Configurer des serveurs VPN par agent (VPN direct)
Un VPN direct de centrale est un tunnel dédié entre le Mirox-Agent d'une seule centrale et le routeur de cette centrale — l'outil idéal lorsqu'une centrale exploite déjà son propre VPN, ou lorsque vous souhaitez que Mirox héberge un VPN auquel le routeur de la centrale se connecte. Contrairement au VPN personnel, qui fournit à chaque utilisateur un profil unique atteignant toutes ses centrales autorisées, un VPN direct est un tunnel d'infrastructure propre à une centrale que vous configurez une seule fois et sur lequel transite tout le trafic de l'équipe pour cette centrale.
Vous configurez les VPN directs depuis la page Réseau d'une centrale, sous l'onglet VPN du site.
Ouvrir dans Mirox
Ouvrez l'onglet VPN du site de la centrale. Dans l'application, il s'agit de la page Réseau de la centrale, onglet VPN du site.
Quand utiliser un VPN direct
Optez pour un VPN direct lorsque la connectivité de la centrale ne correspond pas au modèle standard du VPN personnel :
- Le routeur de la centrale héberge déjà son propre serveur VPN. Vous disposez d'un fichier de configuration (WireGuard
.conf) ou d'un profil OpenVPN (.ovpn) et souhaitez que Mirox s'y connecte. - Le routeur de la centrale peut uniquement initier des connexions sortantes, pas en accepter d'entrantes. Mirox héberge le point d'accès VPN et le routeur s'y connecte.
- Vous voulez un tunnel toujours actif pour toute la centrale plutôt que de voir chaque utilisateur porter un profil personnel.
Pour le travail technique quotidien sur plusieurs centrales — ouvrir les interfaces web des appareils, exécuter des outils de diagnostic — le VPN personnel et le proxy de navigateur sont généralement plus adaptés. Le tableau ci-dessous résume la distinction ; la comparaison complète se trouve sur la page de la fonctionnalité VPN.
| Outil | De quoi il s'agit | Qui le configure |
|---|---|---|
| VPN personnel | Un profil personnel unique atteignant toutes les centrales pour lesquelles vous êtes autorisé | Chaque utilisateur, dans la limite de ses autorisations |
| VPN direct (ce guide) | Un tunnel par centrale entre l'agent de la centrale et son routeur | Un Modérateur ou un Admin de l'organisation propriétaire de la centrale |
| Proxy de navigateur | Ouvrir l'interface web d'un appareil depuis le navigateur, sans installation de client | L'exploitant de la centrale |
Les deux directions
Un VPN direct peut fonctionner dans l'une de deux directions. L'assistant de configuration pose cette question en premier, sous Où le serveur VPN se trouve-t-il ?
Remarque : les lignes en pointillés indiquent le sens de la connexion — une seule direction s'applique par VPN direct.
- Connexion sortante — Mirox se connecte au routeur de la centrale. Le routeur de la centrale exécute son propre serveur VPN ; le Mirox-Agent se connecte en tant que client. Choisissez cette option lorsque vous disposez déjà d'un fichier de configuration ou d'identifiants pour le VPN du routeur.
- Hébergé ici — le routeur de la centrale se connecte à Mirox. Mirox exécute le serveur VPN. Le point d'accès, le port et les certificats sont générés par Mirox et vous sont fournis pour être chargés sur le routeur de la centrale. Choisissez cette option lorsque le routeur peut initier des connexions sortantes mais ne peut pas en accepter d'entrantes.
Les deux directions prennent en charge WireGuard et OpenVPN (UDP ou TCP). Pour OpenVPN, vous pouvez faire correspondre les paramètres d'un routeur plus ancien (chiffrement, empreinte d'authentification, version TLS minimale, compression) afin que même un firmware ancien puisse se connecter.
Avant de commencer
Qui peut configurer les VPN directs
L'onglet VPN du site est visible par les rôles Technical Manager ou supérieur sur la centrale (y compris Exploitant). Créer, modifier ou supprimer un VPN direct nécessite un rôle de Modérateur ou d'Admin de l'organisation propriétaire de la centrale. Les rôles inférieurs, et les utilisateurs accédant à la centrale via une coopération, voient les tunnels configurés mais ne peuvent pas les modifier. L'accès suit le système d'autorisations.
Préparez :
- La direction dont vous avez besoin (sortante ou hébergée), selon ce que le routeur de la centrale prend en charge.
- Pour la direction sortante : le fichier de configuration VPN du routeur (
.confou.ovpn), ou l'adresse du point d'accès et les clés à saisir manuellement. - Le ou les sous-réseaux de la centrale derrière le routeur que vous souhaitez atteindre — les plages de réseau local (CIDR) où se trouvent les onduleurs, les loggers et les autres appareils.
Ajouter un VPN direct
- Ouvrir dans Mirox : ouvrez l'onglet VPN du site de la centrale — la page Réseau de la centrale, onglet VPN du site.
- Cliquez sur Ajouter un VPN direct. Un court assistant s'ouvre.
