Différences

Ci-dessous, les différences entre deux révisions de la page.

--- travaux:technique:configuration_serveur_vpn [2019/11/02 23:54] – jerome
+++ documentation:technique:openvpn:serveur [2021/04/16 14:52] – [OpenVPN] cacatoes
@@ Ligne 1: / Ligne 1: @@
-====== OpenVPN ======
+====== Serveur OpenVPN ======
 ===== Setup du serveur =====
@@ Ligne 10: / Ligne 10: @@
   * Créer une paire de clé pour le serveur
-[[travaux:technique:creation_certificat|Voir la procédure]]
+[[documentation:technique:openvpn:easy-rsa|Voir la procédure]]
 ==== Installation ====
@@ Ligne 162: / Ligne 162: @@
 TODO configuration de **ferm**
-===== Setup du client =====
-==== Pré-requis ====
-  * Installation de la version 3 Easy-RSA
-  * Disposer du CA racine ou intermédiaire
-  * Créer une clé privée pour le client
-  * Créer une demande de signature
-  * Signer la demande
-  * Disposer de la clé signée
-Générer les certificats : [[travaux:technique:creation_certificat|Voir la procédure]]
-==== Installation ====
-<code>
-apt-get install openvpn
-</code>
-==== Configuration ====
-Créer un fichier ''client.conf'' dans le répertoire dédié aux profils serveurs dans ''/etc/openvpn/client''. Dans ce même répertoire il doit y avoir les différentes clés:
-  * ''ca.crt'' - la clé publique du CA racine ou intermédiaire de Mycélium
-  * ''client.key'' - la clé privée du client
-  * ''client.crt'' - la clé publique du client signée par le CA
-  * ''ta.key'' - la clé de sécurisation du Handshake SSL/TLS (commun sur tous les serveurs)
-<file txt /etc/openvpn/client/client.conf>
-client
-dev tun
-proto udp
-remote vpn.mycelium-fai.org 1194
-nobind
-persist-key
-persist-tun
-ca ca.crt
-key client.key
-cert client.crt
-tls-auth ta.key 1
-remote-cert-tls server
-cipher AES-256-CBC
-comp-lzo
-verb 3
-resolv-retry infinite
-user nobody
-group nobody
-</file>
-TODO comparer a la version tapée par hoccau
-<file>
-client
-dev tun
-proto udp
-remote cacatoes.ml
-port 1194
-nobind
-persist-key
-persist-tun
-ca ca.crt
-key antoine.key
-cert antoine.crt
-tls-auth ta.key 1
-remote-cert-tls server
-cipher AES-256-CBC
-comp-lzo
-verb 9
-redirect-gateway def1
-tls-client
-route-delay 2
-</file>
-Hypothèse : le premier c'est pour tester sans casser sa config réseau/internet. Le deuxieme c'est pour router tout le trafic, donc en mode production.
-==== Démarrage du service OpenVPN ====
-Une fois configurée, démarrage du service.
-<code>
-systemctl reload openvpn
-systemctl start openvpn-client@client
-</code>
-Un petit ''status'' pour voir si tous va bien
-<code>
-systemctl status openvpn-client@client
-</code>
-Le fichier de log se trouve dans ''/var/log/openvpn.log''
-==== Voir l'état du tunnel et le routage ====
-<code>
-ip a
-ip r
-</code>
-Vérifier que ''tun'' a bien l'ip qu'on a indiqué durant le push.
-Tester un ping sur l'IP distante
-<code>
-ping 10.8.0.1
-</code>