TildaVPS Logo
Comment Configurer un VPN sur MikroTik : Un Guide Complet

Comment Configurer un VPN sur MikroTik : Un Guide Complet

Découvrez comment implémenter des connexions VPN sécurisées sur les routeurs MikroTik en utilisant divers protocoles, y compris L2TP/IPsec, OpenVPN, WireGuard et IPsec pour les connexions site-à-site.

42 min read

Introduction

Les Réseaux Privés Virtuels (VPN) sont devenus des outils essentiels pour les entreprises et les particuliers cherchant à sécuriser leurs connexions internet, accéder à des réseaux distants et protéger des données sensibles. Les routeurs MikroTik, connus pour leur ensemble de fonctionnalités robustes et leur rentabilité, offrent plusieurs options d'implémentation VPN qui répondent à différents besoins de sécurité et cas d'utilisation.

Dans ce guide complet, nous vous guiderons à travers le processus de configuration de diverses solutions VPN sur votre routeur MikroTik. Que vous soyez un administrateur réseau cherchant à établir des connexions site-à-site sécurisées, ou un particulier souhaitant accéder à votre réseau domestique à distance, cet article vous fournira les connaissances et les instructions étape par étape pour implémenter avec succès les services VPN sur votre appareil MikroTik. TildaVPS propose des serveurs MikroTik optimisés qui sont parfaits pour implémenter les solutions VPN que nous aborderons dans ce guide, garantissant des connexions fiables et sécurisées pour vos besoins réseau.

Section 1 : Comprendre les Types de VPN sur MikroTik

Options VPN Disponibles sur MikroTik

MikroTik RouterOS prend en charge plusieurs protocoles VPN, chacun ayant ses propres forces et cas d'utilisation idéaux. Avant de plonger dans la configuration, il est important de comprendre quel protocole correspond le mieux à vos besoins.

OpenVPN est un protocole VPN open-source qui offre un bon équilibre entre sécurité et performance. Il utilise SSL/TLS pour l'échange de clés et peut fonctionner sur UDP et TCP. OpenVPN est hautement configurable et peut contourner la plupart des pare-feu, ce qui en fait un choix polyvalent pour de nombreux scénarios.

IPsec (Internet Protocol Security) assure une communication IP sécurisée en authentifiant et en chiffrant chaque paquet IP. Il est largement pris en charge sur toutes les plateformes et est considéré comme très sécurisé, ce qui le rend idéal pour les connexions VPN site-à-site entre succursales.

L2TP/IPsec combine le Layer 2 Tunneling Protocol avec le chiffrement IPsec. Ce protocole est nativement pris en charge par la plupart des systèmes d'exploitation, y compris Windows, macOS, iOS et Android, ce qui le rend pratique pour les VPN d'accès distant.

PPTP (Point-to-Point Tunneling Protocol) est l'un des plus anciens protocoles VPN. Bien qu'il soit facile à configurer et offre des connexions rapides, sa sécurité a été compromise, le rendant adapté uniquement aux applications non sensibles où la commodité l'emporte sur les préoccupations de sécurité.

SSTP (Secure Socket Tunneling Protocol) utilise SSL sur le port TCP 443, lui permettant de traverser la plupart des pare-feu et serveurs proxy. Il offre un bon niveau de sécurité mais est principalement pris en charge sur les plateformes Windows.

WireGuard est un protocole plus récent connu pour sa simplicité, ses hautes performances et sa cryptographie moderne. MikroTik a ajouté la prise en charge de WireGuard dans RouterOS v7, ce qui en fait une excellente option pour ceux qui utilisent le dernier firmware.

Avantages de l'Utilisation d'un VPN sur MikroTik

Sécurité Améliorée : Les VPN chiffrent vos données, les protégeant de l'écoute clandestine et des attaques de type "man-in-the-middle", en particulier lors de l'utilisation de réseaux Wi-Fi publics.

Accès Distant : Accédez en toute sécurité aux ressources de votre réseau domestique ou professionnel depuis n'importe où dans le monde.

Connectivité Site-à-Site : Connectez plusieurs sites de bureau en toute sécurité sur Internet, créant un réseau unifié.

Contourner les Géo-restrictions : Accédez à du contenu restreint par région en vous connectant à des serveurs VPN situés dans différentes zones géographiques.

Segmentation Réseau : Créez des segments de réseau sécurisés et isolés pour différents départements ou objectifs au sein de votre organisation.

Choisir le Bon Protocole VPN

Le meilleur protocole VPN pour votre configuration MikroTik dépend de vos exigences spécifiques :

  • Pour une compatibilité maximale entre les appareils : L2TP/IPsec
  • Pour la sécurité la plus élevée dans les environnements d'entreprise : IPsec
  • Pour la flexibilité et un bon équilibre sécurité-performance : OpenVPN
  • Pour des besoins modernes et haute performance : WireGuard (RouterOS v7+)
  • Pour une configuration simple avec des clients Windows : SSTP

Mini-FAQ

Quel protocole VPN offre les meilleures performances sur MikroTik ?

WireGuard offre généralement les meilleures performances en raison de sa conception légère et de sa cryptographie efficace, suivi par OpenVPN avec UDP. Cependant, les performances peuvent varier en fonction de votre matériel spécifique et des conditions du réseau.

Puis-je exécuter plusieurs protocoles VPN simultanément sur mon routeur MikroTik ?

Oui, MikroTik RouterOS vous permet d'exécuter plusieurs protocoles VPN simultanément. C'est utile pour prendre en charge différents appareils clients ou fournir des options de secours si un protocole est bloqué.

Section 2 : Prérequis pour Configurer un VPN sur MikroTik

Exigences Matérielles et Logicielles

Avant de configurer un VPN sur votre routeur MikroTik, assurez-vous que les prérequis suivants sont en place :

Exigences Matérielles :

  • Un routeur MikroTik avec une puissance de traitement suffisante pour le chiffrement/déchiffrement VPN. Pour une utilisation intensive du VPN, envisagez des modèles avec des processeurs multi-cœurs comme les séries RB4011 ou CCR.
  • Une RAM adéquate (au moins 256 Mo recommandés pour plusieurs connexions VPN)
  • Une connexion Internet stable avec une bande passante suffisante pour vos besoins VPN

Exigences Logicielles :

  • Version de RouterOS compatible avec le protocole VPN choisi (v6.45+ recommandée, v7+ pour WireGuard)
  • Mis à jour vers la dernière version stable pour garantir l'application des correctifs de sécurité
  • Niveau de licence valide prenant en charge le protocole VPN choisi (la plupart des fonctionnalités VPN nécessitent au moins le Niveau 4)

Exigences Réseau :

  • Adresse IP publique (statique préférée) ou service DDNS correctement configuré
  • Redirection de port appropriée si votre MikroTik se trouve derrière un autre routeur
  • Règles de pare-feu correctement configurées pour autoriser le trafic VPN

Configuration Initiale du Routeur

Avant d'implémenter un VPN, assurez-vous que votre routeur MikroTik dispose d'une configuration de base sécurisée :

  1. Mettre à jour RouterOS vers la dernière version stable
  2. Changer le mot de passe administrateur par défaut
  3. Configurer l'adressage IP approprié pour toutes les interfaces
  4. Mettre en place des règles de pare-feu de base pour protéger votre réseau
  5. Configurer les paramètres DNS
  6. S'assurer que le NTP (Network Time Protocol) est correctement configuré, car une heure précise est cruciale pour l'authentification VPN

