documentation:technique:openvpn:1-pki-client
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
documentation:technique:openvpn:1-pki-client [2022/12/04 21:27] – sragons | documentation:technique:openvpn:1-pki-client [2022/12/04 21:55] – [Sous GNU/Linux] sragons | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ====== Création de la clé PKI coté client | + | ====== |
- | + | ||
- | Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur. | + | |
<WRAP info> | <WRAP info> | ||
Ligne 46: | Ligne 44: | ||
<WRAP info> | <WRAP info> | ||
Lors de l’exécution de la commande **./easyrsa gen-req** vous devez indiquer un **Common Name (CN)**. | Lors de l’exécution de la commande **./easyrsa gen-req** vous devez indiquer un **Common Name (CN)**. | ||
- | Attention de saisir un CN indentique à NOM_CLIENT. En particulier, | + | Attention de saisir un CN indentique à NOM_CLIENT. |
</ | </ | ||
- | ===== Signer le certificat du client et le créer sur le serveur ===== | ||
- | |||
- | Cette étape est à réaliser sur le conteneur // | ||
- | |||
- | - Copier la requête de signature de certificat du client :<code bash> | ||
- | scp pki/ | ||
- | </ | ||
- | - Se connecter sur le conteneur et créer le client dans OpenVPN :<code bash> | ||
- | ssh openvpn | ||
- | manage-vpn create NOM_CLIENT -r / | ||
- | </ | ||
- | - Récupérer le profil OpenVPN généré pour le client sur votre machine :<code bash> | ||
- | scp openvpn:/ | ||
- | </ | ||
- | |||
- | Vous aurez besoin du mot de passe de notre Certificat d' | ||
- | |||
- | <WRAP info> | ||
- | Vous pouvez également communiquer à l' | ||
- | </ | ||
- | |||
- | TODO Discuter et définir d'une façon d' | ||
- | |||
- | TODO Définir également l' | ||
- | |||
- | ===== Configurer OpenVPN sur le client ===== | ||
- | |||
- | Le profil OpenVPN récupéré précédemment est à transmettre à l' | ||
- | { echo '< | ||
- | </ | ||
- | |||
- | ==== Sous Gnome avec NetworkManager ==== | ||
- | |||
- | **Pré-requis sous Debian :** | ||
- | * [[https:// | ||
- | |||
- | On peut ensuite ajouter une nouvelle connexion de type **OpenVPN** et importer le profil généré précédemment. | ||
- | |||
- | ==== Comme service avec systemd ==== | ||
- | |||
- | **Pré-requis sous Debian :** | ||
- | * [[https:// | ||
- | |||
- | On peut ensuite copier le profil généré précédemment dans le dossier ''/ | ||
- | |||
- | <WRAP important> | ||
- | Le client OpenVPN peut recevoir les informations liées au serveur DNS, mais n'est pas capable nativement de les appliquer. Il faudra pour cela suivre les instructions que vous trouverez dans le fichier de configuration. | ||
- | </ | ||
- | |||
- | === Démarrer le tunnel manuellement === | ||
- | |||
- | Pour démarrer le client VPN manuellement, | ||
- | sudo systemctl start openvpn-client@NOM_CLIENT.service | ||
- | </ | ||
- | |||
- | Si vous avez une phrase de passe, il vous faudra aussi exécuter :<code bash> | ||
- | sudo systemd-tty-ask-password-agent | ||
- | </ | ||
- | |||
- | === Établir le tunnel au démarrage de la machine === | ||
- | |||
- | Il suffit d' | ||
- | sudo systemctl enable openvpn-client@NOM_CLIENT.service | ||
- | </ | ||
- | |||
- | Si vous avez une phrase de passe, il vous faudra aussi suivre les étapes suivantes pour la stocker et ne pas avoir à la saisir : | ||
- | - Dans le fichier de configuration ''/ | ||
- | askpass NOM_CLIENT.auth | ||
- | </ | ||
- | - Avec votre éditeur favori, créez le fichier ''/ | ||
- | - Réglez les permissions pour que les fichiers ne soit lisible que par root :<code bash> | ||
- | sudo chmod 600 / | ||
- | </ |