NOTE IMPORTANTE !

De nombreux articles sur ce site nécessitent l’installation de la Blackbox, car elle est la seule à pouvoir répondre à certaines exigences techniques et spécifiques que nous allons voir.

Si un article vous a redirigé vers cette page, cela signifie que vous devez configurer une blackbox chez vous ou adapter vous même l’article qui vous a conduit ici (ce qui risque de ne pas être très simple en fonction de la difficulté de l’article).

Difficulté : DIFFICILE
Public cible : Autodidactes, administrateurs systèmes et réseaux, ingénieurs en cybersécurité, ainsi que toute personne cherchant à améliorer considérablement sa confidentialité en ligne.
Prérequis:

• [NÉCESSITE UN BUDGET] Disposer d’un serveur afin d’y installer un serveur ESXI compatible (Plus d’informations en bas dans l’article)
• [NÉCESSITE UN BUDGET] Mettre en place des cartes réseau compatibles (Plus d’informations en bas dans l’article)

Introduction

Chaque point de cet article est essentiel pour bien comprendre avant de passer aux autres contenus du site. Si un élément vous semble peu clair, n’hésitez pas à utiliser la section des commentaires ou à rejoindre notre serveur Discord pour nous faire part de vos difficultés.

Pourquoi la BlackBox?

Tout commence par un constat affligeant : notre société est gangrenée par la surveillance de masse.

Je tiens à préciser que cet article n’a aucun caractère complotiste. Ce n’est ni l’intention ni l’objectif de ce site, mais simplement une observation du monde dans lequel nous vivons.

Avec l’arrivée de la téléphonie, les grandes puissances mondiales ont mis en place des moyens d’interception des communications. Ces projets, connus sous le nom de « Echelon », consistent en de grandes antennes dissimulées derrière des bâches, rendant impossible la détermination de la direction des écoutes.

La France possède également son propre système Echelon, appelé Frenchelon.

Avec l’arrivée d’Internet, les gouvernements du monde entier tentent de reproduire les méthodes de surveillance appliquées à la téléphonie dans le domaine d’Internet. En 2017, la France a officiellement activé des « boîtes noires » (les fameuses Blackbox), qui permettent au gouvernement d’intercepter l’ensemble des paquets réseau transitant sur Internet. Ne pensez pas que les certificats SSL vous protègeront complètement : bien que le contenu des communications soit chiffré, certaines informations, appelées métadonnées, restent visibles. Cela inclut les adresses IP de destination, les noms de domaine (dans certains cas), les ports utilisés, la taille des paquets, ainsi que le timing des communications, etc.

Plusieurs autres projets d’espionnage, cachés au grand public, ont également été révélés, comme les révélation d’Edward sur la NSA, qui ont choqué le monde entier.

Pourquoi la BlackBox?

La Blackbox est un projet que j’ai conceptualisé en m’inspirant des boîtes noires mises en place par le gouvernement. Mon objectif était de contrer, d’une certaine manière, la surveillance de masse imposée par les gouvernements.

Un concept est né

L’idée de la Blackbox est d’installer un serveur (équipé d’un hyperviseur) en amont de la connexion Internet, afin de protéger l’ensemble des communications de votre domicile, y compris celles du Wi-Fi. Ainsi, les ordinateurs et appareils mobiles ne sont plus directement connectés à la box de votre opérateur, mais à la Blackbox. Voici un exemple :

Cela peut sembler abstrait et compliqué, mais ce site est conçu pour vous aider à comprendre ces concepts. Nous allons les explorer un par un.

Hyperviseur

Un hyperviseur est simplement un gestionnaire de machines virtuelles. Si vous avez déjà entendu parler de VirtualBox ou VMware Workstation, alors vous savez déjà ce qu’est un hyperviseur.

Il existe deux types d’hyperviseurs :

Hyperviseur de type 1

Hyperviseur de type 1 (autrement dit bare-metal)(à installer sur les ordinateurs ou les serveurs) Il n’a pas besoin d’un système d’exploitation hôte pour fonctionner. Les systèmes d’exploitation invités (machines virtuelles) s’exécutent directement sur cet hyperviseur. Ce type est souvent utilisé dans les environnements de production et dans les infrastructures de cloud computing pour ses performances et sa faible latence.

Certains systèmes peuvent sembler être de type 1, comme Hyper-V. Cependant, lorsqu’Hyper-V est utilisé sur un système Windows, il fonctionne comme une partition parente (ou root partition). Cela dit, si Windows nécessite une mise à jour et redémarre, toutes les machines virtuelles (VMs) seront également arrêtées.

Exemples d’hyperviseurs de type 1 : VMware ESXi, Proxmox, Nutanix, Xen, XCP-ng etc.

Hyperviseur de type 2

L’hyperviseur de type 2 (à installer sur les ordinateurs)
Les ressources matérielles sont d’abord gérées par le système d’exploitation, et l’utilisateur installe ensuite le logiciel de virtualisation par-dessus.
Cet hyperviseur fonctionne donc au-dessus d’un système d’exploitation hôte. L’hyperviseur est en fait une application qui gère les machines virtuelles, mais dépend du système d’exploitation sous-jacent pour l’accès aux ressources matérielles. Ce type 2 est plus courant pour les environnements de développement et de tests, ou sur des machines locales.

