Cette page décrit comment configurer un nouveau client VPN, de sa machine à notre serveur.

Cette étape est à réaliser sur le poste du client.

Assurez-vous d'avoir les paquets suivant d'installés :

• openvpn
• easy-rsa >= 3

1. Lancer un terminal. Avec votre compte utilisateur, placez-vous dans un répertoire de votre choix (par exemple dans ~/Documents/Mycélium/VPN)
2. Créer le dossier qui contiendra les certificats avec easy-rsa, s'y rendre et initialiser l'environnement :

   make-cadir ./client-ca
   cd ./client-ca
   ./easyrsa init-pki

3. Créer le certificat et la clé du client :
   • soit avec une phrase de passe, qui vous sera demandée et qui sera à saisir à chaque connexion au serveur VPN :

     ./easyrsa gen-req NOM_CLIENT

   • soit sans chiffrer la clé privée avec un mot de passe :

     ./easyrsa gen-req NOM_CLIENT nopass

4. Puis validez la suite des informations demandées.

À la fin, on se retrouve avec un dossier pki/, qui contient au moins :

• la clé privée du client : pki/private/NOM_CLIENT.key
• la requête de signature de certificat du client : pki/reqs/NOM_CLIENT.req

Cette étape est à réaliser sur le conteneur openvpn, où se trouve notre CA intermédiaire pour le VPN.

1. Copier la requête de signature de certificat du client :

   scp pki/reqs/NOM_CLIENT.req openvpn:/tmp/

2. Se connecter sur le conteneur et créer le client dans OpenVPN :

   ssh openvpn
   manage-vpn create NOM_CLIENT -r /tmp/NOM_CLIENT.req -4 IP4_CLIENT

3. Récupérer le profil OpenVPN généré pour le client sur votre machine :

   scp openvpn:/tmp/NOM_CLIENT.ovpn .

Vous aurez besoin du mot de passe de notre Certificat d'Autorité, il est situé dans le dépot Git mycelium-pass. Référez-vous à son README ou à Gestion des secrets au sein de Mycélium au besoin.

Discuter et définir d'une façon d'assigner les adresses IPs

Définir également l'adresse IPv6

Le profil OpenVPN récupéré précédemment est à transmettre à l'adhérent⋅e. Pour que ce fichier soit complet, il reste à ajouter sa clé privée à la fin, dans une balise <key></key>. Sous bash, cela peut se faire avec la commande suivante dans le dossier où se trouve l'environnement easy-rsa :

{ echo '<key>'; cat pki/private/NOM_CLIENT.key; echo '</key>'; } >> NOM_CLIENT.ovpn

Pré-requis sous Debian :

• network-manager-openvpn-gnome

On peut ensuite ajouter une nouvelle connexion de type OpenVPN et importer le profil généré précédemment.

Pré-requis sous Debian :

• openvpn

On peut ensuite copier le profil généré précédemment dans le dossier /etc/openvpn/client en le renommant en NOM_CLIENT.conf.

Pour démarrer le client VPN manuellement, vous pouvez utiliser le service systemd dédié en exécutant :

sudo systemctl start openvpn-client@NOM_CLIENT.service

Si vous avez une phrase de passe, il vous faudra aussi exécuter :

sudo systemd-tty-ask-password-agent

Il suffit d'activer le service systemd dédié en exécutant :

sudo systemctl enable openvpn-client@NOM_CLIENT.service

Si vous avez une phrase de passe, il vous faudra aussi suivre les étapes suivantes pour la stocker et ne pas avoir à la saisir :

1. Dans le fichier de configuration /etc/openvpn/client/NOM_CLIENT.conf, ajoutez la ligne suivante :

   askpass NOM_CLIENT.auth

2. Avec votre éditeur favori, créez le fichier /etc/openvpn/client/NOM_CLIENT.auth qui ne contiendra que votre mot de passe.
3. Réglez les permissions pour que les fichiers ne soit lisible que par root :

   sudo chmod 600 /etc/openvpn/client/NOM_CLIENT.*