Planification de Votre Implémentation VPN

Prenez le temps de planifier votre déploiement VPN en considérant :

Topologie VPN :

  • VPN d'accès distant (clients se connectant à votre réseau)
  • VPN site-à-site (connexion de plusieurs réseaux)
  • Hub-and-spoke (site central se connectant à plusieurs succursales)
  • Mesh (maillage) (tous les sites se connectant les uns aux autres)

Schéma d'Adressage IP :

  • Déterminer le sous-réseau IP pour les clients VPN
  • S'assurer qu'il n'y a pas de conflits IP entre les réseaux locaux et distants
  • Planifier le routage approprié entre les réseaux

Méthode d'Authentification :

  • Nom d'utilisateur/mot de passe
  • Authentification basée sur des certificats
  • Clés pré-partagées (Pre-shared keys)
  • Authentification à deux facteurs

Considérations de Sécurité :

  • Exigences de force de chiffrement
  • Besoins de ségrégation du trafic
  • Politiques de contrôle d'accès

Accéder à Votre Routeur MikroTik

Pour configurer votre routeur MikroTik, vous devrez y accéder en utilisant l'une de ces méthodes :

  1. WebFig (Interface de configuration basée sur le Web) :

    • Connectez-vous à l'adresse IP de votre routeur via un navigateur Web
    • Connectez-vous avec vos identifiants
    • Naviguez dans le menu pour configurer les paramètres VPN

  2. WinBox (Application GUI Windows) :

    • Téléchargez WinBox depuis le site Web de MikroTik
    • Connectez-vous à votre routeur via l'adresse IP ou MAC
    • Utilisez l'interface graphique pour configurer les paramètres

  3. SSH/Telnet (Interface en ligne de commande) :

    • Connectez-vous à l'aide d'un client SSH comme PuTTY
    • Entrez les commandes directement dans la CLI RouterOS
    • Utile pour le scripting et les configurations avancées

  4. The Dude (Application de gestion de réseau) :

    • Pour gérer plusieurs appareils MikroTik
    • Fournit une vue d'ensemble de votre infrastructure réseau

Mini-FAQ

Ai-je besoin d'une adresse IP statique pour configurer un serveur VPN sur MikroTik ?

Bien qu'une IP statique soit idéale, vous pouvez utiliser des services DNS dynamiques (DDNS) comme no-ip.com ou dyn.com si vous avez une IP dynamique. MikroTik prend en charge les mises à jour DDNS automatiques via des scripts ou le client DDNS intégré.

De quel niveau de licence ai-je besoin pour la fonctionnalité VPN sur MikroTik ?

La plupart des fonctionnalités VPN nécessitent au moins une licence de Niveau 4. Cependant, PPTP et L2TP de base sont disponibles à partir du Niveau 3. Pour des fonctionnalités avancées et de meilleures performances, le Niveau 5 ou le Niveau 6 est recommandé, en particulier pour les déploiements d'entreprise.

Section 3 : Configuration du Serveur VPN L2TP/IPsec

L2TP/IPsec est l'un des protocoles VPN les plus largement pris en charge, ce qui en fait un excellent choix pour les environnements avec divers appareils clients. Passons en revue le processus de configuration d'un serveur VPN L2TP/IPsec sur votre routeur MikroTik.

Étape 1 : Configurer les Paramètres IPsec

Tout d'abord, nous devons configurer la partie IPsec du VPN, qui assure le chiffrement du tunnel L2TP :

  1. Ouvrez WinBox et connectez-vous à votre routeur MikroTik
  2. Naviguez vers IP → IPsec → Profiles (Profils)
  3. Cliquez sur le bouton + pour ajouter un nouveau profil
  4. Configurez les paramètres suivants :
    • Name (Nom) : L2TP-IPsec
    • Hash Algorithms (Algorithmes de Hachage) : sha256
    • Encryption Algorithms (Algorithmes de Chiffrement) : aes-256-cbc
    • DH Group (Groupe DH) : modp2048
    • Proposal Check (Vérification de Proposition) : obey
    • Lifetime (Durée de vie) : 1d 00:00:00
  5. Cliquez sur OK pour enregistrer le profil

Ensuite, créez la proposition IPsec :

  1. Allez dans IP → IPsec → Proposals (Propositions)
  2. Cliquez sur le bouton + pour ajouter une nouvelle proposition
  3. Configurez ce qui suit :
    • Auth Algorithms (Algorithmes d'Authentification) : sha256
    • Encr Algorithms (Algorithmes de Chiffrement) : aes-256-cbc
    • PFS Group (Groupe PFS) : modp2048
  4. Cliquez sur OK pour enregistrer

Maintenant, configurez le peer IPsec :

  1. Allez dans IP → IPsec → Peers
  2. Cliquez sur le bouton + pour ajouter un nouveau peer
  3. Configurez ce qui suit :
    • Name (Nom) : L2TP-Peer
    • Address (Adresse) : 0.0.0.0/0 (pour accepter les connexions de n'importe quelle IP)
    • Profile (Profil) : L2TP-IPsec (le profil que nous avons créé précédemment)
    • Exchange Mode (Mode d'Échange) : main
    • Send Initial Contact (Envoyer Contact Initial) : yes
    • Nat Traversal : yes
    • Pre-shared Key (Clé Pré-partagée) : VotreCléSecrèteForte (utilisez une clé forte et unique)
  4. Cliquez sur OK pour enregistrer

Étape 2 : Configurer le Serveur L2TP

Maintenant, configurons le serveur L2TP :

  1. Naviguez vers PPP dans le menu de gauche
  2. Allez dans l'onglet Profiles (Profils)
  3. Cliquez sur le bouton + pour ajouter un nouveau profil
  4. Configurez ce qui suit :
    • Name (Nom) : L2TP-Profile
    • Local Address (Adresse Locale) : Spécifiez l'IP du routeur à utiliser pour le VPN (par ex., 10.0.0.1)
    • Remote Address (Adresse Distante) : Spécifiez le pool d'IP pour les clients (par ex., 10.0.0.2-10.0.0.254)
    • DNS Server (Serveur DNS) : Vos serveurs DNS préférés
    • Use Encryption (Utiliser le Chiffrement) : yes
  5. Cliquez sur OK pour enregistrer le profil

Ensuite, configurez le serveur L2TP :

  1. Allez dans l'onglet Interface
  2. Cliquez sur L2TP Server (Serveur L2TP)
  3. Configurez ce qui suit :
    • Enabled (Activé) : yes
    • Max MTU : 1450
    • Max MRU : 1450
    • Keep Alive Timeout (Délai d'attente Keep Alive) : 30
    • Default Profile (Profil par Défaut) : L2TP-Profile (le profil que nous avons créé)
    • Authentication (Authentification) : mschap2, mschap1, chap (dans cet ordre pour une meilleure compatibilité)
    • Use IPsec (Utiliser IPsec) : yes
    • IPsec Secret (Secret IPsec) : VotreCléSecrèteForte (la même que dans la configuration du peer IPsec)
  4. Cliquez sur OK pour enregistrer

Étape 3 : Créer des Utilisateurs VPN

Maintenant, créez des comptes utilisateurs pour l'accès VPN :