Certain systèmes sembles être du type 1 comme hyper-V, cependant Hyper-V sur un système Windows devient une partition parent (ou root partition), MAIS si Windows doit faire des mises à jour et redémarre celui-ci va aussi éteindre l’ensemble des VMs.

Exemple d’hyperviseur de type 2 : VMware Workstation, Hyper-V, Virtual Box

Étape 1 – Choix du serveur pour l’hyperviseur

Vous l’aurez sans doute compris, pour mettre en place une Blackbox, il est nécessaire de disposer d’un serveur physique. Cependant, il est important de ne pas acheter n’importe quel matériel, car tout n’est pas compatible !

VMware ESXi sera la solution retenue pour la Blackbox. Bien que chacun ait ses préférences en matière de virtualisation, ESXi offre une excellente réponse à nos besoins.

Lors du choix de notre serveur, il est essentiel qu’il soit compatible avec VMware ESXi. De plus, si nous souhaitons utiliser la dernière version d’ESXi, il est impératif de sélectionner un serveur avec un processeur (CPU) compatible, ainsi que des cartes réseau adéquates.

Choix de la configuration matérielle

Pour construire notre ESX nous avons besoin de :

• 1x carte réseau, adaptée au débit maximal de votre connexion Internet (il est toutefois possible de choisir une carte réseau plus puissante ou d’en utiliser plusieurs, comme expliqué plus bas dans l’article).
• 1x ou 2X CPU serveur(s)
• Des disques durs adaptés à vos futures utilisations. Par exemple, si vous prévoyez d’héberger un serveur de streaming, il est recommandé de prévoir au minimum entre 7 et 10 To de disque dur (HDD) uniquement pour la partie streaming.

Choix de la carte réseau

ATTENTION ÉTAPES IMPORTANTE À NE PAS MINIMISER

Pour cela, rendez-vous sur ce lien dédié à la compatibilité réseau. Prenons un exemple concret : chez moi, j’ai une connexion Internet avec Orange de 2,5 Gbps. Je dois donc m’assurer que mon serveur ESX supporte au moins une interface réseau de 2,5 Gbps pour la Blackbox. Je me rends sur Amazon à la recherche d’une carte réseau compatible avec ce débit. Après quelques recherches, je trouve cette carte :

Observez bien le nom du produit, il inclut souvent le chipset utilisé. Toutes les cartes réseau ne mentionneront pas explicitement leur chipset, mais cette information est cruciale pour vérifier si elle est compatible avec notre version d’ESXi 8.0. Assurez-vous donc de bien identifier le chipset avant d’acheter, car c’est lui qui déterminera la compatibilité avec l’hyperviseur.

Si, en effectuant une recherche avec CTRL+F pour le nom du chipset, vous ne le trouvez pas dans la liste de compatibilité, cela signifie que la carte réseau n’est pas adaptée pour ESXi. Il est donc important de toujours vérifier que le chipset est bien pris en charge avant de procéder à l’achat.

Prenons une autre carte réseau équipée du chipset « I225« .

Cette carte est entièrement compatible avec notre ESXi. De plus, elle dispose de 4 ports, ce qui nous offrira davantage de possibilités (nous aborderons ce point plus en détail dans les articles suivants).

Nous allons donc acheter cette carte (elle a été testée et jugée fonctionnelle par plusieurs utilisateurs). Il nous reste maintenant à choisir le serveur. Cependant, si vous en avez les moyens, vous pouvez opter pour des cartes 10 Gbps, voire les ajouter en complément de vos autres cartes. Ces cartes nécessitent des adaptateurs SFP+ supplémentaires. Vous pouvez choisir un adaptateur SFP+ vers Ethernet ou directement vers la fibre. Si vous souhaitez installer la fibre sur votre box, veillez à ce que celle-ci dispose d’une sortie compatible. Sinon, vous pourrez l’utiliser plus tard pour une connexion avec un Switch. Tous les éléments que je vous partage ont déjà été testés et sont pleinement fonctionnels.

Étape 2 – Choix du serveur

ATTENTION ÉTAPES IMPORTANTE À NE PAS MINIMISER

Pour le serveur, je vous recommande d’utiliser soit ce site en appliquant un filtre sur les serveurs Workstation, soit leboncoin en filtrant les résultats par processeurs Xeon et en fixant un prix prédéfini. Ne sélectionnez que des serveurs au format tour, car ils seront bien plus faciles à gérer par la suite.

Une fois le serveur choisi, examinez le modèle du CPU, puis rendez-vous sur ce lien.

Observez attentivement la description de l’annonce et repérez le modèle de CPU ainsi que sa version. Par exemple, si c’est un 4110 V4, cela signifie qu’il fait partie de la série 4000 V4. Assurez-vous également de choisir un serveur disposant d’un nombre suffisant de ports PCI pour l’installation de vos cartes.

Rendez-vous maintenant sur ce lien et sélectionnez la version la plus récente d’ESXi. Ensuite, entrez les informations concernant la version de votre CPU.

Vous pouvez constater ici que la version du CPU correspond. Ainsi, si j’achète ce serveur et cette carte PCI, cela devrait fonctionner correctement. Toutefois, assurez-vous de bien vérifier de votre côté que la carte PCI est compatible.

