)<\/a>. J’utilise DuckDns, il est gratuit et sans contraintes.

Tutorial : <\/strong>

Installer Raspberry PI OS Lite<\/a><\/strong>
La fondation Raspberry vous propose de t\u00e9l\u00e9charger un outil pour le faire : Raspberry Pi Imager<\/a><\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

S\u00e9lectionnez l’OS Raspberry OS lite 64-BIT<\/em>, <\/p>\n\n\n\n

S\u00e9lectionnez votre carte sd ou votre disque dure externe pour le stockage. <\/p>\n\n\n\n

Activez SSH<\/em> et configurez le WIFI si vous souhaitez l’utiliser. Pour une connexion stable, j’ai opt\u00e9 pour une connexion Ethernet directement sur ma box internet. Je n’utilise pas la connexion Wifi pour ce projet. Vous pouvez renseigner un nom d’h\u00f4te pour retrouver plus facilement votre Raspberry sur le r\u00e9seau. <\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Il suffit maintenant de lancer l’\u00e9criture, de patienter un peu et votre carte SD est pr\u00eate pour le projet.

Par d\u00e9faut l’adresse ip de votre Raspberry est d\u00e9termin\u00e9 par votre serveur DHCP. A vous de la trouver. Il est important de rendre l’ip local fixe. Pour cela vous pouvez configurer votre serveur DHCP et attribuer une adresse fixe gr\u00e2ce \u00e0 l’adresse MAC de votre appareil. Sinon, vous pouvez aussi renseigner une ip directement sur le Raspberry en faisant attention qu’elle ne soit pas dans la plage d’attribution de votre serveur DHCP. <\/p>\n\n\n\n

Putty<\/strong>
Sur Windows pour communiquer en ssh avec mon Raspberry, j’utilise Putty<\/a>.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Avec cette application, nous allons pouvoir ex\u00e9cuter des lignes de commandes sur le Raspberry. Pas besoin de d\u00e9marrer avec un \u00e9cran, un clavier, une souris votre Raspberry.

Il vous suffit de renseigner l’adresse ip et de lancer la connexion sur Putty. <\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Renseignez votre nom d’utilisateur et mot de passe.

Attribuer une ip fixe sur la Raspberry :

– Trouver la plage DHCP de votre serveur. Si votre r\u00e9seau domestique n’a subit aucune modification. Vous pouvez obtenir ces informations sur l’administration de votre box internet.

Pour la livebox par exemple.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Choisissez une ip en dehors de l’adresse de d\u00e9but et de fin pour \u00e9viter les conflits. Si besoin modifiez la plage pour avoir des adresses libres. <\/p>\n\n\n\n

Sur Putty :
Sur la derni\u00e8re version de Raspberry PI OS lite NetworkManager GUI est install\u00e9e.
Pour l\u2019ex\u00e9cuter :<\/p>\n\n\n\n

sudo nmtui<\/strong><\/code><\/pre>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
Configurer votre connexion avec une ip fixe. Gateway c’est la passerelle de votre r\u00e9seau. C’est sans doute l’adresse ip de votre box. Enregistrer, quitter et red\u00e9marrer le Raspberry<\/p>\n\n\n\n
sudo reboot<\/code><\/pre>\n\n\n\n
Installer Wireguard<\/strong>