  1. Allez dans PPP dans le menu de gauche
  2. Cliquez sur l'onglet Secrets
  3. Cliquez sur le bouton + pour ajouter un nouveau secret
  4. Configurez ce qui suit :
    • Name (Nom) : nomutilisateur (le nom d'utilisateur de connexion pour l'utilisateur VPN)
    • Password (Mot de passe) : motdepasse (un mot de passe fort pour l'utilisateur)
    • Service : l2tp
    • Profile (Profil) : L2TP-Profile
  5. Cliquez sur OK pour enregistrer
  6. Répétez pour des utilisateurs supplémentaires si nécessaire

Étape 4 : Configurer les Règles de Pare-feu

Pour autoriser le trafic VPN à travers votre pare-feu :

  1. Naviguez vers IP → Firewall → Filter Rules (Règles de Filtrage)

  2. Ajoutez des règles pour autoriser le trafic L2TP et IPsec :

    Pour IPsec :

    • Ajoutez une règle pour autoriser le port UDP 500 (IKE)
    • Ajoutez une règle pour autoriser le port UDP 4500 (IPsec NAT-T)
    • Ajoutez une règle pour autoriser le protocole IP 50 (ESP)
    • Ajoutez une règle pour autoriser le protocole IP 51 (AH)

    Pour L2TP :

    • Ajoutez une règle pour autoriser le port UDP 1701 (L2TP)

  3. Ajoutez des règles pour autoriser le trafic du sous-réseau VPN à accéder aux ressources de votre réseau si nécessaire

Étape 5 : Tester la Connexion VPN

Après avoir terminé la configuration, testez la connexion VPN depuis un appareil client :

  1. Sous Windows :

    • Allez dans Paramètres → Réseau et Internet → VPN
    • Cliquez sur "Ajouter une connexion VPN"
    • Fournisseur VPN : Windows (intégré)
    • Nom de la connexion : MikroTik L2TP
    • Nom ou adresse du serveur : L'IP publique ou DDNS de votre MikroTik
    • Type de VPN : L2TP/IPsec avec clé pré-partagée
    • Clé pré-partagée : VotreCléSecrèteForte (celle que vous avez configurée)
    • Nom d'utilisateur et mot de passe : Les identifiants que vous avez créés dans les secrets PPP

  2. Sous Android/iOS :

    • Allez dans Paramètres → VPN
    • Ajoutez une nouvelle connexion VPN
    • Sélectionnez L2TP/IPsec
    • Entrez l'IP publique ou DDNS de votre MikroTik
    • Entrez la clé pré-partagée, le nom d'utilisateur et le mot de passe

Mini-FAQ

Pourquoi ma connexion VPN L2TP/IPsec ne parvient-elle pas à s'établir ?

Les problèmes courants incluent une clé pré-partagée incorrecte, un pare-feu bloquant les ports VPN, des problèmes de NAT ou des paramètres de chiffrement incompatibles. Vérifiez les logs de votre routeur sous System → Logs pour des messages d'erreur spécifiques afin de dépanner le problème.

Combien d'utilisateurs VPN L2TP/IPsec simultanés mon routeur MikroTik peut-il prendre en charge ?

Cela dépend des capacités matérielles de votre routeur. Les modèles d'entrée de gamme peuvent gérer 5 à 10 utilisateurs simultanés, tandis que les modèles haut de gamme comme la série CCR peuvent prendre en charge des dizaines, voire des centaines de connexions. L'utilisation du CPU est le principal facteur limitant en raison de la surcharge de chiffrement.

Section 4 : Configuration du Serveur OpenVPN

OpenVPN est une solution VPN hautement configurable et sécurisée qui fonctionne bien sur différentes plateformes. Sa configuration sur MikroTik nécessite la création de certificats et la configuration correcte du serveur. Passons en revue le processus étape par étape.

Étape 1 : Créer des Certificats

OpenVPN utilise des certificats pour l'authentification. Nous devrons créer une Autorité de Certification (AC), un certificat serveur et des certificats clients :

  1. Naviguez vers System → Certificates (Certificats)

  2. Tout d'abord, créez une Autorité de Certification (AC) :

    • Cliquez sur le bouton Add (Ajouter)
    • Définissez Name (Nom) : CA
    • Définissez Common Name (Nom Commun) : MikroTik-CA
    • Définissez Key Size (Taille de Clé) : 2048
    • Définissez Days Valid (Jours Valides) : 3650 (10 ans)
    • Cochez Key Usage (Utilisation de la Clé) : crl sign, key cert sign
    • Cliquez sur Apply (Appliquer), puis Sign (Signer)
    • Dans la nouvelle boîte de dialogue, sélectionnez CA comme Certificat et cliquez sur Sign (Signer)

  3. Créez un certificat serveur :

    • Cliquez sur le bouton Add (Ajouter)
    • Définissez Name (Nom) : Server
    • Définissez Common Name (Nom Commun) : MikroTik-Server
    • Définissez Key Size (Taille de Clé) : 2048
    • Définissez Days Valid (Jours Valides) : 3650
    • Cochez Key Usage (Utilisation de la Clé) : digital signature, key encipherment, tls server
    • Cliquez sur Apply (Appliquer), puis Sign (Signer)
    • Dans la nouvelle boîte de dialogue, sélectionnez CA comme Autorité de Certification et cliquez sur Sign (Signer)

  4. Créez un certificat client :

    • Cliquez sur le bouton Add (Ajouter)
    • Définissez Name (Nom) : Client1
    • Définissez Common Name (Nom Commun) : Client1
    • Définissez Key Size (Taille de Clé) : 2048
    • Définissez Days Valid (Jours Valides) : 3650
    • Cochez Key Usage (Utilisation de la Clé) : tls client
    • Cliquez sur Apply (Appliquer), puis Sign (Signer)
    • Dans la nouvelle boîte de dialogue, sélectionnez CA comme Autorité de Certification et cliquez sur Sign (Signer)
    • Répétez cette étape pour des clients supplémentaires si nécessaire

Étape 2 : Configurer le Serveur OpenVPN

Maintenant, configurons le serveur OpenVPN :

  1. Naviguez vers PPP dans le menu de gauche
  2. Allez dans l'onglet Profiles (Profils)
  3. Cliquez sur le bouton + pour ajouter un nouveau profil
  4. Configurez ce qui suit :
    • Name (Nom) : OVPN-Profile
    • Local Address (Adresse Locale) : Spécifiez l'IP du routeur à utiliser pour le VPN (par ex., 10.1.0.1)
    • Remote Address (Adresse Distante) : Spécifiez le pool d'IP pour les clients (par ex., 10.1.0.2-10.1.0.254)
    • DNS Server (Serveur DNS) : Vos serveurs DNS préférés
    • Use Encryption (Utiliser le Chiffrement) : yes
  5. Cliquez sur OK pour enregistrer le profil

Ensuite, configurez le serveur OpenVPN :

  1. Allez dans PPP dans le menu de gauche
  2. Cliquez sur l'onglet Interface
  3. Cliquez sur le bouton OVPN Server (Serveur OVPN)
  4. Configurez ce qui suit :
    • Enabled (Activé) : yes
    • Port : 1194
    • Mode : ip
    • Protocol (Protocole) : tcp
    • Netmask (Masque de sous-réseau) : 24
    • Max MTU : 1500
    • Default Profile (Profil par Défaut) : OVPN-Profile
    • Certificate (Certificat) : Server (le certificat serveur que nous avons créé)
    • Auth : sha1
    • Cipher (Chiffrement) : aes256
    • Require Client Certificate (Exiger un Certificat Client) : yes
  5. Cliquez sur OK pour enregistrer

