Ceci est une ancienne révision du document !
Table des matières
3. Configurer du client Open VPN
Rappel des variables créées lors des étapes précédentes :
NOM_CLIENT
: le nom d'adhérent·e, suivi optionnellement d'un nom au choix. Par exemple, pour l'adhérent⋅e camille :camille
,camille-maison
,camille-autre
. Éviter cependant les caractères spéciaux.IP4_CLIENT
: l'adresse IPv4 qu'on va assigner à ce client VPN, dans notre plage IP (80.67.162.x), oùx
est incrémenté à chaque nouvelle souscription VPN.
Finalisation du profil openvpn
Le profil OpenVPN récupéré précédemment est à transmettre à l'adhérent⋅e. Pour que ce fichier soit complet, il reste à ajouter sa clé privée à la fin, dans une balise <key></key>
. Sous bash, cela peut se faire avec la commande suivante dans le dossier où se trouve l'environnement easy-rsa :
{ echo '<key>'; cat pki/private/NOM_CLIENT.key; echo '</key>'; } >> NOM_CLIENT.ovpn
Sous Gnome avec NetworkManager
Pré-requis sous Debian :
On peut ensuite ajouter une nouvelle connexion de type OpenVPN et importer le profil généré précédemment.
Comme service avec systemd
Pré-requis sous Debian :
On peut ensuite copier le profil généré précédemment dans le dossier /etc/openvpn/client
en le renommant en NOM_CLIENT.conf
.
Le client OpenVPN peut recevoir les informations liées au serveur DNS, mais n'est pas capable nativement de les appliquer. Il faudra pour cela suivre les instructions que vous trouverez dans le fichier de configuration.
Démarrer le tunnel manuellement
Pour démarrer le client VPN manuellement, vous pouvez utiliser le service systemd dédié en exécutant :
sudo systemctl start openvpn-client@NOM_CLIENT.service
Si vous avez une phrase de passe, il vous faudra aussi exécuter :
sudo systemd-tty-ask-password-agent
Établir le tunnel au démarrage de la machine
Il suffit d'activer le service systemd dédié en exécutant :
sudo systemctl enable openvpn-client@NOM_CLIENT.service
Si vous avez une phrase de passe, il vous faudra aussi suivre les étapes suivantes pour la stocker et ne pas avoir à la saisir :
- Dans le fichier de configuration
/etc/openvpn/client/NOM_CLIENT.conf
, ajoutez la ligne suivante :askpass NOM_CLIENT.auth
- Avec votre éditeur favori, créez le fichier
/etc/openvpn/client/NOM_CLIENT.auth
qui ne contiendra que votre mot de passe. - Réglez les permissions pour que les fichiers ne soit lisible que par root :
sudo chmod 600 /etc/openvpn/client/NOM_CLIENT.*