Attention, veillez à bien anticiper les besoins futurs de votre « blackbox ». Nous allons installer un grand nombre de services, ce qui pourrait exiger davantage de puissance de calcul ou d’espace disque. Il est donc recommandé de toujours prévoir une marge supplémentaire par rapport à vos estimations initiales.

C’est pourquoi, si vous en avez réellement les moyens, je vous recommande d’investir dans un NAS pour tout ce qui concerne le stockage. Cela vous permettra de gérer le RAID bien plus facilement (et donc d’assurer la parité des données pour ne rien perde).
J’ai fait évoluer mes premières Blackbox vers un système de stockage NAS Synology, et cela fonctionne très bien (nous verrons ça dans la partie Bonus de l’article – TO DO, ÉCRIRE L’ARTICLE).

Étape 3 – Installation de l’hyperviseur

Une fois votre serveur reçu avec tous les composants, y compris la carte réseau 2,5 Gbps, vous devez procéder à leur installation.

Commencez par installer la carte Ethernet PCI dans votre serveur.

Connectez un câble depuis le port le plus rapide de votre box internet vers le premier port de la carte réseau que nous avons spécialement achetée (ou la carte réseau la plus rapide en entrée de votre serveur).

Ouvrez votre logiciel de téléchargement de torrents. Si vous n’en avez pas, je vous recommande de télécharger deluge. Pour Windows, téléchargez la version Win64, et pour Linux, utilisez la commande suivante :

apt update && apt install -y deluge

apt update && apt install -y deluge

Accédez à ce lien pastebin de téléchargement et copiez l’URL fournie.

Ensuite, ouvrez votre logiciel de torrent, cliquez sur le bouton pour ajouter un torrent, puis sélectionnez l’option « URL » ou « Magnet ». Collez l’URL, puis cliquez sur « Ajouter » pour lancer le téléchargement.

Une fois le fichier téléchargé, préparez une clé USB avec Ventoy ou placez l’ISO dans un un lecteur d’ISO. [À faire : rédiger un article sur l’utilisation de Ventoy].

Insérez la clé USB dans votre serveur et configurez celui-ci pour démarrer depuis la clé. Vous devriez voir apparaître une page similaire à celle-ci.

Laissez ESXi démarrer (cela peut être assez long et prendre plusieurs minutes). Soyez patient pendant le processus de démarrage.

Une fois arrivé à ce menu, appuyez simplement sur Entrée, puis acceptez le contrat de licence en appuyant sur F11. ESXi va alors procéder à l’analyse de vos disques.

Sélectionnez le disque principal sur lequel vous souhaitez installer ESXi, en veillant à ce qu’il dispose d’au moins 128 Go d’espace.
(Ne tenez pas compte de la taille de mon disque visible sur cette capture d’écran.)

Choisissez la langue de votre choix, puis définissez un mot de passe fort (ESXi l’exige). Faites attention, car le pavé numérique n’est pas activé par défaut. Ne perdez surtout pas le mot de passe, sinon vous devrez réinstaller ESXi.

Appuyez sur F11 pour confirmer. Le disque sera alors formaté et l’installation d’ESXi commencera.

Une fois l’installation terminée, retirez votre clé USB, puis appuyez sur Entrée. ESXi va alors démarrer pour la première fois.

Configuration minimale de l’hyperviseur

Une fois démarré, vous devriez voir la page d’accueil d’ESXi.

Pour fixer l’IP de manière permanente, appuyez sur F2 pour entrer en mode configuration. Saisissez votre mot de passe, puis vous accéderez à la page de configuration.

Accédez à Configure Management Network, puis sélectionnez IPv4.

Cochez la dernière case, comme indiqué sur ma capture d’écran, puis sélectionnez une IP unique et disponible dans votre réseau. Avant de l’attribuer, effectuez un ping sur cette IP depuis votre PC pour vous assurer qu’elle est bien disponible et qu’aucune autre machine ne répond à cette adresse.

Enfin, appuyez sur Entrée, puis sur la touche Échap. Vous devriez voir l’écran correspondant. Appliquez les changements en appuyant sur Y.

Enfin, appuyez sur Échap plusieurs fois jusqu’à revenir au menu principal et sortir du mode d’administration.

Ouvrez maintenant votre navigateur et accédez à l’adresse IP que vous avez précédemment configurée. Vous devriez voir un message d’avertissement indiquant que le certificat n’est pas sécurisé. Cela est tout à fait normal, car il s’agit d’un certificat auto-signé. Cliquez sur Avancé, puis acceptez le certificat pour accéder à l’interface ESXi.

Connectez-vous en utilisant le compte root et entrez le mot de passe que vous avez défini lors de l’installation d’ESXi.

Vous arriverez sur la première page d’accueil d’ESXi, où un message vous demandera de partager vos informations avec VMware.

Décochez la case pour refuser le partage, puis cliquez sur OK.

Bravo, vous avez correctement installé votre ESXi !
Nous allons maintenant passer à la création de votre « blackbox ».

ÉTAPE 4 – Configuration de VMware et VyOS

Configuration VMWare

L’interface peut varier si vous utilisez une version différente de VMware ESXi par rapport à la version 8, mais, dans l’ensemble, elle reste assez similaire.