Étape 3 : Configurer les Règles de Pare-feu

Pour autoriser le trafic OpenVPN à travers votre pare-feu :

  1. Naviguez vers IP → Firewall → Filter Rules (Règles de Filtrage)

  2. Ajoutez une règle pour autoriser le trafic OpenVPN :

    • Cliquez sur le bouton +
    • Définissez Chain (Chaîne) : input
    • Définissez Protocol (Protocole) : tcp
    • Définissez Dst. Port (Port Dst.) : 1194
    • Définissez Action : accept
    • Ajoutez un commentaire comme "Autoriser OpenVPN"
    • Cliquez sur OK pour enregistrer

  3. Ajoutez des règles pour autoriser le trafic du sous-réseau VPN à accéder aux ressources de votre réseau si nécessaire

Étape 4 : Exporter les Certificats Clients et Créer la Configuration Client

Pour connecter des clients à votre serveur OpenVPN, vous devez exporter les certificats et créer un fichier de configuration client :

  1. Exportez le certificat CA :

    • Allez dans System → Certificates (Certificats)
    • Sélectionnez le certificat CA
    • Cliquez sur Export (Exporter)
    • Choisissez Export Type (Type d'Exportation) : PEM
    • Cliquez sur Export (Exporter) et enregistrez le fichier sous ca.crt

  2. Exportez le certificat et la clé client :

    • Sélectionnez le certificat Client1
    • Cliquez sur Export (Exporter)
    • Choisissez Export Type (Type d'Exportation) : PEM
    • Cliquez sur Export (Exporter) et enregistrez le fichier sous client1.crt
    • Cliquez à nouveau sur Export (Exporter)
    • Choisissez Export Type (Type d'Exportation) : key
    • Entrez la Export Passphrase (Phrase de Passe d'Exportation) si vous souhaitez protéger la clé par mot de passe
    • Cliquez sur Export (Exporter) et enregistrez le fichier sous client1.key

  3. Créez un fichier de configuration client (client.ovpn) avec le contenu suivant :

client
dev tun
proto tcp
remote votre-ip-publique-mikrotik 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-CBC
auth SHA1
verb 3
key-direction 1

<ca>
# Collez le contenu de ca.crt ici
</ca>

<cert>
# Collez le contenu de client1.crt ici
</cert>

<key>
# Collez le contenu de client1.key ici
</key>

Étape 5 : Connecter les Clients à OpenVPN

Vous pouvez maintenant utiliser le fichier de configuration client pour vous connecter à votre serveur OpenVPN :

  1. Sous Windows :

    • Installez le client OpenVPN (depuis openvpn.net)
    • Copiez le fichier client.ovpn dans C:\Program Files\OpenVPN\config\
    • Faites un clic droit sur l'icône OpenVPN GUI dans la barre d'état système et sélectionnez "Connecter"

  2. Sous macOS :

    • Installez Tunnelblick (depuis tunnelblick.net)
    • Importez le fichier client.ovpn
    • Connectez-vous en utilisant le menu Tunnelblick

  3. Sous Linux :

    • Installez le client OpenVPN (sudo apt install openvpn sur Debian/Ubuntu)
    • Exécutez sudo openvpn --config client.ovpn

  4. Sous Android/iOS :

    • Installez l'application OpenVPN Connect
    • Importez le fichier client.ovpn
    • Connectez-vous en utilisant l'application

Mini-FAQ

Comment puis-je dépanner les problèmes de connexion OpenVPN ?

Vérifiez les logs côté serveur (System → Logs) et côté client. Les problèmes courants incluent des problèmes de certificat, des blocages de pare-feu ou des problèmes de routage. Activez la journalisation détaillée (verbose logging) côté client en définissant "verb 5" dans le fichier de configuration pour des logs plus détaillés.

Puis-je utiliser UDP au lieu de TCP pour OpenVPN ?

Oui, UDP est souvent préféré pour de meilleures performances. Pour utiliser UDP, modifiez le paramètre de protocole dans la configuration du serveur et dans le fichier de configuration client. UDP est généralement plus rapide mais peut être moins fiable sur des connexions instables.

Section 5 : Configuration du VPN WireGuard (RouterOS v7+)

WireGuard est un protocole VPN moderne connu pour sa simplicité, ses hautes performances et sa sécurité renforcée. Il est disponible dans RouterOS version 7 et ultérieures. Configurons un serveur VPN WireGuard sur votre routeur MikroTik.

Étape 1 : Créer l'Interface WireGuard

Tout d'abord, créons l'interface WireGuard sur votre routeur MikroTik :

  1. Naviguez vers WireGuard dans le menu de gauche (ou Interface → WireGuard dans les anciennes versions v7)
  2. Cliquez sur le bouton + pour ajouter une nouvelle interface
  3. Configurez ce qui suit :
    • Name (Nom) : wireguard1
    • Listen Port (Port d'Écoute) : 13231 (ou tout autre port de votre choix)
    • MTU : 1420
  4. Cliquez sur OK pour créer l'interface
  5. Après la création, notez la Public Key (Clé Publique) qui a été générée - vous en aurez besoin pour la configuration client

Étape 2 : Configurer l'Adresse IP pour l'Interface WireGuard

Attribuez une adresse IP à l'interface WireGuard :

  1. Allez dans IP → Addresses (Adresses)
  2. Cliquez sur le bouton + pour ajouter une nouvelle adresse
  3. Configurez ce qui suit :
    • Address (Adresse) : 10.10.10.1/24 (ce sera le sous-réseau VPN)
    • Interface : wireguard1
  4. Cliquez sur OK pour enregistrer

Étape 3 : Ajouter des Peers WireGuard (Clients)

Pour chaque client qui se connectera à votre VPN WireGuard :

  1. Tout d'abord, générez une paire de clés sur l'appareil client (nous montrerons comment faire cela à l'Étape 5)
  2. Dans votre routeur MikroTik, allez dans WireGuard dans le menu de gauche
  3. Cliquez sur l'onglet Peers
  4. Cliquez sur le bouton + pour ajouter un nouveau peer
  5. Configurez ce qui suit :
    • Interface : wireguard1
    • Public Key (Clé Publique) : (collez la clé publique du client ici)
    • Allowed Address (Adresse Autorisée) : 10.10.10.2/32 (l'adresse IP que vous souhaitez attribuer à ce client)
    • Persistent Keepalive : 25 (aide à la traversée NAT)
  6. Cliquez sur OK pour enregistrer
  7. Répétez pour des clients supplémentaires, en incrémentant l'adresse IP (10.10.10.3/32, etc.)

