Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
openvpn [Le 04/03/2020, 10:50] 41.213.207.105 [Les fichiers clés] |
openvpn [Le 28/07/2023, 19:53] (Version actuelle) 169.159.221.120 [Par paquet] |
||
|---|---|---|---|
| Ligne 38: | Ligne 38: | ||
| * 1194 UDP | * 1194 UDP | ||
| </note> | </note> | ||
| + | |||
| ==== Webmin : Interface d'administration web ==== | ==== Webmin : Interface d'administration web ==== | ||
| - | Un module [[:Webmin]] est disponible pour faciliter le paramétrage d'[[http://www.webmin.com/cgi-bin/search_third.cgi?search=openvpn|OpenVPN]]. | + | Un module [[:Webmin]] est disponible pour faciliter le paramétrage d'[[https://www.webmin.com/cgi-bin/search_third.cgi?search=openvpn|OpenVPN]]. |
| + | <note tips> | ||
| + | Bien sur, l'usage de webmin n'est pas nécessaire. | ||
| + | Certains diraient même que c'est a déconseiller. | ||
| + | </note> | ||
| ===== Configuration des VPN ===== | ===== Configuration des VPN ===== | ||
| Ligne 50: | Ligne 55: | ||
| - Téléchargez le fichier de configuration de votre fournisseur VPN. | - Téléchargez le fichier de configuration de votre fournisseur VPN. | ||
| - | - Placez ce fichier ***.ovpn** dans le dossier **/etc/openvpn/** et renommer ce fichier pour enlever les espaces (si besoin). Pour avoir l'accès en écriture de ce dossier, faites un clic droit sur le dossier **openvpn** et choisissez **Ouvrir en tant qu'administrateur**. | ||
| - Faites un clic droit sur l’icône réseau et choisis de modifier les connexions. | - Faites un clic droit sur l’icône réseau et choisis de modifier les connexions. | ||
| - Ajoutez une nouvelle connexion. | - Ajoutez une nouvelle connexion. | ||
| Ligne 82: | Ligne 86: | ||
| * Le serveur n'a besoin que de ses propres certificats/clés, il n'a pas besoin de connaître chacune des clés des clients qui peuvent s'y connecter. | * Le serveur n'a besoin que de ses propres certificats/clés, il n'a pas besoin de connaître chacune des clés des clients qui peuvent s'y connecter. | ||
| - | * Le serveur n'acceptera les clients que lorsque le certificat sera signé par l'Autorité de Certification maître (qui l'aura généré avant). Et comme le serveur peut vérifier cette signature sans avoir besoin d'accéder à la clé privée de l'Autorité de Certification elle-même, il est possible pour la clé de l'Autorité de Certification (clé la plus sensible dans toute l'Infrastructure de Clés Publiques) de résider sur une toute autre machine, même une sans connexion réseau. | + | * Le serveur n'acceptera les clients que lorsque le certificat sera signé par l'Autorité de Certification maître (qui l'aura généré avant). Et comme le serveur peut vérifier cette signature sans avoir besoin d'accéder à la clé privée de l'Autorité de Certification elle-même, il est possible pour la clé de l'Autorité de Certification (clé la plus sensible dans toute l'Infrastructure de Clés Publiques) de résider sur une toute autre machine, même une sans connexion réseau. |
| * Si une clé privée est compromise, il est possible de la désactiver en ajoutant son certificat à une Liste de Révocation de Certificat (LRC ou CRL en anglais). La LRC permet aux certificats compromis d'être rejetés sélectivement sans nécessiter une entière refonte de l'Infrastructure de Clé Publiques. | * Si une clé privée est compromise, il est possible de la désactiver en ajoutant son certificat à une Liste de Révocation de Certificat (LRC ou CRL en anglais). La LRC permet aux certificats compromis d'être rejetés sélectivement sans nécessiter une entière refonte de l'Infrastructure de Clé Publiques. | ||
| Ligne 92: | Ligne 96: | ||