On utilise PiVPN pour installer Wireguard<\/p>\n\n\n\n
curl -L https:\/\/install.pivpn.io | bash<\/code><\/pre>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n
\n
\"\"<\/figure>\n<\/div>\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
(Sur l’\u00e9tape d’apr\u00e8s vous pouvez s\u00e9lectionner un serveur DNS perso utile pour filtrer les sites malveillants et supprimer les publicit\u00e9s)<\/p>\n\n\n\n
Vous devez renseigner votre ip publique ou votre DDNS<\/p>\n\n\n\n
Sur la configuration de votre box internet, il faut renseigner la r\u00e8gle NAT de redirection vers votre Raspberry avec le port renseign\u00e9 pr\u00e9c\u00e9demment. Par d\u00e9faut le port est 51820.<\/p>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n
Votre serveur VPN est op\u00e9rationnel. Pour l’utiliser il faut cr\u00e9er des utilisateur sur le Raspberry et installer l’application client<\/a> sur votre appareil (t\u00e9l\u00e9phone, ordinateur portable, tablette…). <\/p>\n\n\n\n
Sur le Raspberry :<\/strong>
Ajouter un utilisateur :<\/strong> pivpn -a<\/code>
R\u00e9cup\u00e9rer un qr code<\/strong> pour une configuration facile sur votre t\u00e9l\u00e9phone : pivpn -qr<\/code>
Lister les utilisateurs<\/strong> : pivpn -l<\/code>
Voir les utilisateurs connect\u00e9s<\/strong> : pivpn -c<\/code>
Supprimer utilisateur<\/strong> : pivpn -<\/code>r
Lister les commandes:  pivpn -<\/code>?<\/p>\n\n\n\n
Pour configurer votre appareil, 
il suffit d’utiliser le qr code g\u00e9n\u00e9r\u00e9 et l’ouvrir avec l’application client,
ou utiliser le fichier de configuration \/home\/nom_utilisateur_cree\/configs\/nom_utilisateur_cree.conf<\/p>\n\n\n\n
L’application client est disponible sur nombreux syst\u00e8mes existants : https:\/\/www.wireguard.com\/install\/<\/a><\/p>\n\n\n\n
Installation client OpenVPN et configuration de NordVPN<\/strong><\/h2>\n\n\n\n
Vous avez besoin d’un service VPN pour rendre votre connexion internet chiffr\u00e9 et anonyme. 
J’utilise NordVPN<\/a> et je vous explique la proc\u00e9dure avec ce fournisseur.<\/p>\n\n\n\n
sudo apt install openvpn unzip<\/code><\/pre>\n\n\n\n
cd<\/span> \/etc\/openvpn\/<\/code>\nsudo wget https:\/\/downloads.nordcdn.com\/configs\/archives\/servers\/ovpn.zip\n\nsudo unzip ovpn.zip<\/code><\/pre>\n\n\n\n
Choisir le serveur VPN Nord VPN que vous souhaitez utiliser :<\/p>\n\n\n\n
ls -l \/etc\/openvpn\/ovpn_tcp<\/code><\/pre>\n\n\n\n
Apr\u00e8s avoir choisi (pour l’exemple mon choix est le fichier fr673) : <\/p>\n\n\n\n
sudo openvpn \/etc\/openvpn\/ovpn_tcp\/fr673.nordvpn.com.tcp.ovpn<\/code><\/pre>\n\n\n\n
Renseignez votre nom d’utilisateur et mot de passe accessible depuis votre compte NordVPN (sur votre compte : configurer NordVPN manuellement pour r\u00e9cup\u00e9rer vos identifiants)<\/p>\n\n\n\n
sudo cp \/etc\/openvpn\/ovpn_tcp\/fr673.nordvpn.com.tcp.ovpn \/etc\/openvpn\/fr673.conf<\/code><\/pre>\n\n\n\n
Cr\u00e9ez un fichier auth :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/auth.txt<\/code><\/pre>\n\n\n\n
Copiez-y votre nom d’utilisateur et mot de passe de votre compte (Sur deux lignes) <\/p>\n\n\n\n
WDb8XdpTcXCkKhAVVuzeAdEM\nJnAzCNQbF8ZGqiN9NANjartu9<\/code><\/pre>\n\n\n\n
\u00c9ditez le fichier de configuration :<\/p>\n\n\n\n
sudo nano \/etc\/openvpn\/fr673.conf<\/code><\/pre>\n\n\n\n
Recherchez la ligne :<\/p>\n\n\n\n
auth-user-pass<\/code><\/pre>\n\n\n\n
Remplacez par : <\/p>\n\n\n\n
auth-user-pass auth.txt<\/code><\/pre>\n\n\n\n
Pour d\u00e9marrer automatiquement OpenVPN au d\u00e9marrage  du Raspberry :<\/p>\n\n\n\n
sudo nano \/etc\/default\/openvpn<\/code><\/pre>\n\n\n\n
D\u00e9 commenter autostart et saisir le pr\u00e9fixe du fichier choisi <\/p>\n\n\n\n
AUTOSTART=\"fr673\"<\/code><\/pre>\n\n\n\n
Configurer votre Raspberry Pi pour acc\u00e9der \u00e0 Internet via NordVPN avec WireGuard<\/h2>\n\n\n\n
Si vous utilisez un serveur VPN WireGuard sur votre Raspberry Pi, vous avez peut-\u00eatre remarqu\u00e9 que l’acc\u00e8s \u00e0 Internet n’est pas disponible par d\u00e9faut. Pour rem\u00e9dier \u00e0 cela et diriger votre connexion Internet \u00e0 travers NordVPN, quelques ajustements de configuration sont n\u00e9cessaires.<\/p>\n\n\n\n
Configurer WireGuard: Ouvrez le fichier de configuration WireGuard en utilisant la commande suivante :<\/p>\n\n\n\n
sudo nano \/etc\/wireguard\/wg0.conf<\/code><\/code><\/pre>\n\n\n\n
Ajoutez les lignes FwMark, PreUp et PostDown \u00e0 votre fichier de configuration.<\/p>\n\n\n\n
[Interface]\nPrivateKey = Exsxxsxsxccdfcvrgthynhnkukiuiii=\nAddress = 10.168.65.1\/24\nMTU = 1420\nListenPort = 51820\nFwMark = 0x55\nPreUp = iptables -t nat -A POSTROUTING -s 10.168.65.0\/24  -o tun0 -j MASQUERADE\nPostDown = iptables -t nat -D POSTROUTING -s 10.168.65.0\/24  -o tun0 -j MASQUERADE<\/code><\/pre>\n\n\n\n
Dans ce fichier, vous remarquerez une section [Interface] qui contient des param\u00e8tres tels que la cl\u00e9 priv\u00e9e, l’adresse IP, le MTU, le port d’\u00e9coute, et une marque de pare-feu (FwMark) d\u00e9finie \u00e0 0x55.

