Installation et configuration d’OpenVPN en mode routé (tun)
Voila l’installation d’OpenVPN qui permet de superposer une connexion chiffrée à sa connexion existante, via des tunnels. Je détaillerai également l’ouverture des réseaux derrières les clients ce qui permet de transformer un client en serveur notamment dans le cas d’un client VPN sur la dom0 d’un vmware pour mettre les machines virtuels dans le réseau VPN.
- Cote serveur
Installation des paquets
apt-get install openvpn openssh-server openssl
On passe dans le répertoire
cd /usr/share/doc/openvpn/examples/easy-rsa/2.0/
On édire les variables pour la génération des certificats
nano vars export KEY_COUNTRY=FR export KEY_PROVINCE=France export KEY_CITY=Strasbourg export KEY_ORG="Cyklodev" export KEY_EMAIL="linux@cyklodev.com"
On passe dans le répertoire des clés
mkdir keys cd keys
On source les variables (à refaire avant les générations)
. ./vars
On nettoie le répertoire UNIQUEMENT pendant l’installation et à ne JAMAIS répéter par la suite
./clean-all
ATTENTION : faire ceci par la suite SUPPRIME les clés précédemment générés et elles sont NÉCESSAIRES pour bannir des certificats par la suite
On génère le certificat public et privé
./build-ca
On génère le grand nombre premier Diffie Hellman
./build-dh
On génère le certificat du serveur
./build-key-server MONSERVEUR-vpn
Puis ceux des différents clients (avec noms différents pour le mappage arrière des clients)
./build-key client1
On copie ces fichiers pour que l’autorun fonctionne
cp ~/openvpn/2.0/keys/{ca.crt,ca.key,server.crt,server.key,dh1024.pem} /etc/openvpn/
- Cote client
Installation des paquets
apt-get install openvpn openssh-server openssl
On copie le fichier de configuration
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
On l’édite
nano /etc/openvpn/client.conf
On transmet les clés nécessaires par un moyen SÉCURISÉ
scp ~/openvpn/2.0/keys/{ca.crt,client1.key,client.crt} login@192.168.227.139:/etc/openvpn/
- Pour un client windows
Voila un client VPN
http://openvpn.se/
Éditez le .conf et le renommer en .ovpn
Mettre les fichiers dans C://ProgramsFiles/openvpn/config/
- Ouvrir les subnets derrière le serveur
On stop le serveur VPN
/etc/init.d/openvpn stop
On édite la configuration
nano /etc/openvpn/server.conf
On rajoute la route du subnet derrière le serveur
push "route 192.168.71.0 255.255.255.0"
On relance
/etc/init.d/openvpn start
- Ouvrir les subnets derrière le client
Côté serveur
On stoppe le serveur VPN
/etc/init.d/openvpn stop
On édite la configuration
nano /etc/openvpn/server.conf
On ajoute directive et subnet derrière le client
client-config-dir ccd route 192.168.4.0 255.255.255.0
On crée le répertoire
mkdir /etc/openvpn/ccd
On édite le nom du fichier avec du certificat du client
nano /etc/openvpn/cdd/nomduclient
On y ajoute le subnet derrière le client
iroute 192.168.4.0 255.255.255.0
On relance
/etc/init.d/openvpn start
Côté client standard
On active l’IP forwarding :
echo 1 > /proc/sys/net/ipv4/ip_forward
On active le TUN forwarding via Iptable avec ethX l’interface IP public
iptables -P FORWARD ACCEPT iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o eth2 -j MASQUERADE
Côté client dom0
En plus des actions pour un client standard, on y rajoute ces règles
iptables -A FORWARD -i tun0 -o vmnet8 -j ACCEPT iptables -A FORWARD -i vmnet8 -o tun0 -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A INPUT -i vmnet8 -j ACCEPT
Et le cas échéant on change la route par défaut (*ATTENTION* : __vérifiez la connectivité avec la future gateway__ pour ne pas perdre la main sur la machine *AVANT* de lancer la commande)
route add default gw xx.xx.xx.1
hey there useful little web site you got there :-) I am using the exact design template on mine however for whatever weird factor it seems to reload more rapid on this blog eventhough yours features a little more content material. Have you been working with any individual plugins or widgets which will speed it up? If you could give the widgets so that I might use them in my own web site so twilight breaking dawn followers could watch twilight eclipse online trailers and films more rapidly I’d be pleased – thanks in advance :)
Could you pls provide more information on this subject??? By the way your website is wonderful. Sincerely.
Nice Post. I like your blog.
You can definitely see your enthusiasm in the work you write. The world hopes for more passionate writers like you who aren¡¯t afraid to say how they believe. Always go after your heart.
Great post and now I know what to do, thank you! Actually this Blog post helped me a lot. I hope you continue writing about this kind of entry