Veeam PN sur Hyper-V – Installer et Configurer un VPN simple et sécurisé

Veeam PN (Powered Network) est un outil GRATUIT destiné à simplifier et orchestrer les tâches de configuration de mise en réseau VPN, en éliminant la connectivité manuelle et les procédures d’installation VPN complexes.

VeeamPN est un serveur VPN qui permet a des clients de se connecter à l’entreprise depuis l’extérieur. Il est également capable d’interconnecter différents sites entre eux.
La solution est basée sur Wireguard qui est très performant en terme de débit et de stabilité.


Télécharger Ubuntu 18.04.5 LTS – (Veeam PN ne fonctionne pas avec des versions supérieures)

Configurer la VM VeeamPN sur Hyper-V : Hyper-V – Création d’une Machine Virtuelle VM

Prérequis pour la VM : 1 vCPU, 2Go RAM, disque dur de 40Go

Note : Guide utilisateur VeeamPN


Installer Ubuntu 18.04.5

Sélectionner Installation minimale et décocher « Télécharger les mises a jour pendant l’installation »

Renseigner les informations d’identifications

Redémarrer a la fin de l’installation.

Note : si bloqué sur recherche de mises a jour > « Echap » puis « Entrée »


Apres Login : Application > Paramètres > Réseau : paramétrer une adresse IP fixe (sélectionner la roue crantée dans « Filaire »)

Paramétrer une adresse IP fixe selon votre configuration réseau. Exemple : 192.168.1.20

Désactiver IPv6

Appliquer et Redémarrer Ubuntu


Installer VeeamPN

Lancer la console Terminal sur Ubuntu (Application, Terminal)

Appliquer les Commandes ci-dessous, une par une : Commandes Install VeeamPN

sudo su

apt-get update

apt install curl

curl -k http://repository.veeam.com/keys/veeam.gpg | apt-key add -

echo "deb [arch=amd64] http://repository.veeam.com/pn/public pn stable" > /etc/apt/sources.list.d/veeampn.list

apt-get update

apt-get -y install veeam-vpn-ui veeam-vpn-svc

Apres la dernière commande, valider les règles pour IPv4 et IPv6

Une fois les commandes appliquées, taper « Exit » et fermer la Console


Accéder, par un navigateur, à l’interface d’administration de VeeamPN : « https://192.168.1.20 » (pour notre exemple)

Renseigner l’identifiant et mot de passe Ubuntu (VeeamPN vous demandera de le modifier, mais vous pouvez ressaisir le même)

Sélectionner « Network Hub« . L’autre option est à utiliser pour un VPN site à site.

Indiquez un Nom de Domaine, existant ou non, pour le certificat et une longueur de clé.

VeeamPN crée un certificat SSL auto-signé avec les paramètres spécifiés.

Paramètres VPN pour le concentrateur réseau :

  • Indiquer votre Adresse IP WAN Publique ou un Nom DNS qui pointe vers votre IP WAN Publique. (Cas d’une IP publique aléatoire (non fixe). A utiliser avec un service DynDNS comme no-ip par exemple…)
  • Cochez la case « Enable site-to-site VPN » si vous souhaitez implémenter le scénario VPN de site à site.
  • Cochez la case « Enable point-to-site VPN » si vous souhaitez implémenter le scénario VPN point à site.


Création du HUB Site

Pour accéder aux ordinateurs de ce site via le VPN, vous devez déclarer le réseau local en tant que client dans le portail du concentrateur réseau.

Sélectionner « Clients« , « Add » et « HUB Site »

Indiquer un Nom, sans espace, pour le HUB site et l’adresse IP du réseau local au format CIDR sur lequel le concentrateur réseau est déployé.

Le HUB Site est activé !

Note : le HUB Site reste toujours à l’état Déconnecté, ce qui est normal.


Création des Comptes Clients VPN

Sélectionner « Clients« , « Add » et « Standalone computer »

Donner un Nom, sans espace, au client.

Note : Si vous cochez l’option « Use HUB server as a default gateway », tout le trafic Internet passera dans le tunnel VPN.