Les 2 derni\u00e8res lignes de configuration permettent d’ajouter et de supprimer des r\u00e8gles iptables pour g\u00e9rer le routage des paquets sortants du r\u00e9seau local \u00e0 travers l’interface VPN (tun0<\/code>), en utilisant la fonction MASQUERADE pour masquer les adresses source. Cela est couramment utilis\u00e9 pour permettre \u00e0 un r\u00e9seau local de partager une connexion Internet via un serveur VPN. Ces lignes sont utilis\u00e9es pour d\u00e9finir des actions sp\u00e9cifiques avant l’\u00e9tablissement d’une connexion VPN (PreUp<\/code>) et apr\u00e8s sa fermeture (PostDown<\/code>). Elles font appel \u00e0 la commande iptables<\/code>, qui est utilis\u00e9e pour configurer les r\u00e8gles du pare-feu Netfilter dans le noyau Linux.<\/p>\n\n\n\n
Configuration des r\u00e8gles iptables: Pour orienter le trafic Internet via NordVPN, des r\u00e8gles iptables doivent \u00eatre ajout\u00e9es. On peut les ajouter dans le fichier \/etc\/rc.local:<\/p>\n\n\n\n
sudo iptables -t mangle -A OUTPUT -p tcp -m multiport --sport 8080 -j MARK --set-mark 0x55 <\/code>\nsudo iptables -t mangle -A OUTPUT -p tcp -m multiport --sport 4430 -j MARK --set-mark 0x55 <\/code>\nsudo ip route add default via 192.168.1.1 dev eth0 table 100 <\/code>\nsudo ip rule add fwmark 0x55 priority 1000 table 100<\/code>\nsudo ip route flush cache<\/code><\/pre>\n\n\n\n
Explication des r\u00e8gles iptables: <\/p>\n\n\n\n
Ces lignes de commande marquent les paquets TCP sortants ayant le port source 8080 et 4430 avec la valeur de marque 0x55. Ces ports sont associ\u00e9s \u00e0 HTTP et HTTPS, car mon serveur web Apache fonctionne sur le m\u00eame Raspberry Pi que le VPN domestique. <\/p>\n\n\n\n
 L’adresse IP 192.168.1.1 est sp\u00e9cifi\u00e9e comme la passerelle par d\u00e9faut pour acc\u00e9der \u00e0 Internet. Ces r\u00e8gles permettent au trafic sortant marqu\u00e9 de suivre un itin\u00e9raire sp\u00e9cifique d\u00e9fini par la table 100.<\/p>\n\n\n\n
Conclusion: En configurant votre Raspberry Pi de cette mani\u00e8re, vous pouvez canaliser le trafic sortant de votre serveur VPN WireGuard \u00e0 travers NordVPN. Cela garantit une s\u00e9curit\u00e9 accrue lors de l’utilisation de votre serveur web local tout en b\u00e9n\u00e9ficiant des fonctionnalit\u00e9s de NordVPN pour votre connexion Internet.<\/p>\n\n\n\n
Je suis all\u00e9 plus loin, en installant Adguard sur mon r\u00e9seau. <\/strong>AdGuard est une solution de filtrage de contenu et de protection de la vie priv\u00e9e qui offre une exp\u00e9rience de navigation plus s\u00fbre, plus rapide et plus propre. Que vous naviguiez sur Internet depuis votre ordinateur, votre smartphone ou votre tablette, AdGuard vous prot\u00e8ge contre les publicit\u00e9s intrusives, les traqueurs en ligne, les logiciels malveillants et bien plus encore (en filtrant les dns). Sans doute un sujet pour un prochain article.<\/p>\n","protected":false},"excerpt":{"rendered":"
Avant d’aller plus loin, si vous ne savez pas ce qu’est un VPN, cliquez ici. Pr\u00e9sentation du projet : Cr\u00e9ation d’un serveur VPN personnel pour acc\u00e9der \u00e0 mon r\u00e9seau local…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,4,7],"tags":[],"class_list":["post-240","post","type-post","status-publish","format-standard","hentry","category-projets","category-raspberry","category-securite-informatique"],"_links":{"self":[{"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/posts\/240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/comments?post=240"}],"version-history":[{"count":1,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/posts\/240\/revisions"}],"predecessor-version":[{"id":5575,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/posts\/240\/revisions\/5575"}],"wp:attachment":[{"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/media?parent=240"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/categories?post=240"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nlion.fr\/blog\/wp-json\/wp\/v2\/tags?post=240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}