Installation et configuration d’OpenVPN en mode routé (tun)

Voila l’installation d’OpenVPN qui permet de superposer une connexion chiffrée à sa connexion existante, via des tunnels. Je détaillerai également l’ouverture des réseaux derrières les clients ce qui permet de transformer un client en serveur notamment dans le cas d’un client VPN sur la dom0 d’un vmware pour mettre les machines virtuels dans le réseau VPN.

Cote serveur

Installation des paquets

apt-get install openvpn openssh-server openssl

On passe dans le répertoire

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/

On édire les variables pour la génération des certificats

nano vars

export KEY_COUNTRY=FR
export KEY_PROVINCE=France
export KEY_CITY=Strasbourg
export KEY_ORG="Cyklodev"
export KEY_EMAIL="linux@cyklodev.com"

On passe dans le répertoire des clés

mkdir keys
cd keys

On source les variables (à refaire avant les générations)

. ./vars

On nettoie le répertoire UNIQUEMENT pendant l’installation et à ne JAMAIS répéter par la suite

./clean-all

ATTENTION : faire ceci par la suite SUPPRIME les clés précédemment générés et elles sont NÉCESSAIRES pour bannir des certificats par la suite

On génère le certificat public et privé

./build-ca

On génère le grand nombre premier Diffie Hellman

./build-dh

On génère le certificat du serveur

./build-key-server MONSERVEUR-vpn

Puis ceux des différents clients (avec noms différents pour le mappage arrière des clients)

./build-key client1

On copie ces fichiers pour que l’autorun fonctionne

cp ~/openvpn/2.0/keys/{ca.crt,ca.key,server.crt,server.key,dh1024.pem} /etc/openvpn/

Cote client

Installation des paquets

apt-get install openvpn openssh-server openssl

On copie le fichier de configuration

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/

On l’édite

nano /etc/openvpn/client.conf

On transmet les clés nécessaires par un moyen SÉCURISÉ

scp ~/openvpn/2.0/keys/{ca.crt,client1.key,client.crt} login@192.168.227.139:/etc/openvpn/

Pour un client windows

Voila un client VPN

http://openvpn.se/

Éditez le .conf et le renommer en .ovpn

Mettre les fichiers dans C://ProgramsFiles/openvpn/config/

Ouvrir les subnets derrière le serveur

On stop le serveur VPN

/etc/init.d/openvpn stop

On édite la configuration

nano /etc/openvpn/server.conf

On rajoute la route du subnet derrière le serveur

push "route 192.168.71.0 255.255.255.0"

On relance

/etc/init.d/openvpn start

Ouvrir les subnets derrière le client

Côté serveur

On stoppe le serveur VPN

/etc/init.d/openvpn stop

On édite la configuration

nano /etc/openvpn/server.conf

On ajoute directive et subnet derrière le client

client-config-dir ccd
route 192.168.4.0 255.255.255.0

On crée le répertoire

mkdir /etc/openvpn/ccd

On édite le nom du fichier avec du certificat du client

nano /etc/openvpn/cdd/nomduclient

On y ajoute le subnet derrière le client

iroute 192.168.4.0 255.255.255.0

On relance

/etc/init.d/openvpn start

Côté client standard

On active l’IP forwarding :

echo 1 > /proc/sys/net/ipv4/ip_forward

On active le TUN forwarding via Iptable avec ethX l’interface IP public

iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth2 -j MASQUERADE

Côté client dom0

En plus des actions pour un client standard, on y rajoute ces règles

iptables -A FORWARD -i tun0 -o vmnet8 -j ACCEPT
iptables -A FORWARD -i vmnet8 -o tun0 -j ACCEPT
iptables -A INPUT -i tun0 -j ACCEPT
iptables -A INPUT -i vmnet8 -j ACCEPT

Et le cas échéant on change la route par défaut (*ATTENTION* : __vérifiez la connectivité avec la future gateway__ pour ne pas perdre la main sur la machine *AVANT* de lancer la commande)

route add default gw xx.xx.xx.1