Étape 4 : Configurer les Règles de Pare-feu

Pour autoriser le trafic WireGuard à travers votre pare-feu :

  1. Naviguez vers IP → Firewall → Filter Rules (Règles de Filtrage)

  2. Ajoutez une règle pour autoriser le trafic WireGuard :

    • Cliquez sur le bouton +
    • Définissez Chain (Chaîne) : input
    • Définissez Protocol (Protocole) : udp
    • Définissez Dst. Port (Port Dst.) : 13231 (le port que vous avez configuré pour WireGuard)
    • Définissez Action : accept
    • Ajoutez un commentaire comme "Autoriser WireGuard"
    • Cliquez sur OK pour enregistrer

  3. Ajoutez des règles pour autoriser le trafic du sous-réseau WireGuard à accéder aux ressources de votre réseau si nécessaire

  4. Optionnellement, ajoutez une règle de masquerade pour permettre aux clients VPN d'accéder à Internet via le VPN :

    • Allez dans IP → Firewall → NAT
    • Cliquez sur le bouton +
    • Définissez Chain (Chaîne) : srcnat
    • Définissez Src. Address (Adresse Src.) : 10.10.10.0/24
    • Définissez Action : masquerade
    • Ajoutez un commentaire comme "Masquerade clients WireGuard"
    • Cliquez sur OK pour enregistrer

Étape 5 : Configurer les Clients WireGuard

Maintenant, configurons un client pour se connecter à votre VPN WireGuard :

Pour Windows :

  1. Téléchargez et installez WireGuard depuis wireguard.com
  2. Ouvrez l'application WireGuard
  3. Cliquez sur "Add Empty Tunnel..." (Ajouter un Tunnel Vide...)
  4. Générez une nouvelle paire de clés (cela se fait automatiquement)
  5. Configurez le client avec le modèle suivant :
[Interface]
PrivateKey = (clé privée du client)
Address = 10.10.10.2/24
DNS = 8.8.8.8, 8.8.4.4

[Peer]
PublicKey = (clé publique de votre interface WireGuard MikroTik)
AllowedIPs = 0.0.0.0/0
Endpoint = votre-ip-publique-mikrotik:13231
PersistentKeepalive = 25
  1. Cliquez sur "Save" (Enregistrer) puis sur "Activate" (Activer) pour vous connecter

Pour Android/iOS :

  1. Installez l'application WireGuard depuis l'app store
  2. Appuyez sur le bouton + et sélectionnez "Create from scratch" (Créer de zéro)
  3. Entrez un nom pour le VPN
  4. Configurez en utilisant le même modèle que ci-dessus
  5. Appuyez sur "Save" (Enregistrer) puis activez l'interrupteur pour vous connecter

Pour Linux :

  1. Installez WireGuard (sudo apt install wireguard sur Debian/Ubuntu)
  2. Générez les clés : wg genkey | tee privatekey | wg pubkey > publickey
  3. Créez un fichier de configuration à /etc/wireguard/wg0.conf en utilisant le modèle ci-dessus
  4. Connectez-vous avec sudo wg-quick up wg0

Étape 6 : Tester la Connexion

Après avoir configuré le serveur et le client :

  1. Activez la connexion WireGuard sur votre appareil client
  2. Vérifiez la connectivité en pingant l'IP de l'interface WireGuard sur votre MikroTik (10.10.10.1)
  3. Essayez d'accéder à d'autres ressources sur votre réseau
  4. Vérifiez l'état de WireGuard sur votre MikroTik en allant dans WireGuard et en regardant l'onglet Peers

Mini-FAQ

WireGuard est-il plus sécurisé qu'OpenVPN ou IPsec ?

WireGuard utilise une cryptographie moderne avec une base de code beaucoup plus petite qu'OpenVPN ou IPsec, ce qui signifie potentiellement moins de vulnérabilités de sécurité. Cependant, les trois protocoles sont considérés comme sécurisés lorsqu'ils sont correctement configurés. Les principaux avantages de WireGuard sont sa simplicité et ses performances.

Combien de peers WireGuard mon routeur MikroTik peut-il prendre en charge ?

Cela dépend des capacités matérielles de votre routeur. WireGuard est très efficace, donc même les routeurs MikroTik d'entrée de gamme peuvent gérer des dizaines de peers. Les modèles haut de gamme peuvent prendre en charge des centaines de connexions avec un impact minimal sur les performances.

Section 6 : Configuration d'un VPN Site-à-Site avec IPsec

IPsec est un excellent choix pour établir des connexions VPN site-à-site sécurisées entre des succursales ou entre votre bureau principal et un environnement cloud. Dans cette section, nous allons configurer un VPN site-à-site entre deux routeurs MikroTik en utilisant IPsec.

Étape 1 : Planifier Votre Topologie Réseau

Avant de configurer IPsec, planifiez votre topologie réseau :

Site A (Bureau Principal) :

  • IP Publique : 203.0.113.1 (remplacez par votre IP publique réelle)
  • Réseau Local : 192.168.1.0/24
  • Routeur MikroTik : 192.168.1.1

Site B (Succursale) :

  • IP Publique : 203.0.113.2 (remplacez par votre IP publique réelle)
  • Réseau Local : 192.168.2.0/24
  • Routeur MikroTik : 192.168.2.1

Étape 2 : Configurer IPsec sur le Site A (Bureau Principal)

  1. Créer un Profil IPsec :

    • Naviguez vers IP → IPsec → Profiles (Profils)
    • Cliquez sur le bouton + pour ajouter un nouveau profil
    • Configurez ce qui suit :
      • Name (Nom) : site-to-site
      • Hash Algorithms (Algorithmes de Hachage) : sha256
      • Encryption Algorithms (Algorithmes de Chiffrement) : aes-256-cbc
      • DH Group (Groupe DH) : modp2048
    • Cliquez sur OK pour enregistrer

  2. Créer une Proposition IPsec :

    • Allez dans IP → IPsec → Proposals (Propositions)
    • Cliquez sur le bouton + pour ajouter une nouvelle proposition
    • Configurez ce qui suit :
      • Name (Nom) : site-to-site-proposal
      • Auth Algorithms (Algorithmes d'Authentification) : sha256
      • Encr Algorithms (Algorithmes de Chiffrement) : aes-256-cbc
      • PFS Group (Groupe PFS) : modp2048
    • Cliquez sur OK pour enregistrer

  3. Créer un Peer IPsec :

    • Allez dans IP → IPsec → Peers
    • Cliquez sur le bouton + pour ajouter un nouveau peer
    • Configurez ce qui suit :
      • Name (Nom) : site-b-peer
      • Address (Adresse) : 203.0.113.2 (IP publique du Site B)
      • Profile (Profil) : site-to-site
      • Exchange Mode (Mode d'Échange) : main
      • Send Initial Contact (Envoyer Contact Initial) : yes
      • Nat Traversal : yes
      • Pre-shared Key (Clé Pré-partagée) : VotreCléSecrèteForte (utilisez une clé forte et unique)
    • Cliquez sur OK pour enregistrer

  4. Créer une Politique IPsec :

    • Allez dans IP → IPsec → Policies (Politiques)
    • Cliquez sur le bouton + pour ajouter une nouvelle politique
    • Configurez ce qui suit :
      • Src. Address (Adresse Src.) : 192.168.1.0/24 (Réseau local du Site A)
      • Dst. Address (Adresse Dst.) : 192.168.2.0/24 (Réseau local du Site B)
      • Protocol (Protocole) : all
      • Action : encrypt
      • Level (Niveau) : require
      • IPsec Protocols (Protocoles IPsec) : esp
      • Tunnel : yes
      • SA Src. Address (Adresse SA Src.) : 203.0.113.1 (IP publique du Site A)
      • SA Dst. Address (Adresse SA Dst.) : 203.0.113.2 (IP publique du Site B)
      • Proposal (Proposition) : site-to-site-proposal
    • Cliquez sur OK pour enregistrer