Observez le menu situé à gauche de votre console web VMware. Voici l’utilité de chacune de ces options :

• N°1 : Donne accès à la gestion de votre licence. Vous pouvez d’ailleurs trouver des licences sur internet à différents endroits, comme ici ou là.
• N°2 : Permet de surveiller les ressources consommées par votre hyperviseur.
• N°3 : permet de gérer vos VM
• N°4 : Sert à gérer le stockage.
• N°5 : Permet de gérer les différentes cartes réseau.

Rendez-vous sur le point N°5 de l’écran, dans « Mise en réseau », puis sélectionnez « NIC physiques ».
Si vous avez choisi la même carte que moi, vous devriez obtenir un résultat similaire (ignorez les autres cartes).

Vous pouvez constater que la négociation automatique est activée en 2,5 Gbps en duplex intégral (2500 Mbits/s sur l’écran).

Dans l’onglet « Commutateurs virtuels », vous devriez voir l’élément suivant :

Il s’agit d’un commutateur virtuel (vSwitch) créé par ESXi.

Il permet de connecter les machines virtuelles (VM) à ce switch.

Nous allons créer deux commutateurs virtuels (vSwitch) :

1. Le premier servira à connecter tous les appareils au tunnel VPN via VyOS.
2. Le second sera dédié aux machines virtuelles, qui disposeront d’un sous-réseau spécifique, ce qui constitue une bonne pratique en matière de sécurité de l’information.

Pour commencer, cliquez sur « Ajouter un commutateur virtuel standard ». Changez le nom du commutateur en « ETH-CLIENTS » et associez ce vSwitch à une liaison montante qui correspond à une sortie de votre carte Ethernet. Voici un exemple basé sur ma configuration, où j’utilise ma carte 10Gbps (adaptez avec votre carte). Ne modifiez aucune autre option, puis cliquez sur « Enregistrer ».

le nom vmnic6 est spécifique à ma configuration.

Maintenant nous allons nous occuper du second vSwitch qui sera dédié aux machines virtuelles, cliquez sur « Ajouter un commutateur virtuel standard« , nommer le « VM-SWITCH » et faite enregistrer, ne rajouter aucune option et ne mettez aucune liaison montante :

Ce vSwitch ne comporte aucune liaison montante car la carte sera virtuelle et non physique.

Nous allons maintenant configurer le groupe de port, qui sera dédié aux machines clientes.
Cliquez sur ajouter un « groupe de port », nommez-le « ETH-CLIENTS » reliez le au commutateur virtuel « ETH-CLIENTS » et enregistrez-le.
N’ajoutez aucune option supplémentaire et ne configurez aucune liaison montante :

Nous allons maintenant configurer la carte réseau des machines virtuelles.

Cliquez à nouveau sur « Ajouter un groupe de ports », saisissez « ETH-VM » comme nom, puis sélectionnez le commutateur virtuel « VM-SWITCH ». Enfin, cliquez sur « Ajouter » :

Ajoutez un dernier groupe de ports nommé « ETH-BOX » et associez-le au « vSwitch0 » :

Voilà, nous avons terminé la configuration de base de la partie réseau sur l’ESXI.

Téléchargez la version de VyOS ICI, et l’ISO de Debian ICI:

Nous allons maintenant déposer l’ISO sur le disque de notre ESXi.
Cliquez sur « Stockage », puis sélectionnez le nom du disque dur souhaité.

Cliquez sur « Explorateur de banque de données » :

Créez un dossier nommé « ISO », puis placez-y les fichiers ISO de Debian et de VyOS :

Une fois les fichiers ISO déposés, vous pouvez fermer cette fenêtre de menu.

Une étape simple mais essentielle consiste à télécharger le logiciel « Sublime text » pour votre ordinateur ici.

Ce dernier nous aidera à configurer VyOS. Je vous recommande vivement ce logiciel, car sans lui, la configuration de VyOS risque d’être beaucoup plus complexe.

JE ME PERMET D’INSISTER !
Telechargez et utilisez Sublime Text pour sauvegarder votre configuration ! (ou un autre éditeur)
En enregistrant toute votre configuration dans un fichier, vous pourrez, en cas de réinstallation, copier/coller celle-ci dans VyOS pour tout restaurer en quelques secondes. Cela vous évitera de nombreux problèmes.

VyOS – Configuration de la VM

Toujours depuis l’interface d’ESXi, cliquez sur « Machines virtuelles », puis sur « Créer/Enregistrer une machine virtuelle ».

Lorsque vous arrivez sur cette fenêtre, cliquez simplement sur « Suivant » :

Définissez un nom pour votre VyOS, puis sélectionnez la « Famille de système d’exploitation » sur Linux et choisissez « Debian 10 » pour la version du « SE invité ».

Choisissez le disque de votre choix, cela n’aura pas d’impact sur les performances de VyOS :

Pour des performances optimales, je vous recommande :

• 4 CPU, avec, si possible, 2 cœurs par socket (uniquement si votre hyperviseur est équipé de deux CPU). Si vous configurez moins de 4 CPU, vous risquez de rencontrer des performances réduites lors de l’utilisation de la connexion VPN.
• 2048 Mo de RAM (c’est largement suffisant, voire même un peu excessif).
• 4 Go de disque dur (c’est également amplement suffisant).

Attention, la configuration du processeur (CPU) nécessite une puissance suffisante pour gérer le chiffrement et le déchiffrement dans le cadre de la configuration d’un VPN. Il est donc important de ne pas sous-estimer ces exigences.

