Outils pour utilisateurs

Outils du site


travaux:technique:configuration_serveur_vpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
travaux:technique:configuration_serveur_vpn [2019/11/02 23:54]
jerome
travaux:technique:configuration_serveur_vpn [2019/11/03 13:24] (Version actuelle)
jerome
Ligne 162: Ligne 162:
  
 TODO configuration de **ferm** TODO configuration de **ferm**
-===== Setup du client ===== 
- 
-==== Pré-requis ==== 
-  
-  * Installation de la version 3 Easy-RSA 
-  * Disposer du CA racine ou intermédiaire 
-  * Créer une clé privée pour le client 
-  * Créer une demande de signature 
-  * Signer la demande 
-  * Disposer de la clé signée 
- 
-Générer les certificats : [[travaux:​technique:​creation_certificat|Voir la procédure]] 
-==== Installation ==== 
- 
-<​code>​ 
-apt-get install openvpn 
-</​code>​ 
- 
-==== Configuration ==== 
- 
-Créer un fichier ''​client.conf''​ dans le répertoire dédié aux profils serveurs dans ''/​etc/​openvpn/​client''​. Dans ce même répertoire il doit y avoir les différentes clés: 
- 
-  * ''​ca.crt''​ - la clé publique du CA racine ou intermédiaire de Mycélium 
-  * ''​client.key''​ - la clé privée du client 
-  * ''​client.crt''​ - la clé publique du client signée par le CA 
-  * ''​ta.key''​ - la clé de sécurisation du Handshake SSL/TLS (commun sur tous les serveurs) 
- 
-<file txt /​etc/​openvpn/​client/​client.conf>​ 
-client 
-dev tun 
-proto udp 
-remote vpn.mycelium-fai.org 1194 
-nobind 
-persist-key 
-persist-tun 
-ca ca.crt 
-key client.key 
-cert client.crt 
-tls-auth ta.key 1 
-remote-cert-tls server 
-cipher AES-256-CBC 
-comp-lzo 
-verb 3 
- 
-resolv-retry infinite 
-user nobody 
-group nobody 
-</​file>​ 
-TODO comparer a la version tapée par hoccau 
- 
-<​file>​ 
-client 
-dev tun 
-proto udp 
-remote cacatoes.ml 
-port 1194 
-nobind 
-persist-key 
-persist-tun 
-ca ca.crt 
-key antoine.key 
-cert antoine.crt 
-tls-auth ta.key 1 
-remote-cert-tls server 
-cipher AES-256-CBC 
-comp-lzo 
-verb 9 
- 
-redirect-gateway def1 
-tls-client 
-route-delay 2 
-</​file>​ 
- 
-Hypothèse : le premier c'est pour tester sans casser sa config réseau/​internet. Le deuxieme c'est pour router tout le trafic, donc en mode production. 
-==== Démarrage du service OpenVPN ==== 
- 
-Une fois configurée,​ démarrage du service. 
- 
-<​code>​ 
-systemctl reload openvpn 
-systemctl start openvpn-client@client 
-</​code>​ 
- 
-Un petit ''​status''​ pour voir si tous va bien 
- 
-<​code>​ 
-systemctl status openvpn-client@client 
-</​code>​ 
- 
-Le fichier de log se trouve dans ''/​var/​log/​openvpn.log''​ 
- 
-==== Voir l'​état du tunnel et le routage ==== 
- 
-<​code>​ 
-ip a 
-ip r 
-</​code>​ 
- 
-Vérifier que ''​tun''​ a bien l'ip qu'on a indiqué durant le push. 
- 
-Tester un ping sur l'IP distante 
- 
-<​code>​ 
-ping 10.8.0.1 
-</​code>​ 
- 
- 
- 
travaux/technique/configuration_serveur_vpn.txt · Dernière modification: 2019/11/03 13:24 par jerome