- Choisissez la direction — Mirox se connecte au routeur du parc (sortant) ou Le routeur du parc se connecte à Mirox (hébergé).
- Paramètres de base — donnez un nom au tunnel et une description facultative, puis choisissez le protocole (WireGuard ou OpenVPN). Pour un serveur OpenVPN hébergé, vous pouvez également choisir UDP ou TCP et, sous Avancé, faire correspondre les paramètres de chiffrement d'un routeur ancien.
- Détails de connexion — (direction sortante uniquement) téléversez le fichier
.conf/.ovpndu routeur, ou passez à la saisie manuelle et entrez le point d'accès et les clés. Pour un VPN hébergé, il n'y a rien à saisir ici ; Mirox provisionne le point d'accès et les clés. - Sous-réseau de la centrale — ajoutez la ou les plages de réseau local accessibles derrière le routeur. La plateforme valide chaque plage et bloque tout ce qui entrerait en conflit avec la plage de tunnel réservée, une route VPN d'organisation ou un autre VPN direct sur la même centrale.
- Vérifier et appliquer — confirmez le récapitulatif, puis cliquez sur Appliquer.
Enregistrez immédiatement les identifiants du VPN hébergé
Lorsque vous créez un VPN hébergé, Mirox génère le certificat et la clé dont le routeur de la centrale a besoin pour se connecter, et ne les affiche qu'une seule fois. Téléchargez-les et chargez-les sur le routeur avant de fermer la fenêtre — ils ne peuvent pas être récupérés ultérieurement. Si vous les perdez, supprimez et recréez le serveur.
Une fois le tunnel établi, les appareils des sous-réseaux de centrale configurés deviennent accessibles, et toute découverte d'appareils réseau que vous lancez sur la centrale s'effectue à travers lui.
La route par défaut n'est jamais autorisée
Un VPN direct ne transporte jamais de route « tout envoyer » 0.0.0.0/0. Indiquez toujours les sous-réseaux de centrale explicites que vous souhaitez atteindre. Si vous téléversez une configuration contenant une route par défaut, la plateforme la supprime et vous demande d'ajouter les plages spécifiques.
Gérer un VPN direct existant
Chaque VPN direct apparaît sous forme de carte dans l'onglet VPN du site, marquée Serveur (hébergé) ou Client (sortant), avec une barre de connexion en direct et un indicateur de trafic. Ouvrez le menu ... de la carte pour :
- Modifier — changer le nom, la description, les sous-réseaux, le point d'accès ou les clés.
- Redémarrer le VPN — relancer le tunnel sans modifier sa configuration ; utile après un changement de paramètres ou une coupure passagère.
- Ouvrir les journaux — consulter les journaux de connexion récents du tunnel pour diagnostiquer un problème.
- Diagnostiquer — (affiché lorsque le tunnel est actuellement déconnecté) exécuter une vérification guidée qui suggère ce qu'il faut corriger.
- Supprimer / Désactiver — retirer le tunnel.
Gérer les sous-réseaux de la centrale
Les sous-réseaux qu'un VPN direct achemine sont ce qui rend les appareils de la centrale accessibles. Ajoutez ou retirez des plages depuis la vue Modifier du VPN à tout moment. Retirer un sous-réseau derrière lequel se trouvent encore des appareils réseau laisse ces appareils sans route — la fenêtre de suppression vous avertit et liste les appareils concernés, afin que vous puissiez d'abord les réaffecter à un autre tunnel.
VPN hébergé : connecter des clients
Un VPN hébergé peut accepter deux types de connexions, toutes deux gérées sans quitter la centrale :
- Connexions de site — le routeur de la centrale lui-même (ou un autre site fixe) se connecte et annonce les sous-réseaux de la centrale. Le premier client de site est créé automatiquement lorsque vous configurez un VPN hébergé.
- Connexions d'utilisateur — des personnes individuelles se connectant au même serveur hébergé. Elles sont listées dans l'onglet distinct VPN utilisateur, où vous pouvez ajouter un utilisateur, lui remettre son profil affiché une seule fois et révoquer son accès ultérieurement.
Désactiver un serveur hébergé est destructeur
Supprimer un VPN hébergé retire le serveur ainsi que tous les clients connectés — sites comme utilisateurs. Leurs configurations existantes cessent immédiatement de fonctionner et ne peuvent pas être réémises ; si vous réactivez le serveur plus tard, tous les clients doivent être recréés de zéro.
Fonctionnalités associées
- Utiliser le VPN — le profil VPN personnel par utilisateur qui atteint toutes vos centrales autorisées
- Utiliser le proxy — ouvrir l'interface web d'un appareil dans le navigateur sans client VPN
- Gérer les appareils réseau — découvrir et superviser les appareils accessibles via un tunnel
- VPN (fonctionnalité) — en quoi les variantes de VPN diffèrent et comment fonctionnent le routage et l'audit
- Inspecteur de réseau local — vérifications d'accessibilité du réseau de la centrale côté plateforme
- Journalisation d'audit des accès — la piste d'audit couvrant tous les accès distants