Dans la section « Adaptateur réseau », sélectionnez « ETH-BOX » (chez moi, c’est uniquement ETH0). Ensuite, dépliez le menu du lecteur CD/DVD et cliquez sur « Parcourir » pour rechercher l’ISO de VyOS. N’oubliez pas de cocher la case « Connecter lors de la mise sous tension » :

Terminez en cliquant sur « Enregistrer ».

VyOS – Installation

Cliquez sur votre VM, puis sur « Mettre sous tension » :

Vous devriez arriver sur cet écran :

Laisser le système démarrer automatiquement…

Après le chargement du système, vous arriverez sur cet écran d’accueil :

Pour vous connecter, tapez l’identifiant « vyos » et le mot de passe « vyos ».
(Notez que le mot de passe ne s’affichera pas dans le terminal, c’est tout à fait normal.)

Attention, le clavier est en QWERTY, vous devrez donc adapter les commandes en conséquence.

Nous sommes actuellement en mode « Live CD ».
Nous allons maintenant installer le système en tapant la commande suivante :

install image

install image

Suivez les instructions des deux images ci-dessous :

Nous changerons le mot de passe de VyOS ultérieurement

Tapez la commande « reboot », puis appuyez sur « Y ».

reboot

reboot

Le système redémarre.

Un message en jaune peut apparaître sur l’interface VMware. Ne vous en préoccupez pas, il s’agit simplement du fait que l’ESX ne parvient pas à identifier le type de Linux utilisé par le serveur VyOS.

Connectez-vous en utilisant le compte que vous avez créé précédemment

Attention ! VyOS utilise deux modes :

VyOS – Configuration du système

Nous allons regrouper toutes les commandes de configuration réseau dans un fichier que vous allez créer.

Créez un fichier avec l’extension « VyOS.matlab », matlab vous permettra d’avoir la coloration syntaxique.
Une fois celui-ci ouvert, assurez-vous que « Matlab » avec sublimetext est bien sélectionné en bas à droite :

Commencez par copier/coller les commandes suivantes dans votre fichier texte « VyOS.matlab ».

Ne collez pas les commandes ci-dessous directement dans VyOS, mais dans le fichier :

############################################################################## reset la conf de vyos
conf
#load /opt/vyatta/etc/config.boot.default # <-- remise par défaut (enlevez les dièze/commentaires)
#Save de votre config vyos: load /config/config.boot
commit; commit

show configuration commands # <-- 'voir toutes les commandes qui ont permis de faire la configuration actuelle du VyOS'
monitor bandwidth interface wg0 # pour monitorer les interfaces (changez wg0 par votre interface)

############################################################################## reset la conf de vyos
conf
#load /opt/vyatta/etc/config.boot.default # <-- remise par défaut (enlevez les dièze/commentaires)
#Save de votre config vyos: load /config/config.boot
commit; commit

show configuration commands # <-- 'voir toutes les commandes qui ont permis de faire la configuration actuelle du VyOS'
monitor bandwidth interface wg0 # pour monitorer les interfaces (changez wg0 par votre interface)

Voyons voir à quoi servent ces commandes ligne par ligne:

• Ligne 1 : Il s’agit d’un commentaire. Nous allons écrire plusieurs blocs de commandes différents, qui seront donc organisés par sections. Il s’agit ici du premier bloc de commandes (cela aura plus de sens lorsque vous verrez les autres blocs par la suite).
• Ligne 2 : Cette commande permet de passer en mode configuration.
• Ligne 3 : Cette commande est commentée, car elle est dangereuse. Elle permet de réinitialiser VyOS à ses paramètres par défaut.
• Ligne 4 : Cette commande permet de charger la dernière configuration qui a été sauvegardée.
• Ligne 5 : Cette commande permet d’exécuter les commandes envoyées (mais ne les sauvegarde pas, elle les exécute simplement).
• Ligne 7 : Cette commande permet d’afficher l’ensemble des commandes qui ont été chargées et qui définissent le fonctionnement actuel de VyOS.
• Ligne 8 : Cette commande permet d’avoir une interface de visualisation des statistiques d’une interface réseau (dans cet exemple, wg0/wireguard 0). Voici un exemple avec mon réseau :

exemple de la commande « monitor bandwidth interface » sur l’interface wg0

Ces commandes constituent vraiment les commandes de base qui permettent de restaurer VyOS à ses paramètres par défaut ou d’interagir avec les statistiques d’interface. Bien que nous ne les utiliserons pas, il est bon de savoir qu’elles existent.

Passons maintenant à la création d’un nouveau bloc de configuration dans notre fichier texte. Celui-ci permettra de configurer le clavier en français (AZERTY). Copiez le code suivant dans votre fichier de configuration :

############################################################################## Mettre le clavier en FR
conf
set system option keyboard-layout fr
commit
save

############################################################################## Mettre le clavier en FR
conf
set system option keyboard-layout fr
commit
save

Tapez maintenant les commandes de ce bloc dans VyOS. Pour rappel, la commande « commit » permet d’exécuter les commandes qui ont été saisies, et « save » permet de sauvegarder la configuration afin qu’elle soit réappliquée lors d’un redémarrage :

Votre clavier est désormais configuré en AZERTY et restera fonctionnel même après un redémarrage.

