Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
doc:reseau:openvpn [07/05/2015 19:47] milou [Installation Serveur] |
doc:reseau:openvpn [13/03/2021 11:40] (Version actuelle) vv222 [OpenVPN : client et serveur VPN] Visibilité de l’avertissement d’obsolescence |
||
---|---|---|---|
Ligne 2: | Ligne 2: | ||
* Objet : Installer et configurer intégralement OpenVPN | * Objet : Installer et configurer intégralement OpenVPN | ||
- | * Niveau requis : {{tag>avisé}} | + | * Niveau requis : {{tag>débutant avisé}} |
* Commentaires : // Mise en place d'un serveur VPN et de son client. // | * Commentaires : // Mise en place d'un serveur VPN et de son client. // | ||
* Débutant, à savoir (//pour le moins...//) : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir (//pour le moins...//) : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
- | * Suivi : {{tag>à-tester}} | + | * Suivi : {{tag>obsolète}} |
* Création par [[user>TechDesk]] le 30/12/2012 | * Création par [[user>TechDesk]] le 30/12/2012 | ||
* Testé par ... le ... | * Testé par ... le ... | ||
* Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=6350|ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?id=6350|ici]]((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
+ | <note important> | ||
+ | Un guide plus récent basé sur celui-ci est à privilégier : [[doc:reseau:vpn:openvpn|OPENVPN Serveur et Client]] | ||
+ | </note> | ||
===== Présentation ===== | ===== Présentation ===== | ||
Ligne 24: | Ligne 27: | ||
On commence par installer OpenVPN à partir des dépôts officiels : | On commence par installer OpenVPN à partir des dépôts officiels : | ||
- | <code root>apt-get install openvpn | + | <code root>apt-get update && apt-get install openvpn |
</code> | </code> | ||
On copie ensuite les fichiers de configurations : | On copie ensuite les fichiers de configurations : | ||
- | <code root>mkdir /etc/openvpn/easy-rsa/</code> | + | <code root>mkdir /etc/openvpn/keys</code> |
- | <code root>cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/</code> | + | <code root>cp -r /usr/share/easy-rsa/ /etc/openvpn</code> |
<code root>chown -R $USER /etc/openvpn/easy-rsa/</code> | <code root>chown -R $USER /etc/openvpn/easy-rsa/</code> | ||
- | </code> | ||
==== Configuration ==== | ==== Configuration ==== | ||
Ligne 59: | Ligne 61: | ||
On copie ensuite les clés et les certificats utiles pour le serveur dans le répertoire **/etc/openvpn/** : | On copie ensuite les clés et les certificats utiles pour le serveur dans le répertoire **/etc/openvpn/** : | ||
<code root> | <code root> | ||
- | cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key keys/dh1024.pem /etc/openvpn/ | + | cp keys/ca.crt keys/ta.key keys/server.crt keys/server.key keys/dh2048.pem /etc/openvpn/ |
</code> | </code> | ||
- | Puis on génère un répertoire **/etc/openvpn/jail** dans lequel le processus OpenVPN sera chrooté (afin de limiter les dégâts en cas de faille dans OpenVPN) puis un autre répertoire (**/etc/openvpn/clientconf**) qui contiendra la configuration des clients : | + | Puis on génère un répertoire **/etc/openvpn/jail** dans lequel le processus OpenVPN sera chrooté (afin de limiter les dégâts en cas de faille dans OpenVPN) : |
- | <code root> | + | <code root>mkdir /etc/openvpn/jail</code> |
- | mkdir /etc/openvpn/jail</code> | + | |
+ | Puis un autre répertoire (**/etc/openvpn/clientconf**) qui contiendra la configuration des clients : | ||
<code root>mkdir /etc/openvpn/clientconf | <code root>mkdir /etc/openvpn/clientconf | ||
</code> | </code> | ||
Ligne 80: | Ligne 83: | ||
cert server.crt | cert server.crt | ||
key server.key | key server.key | ||
- | dh dh1024.pem | + | dh dh2048.pem |
tls-auth ta.key 0 | tls-auth ta.key 0 | ||
cipher AES-256-CBC | cipher AES-256-CBC | ||
Ligne 125: | Ligne 128: | ||
</code> | </code> | ||
- | Puis configurer la translation d'adresse (NAT) : | + | Puis configurer la translation d'adresse (NAT). \\ |
+ | Dans la commande qui suit, remplacer ''votre_interface'' par l'interface réelle de votre carte reseau. \\ | ||
+ | //Avant stretch c'était genre ''eth0''...// : | ||
<code root> | <code root> | ||
- | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | + | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o votre_interface -j MASQUERADE |
</code> | </code> | ||
Ligne 133: | Ligne 138: | ||
<code root> | <code root> | ||
iptables-save > /etc/iptables.rules | iptables-save > /etc/iptables.rules | ||
+ | </code> | ||
+ | |||
+ | On peut aussi simplement ajouter la ligne suivante dans la configuration de son interface réseau (généralement la section eth0 dans **/etc/network/interface**) | ||
+ | <code> | ||
+ | post-up iptables-restore < /etc/iptables.rules | ||
</code> | </code> | ||