| - | Il faut tout d'abord ouvrir un terminal et effectuer une copie dans son dossier /home des scripts de génération de clés : | + | Il faut tout d'abord ouvrir un terminal et effectuer une copie dans son dossier /home des scripts de génération de clés : |
| <code>cp /usr/share/doc/openvpn/examples/easy-rsa ~/openvpn/ -R</code> | <code>cp /usr/share/doc/openvpn/examples/easy-rsa ~/openvpn/ -R</code> | ||
| Ligne 107: | Ligne 111: | ||
| Maintenant [[:tutoriel:comment_editer_un_fichier|éditez le fichier]] **vars** et initialiser les variables **KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL**. | Maintenant [[:tutoriel:comment_editer_un_fichier|éditez le fichier]] **vars** et initialiser les variables **KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG, and KEY_EMAIL**. | ||
| - | Ne laisser surtout pas un seul champ vide. | + | Ne laisser surtout pas un seul champ vide. |
| Il faut modifier les dernières lignes à sa convenance. Dans notre cas : | Il faut modifier les dernières lignes à sa convenance. Dans notre cas : | ||
| Ligne 126: | Ligne 130: | ||
| <code>./easyrsa init-pki | <code>./easyrsa init-pki | ||
| ./easyrsa build-ca | ./easyrsa build-ca | ||
| - | ./easyrsa gen-req server nopass | + | ./easyrsa gen-req hakase-server nopass |
| - | ./easyrsa sign-req server server | + | ./easyrsa sign-req server hakase-server |
| openssl dhparam -out dh2048.pem 2048</code></note> | openssl dhparam -out dh2048.pem 2048</code></note> | ||
| | | ||
| Ligne 150: | Ligne 154: | ||
| ''...........++++++'' | ''...........++++++'' | ||
| - | ''writing new private key to 'ca.key'''''-----'' | + | ''writing new private key to 'ca.key'''''-----'' |
| ''You are about to be asked to enter information that will be incorporated into your certificate request.'' | ''You are about to be asked to enter information that will be incorporated into your certificate request.'' | ||
| Ligne 162: | Ligne 166: | ||
| ''If you enter '.', the field will be left blank.'' | ''If you enter '.', the field will be left blank.'' | ||
| - | ''-----'' | + | ''-----'' |
| ''Country Name (2 letter code) [FR]:'' | ''Country Name (2 letter code) [FR]:'' | ||
| Ligne 195: | Ligne 199: | ||
| - | Quand le **Common Name** est demandé, il faut entrer « server » comme le dernier paramètre entré dans la commande précédente. Puis il faut mettre un mot de passe et un nom d'entreprise (facultatif). | + | Quand le **Common Name** est demandé, il faut entrer « server » comme le dernier paramètre entré dans la commande précédente. Puis il faut mettre un mot de passe et un nom d'entreprise (facultatif). |
| Suivent deux dernières questions qui requièrent des réponses positives : | Suivent deux dernières questions qui requièrent des réponses positives : | ||
| Ligne 209: | Ligne 213: | ||
| === Générer les certificats et les clés pour 3 clients === | === Générer les certificats et les clés pour 3 clients === | ||
| - | Générer des certificats et des clés pour les clients est une étape similaire à l'étape précédente. | + | Générer des certificats et des clés pour les clients est une étape similaire à l'étape précédente. |
| <note important> | <note important> | ||
| Ligne 328: | Ligne 332: | ||
| === Configuration du client === | === Configuration du client === | ||
| + | <note important>Depuis la 19.10 easyrsa 3 pour copier vos clées: | ||
| + | <code>cp pki/ca.crt /etc/openvpn/client/ | ||
| + | cp pki/issued/client01.crt /etc/openvpn/client/ | ||
| + | cp pki/private/client01.key /etc/openvpn/client/ | ||
| + | </code> | ||
| + | </note> | ||