N’oubliez pas de sauvegarder votre fichier dans Sublime Text. Il devrait ressembler à ceci :

Le prochain bloc sera très important, car nous allons connecter VyOS à Internet. Prenez un moment pour réfléchir à l’adressage IP que vous souhaitez attribuer à votre VyOS. Par exemple, vous pouvez choisir un réseau en 192.168.2.X, ce qui vous permettra de créer un sous-réseau via votre VyOS. Cependant, de nombreux autres schémas d’adressage sont également possibles :

Voici mes recommandations :

• Si vous ne voulez pas vous compliquer la tâche, vous pouvez rester sur un réseau en 192.168.0.0/16.
• Si vous souhaitez bénéficier d’un réseau un peu plus large et flexible, vous pouvez opter pour le 172.16.0.0/12. C’est d’ailleurs le choix que j’ai fait, d’autant plus que cette plage réseau est très rarement utilisée.
• En revanche, je vous déconseille d’utiliser le 10.0.0.0/8, car c’est souvent un réseau employé par les VPN des entreprises. Si votre adresse réseau privée est la même que celle du tunnel VPN, cela pourrait entraîner des conflits et des problèmes de connectivité.

Attention, la plupart des box françaises utilisent le réseau 192.168.1.0/24 par défaut. Si vous décidez de passer à un réseau en 172.16.0.0/12, vous devrez également changer l’adresse IP de votre box pour qu’elle soit dans le même réseau :

Comme vous pouvez le voir, ma box est configurée sur l’adresse 172.16.1.1, car j’ai fait le choix d’utiliser le réseau 172.16.0.0/12.

De plus, certaines box ne permettent pas de changer l’adresse réseau.

IMPORTANT : Assurez-vous toujours que votre box soit sur le même réseau que votre blackbox. Si vous choisissez 172.16 ou 192.168 alors mettez votre box dans le même réseau. Cela évitera de nombreux problèmes à l’avenir

Pour la suite du tutoriel, je prendrai donc l’exemple d’un utilisateur qui ne souhaite pas modifier son réseau et qui conserve une adresse de box en 192.168.1.1. Si vous êtes chez un opérateur qui attribue à la box l’adresse IP « 192.168.1.254 », vous devrez adapter les prochaines commandes du tutoriel en conséquence.

Tapez la commande « ip a ». Comme vous pouvez le constater, si vous avez bien suivi le tutoriel jusqu’à présent, vous devriez voir apparaître deux cartes réseau:

• Une carte « lo » pour « loopback », c’est la boucle locale (localhost).
• Et une carte « eth0 » qui, comme vous pouvez le constater ci-dessous, n’a pas d’adresse IP attribuée.

Aucune adresse IP n’est attribuée à notre interface eth0.

Copiez les commandes suivantes dans votre fichier de configuration VyOS :

############################################################################## CONFIG ETH0 - BOX INTERNET
conf
set interfaces ethernet eth0 address 192.168.1.250/24
set interfaces ethernet eth0 mtu 1500
set nat source rule 999 outbound-interface eth0
set nat source rule 999 translation address 'masquerade'
set protocols static interface-route 192.168.1.1/32 next-hop-interface eth0
set protocols static route 0.0.0.0/0 next-hop 192.168.1.1
set service ssh listen-address 192.168.1.250
set service ssh port 22
set system name-server 8.8.8.8
commit

############################################################################## CONFIG ETH0 - BOX INTERNET
conf
set interfaces ethernet eth0 address 192.168.1.250/24
set interfaces ethernet eth0 mtu 1500
set nat source rule 999 outbound-interface eth0
set nat source rule 999 translation address 'masquerade'
set protocols static interface-route 192.168.1.1/32 next-hop-interface eth0
set protocols static route 0.0.0.0/0 next-hop 192.168.1.1
set service ssh listen-address 192.168.1.250
set service ssh port 22
set system name-server 8.8.8.8
commit

Je vais vous détailler les commandes au maximum afin que vous puissiez bien comprendre leur utilité :

• Ligne 3 : On définit une adresse IP pour notre VyOS. L’adresse « 192.168.1.250/24 » correspondra donc à l’adresse IP du routeur VyOS c’est donc l’IP de la blackbox (vous pouvez et devez l’adapter selon vos besoins).
• Ligne 4 : On définit la taille de la « Maximum Transmission Unit » (MTU) à 1500 octets pour l’interface eth0. Cette valeur détermine la taille maximale de chaque paquet qui sera envoyé sur le réseau. Attention, augmenter ce chiffre pourrait rendre le réseau instable.
• Ligne 5 : Cette règle indique que tout le trafic sortant de votre routeur via l’interface eth0 doit suivre la règle numéro 999. En d’autres termes, on prépare le routeur à modifier les paquets qui vont sortir par cette interface.
• Ligne 6 : Cette règle applique le « masquerading » à la règle 999, ce qui signifie que lorsque le trafic sort de votre réseau vers Internet, le routeur remplace l’adresse IP source de chaque paquet par l’adresse IP de l’interface eth0. C’est utile car cela permet à plusieurs appareils sur ce réseau privé de partager une seule adresse IP publique.
• Ligne 7 : Cette commande ajoute une route pour atteindre l’adresse 192.168.1.1 via l’interface eth0. En résumé, cela indique au routeur comment atteindre la passerelle 192.168.1.1.
• Ligne 8 : Il s’agit d’une route par défaut, ce qui signifie que tout le trafic destiné à des adresses IP non répertoriées dans la table de routage sera envoyé à 192.168.1.1 (votre box). En d’autres termes, 192.168.1.1 est configuré comme la passerelle de sortie vers Internet.
• Ligne 9 : Cette commande permet d’activer le service SSH sur l’adresse IP du routeur VyOS.
• Ligne 10 : Cette commande permet de définir un port pour le service SSH.
• Ligne 11 : Cette commande permet de changer le DNS du VyOS (vous pouvez remplacer ce DNS par celui de votre choix. Nous verrons dans d’autres articles comment créer notre propre DNS). Si vous avez un Adguard vous pouvez rajouter celui-ci directement ici.
• Ligne 12 : le commit exécuté les règles (mais ne les sauvegardes pas)