Étape 3 : Configurer IPsec sur le Site B (Succursale)

Répétez les mêmes étapes sur le routeur MikroTik du Site B, mais avec les adresses source et destination inversées :

  1. Créer un Profil IPsec (identique au Site A)

  2. Créer une Proposition IPsec (identique au Site A)

  3. Créer un Peer IPsec :

    • Configurez avec l'IP publique du Site A (203.0.113.1)
    • Utilisez la même clé pré-partagée que le Site A

  4. Créer une Politique IPsec :

    • Src. Address (Adresse Src.) : 192.168.2.0/24 (Réseau local du Site B)
    • Dst. Address (Adresse Dst.) : 192.168.1.0/24 (Réseau local du Site A)
    • SA Src. Address (Adresse SA Src.) : 203.0.113.2 (IP publique du Site B)
    • SA Dst. Address (Adresse SA Dst.) : 203.0.113.1 (IP publique du Site A)
    • Autres paramètres identiques au Site A

Étape 4 : Configurer les Règles de Pare-feu sur les Deux Sites

Sur les deux routeurs MikroTik, ajoutez des règles de pare-feu pour autoriser le trafic IPsec :

  1. Naviguez vers IP → Firewall → Filter Rules (Règles de Filtrage)

  2. Ajoutez des règles pour autoriser le trafic IPsec :

    • Ajoutez une règle pour autoriser le port UDP 500 (IKE)
    • Ajoutez une règle pour autoriser le port UDP 4500 (IPsec NAT-T)
    • Ajoutez une règle pour autoriser le protocole IP 50 (ESP)
    • Ajoutez une règle pour autoriser le protocole IP 51 (AH)

  3. Assurez-vous que le trafic entre les réseaux locaux est autorisé dans vos règles de pare-feu

Étape 5 : Configurer le Routage (si nécessaire)

Si vous avez des réseaux plus complexes avec plusieurs sous-réseaux sur l'un ou l'autre site, vous devrez peut-être ajouter des routes statiques :

  1. Naviguez vers IP → Routes
  2. Cliquez sur le bouton + pour ajouter une nouvelle route
  3. Configurez la route vers le réseau distant via le tunnel IPsec
  4. Répétez pour tout sous-réseau supplémentaire qui doit communiquer via le tunnel

Étape 6 : Tester la Connexion

Après avoir terminé la configuration sur les deux sites :

  1. Vérifiez l'état IPsec en allant dans IP → IPsec → Active Peers (Peers Actifs)

    • Vous devriez voir une connexion établie entre les deux sites

  2. Testez la connectivité en pingant des appareils à travers le tunnel :

    • Depuis un appareil du réseau du Site A, pinguez un appareil du réseau du Site B
    • Depuis un appareil du réseau du Site B, pinguez un appareil du réseau du Site A

  3. Si les pings réussissent, essayez d'accéder à d'autres services à travers le tunnel

Étape 7 : Surveiller et Dépanner

Pour surveiller et dépanner votre tunnel IPsec :

  1. Vérifiez les statistiques IPsec :

    • Allez dans IP → IPsec → Statistics (Statistiques)
    • Recherchez les associations de sécurité (SA) actives

  2. Consultez les logs pour les messages liés à IPsec :

    • Allez dans System → Logs
    • Filtrez les entrées liées à IPsec

  3. Utilisez l'outil ping avec les options de routage pour tester le tunnel :

    • Allez dans Tools → Ping
    • Entrez l'IP d'un appareil sur le site distant
    • Définissez l'Src. Address (Adresse Src.) sur l'IP de votre interface locale

Mini-FAQ

Que dois-je faire si le tunnel IPsec ne s'établit pas ?

Vérifiez les règles de pare-feu des deux côtés pour vous assurer que le trafic IPsec est autorisé. Vérifiez que les clés pré-partagées correspondent exactement. Recherchez les problèmes de NAT si l'un des routeurs se trouve derrière un autre appareil NAT. Examinez les logs pour des messages d'erreur spécifiques.

Comment puis-je vérifier que le trafic passe réellement par le tunnel IPsec ?

Utilisez la page IP → IPsec → Statistics (Statistiques) pour voir si des paquets sont chiffrés et déchiffrés. Vous pouvez également utiliser l'outil Torch (Tools → Torch) pour surveiller le trafic sur vos interfaces et voir si des paquets transitent par l'interface IPsec.

Section 7 : Configurations VPN Avancées et Bonnes Pratiques

Maintenant que nous avons couvert les configurations VPN de base, explorons quelques configurations avancées et bonnes pratiques pour améliorer la sécurité, les performances et la gérabilité de vos déploiements VPN MikroTik.

Implémentation du Tunneling Fractionné (Split Tunneling)

Le tunneling fractionné permet aux clients VPN d'accéder à la fois au réseau distant et à Internet directement, améliorant les performances pour le trafic destiné à Internet :

  1. Pour OpenVPN :

    • Dans le fichier de configuration client, modifiez la directive redirect-gateway ou utilisez des instructions route spécifiques
    • Exemple : route 192.168.1.0 255.255.255.0 (ne route que le trafic vers le réseau 192.168.1.0/24 via le VPN)

  2. Pour WireGuard :

    • Dans la configuration client, modifiez le paramètre AllowedIPs (IPs Autorisées)
    • Au lieu de 0.0.0.0/0 (qui route tout le trafic), utilisez des réseaux spécifiques :
    • Exemple : AllowedIPs = 10.10.10.0/24, 192.168.1.0/24

  3. Pour L2TP/IPsec :

    • Sur les clients Windows, modifiez les propriétés de la connexion VPN
    • Allez dans Réseau → IPv4 → Propriétés → Avancé
    • Décochez "Utiliser la passerelle par défaut sur le réseau distant"

Implémentation de l'Authentification à Deux Facteurs (2FA)

Améliorez la sécurité avec l'authentification à deux facteurs :

  1. Authentification RADIUS :

    • Configurez un serveur RADIUS (vous pouvez utiliser le package User Manager de MikroTik)
    • Configurez votre serveur VPN pour utiliser RADIUS :
      • Allez dans Radius dans le menu de gauche
      • Ajoutez un nouveau client RADIUS pour votre service VPN
      • Dans les paramètres de votre serveur VPN, activez l'authentification RADIUS

  2. Authentification Certificat + Mot de Passe :

    • Pour OpenVPN, exigez à la fois le certificat et le nom d'utilisateur/mot de passe :
      • Dans la configuration serveur, définissez le script auth-user-pass-verify
      • Assurez-vous que client-cert-not-required n'est PAS défini

  3. Mots de Passe à Usage Unique Basés sur le Temps (TOTP) :

    • Installez le package TOTP sur votre MikroTik
    • Configurez les utilisateurs avec des secrets TOTP
    • Configurez votre authentification pour exiger des codes TOTP

Optimisation des Performances VPN

Améliorez les performances VPN avec ces ajustements :

  1. Ajuster les Paramètres MTU :

    • Trouvez le MTU optimal pour votre connexion en utilisant des tests ping avec l'indicateur "ne pas fragmenter"
    • Définissez le MTU approprié sur votre interface VPN
    • Pour OpenVPN, les valeurs typiques sont 1400-1450
    • Pour WireGuard, 1420 est souvent optimal