| Le fichier d'exemple de configuration du client **client.conf** reflète les directives mises dans le fichier **server.conf**. | Le fichier d'exemple de configuration du client **client.conf** reflète les directives mises dans le fichier **server.conf**. | ||
| Ligne 346: | Ligne 355: | ||
| ===== Démarrage automatique d'OpenVPN au lancement du système ===== | ===== Démarrage automatique d'OpenVPN au lancement du système ===== | ||
| - | Pour qu'OpenVPN se lance au démarrage du serveur ou du client, il faut placer le fichier de configuration au bon endroit. | + | Pour qu'OpenVPN se lance au démarrage du serveur ou du client, il faut placer le fichier de configuration au bon endroit. |
| * Pour le serveur, copiez le fichier **server.conf** dans le répertoire **/etc/openvpn** | * Pour le serveur, copiez le fichier **server.conf** dans le répertoire **/etc/openvpn** | ||
| Ligne 359: | Ligne 368: | ||
| * dh1024.pem | * dh1024.pem | ||
| - | * Pour le client : | + | * Pour le client : |
| * ca.crt | * ca.crt | ||
| * client.crt | * client.crt | ||
| Ligne 418: | Ligne 427: | ||
| ==== Test ==== | ==== Test ==== | ||
| - | Maintenant, essayons de pinguer à travers le VPN depuis le client. | + | Maintenant, essayons de pinguer à travers le VPN depuis le client. |
| Dans une configuration bridgée (c'est-à-dire qu'il y a ''dev tap'' et non ''dev'' ''tun'' dans ''server.conf''), on peut essayer de pinguer le serveur (adresse par défaut 10.8.0.1 si vous n'avez pas changé le sous-réseau attribué) : | Dans une configuration bridgée (c'est-à-dire qu'il y a ''dev tap'' et non ''dev'' ''tun'' dans ''server.conf''), on peut essayer de pinguer le serveur (adresse par défaut 10.8.0.1 si vous n'avez pas changé le sous-réseau attribué) : | ||
| Ligne 437: | Ligne 446: | ||
| </note> | </note> | ||
| - | puis exécuter une fenetre MS-DOS en "administrateur" et exécuter la commande suivante : | + | puis exécuter une fenetre MS-DOS en "administrateur" et exécuter la commande suivante : |
| <code>netsh firewall set icmpsetting 8 enable</code> | <code>netsh firewall set icmpsetting 8 enable</code> | ||
| Ligne 445: | Ligne 454: | ||
| <code>netsh advfirewall firewall add rule name="All ICMP V4" protocol=icmpv4:any,any dir=in action=allow</code> | <code>netsh advfirewall firewall add rule name="All ICMP V4" protocol=icmpv4:any,any dir=in action=allow</code> | ||
| - | cette commande permet d'activer le ping des interfaces réseaux. | + | cette commande permet d'activer le ping des interfaces réseaux. |
| - | pour désactiver le ping ensuite, il faut exécuter cette commande : | + | pour désactiver le ping ensuite, il faut exécuter cette commande : |
| <code>netsh firewall set icmpsetting 8 disable</code> | <code>netsh firewall set icmpsetting 8 disable</code> | ||
| Ligne 517: | Ligne 526: | ||
| Vous pouvez à présent vous connecter à l'aide du [[client OpenVPN]] (network-manager-openvpn). Il gère automatiquement les règles de routage en local pour avoir un accès complet à internet. Sinon, vous devrez le faire à la main. | Vous pouvez à présent vous connecter à l'aide du [[client OpenVPN]] (network-manager-openvpn). Il gère automatiquement les règles de routage en local pour avoir un accès complet à internet. Sinon, vous devrez le faire à la main. | ||
| - | Problèmes connus : | + | Problèmes connus : |
| * Par défaut le serveur utilise la compression LZO, il faut donc l'activer également dans les paramètres avancés du manager gnome. | * Par défaut le serveur utilise la compression LZO, il faut donc l'activer également dans les paramètres avancés du manager gnome. | ||