L’autocomplétion fonctionne sur VyOS, c’est à dire que vous pouvez taper le début d’une commande et compléter avec TAB. Parfois faire un « TAB » vous aidera à trouver une commande que vous ne connaissez pas.

Appliquez maintenant ces commandes sur votre routeur VyOS (chez moi, le réseau est configuré en 172.16, mais ne vous en préoccupez pas). Si vous faites une erreur, vous pouvez taper « exit discard » pour quitter le mode de configuration sans enregistrer les commandes que vous avez saisies. Ensuite, vous devrez taper « configure » à nouveau pour revenir en mode de configuration.

Pour ma part, je n’ai aucune erreur.

Vérifions ensuite que l’adresse IP de notre carte réseau est bien active et que la résolution DNS fonctionne correctement :

On peut constater que la carte réseau est bien activée chez moi et que la résolution DNS fonctionne correctement.

Nous pouvons maintenant essayer de nous connecter à notre VyOS en SSH :

Si tout fonctionne correctement, nous pouvons sauvegarder la configuration de notre VyOS :

conf
save

conf
save

Notre configuration a été sauvegardée

Notez qu’à tout moment, vous pouvez supprimer une règle de votre VyOS.
Si vous souhaitez supprimer une règle, utilisez la commande « delete » suivie de la configuration à supprimer.

Par exemple, si une commande permet de configurer le service SSH avec :
set service ssh listen-address 192.168.1.250, alors tapez :

MATLAB

del service ssh listen-address 192.168.1.250

del service ssh listen-address 192.168.1.250

Ce qu’il faut retenir, c’est que la commande « del » remplace la commande « set » pour supprimer une configuration.

Récapitulatif VyOS

Nous en sommes actuellement ici

Nous allons maintenant créer des sous-réseaux DHCP qui nous permettront de commencer à sécuriser notre infrastructure. Nous allons configurer autant de serveurs DHCP que nécessaire :

• Un DHCP pour les machines virtuelles (VM).
• Un DHCP pour notre ordinateur (afin qu’il soit protégé derrière le VyOS).
• Vous pourrez adapter la configuration si vous avez d’autres cartes réseau pour d’autres utilisations, comme un réseau invité, un réseau WiFi, ou tout autre réseau spécifique.

Configuration des DHCP

Configuration du DHCP pour les clients

Éditer la configuration de votre VM et rajouter la carte réseau « ETH-CLIENTS » :

Avec la commande « ip a », vous devriez voir la la seconde carte réseau

Insérez les commandes suivantes dans votre fichier de configuration VyOS :

############################################################################## CONFIG ETH-CLIENTS
conf
set interfaces ethernet eth1 address 192.168.2.250/24
set service dhcp-server shared-network-name ETH-CLIENTS authoritative
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 default-router 192.168.2.250
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 name-server 8.8.8.8
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 lease 86400
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 range 0 start 192.168.2.1
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 range 0 stop 192.168.2.249
commit

############################################################################## CONFIG ETH-CLIENTS
conf
set interfaces ethernet eth1 address 192.168.2.250/24
set service dhcp-server shared-network-name ETH-CLIENTS authoritative
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 default-router 192.168.2.250
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 name-server 8.8.8.8
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 lease 86400
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 range 0 start 192.168.2.1
set service dhcp-server shared-network-name ETH-CLIENTS subnet 192.168.2.0/24 range 0 stop 192.168.2.249
commit

Explication des commandes :

• Ligne 3 : Permet d’attribuer une adresse IP à votre interface eth1. Nous avons choisi un réseau en .2 pour les clients (vous êtes libre d’adapter l’IP).
• Ligne 4 : Permet de créer un serveur DHCP qui servira à attribuer des adresses IP à vos clients, que nous appellerons ETH-CLIENTS (vous êtes libre d’adapter le nom).
• Ligne 5 : Indique que le réseau ETH-CLIENTS a un sous-réseau en 192.168.2.0/24 et que la passerelle par défaut (default-router) est 192.168.2.250 (vous pouvez l’adapter si besoin).
• Ligne 6 : Permet de spécifier un serveur DNS (vous êtes libre d’adapter le serveur). Si vous avez un ADguard vous pouvez rajouter celui-ci directement ici pour le pousser aux clients, attention, si vous avez déjà mis un DNS ne rajoutez pas simplement l’IP du adguard mais supprimer d’abords l’IP avant de rajouter celle du adguard.
• Ligne 7 : Définit le « lease » (bail) qui est la durée pendant laquelle une adresse IP est attribuée, même si l’appareil ne se connecte plus. Ici, le « lease » est de 86400 secondes (une journée), ce qui signifie qu’une adresse IP sera conservée pendant 24 heures. Après cette période, l’adresse sera libérée et pourra être attribuée à un autre appareil s’il se reconnecte. Cela permet de libérer les adresses IP inutilisées. Vous êtes libre d’adapter la durée (évitez de dépasser un mois).
• Ligne 8 : Spécifie que la première adresse IP attribuée commencera à 192.168.2.1.
• Ligne 9 : Spécifie que la dernière adresse IP attribuée s’arrêtera à 192.168.2.249 (250 étant l’adresse du routeur DHCP).