  2. Activer l'Accélération Matérielle :

    • Si votre modèle MikroTik prend en charge le chiffrement matériel :
      • Allez dans System → Resources (Ressources)
      • Vérifiez si le chiffrement matériel est disponible et activé
      • Pour IPsec, allez dans IP → IPsec → Settings (Paramètres) et activez l'accélération matérielle

  3. Choisir des Protocoles Efficaces :

    • Utilisez UDP au lieu de TCP pour OpenVPN lorsque cela est possible
    • Envisagez WireGuard pour de meilleures performances sur RouterOS v7+
    • Utilisez des algorithmes de chiffrement modernes qui bénéficient de l'accélération matérielle

Implémentation du Basculement (Failover) et de la Répartition de Charge (Load Balancing)

Pour les connexions VPN critiques, implémentez le basculement ou la répartition de charge :

  1. Basculement Double WAN :

    • Configurez plusieurs connexions WAN sur votre MikroTik
    • Configurez le routage de basculement à l'aide de marques de routage et de routage basé sur des politiques
    • Configurez votre VPN pour se reconnecter automatiquement si la connexion principale échoue

  2. Redondance VPN Site-à-Site :

    • Configurez plusieurs tunnels entre les sites en utilisant différentes connexions WAN
    • Utilisez les métriques de routage pour prioriser le tunnel principal
    • Configurez des protocoles de routage dynamique (OSPF ou BGP) sur les tunnels VPN pour un basculement automatique

  3. Répartition de Charge :

    • Pour plusieurs utilisateurs d'accès distant, répartissez-les sur plusieurs serveurs VPN
    • Utilisez le DNS round-robin ou un répartiteur de charge pour distribuer les demandes de connexion

Surveillance et Journalisation des Connexions VPN

Mettez en place une surveillance complète pour vos services VPN :

  1. Configurer la Journalisation Détaillée :

    • Allez dans System → Logging (Journalisation)
    • Ajoutez une nouvelle action de journalisation pour les événements liés au VPN
    • Définissez les sujets appropriés (par ex., ppp, ipsec, ovpn)

  2. Configurer la Surveillance SNMP :

    • Allez dans IP → SNMP
    • Activez le service SNMP
    • Configurez les chaînes de communauté et les listes d'accès
    • Utilisez un outil de surveillance SNMP pour suivre les connexions VPN et les performances

  3. Créer des Scripts de Suivi des Connexions :

    • Utilisez le scripting RouterOS pour suivre les connexions VPN
    • Configurez des alertes par e-mail pour les tentatives de connexion échouées ou les événements de tunnel hors service
    • Exemple de script pour surveiller l'état du tunnel IPsec et envoyer des alertes
/system script
add name="monitor-ipsec" source={
    :if ([/ip ipsec policy find where dst-address="192.168.2.0/24" and invalid=yes] != "") do={
        /tool e-mail send to="[email protected]" subject="Tunnel IPsec Inactif" body="Le tunnel IPsec vers la succursale est inactif."
    }
}

/system scheduler
add interval=5m name="check-ipsec" on-event=monitor-ipsec start-time=startup

Mini-FAQ

Comment puis-je autoriser en toute sécurité la gestion à distance de mon routeur MikroTik via VPN ?

Créez un profil VPN distinct spécifiquement pour l'accès de gestion avec des paramètres de sécurité plus stricts. Utilisez des règles de pare-feu pour autoriser uniquement l'accès de gestion (Winbox, SSH, WebFig) depuis le sous-réseau VPN. Envisagez d'implémenter des listes d'accès basées sur IP et une authentification à deux facteurs pour une sécurité supplémentaire.

Quelle est la meilleure façon de gérer les adresses IP dynamiques pour les VPN site-à-site ?

Utilisez des services DNS dynamiques (DDNS) pour suivre les adresses IP changeantes. Configurez votre IPsec ou OpenVPN pour utiliser des noms d'hôte au lieu d'adresses IP. Pour IPsec, vous devrez peut-être utiliser un script pour mettre à jour les adresses des peers lorsqu'elles changent. Alternativement, envisagez d'utiliser la fonction "mode-config" de RouterOS pour IPsec afin de gérer l'adressage dynamique.

Conclusion

La configuration d'un VPN sur votre routeur MikroTik offre un accès distant sécurisé à vos ressources réseau et permet une connectivité site-à-site sécurisée entre plusieurs emplacements. Dans ce guide complet, nous avons couvert diverses options d'implémentation VPN, du L2TP/IPsec largement compatible au protocole WireGuard moderne et efficace.

Nous avons parcouru le processus étape par étape de configuration de chaque type de VPN, y compris les certificats nécessaires, les paramètres de chiffrement, les règles de pare-feu et les configurations client. Nous avons également exploré des configurations avancées telles que le tunneling fractionné, l'authentification à deux facteurs et les techniques d'optimisation des performances pour vous aider à construire une infrastructure VPN robuste et sécurisée.

Les routeurs MikroTik offrent une flexibilité exceptionnelle et de puissantes capacités VPN pour une fraction du coût de nombreuses solutions d'entreprise. En suivant les instructions de ce guide, vous pouvez exploiter ces capacités pour créer des connexions sécurisées qui protègent vos données et permettent un accès distant transparent à vos ressources réseau.

N'oubliez pas que la sécurité est un processus continu, et non une configuration unique. Mettez régulièrement à jour votre firmware RouterOS, examinez vos configurations VPN, surveillez les logs pour détecter toute activité inhabituelle et ajustez vos paramètres de sécurité si nécessaire pour maintenir une posture de sécurité solide.

Pour des solutions VPN spécialisées adaptées à vos besoins spécifiques, envisagez les offres de serveurs MikroTik de TildaVPS, qui fournissent du matériel optimisé et des environnements préconfigurés pour exécuter des services VPN robustes avec un temps de configuration minimal.

Foire Aux Questions (FAQ)

Quel protocole VPN devrais-je choisir pour mon routeur MikroTik ?

Le meilleur protocole dépend de vos besoins spécifiques. L2TP/IPsec offre une large compatibilité avec la plupart des appareils. OpenVPN offre un bon équilibre entre sécurité et flexibilité. WireGuard (disponible dans RouterOS v7+) offre les meilleures performances et la plus grande simplicité. Pour les connexions site-à-site entre succursales, IPsec est généralement le choix préféré en raison de sa sécurité robuste et de son adoption généralisée en entreprise.

Comment dépanner les problèmes de connexion VPN sur MikroTik ?

Commencez par vérifier les logs (System → Logs) pour des messages d'erreur spécifiques. Vérifiez que vos règles de pare-feu autorisent le trafic VPN sur les ports appropriés. Pour les VPN basés sur des certificats comme OpenVPN, assurez-vous que les certificats sont correctement signés et non expirés. Testez la connectivité à l'aide de ping et traceroute pour identifier où la connexion échoue. Pour IPsec, vérifiez si les associations de sécurité (SA) sont établies en consultant IP → IPsec → Active Peers.

Puis-je exécuter plusieurs serveurs VPN sur le même routeur MikroTik ?

Oui, vous pouvez exécuter plusieurs protocoles VPN simultanément sur un seul routeur MikroTik. Par exemple, vous pouvez avoir L2TP/IPsec pour les clients mobiles, OpenVPN pour les télétravailleurs et IPsec pour les connexions site-à-site. Assurez-vous simplement que chaque service utilise un port différent et dispose de règles de pare-feu appropriées. Soyez conscient des capacités matérielles de votre routeur, car l'exécution de plusieurs services VPN avec de nombreux clients peut être intensive en CPU.

