Les clients EMnify peuvent créer leurs propres Virtual Private Network pour leurs appareils mobiles IoT/M2M équipés de SIM EMnify. Le trafic data sera échangé entre les appareils mobiles et l'application serveur via un tunnel OpenVPN, cela permet d'établir une communication directe avec les adresses IP des appareils mobiles (sans NAT).
Le tunnel est établi entre le coeur de réseau EMnify et les clients de la passerelle VPN ou du serveur.
L'ensemble du trafic échangé avec les appareils mobiles est encrypté avant la transmission vers l'internet publique, pour une sécurité et confidentialité renforcée. Pour cela, aucune installation de logiciel ou changement de configuration ne doit fait sur l'appareil mobile, l'APN par défaut EMnify supporte aussi les flux VPN.
Configuration du Service Profile
Dans le service profile assigné aux "endpoints" auxquels vous souhaitez accéder via VPN, veillez à choisir l'une des options VPN comme dans le screenshot ci-dessous.
Configuration d'un client OpenVPN sur Linux/Ubuntu
Installation du logiciel OpenVPN
Installer le paquet OpenVPN
|
Connectez-vous avec votre compte utilisateur et mot de passe EMnify sur l'interface utilisateur.
Sélectionnez l'icone "lien" dans le coin supérieur droit de votre écran. Dans cette section, vous pouvez télécharger un fichier de pré-configuration par défaut, le nom de fichier est client.conf
Téléchargez et installez le fichier de configuration VPN.
Veuillez conserver ce fichier sur votre serveur dans le dossier \OpenVPN\config.
Créer les certificats d'authentification
Créez un fichier nommé par exemple credentials.txt dans le dossier \OpenVPN\config. Celui-ci contiendra les certificats d'authentification pour vous connecter à votre session, soit via les identifiants utilisateurs EMnify (compte utilisateur et mot de passe) soit via l'application de certification(recommandé).
Authentification avec les identifiants utilisateurs EMnify
Le contenu du fichier credential.txt doit contenir seulement deux lignes:
|
Authentification avec l'application de certification
Lorsque vous lancez OpenVPN client sur une passerelle VPN ou une application serveur, il est recommandé d'utiliser une application de certification dédiée. Dans ce cas, la première ligne du fichier credential.txt doit contenir le numéro d'identification de votre entreprise et le certificat fourni par l'application.
Dans le cas où vous ne souhaiteriez pas conserver vos identifiants, vous pouvez les renseigner à chaque fois que le tunnel VPN est établi. Pour cela, renseignez la ligne avec "auth-user-pass dans le fichier"\OpenVPN\config\ credentials.txt dans le fichier de client.conf
Vous pouvez créer un certificat dans le portail dans la même section que le fichier de configuration OpenVPN. Sélectionnez "Create new application token" et copier/coller le certificat dans le fichier credential.txt. Votre numéro d'identification d'entreprise est aussi disponible dans cette section.
|
Lorsque vous vous identifier sur le portail EMnify, cela affichera les informatiosn dans la configuration VPN.
Protection du fichier de certification
Vous devez garder le fichier de certification lisible seulement par l'administrateur (root) et interdire l'accès aux autres utilisateurs de votre serveur. Vous pouvez garantir cela avec la commande suivante :
|
Initier et superviser une connection OpenVPN
Vous pouvez désormais ouvrir l'application OpenVPN en lançant une commande :
|
Le système OpenVPN enregistrera dans les activités dans /var/log/syslog. Si la configuration est correcte, vous devriez avoir un affichage similaire:
|
Trouver l'adresse IP privée et statique de votre client VPN
Le serveur OpenVPN d'EMnify allouera une adresse IP pour lancer l'application de votre client VPN, cet IP restera identique lorsque votre client VPN se reconnecte ou lorsque le tunnel est allouer à une autre machine. Par conséquent, vous pouvez l'utiliser avec vos appareils mobiles pour vous adresser à votre application. Néanmoins, vous ne devez jamais configurer l'adresse IP directement sur vos appareils mobiles mais utiliser un DNS.
Une fois que le tunnel est établi, le message suivant est affiché sur l'interface du tunnel:
|
Dans cet exemple l'adresse IP est 10.64.0.224
Test de connectivité data réussi
Si le tunnel VPN est correctement installé, vous devriez être en mesure de vous connecter directement à l'adresse IP de votre appareil mobile. Pour tester, vous pouvez choisir un de vos endpoints ayant une session de données active (affiché en tant que "ONLINE" dans le portail EMnify) et récupérer l'adresse IP assignée dans les details.
Vous pouvez désormais envoyer un ping à cette adresse IP privée :
|
Pour que cela fonctionne, votre appareil mobile doit utiliser la pile IP (IP Stack) qui correspond à requête d'écho ICMP. Cela peut ne pas s'appliquer aux appareil embarqués qui ont configuré partiellement la fonctionnalité pile IP (IP Stack).
Il est possible d'utiliser tous les protocoles réseaux, par exemple si votre appareil mobile utilise un système sshd, vous être en mesure de vous y connecter via sshd.
Autoriser l'accès de plusieurs serveurs à un VPN client
Si vous avez plusieurs serveurs derrière votre passerelle VPN qui doivent communiquer avec votre appareil mobile, vous pouvez appliquer une mascarade(masquerading) en utilisant une table IP pour regrouper les IP derrière une seule adresse IP de votre client VPN.
Premièrement, vous devez autoriser l'envoie d'IP sur votre passerelle VPN (si ce n'est pas déjà activé) en modifiant votre /etc/sysctl.conf et configurant net.ipv4.ip_forward=1 puis en téléchargeant la configuration avec sudo sysctl -p /etc/sysctl.conf
Par la suite, vous devez autoriser la mascarade pour ouvrir l'interface tunnel en lançant:
|
Vous pouvez aussi envoyer les connections provenant d'un port spécifique vers une application serveur derrière votre passerelle VPN en utilisant un DNAT, par exemple envoyer un serveur HTTP à l'adresse IP: 192.168.100.21 en utilisant:
|
Si vous souhaitez conserver ces paramètres, vous pouvez utiliser le paquet table IP persistant (theiptable-persistent package).
Commentaires
0 commentaire
Vous devez vous connecter pour laisser un commentaire.