Comme vous pouvez le constater, les commandes fonctionnent correctement chez moi (ne tenez pas compte de mes commandes, car elles sont différentes) :

L’adresse IP est désormais pleinement configurée

Si tout est correct de votre côté, tapez « save »:

save

save

Configuration du DHCP pour les VM

Modifiez la configuration de votre VM et ajoutez la carte réseau « ETH-VM » :

Vous devriez voir la nouvelle carte réseau avec la commande « ip a », mais sans adresse IP attribuée pour le moment

Insérez les commandes suivantes dans votre fichier de configuration VyOS :

############################################################################## CONFIG ETH-VM
set interfaces ethernet eth2 address 192.168.3.250/24
set service dhcp-server shared-network-name ETH-VM authoritative
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 default-router 192.168.3.250
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 name-server 8.8.8.8
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 lease 86400
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 range 0 start 192.168.3.1
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 range 0 stop 192.168.3.249
commit

############################################################################## CONFIG ETH-VM
set interfaces ethernet eth2 address 192.168.3.250/24
set service dhcp-server shared-network-name ETH-VM authoritative
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 default-router 192.168.3.250
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 name-server 8.8.8.8
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 lease 86400
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 range 0 start 192.168.3.1
set service dhcp-server shared-network-name ETH-VM subnet 192.168.3.0/24 range 0 stop 192.168.3.249
commit

Ici, nous avons modifié la configuration en indiquant la nouvelle carte « eth2 » et en attribuant un nouveau sous-réseau IP en « .3 ». Nous avons nommé cette interface « ETH-VM ». Le reste de la configuration est identique à celle de notre premier serveur DHCP.

L’adresse IP d’eth2 est pleinement configurée

Si tout est correct de votre côté, tapez « save »:

save

save

Nous avons terminé la configuration de base du réseau VyOS ainsi que des serveurs DHCP.

À partir de maintenant, vous devriez être en mesure de vous connecter physiquement à la blackbox.

Connectez-vous avec un câble et vérifiez que la blackbox vous attribue bien une adresse IP.

Sur votre PC, vous devriez voir une adresse IP qui correspond au plan d’adressage que vous avez défini :

Récapitulatif final de VyOS

Vous pouvez aussi rajouter un swich au niveau du pc si vous souhaitez ajouter plusieurs appareils (ce qui sera surement votre cas) :

Configuration avec switch recommandée.

Nous avons nos deux sous-réseau, un pour les clients et un pour nos futurs VM. Nous pouvons maintenant changer le mot de passe de notre VyOS ainsi que rajouter une clé SSH pour plus de sécurité.

taper la commande suivante en changeant votre mot de passe :

############################################################################## CONFIG SSH
set system login user vyos authentication plaintext-password 'VOTRENOUVEAUMOTDEPASSE'

############################################################################## CONFIG SSH
set system login user vyos authentication plaintext-password 'VOTRENOUVEAUMOTDEPASSE'

Pour rajouter une clé SSH à votre VyOS vous devez adapter la commande suivante (n’hésitez pas à faire tab).

Attention au type de la clé, vous pouvez faire « tab » pour voir tous les type de clés disponible. Pour ma part je serais en ed25519, mais la plupart d’entre vous seront surement en RSA :

set system login user vyos authentication public-keys maclé
set system login user vyos authentication public-keys maclé type ssh-ed25519
set system login user vyos authentication public-keys maclé key AAAAC3NzaC1lZDI1NTE5AAAAIM+H40q3eianFpJ+A7diF41977aj5QukHzYV1/z9Jma
commit

set system login user vyos authentication public-keys maclé
set system login user vyos authentication public-keys maclé type ssh-ed25519
set system login user vyos authentication public-keys maclé key AAAAC3NzaC1lZDI1NTE5AAAAIM+H40q3eianFpJ+A7diF41977aj5QukHzYV1/z9Jma
commit

si vous n’avez pas d’erreur pensez à sauvegarder :

save

save

lors d’une nouvelle connexion le VyOS me demande le mot de passe de ma clé :

La demande de mots de passe dépend si vous avez mis un mot de passe ou non lors de la création de votre clé SSH.

Votre fichier de configuration final de VyOS devrait ressembler à ça :

Ce fichier permet d’avoir une vision globale de votre VyOS et vous permettra de copier/coller la configuration rapidement dans VyOS sans avoir à tout refaire. (ici il y a deux configuration etc client)

ÉTAPE 5 – Configuration du VPN

Consultez l’article suivant pour installer votre VPN sur votre VPS.