Comment puis-je améliorer la sécurité VPN sur mon routeur MikroTik ?

Améliorez la sécurité VPN en utilisant des algorithmes de chiffrement forts (AES-256), en implémentant une authentification à deux facteurs, en renouvelant régulièrement les clés pré-partagées et les mots de passe, en utilisant l'authentification basée sur des certificats lorsque cela est possible, en implémentant des règles de pare-feu strictes pour limiter l'accès aux seules ressources nécessaires, et en maintenant votre RouterOS à jour avec la dernière version stable pour corriger les vulnérabilités de sécurité.

Combien d'utilisateurs VPN simultanés mon routeur MikroTik peut-il prendre en charge ?

Cela dépend des spécifications matérielles de votre routeur, en particulier de la puissance du CPU et de la RAM disponible. Les modèles d'entrée de gamme comme la série hAP peuvent gérer 5 à 10 utilisateurs simultanés, les modèles de milieu de gamme comme le RB4011 peuvent prendre en charge 20 à 30 utilisateurs, tandis que les modèles haut de gamme comme la série CCR peuvent gérer plus de 50 connexions simultanées. WireGuard a tendance à être plus efficace qu'OpenVPN ou IPsec, permettant plus de connexions simultanées avec le même matériel.

Puis-je accéder à mon VPN MikroTik depuis des appareils mobiles ?

Oui, tous les protocoles VPN abordés dans ce guide peuvent être utilisés depuis des appareils mobiles. L2TP/IPsec et IKEv2 bénéficient d'une prise en charge native sur iOS et Android. Pour OpenVPN, vous pouvez utiliser l'application officielle OpenVPN Connect. WireGuard dispose d'excellentes applications mobiles pour les deux plateformes. Lors de la configuration d'un VPN pour les appareils mobiles, envisagez d'implémenter le tunneling fractionné pour optimiser l'autonomie de la batterie et l'utilisation des données.

Comment configurer un serveur VPN sur MikroTik qui fonctionne dans les pays avec des restrictions Internet ?

Dans les environnements restrictifs, les ports VPN standard sont souvent bloqués. Configurez votre VPN pour utiliser des ports courants comme le 443 (HTTPS) ou le 53 (DNS) qui sont rarement bloqués. Pour OpenVPN, utilisez TCP au lieu d'UDP car il est plus difficile à détecter. Envisagez d'implémenter des techniques d'obfuscation comme stunnel ou obfsproxy pour masquer le trafic VPN. WireGuard peut être configuré pour fonctionner sur n'importe quel port, ce qui le rend flexible pour contourner les restrictions.

Quelle est la différence entre un VPN d'accès distant et un VPN site-à-site ?

Un VPN d'accès distant connecte des utilisateurs individuels à un réseau, leur permettant d'accéder aux ressources comme s'ils étaient physiquement présents à cet emplacement. C'est idéal pour les télétravailleurs ou pour accéder à votre réseau domestique en voyage. Un VPN site-à-site connecte des réseaux entiers entre eux, permettant à tous les appareils de chaque emplacement de communiquer entre eux. Ceci est généralement utilisé pour connecter des succursales au siège social ou pour se connecter à des environnements cloud.

Comment puis-je surveiller qui est connecté à mon VPN MikroTik ?

Pour une surveillance en temps réel, vérifiez les connexions actives dans la section VPN respective (PPP → Active Connections pour L2TP et PPTP, IP → IPsec → Active Peers pour IPsec, Interface → WireGuard → Peers pour WireGuard). Pour les données historiques, configurez la journalisation (System → Logging) pour enregistrer les événements de connexion. Vous pouvez également utiliser des outils de surveillance SNMP ou configurer des scripts personnalisés pour suivre les connexions et générer des rapports.

Est-il possible de restreindre l'accès VPN à des heures ou des jours spécifiques ?

Oui, vous pouvez implémenter des restrictions basées sur le temps à l'aide de scripts du planificateur (scheduler) ou de règles de pare-feu. Créez des règles de pare-feu basées sur le temps qui autorisent uniquement le trafic VPN pendant des heures spécifiques. Alternativement, utilisez des profils utilisateur avec des limitations de temps ou écrivez des scripts personnalisés qui activent/désactivent les services VPN selon un horaire. Ceci est utile pour appliquer des heures d'ouverture ou implémenter des fenêtres de maintenance.

Points Clés (Key Takeaways)

  • Les routeurs MikroTik prennent en charge plusieurs protocoles VPN, notamment L2TP/IPsec, OpenVPN, WireGuard et IPsec, vous offrant la flexibilité de choisir la meilleure solution pour vos besoins spécifiques.

  • WireGuard (disponible dans RouterOS v7+) offre les meilleures performances et la plus grande simplicité, tandis qu'IPsec offre une sécurité robuste pour les connexions site-à-site, et L2TP/IPsec offre la plus large compatibilité d'appareils.

  • Une configuration de pare-feu appropriée est essentielle pour la sécurité VPN - créez toujours des règles spécifiques pour autoriser uniquement le trafic VPN nécessaire et implémentez des contrôles d'accès appropriés pour vos ressources réseau.

  • Des fonctionnalités avancées telles que le tunneling fractionné, l'authentification à deux facteurs et les connexions redondantes peuvent améliorer considérablement la sécurité et la convivialité de votre implémentation VPN.

  • Une surveillance, une journalisation et une maintenance régulières de votre configuration VPN sont cruciales pour maintenir la sécurité et garantir des performances fiables dans le temps.

Glossaire

IPsec (Internet Protocol Security) : Une suite de protocoles qui authentifie et chiffre les paquets IP pour fournir une communication chiffrée sécurisée entre les appareils réseau.

L2TP (Layer 2 Tunneling Protocol) : Un protocole de tunneling utilisé pour prendre en charge les VPN, souvent combiné avec IPsec pour le chiffrement.

OpenVPN : Un protocole VPN open-source qui utilise SSL/TLS pour l'échange de clés et peut fonctionner sur UDP et TCP.

WireGuard : Un protocole VPN moderne, plus rapide et plus simple, axé sur les performances et la facilité d'implémentation.

Tunneling Fractionné (Split Tunneling) : Une fonctionnalité VPN qui permet à un utilisateur d'accéder à différents réseaux (public et privé) en même temps via la même connexion réseau physique.

Clé Pré-partagée (PSK - Pre-shared Key) : Un secret partagé utilisé pour l'authentification dans les connexions VPN.

Autorité de Certification (AC - Certificate Authority) : Une entité qui émet des certificats numériques, lesquels vérifient qu'une clé publique particulière appartient à une entité spécifique.

MTU (Maximum Transmission Unit - Unité de Transmission Maximale) : La taille de la plus grande unité de données de protocole qui peut être communiquée en une seule transaction de couche réseau.

Traversée NAT (NAT Traversal) : Techniques pour établir et maintenir des connexions à travers les traducteurs d'adresses réseau (NAT).

Authentification à Deux Facteurs (2FA - Two-factor Authentication) : Un processus de sécurité dans lequel les utilisateurs fournissent deux facteurs d'authentification différents pour vérifier leur identité.

Categories:
MikroTik
Tags:
# IPsec# L2TP# OSPF# OpenVPN# Sécurité des réseaux# VPN# WireGuard