VirtIT

Outils pour utilisateurs

Outils du site

Vous êtes ici : Sommaire » kb » linux » generalites » OpenVPN
kb:linux:generalites:openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
kb:linux:generalites:openvpn [2018/01/18 16:18] beukb:linux:generalites:openvpn [2018/07/25 20:44] (Version actuelle) beu
Ligne 13: Ligne 13:
 Toute la manipulation coté serveur est réalisé sur le packet OpenVPN 2.4 (sous debian 9) Toute la manipulation coté serveur est réalisé sur le packet OpenVPN 2.4 (sous debian 9)
  
-<code>+<code bash>
 # apt install openvpn easy-rsa # apt install openvpn easy-rsa
 </code> </code>
Ligne 19: Ligne 19:
 Ensuite on va créer tous les dossiers nécessaire  Ensuite on va créer tous les dossiers nécessaire 
  
-<code> +<code bash 
-# mkdir -p /etc/openvpn/jail/tmp +# mkdir -p /etc/openvpn/jail/tmp && cp -r /usr/share/easy-rsa /etc/openvpn/
-# mkdir /etc/openvpn/clients-conf +
-cp -r /usr/share/easy-rsa /etc/openvpn/+
 </code> </code>
  
 Il faut ensuite autoriser le noyaux linux à faire du 'FORWARD', il faut juste lancer les deux commandes suivante : Il faut ensuite autoriser le noyaux linux à faire du 'FORWARD', il faut juste lancer les deux commandes suivante :
  
-<code> +<code bash
-# sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf +# sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf && echo 1 > /proc/sys/net/ipv4/ip_forward
-echo 1 > /proc/sys/net/ipv4/ip_forward+
 </code> </code>
  
Ligne 35: Ligne 32:
  
 ====Configuration Nomade==== ====Configuration Nomade====
 +
 +===Objectif===
 +
 +L'objectif est simple, permettre à un usagé d'accéder a des services interne où alors que chiffrer leurs communications
  
 ===Configuration du serveur=== ===Configuration du serveur===
Ligne 42: Ligne 43:
 Modifier le fichiers de variables ///etc/openvpn/easy-rsa/vars// afin de faire correspondre à la réalité les valeurs suivantes :  Modifier le fichiers de variables ///etc/openvpn/easy-rsa/vars// afin de faire correspondre à la réalité les valeurs suivantes : 
  
-<code>+<code bash>
 export KEY_COUNTRY="FR" export KEY_COUNTRY="FR"
 export KEY_PROVINCE="75" export KEY_PROVINCE="75"
Ligne 51: Ligne 52:
 </code> </code>
  
-On va ensuite générer les clés et les certificats pour le serveur+On va ensuite générer les clés et les certificats pour le serveur en lançant le script suivant
  
-<code> +<code bash setup.sh
-cd /etc/openvpn/easy-rsa/ +#!/bin/bash 
-# source vars + 
-# ./clean-all +source /etc/openvpn/easy-rsa/vars  
-openssl dhparam -out keys/dh4096.pem 4096  +/etc/openvpn/easy-rsa/clean-all 
-# ./pkitool --initca +openssl dhparam -out keys/dh4096.pem 4096  
-# ./pkitool --server server +/etc/openvpn/easy-rsa//pkitool --initca 
-openvpn --genkey --secret keys/ta.key+/etc/openvpn/easy-rsa//pkitool --server server 
 +openvpn --genkey --secret keys/ta.key
 </code> </code>
  
-la commande 'openssl' peut prendre beaucoup de temps (environ 30 min sur un VPS d'OVH).+Le script va vous poser plein de question et va être un peu long sur certaines étape.
  
 Téléchargé le ficher {{configurations:openvpn:nomade.conf|suivant}}.\\ Téléchargé le ficher {{configurations:openvpn:nomade.conf|suivant}}.\\
 Il est fait pour fonctionner, cependant vous pouvez modifier certains paramètres mais il faudra les reporter dans la configuration du client. Il est fait pour fonctionner, cependant vous pouvez modifier certains paramètres mais il faudra les reporter dans la configuration du client.
  
-Attention au règles de NAT qui peuvent être nécessaire.+Attention au règles de NAT qui peuvent être nécessaire.((Voir [[https://wiki.virtit.fr/doku.php/kb:cheatsheet:iptables|ceci]]))
  
 Il ne restera plus qu'a lancer le service : Il ne restera plus qu'a lancer le service :
  
-<code>+<code bash>
 # systemctl start openvpn@nomade # systemctl start openvpn@nomade
 </code> </code>
Ligne 96: Ligne 98:
 Pour créer un client il faut lancer les commandes suivantes : Pour créer un client il faut lancer les commandes suivantes :
  
-<code> +<code bash
-cd /etc/openvpn/easy-rsa/ +# /etc/openvpn/easy-rsa/vars && /etc/openvpn/easy-rsa/build-key-pass $NOMDUCLIENT
-# source vars +
-# ./build-key-pass <nom>+
 </code> </code>
  
Ligne 110: Ligne 110:
   * /etc/openvpn/easy-rsa/keys/ta.key   * /etc/openvpn/easy-rsa/keys/ta.key
   * /etc/openvpn/easy-rsa/keys/ca.crt   * /etc/openvpn/easy-rsa/keys/ca.crt
-  * /etc/openvpn/easy-rsa/keys/<nom>.crt +  * /etc/openvpn/easy-rsa/keys/$NOMDUCLIENT.crt 
-  * /etc/openvpn/easy-rsa/keys/<nom>.key+  * /etc/openvpn/easy-rsa/keys/$NOMDUCLIENT.key
  
 qu'il devra mettre dans un même dossier. qu'il devra mettre dans un même dossier.
Ligne 118: Ligne 118:
  
 FIXME FIXME
 +
 ====Configuration d'Accès Public==== ====Configuration d'Accès Public====
 +
 +
 FIXME FIXME
  
 ==Note : == ==Note : ==
 Règle iptables pour rediriger les requêtes vers une autre une ip (NAT 1.1) sans modification de l'adresse qui émet  Règle iptables pour rediriger les requêtes vers une autre une ip (NAT 1.1) sans modification de l'adresse qui émet 
-  iptables -t nat -A PREROUTING -p tcp -d 188.165.42.128 -j DNAT --to-destination 10.8.0.6+ 
 +<code bash> 
 +iptables -t nat -A PREROUTING -p tcp -d 188.165.42.128 -j DNAT --to-destination 10.8.0.6 
 +</code>
  
 ==Note 2 : == ==Note 2 : ==
 Le packet Resolvconf installer nativement sur Debian bloque les modifications DNS invoqué par Openvpn. Pour outrepasser cela, il suffit de rajouter les lignes suivante dans le fichier de configuration du client :  Le packet Resolvconf installer nativement sur Debian bloque les modifications DNS invoqué par Openvpn. Pour outrepasser cela, il suffit de rajouter les lignes suivante dans le fichier de configuration du client : 
  
 +<code>
   script-security 2   script-security 2
   up /etc/openvpn/update-resolv-conf   up /etc/openvpn/update-resolv-conf
   down /etc/openvpn/update-resolv-conf   down /etc/openvpn/update-resolv-conf
-  +</code>
  
kb/linux/generalites/openvpn.1516292330.txt.gz · Dernière modification : de beu