| * Selon ce que vous avez fait précédemment, vous pouvez avoir plusieurs instances du client en cours. Vérifier que vous n'avez qu'une seule interface tun0 en local avec la commande ifconfig. | * Selon ce que vous avez fait précédemment, vous pouvez avoir plusieurs instances du client en cours. Vérifier que vous n'avez qu'une seule interface tun0 en local avec la commande ifconfig. | ||
| Ligne 528: | Ligne 537: | ||
| [[:tutoriel:comment_editer_un_fichier|Éditez le fichier]] **/etc/openvpn/server.conf**. | [[:tutoriel:comment_editer_un_fichier|Éditez le fichier]] **/etc/openvpn/server.conf**. | ||
| - | et ajoutez-y : | + | et ajoutez-y : |
| <file> | <file> | ||
| management localhost <un numéro de port> | management localhost <un numéro de port> | ||
| Ligne 644: | Ligne 653: | ||
| push "route 192.168.4.0 255.255.255.0"</file> | push "route 192.168.4.0 255.255.255.0"</file> | ||
| - | Ceci permet au serveur OpenVPN d'indiquer aux autres clients que le réseau du client2 existe. | + | Ceci permet au serveur OpenVPN d'indiquer aux autres clients que le réseau du client2 existe. |
| - | La dernière étape, celle qui est souvent oubliée, est d'ajouter une route sur la passerelle du réseau côté serveur qui redirigera le trafic allant vers 192.168.4.0/24 vers le serveur OpenVPN (inutile si la passerelle est le serveur OpenVPN). | + | La dernière étape, celle qui est souvent oubliée, est d'ajouter une route sur la passerelle du réseau côté serveur qui redirigera le trafic allant vers 192.168.4.0/24 vers le serveur OpenVPN (inutile si la passerelle est le serveur OpenVPN). |
| Pour ceci, il faut voir la documentation de votre passerelle et lui indiquer que tout le trafic allant vers 192.168.4.0/24 doit être redirigé sur le serveur OpenVPN (''adresseIP:port''). | Pour ceci, il faut voir la documentation de votre passerelle et lui indiquer que tout le trafic allant vers 192.168.4.0/24 doit être redirigé sur le serveur OpenVPN (''adresseIP:port''). | ||
| Ligne 672: | Ligne 681: | ||
| <file> | <file> | ||
| - | push "dhcp-option DNS 192.168.1.4" | + | push "dhcp-option DNS 192.168.1.4" |
| push "dhcp-option DNS 192.168.1.5" | push "dhcp-option DNS 192.168.1.5" | ||
| push "dhcp-option WINS 192.168.1.8" | push "dhcp-option WINS 192.168.1.8" | ||
| Ligne 694: | Ligne 703: | ||
| * Le [[http://openvpn.net|site officiel d'OpenVPN]] | * Le [[http://openvpn.net|site officiel d'OpenVPN]] | ||
| - | * Un [[http://howto.landure.fr/lone-wolf-scripts/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch|HOWTO sur l'installation/configuration d'OpenVPN sous Debian Etch]] (que vous pouvez suivre en lançant en premier lieu un shell super utilisateur avec la commande « sudo -s ») | ||
| - | * Un [[http://15minutesoffame.be/nico/blog2/?article16/creer-un-serveur-openvpn|autre tuto testé avec 11.04]] | ||
| * [[wpfr>OpenVPN|Article sur Wikipédia]] | * [[wpfr>OpenVPN|Article sur Wikipédia]] | ||
| - | * [[http://www.system-linux.eu/index.php?category/VPN|Tutoriels et documentations complémentaire sur OpenVPN]] | + | * [[https://www.system-linux.eu/index.php?category/VPN|Tutoriels et documentations complémentaire sur OpenVPN]] |
| - | * [[http://www.system-linux.eu/index.php?post/2010/05/24/Installation-ipsec-Host-to-Host-et-Network-to-Network|Pour ceux qui prefereraient IPSEC]] | + | * [[https://www.system-linux.eu/index.php?post/2010/05/24/Installation-ipsec-Host-to-Host-et-Network-to-Network|Pour ceux qui prefereraient IPSEC]] |
| - | * [[http://www.webmin.com/cgi-bin/search_third.cgi?search=openvpn|Modules OpenVPN pour Webmin]] | + | * [[https://www.webmin.com/cgi-bin/search_third.cgi?search=openvpn|Modules OpenVPN pour Webmin]] |
| + | * [[https://fr.linux-console.net/?p=1562#gsc.tab=0|Installation complète d'OpenVPN avec un script]] | ||