Différences

Ci-dessous, les différences entre deux révisions de la page.

--- kb:linux:generalites:openvpn [2018/04/22 22:19] – beu
+++ kb:linux:generalites:openvpn [2018/07/25 20:44] (Version actuelle) – beu
@@ Ligne 13: / Ligne 13: @@
 Toute la manipulation coté serveur est réalisé sur le packet OpenVPN 2.4 (sous debian 9)
-<code>
+<code bash>
 # apt install openvpn easy-rsa
 </code>
@@ Ligne 19: / Ligne 19: @@
 Ensuite on va créer tous les dossiers nécessaire
-<code>
+<code bash >
-# mkdir -p /etc/openvpn/jail/tmp
+# mkdir -p /etc/openvpn/jail/tmp && cp -r /usr/share/easy-rsa /etc/openvpn/
-# mkdir /etc/openvpn/clients-conf
-# cp -r /usr/share/easy-rsa /etc/openvpn/
 </code>
 Il faut ensuite autoriser le noyaux linux à faire du 'FORWARD', il faut juste lancer les deux commandes suivante :
-<code>
+<code bash>
-# sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf
+# sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf && echo 1 > /proc/sys/net/ipv4/ip_forward
-# echo 1 > /proc/sys/net/ipv4/ip_forward
 </code>
@@ Ligne 46: / Ligne 43: @@
 Modifier le fichiers de variables ///etc/openvpn/easy-rsa/vars// afin de faire correspondre à la réalité les valeurs suivantes :
-<code>
+<code bash>
 export KEY_COUNTRY="FR"
 export KEY_PROVINCE="75"
@@ Ligne 55: / Ligne 52: @@
 </code>
-On va ensuite générer les clés et les certificats pour le serveur
+On va ensuite générer les clés et les certificats pour le serveur en lançant le script suivant
-<code>
+<code bash setup.sh>
-# cd /etc/openvpn/easy-rsa/
+#!/bin/bash
-# source vars
-# ./clean-all
+source /etc/openvpn/easy-rsa/vars
-# openssl dhparam -out keys/dh4096.pem 4096
+/etc/openvpn/easy-rsa/clean-all
-# ./pkitool --initca
+openssl dhparam -out keys/dh4096.pem 4096
-# ./pkitool --server server
+/etc/openvpn/easy-rsa//pkitool --initca
-# openvpn --genkey --secret keys/ta.key
+/etc/openvpn/easy-rsa//pkitool --server server
+openvpn --genkey --secret keys/ta.key
 </code>
-la commande 'openssl' peut prendre beaucoup de temps (environ 30 min sur un VPS d'OVH).
+Le script va vous poser plein de question et va être un peu long sur certaines étape.
 Téléchargé le ficher {{configurations:openvpn:nomade.conf|suivant}}.\\
 Il est fait pour fonctionner, cependant vous pouvez modifier certains paramètres mais il faudra les reporter dans la configuration du client.
-Attention au règles de NAT qui peuvent être nécessaire.
+Attention au règles de NAT qui peuvent être nécessaire.((Voir [[https://wiki.virtit.fr/doku.php/kb:cheatsheet:iptables|ceci]]))
 Il ne restera plus qu'a lancer le service :
-<code>
+<code bash>
 # systemctl start openvpn@nomade
 </code>
@@ Ligne 100: / Ligne 98: @@
 Pour créer un client il faut lancer les commandes suivantes :
-<code>
+<code bash>
-# cd /etc/openvpn/easy-rsa/
+# /etc/openvpn/easy-rsa/vars && /etc/openvpn/easy-rsa/build-key-pass $NOMDUCLIENT
-# source vars
-# ./build-key-pass <nom>
 </code>
@@ Ligne 114: / Ligne 110: @@
   * /etc/openvpn/easy-rsa/keys/ta.key
   * /etc/openvpn/easy-rsa/keys/ca.crt
-  * /etc/openvpn/easy-rsa/keys/<nom>.crt
+  * /etc/openvpn/easy-rsa/keys/$NOMDUCLIENT.crt
-  * /etc/openvpn/easy-rsa/keys/<nom>.key
+  * /etc/openvpn/easy-rsa/keys/$NOMDUCLIENT.key
 qu'il devra mettre dans un même dossier.
@@ Ligne 126: / Ligne 122: @@
+FIXME
 ==Note : ==
 Règle iptables pour rediriger les requêtes vers une autre une ip (NAT 1.1) sans modification de l'adresse qui émet
-  iptables -t nat -A PREROUTING -p tcp -d 188.165.42.128 -j DNAT --to-destination 10.8.0.6
+<code bash>
+iptables -t nat -A PREROUTING -p tcp -d 188.165.42.128 -j DNAT --to-destination 10.8.0.6
+</code>
 ==Note 2 : ==
 Le packet Resolvconf installer nativement sur Debian bloque les modifications DNS invoqué par Openvpn. Pour outrepasser cela, il suffit de rajouter les lignes suivante dans le fichier de configuration du client :
+<code>
   script-security 2
   up /etc/openvpn/update-resolv-conf
   down /etc/openvpn/update-resolv-conf
+</code>