Télécharger le client OpenVpn et Récupérer le fichier de configuration a importer sur l’ordinateur client.

VeeamPN génère un fichier .OVPN avec les paramètres VPN pour le client enregistré.

Il est possible de télécharger le fichier de configuration du poste client ultérieurement en cliquant sur « Download »


Redirection de port sur le Routeur, Pare-Feu

Rediriger le port « UDP 6179 » arrivant de l’IP WAN Publique vers VeeamPN pour autoriser le VPN client to Site.

Exemple sur LiveBox 5

Pour pfSense voir : pfSense : NAT – Créer une Règle de Redirection de Port


Configuration de l’Ordinateur de l’Utilisateur

  • Télécharger le client OpenVpn et l’installer sur l’ordinateur de l’utilisateur.
  • Barre des taches, clic droit sur l’icone OpenVpn et « Importer fichier« 

Sélectionner le fichier .ovpn récupéré ou téléchargé de VeeamPN

Clic droit sur l’icone OpenVpn et Connecter

L’utilisateur est connecté !

Les utilisateurs connectés sont visibles sur l’interface de VeeamPN.


Configurer un VPN entre des sites distants (site-to-site)

Il est possible de concevoir un réseau VPN Site à Site en créant un serveur VeeamPN sur chaque site distant.

Sur le Serveur VeeamPN Principal > Sélectionner “Settings“, “VPN” et Cochez la case “Enable site-to-site VPN

Déclarer le Site distant : Sélectionner “Clients“, “Add” et “Entire Site

Indiquer un Nom, sans espace, et l’adresse IP du réseau local du Site distant au format CIDR.

VeeamPN génère un fichier XML contenant les paramètres VPN pour le Site distant.

Il est possible de télécharger le fichier de configuration XML du Site distant ultérieurement en cliquant sur “Download


Redirection de port sur le Routeur, Pare-Feu

Rediriger le port “UDP 1194” arrivant de l’IP publique vers VeeamPN pour autoriser le VPN Site a Site.


Installation et Configuration de VeeamPN sur le Site distant

Installer un (deuxième) serveur VeeamPN sur le site distant puis le configurer comme « Site Gateway« 

Importer le fichier XML généré par le Serveur VeeamPN principal


Ajouter des routes statiques pour le trafic sortant sur les passerelles par défaut

Ce routage peut être effectué sur le Routeur, Pare-Feu, Ordinateurs distants, Serveur DNS …

Par défaut, lorsqu’une machine d’un site distant a besoin de communiquer avec une machine d’un autre site distant, elle envoie une demande via la passerelle de site par défaut. Pour acheminer le trafic entre les sites via le tunnel VPN, vous devez ajouter des routes statiques sur les passerelles par défaut sur les deux sites. Ces routes statiques vont destiner le trafic de la passerelle par défaut à l’Appliance Veeam PN – hub réseau ou passerelle de site, qui, à son tour, acheminera le trafic via le tunnel VPN entre les deux sites.

Par exemple, le site A et le site B ont la configuration suivante:

Site Principal A : 192.168.1.0/24

  • Masque de réseau : 255.255.255.0
  • Adresse IP de VeeamPN : 192.168.1.20
  • Adresse IP du Routeur : 192.168.1.254

Site Distant B : 192.168.2.0/24

  • Masque de réseau : 255.255.255.0
  • Adresse IP de VeeamPN : 192.168.2.20
  • Adresse IP du Routeur : 192.168.2.254

Si une machine du site A doit communiquer avec une machine du site B, le trafic sera d’abord envoyé à la passerelle par défaut 192.168.1.254. La passerelle par défaut doit ensuite acheminer le trafic vers VeeamPN qui, à son tour, acheminera le trafic via le tunnel VPN. Pour cette raison, vous devez ajouter la route suivante sur la passerelle par défaut 192.168.1.254 :

route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.20

De la même manière, vous devez ajouter une route sur la passerelle par défaut 192.168.2.254 dans le site B :

route -p add 192.168.1.0 mask 255.255.255.0 192.168.2.20

L’argument “-p” est important car il indique que le routage est persistant.

Informations complémentaires : Routage IP vers passerelle differente