documentation:technique:openvpn:serveur
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
travaux:technique:configuration_serveur_vpn [2018/12/16 15:52] – [Démarrage du service OpenVPN] tyrben | documentation:technique:configuration_serveur_vpn [2021/04/08 17:35] – ↷ Page déplacée de travaux:technique:configuration_serveur_vpn à documentation:technique:configuration_serveur_vpn cacatoes | ||
---|---|---|---|
Ligne 22: | Ligne 22: | ||
* '' | * '' | ||
- | * '' | + | * '' |
- | * '' | + | * '' |
- | * '' | + | * '' |
* '' | * '' | ||
Ligne 32: | Ligne 32: | ||
< | < | ||
- | cd /etc/easy-rsa | + | cd /etc/openvpn/ |
- | export EASYRSA=$(pwd) | + | openssl dhparam |
- | easyrsa gen-dh | + | |
- | cp pki/dh.pem / | + | |
</ | </ | ||
+ | |||
+ | <wrap important> | ||
+ | La génération peut prendre un certain temps (ex. ~10min sur russule, avec une taille de 2048). | ||
+ | </ | ||
**TA** | **TA** | ||
- | |||
- | Le fichier '' | ||
< | < | ||
Ligne 46: | Ligne 46: | ||
openvpn --genkey --secret ta.key | openvpn --genkey --secret ta.key | ||
</ | </ | ||
+ | |||
+ | <wrap important> | ||
+ | Ce fichier généré devra aussi être présent sur tous les clients. | ||
+ | </ | ||
=== Fichier de configuration serveur === | === Fichier de configuration serveur === | ||
- | |||
- | Le fichier est ''/ | ||
<file ini / | <file ini / | ||
+ | # port et mode | ||
+ | mode server | ||
port 1194 | port 1194 | ||
proto udp | proto udp | ||
- | # nom de l' | ||
dev tun | dev tun | ||
+ | explicit-exit-notify 1 | ||
+ | |||
+ | # certificats et cles | ||
ca ca.crt | ca ca.crt | ||
- | # clef privée | + | cert nomduserveur.crt |
- | key schyzophille.key | + | key nomduserveur.key |
- | # clef publique | + | dh dh.pem |
- | cert schyzophille.crt | + | |
- | dh dh2048.pem | + | |
tls-auth ta.key 0 | tls-auth ta.key 0 | ||
+ | cipher AES-256-CBC | ||
+ | |||
+ | # reseau | ||
+ | server 10.8.0.0 255.255.255.0 | ||
topology subnet | topology subnet | ||
- | server 10.8.0.0 255.255.255.0 | + | #push " |
- | ifconfig-pool-persist ipp.txt | + | push " |
- | # le dossier de config des clients | + | push " |
+ | keepalive 10 120 | ||
+ | |||
+ | # clients | ||
client-config-dir ccd | client-config-dir ccd | ||
- | # client-to-client, | ||
client-to-client | client-to-client | ||
- | keepalive 10 120 | + | ifconfig-pool-persist ipp.txt |
- | # le chiffrement symétrique utilisé lorsque la connexion est établie | + | |
- | cipher AES-256-CBC | + | # securite |
- | comp-lzo | + | |
- | # On a pas créé d' | + | |
user nobody | user nobody | ||
- | group nobody | + | group nogroup |
persist-key | persist-key | ||
persist-tun | persist-tun | ||
- | status openvpn-status.log | + | comp-lzo |
+ | |||
+ | # journaux | ||
verb 3 | verb 3 | ||
+ | mute 20 | ||
+ | status openvpn-status.log | ||
+ | log-append / | ||
</ | </ | ||
Ligne 149: | Ligne 162: | ||
TODO configuration de **ferm** | TODO configuration de **ferm** | ||
- | ===== Setup du client ===== | ||
- | |||
- | ==== Pré-requis ==== | ||
- | |||
- | * Installation de la version 3 Easy-RSA | ||
- | * Disposer du CA racine ou intermédiaire | ||
- | * Créer une clé privée pour le client | ||
- | * Créer une demande de signature | ||
- | * Signer la demande | ||
- | * Disposer de la clé signée | ||
- | |||
- | Générer les certificats : [[travaux: | ||
- | ==== Installation ==== | ||
- | |||
- | < | ||
- | apt-get install openvpn | ||
- | </ | ||
- | |||
- | ==== Configuration ==== | ||
- | |||
- | Créer un fichier '' | ||
- | |||
- | * '' | ||
- | * '' | ||
- | * '' | ||
- | * '' | ||
- | |||
- | <file txt / | ||
- | client | ||
- | dev tun | ||
- | proto udp | ||
- | remote vpn.mycelium-fai.org 1194 | ||
- | nobind | ||
- | persist-key | ||
- | persist-tun | ||
- | ca ca.crt | ||
- | key client.key | ||
- | cert client.crt | ||
- | tls-auth ta.key 1 | ||
- | remote-cert-tls server | ||
- | cipher AES-256-CBC | ||
- | comp-lzo | ||
- | verb 3 | ||
- | |||
- | resolv-retry infinite | ||
- | user nobody | ||
- | group nobody | ||
- | </ | ||
- | TODO comparer a la version tapée par hoccau | ||
- | |||
- | < | ||
- | client | ||
- | dev tun | ||
- | proto udp | ||
- | remote cacatoes.ml | ||
- | port 1194 | ||
- | nobind | ||
- | persist-key | ||
- | persist-tun | ||
- | ca ca.crt | ||
- | key antoine.key | ||
- | cert antoine.crt | ||
- | tls-auth ta.key 1 | ||
- | remote-cert-tls server | ||
- | cipher AES-256-CBC | ||
- | comp-lzo | ||
- | verb 9 | ||
- | |||
- | redirect-gateway def1 | ||
- | tls-client | ||
- | route-delay 2 | ||
- | </ | ||
- | |||
- | Hypothèse : le premier c'est pour tester sans casser sa config réseau/ | ||
- | ==== Démarrage du service OpenVPN ==== | ||
- | |||
- | Une fois configurée, | ||
- | |||
- | < | ||
- | systemctl reload openvpn | ||
- | systemctl start openvpn-client@client | ||
- | </ | ||
- | |||
- | Un petit '' | ||
- | |||
- | < | ||
- | systemctl status openvpn-client@client | ||
- | </ | ||
- | |||
- | Le fichier de log se trouve dans ''/ | ||
- | |||
- | ==== Voir l' | ||
- | |||
- | < | ||
- | ip a | ||
- | ip r | ||
- | </ | ||
- | |||
- | Vérifier que '' | ||
- | |||
- | Tester un ping sur l'IP distante | ||
- | |||
- | < | ||
- | ping 10.8.0.1 | ||
- | </ | ||
- | |||
- | |||
- |
documentation/technique/openvpn/serveur.txt · Dernière modification : 2022/12/04 21:42 de sragons