Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:vpn:openvpn [13/01/2017 18:46] kawer |
doc:reseau:vpn:openvpn [29/07/2017 14:51] cemoi [Configuration reseau] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| + | |||
| ====== OPENVPN Serveur et Client ====== | ====== OPENVPN Serveur et Client ====== | ||
| Ligne 4: | Ligne 5: | ||
| * Niveau requis : {{tag>avisé}} | * Niveau requis : {{tag>avisé}} | ||
| * Commentaires : //serveur, nat.. // | * Commentaires : //serveur, nat.. // | ||
| - | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | + | * Suivi : |
| - | * Suivi : {{tag>à-tester}} | + | |
| * Création par [[user>kawer]] 27/05/2016 | * Création par [[user>kawer]] 27/05/2016 | ||
| - | * Testé par <...> le <...> | + | * Testé par Tsukasa le 22/01/2017 |
| * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=15701 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=15701 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
| - | **Nota :** | + | ===== Présentation ===== |
| - | + | ||
| - | Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | + | |
| - | + | ||
| - | ==== Présentation ==== | + | |
| Cette technique permet la création d'une liaison chiffrée entre votre machine et un serveur hébergé sur Internet (par exemple chez un fournisseur d’accès se trouvant en France ou à l'étranger). \\ | Cette technique permet la création d'une liaison chiffrée entre votre machine et un serveur hébergé sur Internet (par exemple chez un fournisseur d’accès se trouvant en France ou à l'étranger). \\ | ||
| Ligne 27: | Ligne 23: | ||
| - | ==== Installation ==== | + | ===== Installation ===== |
| === On commence par installer OpenVPN à partir des dépôts officiels : === | === On commence par installer OpenVPN à partir des dépôts officiels : === | ||
| Ligne 33: | Ligne 29: | ||
| <code root>apt-get update && apt-get install openvpn</code> | <code root>apt-get update && apt-get install openvpn</code> | ||
| - | === On ce prépare à installer les certificats === | + | === On se prépare à installer les certificats === |
| <code root>cp -a /usr/share/easy-rsa /etc/openvpn/</code> | <code root>cp -a /usr/share/easy-rsa /etc/openvpn/</code> | ||
| <code user>cd /etc/openvpn/easy-rsa</code> | <code user>cd /etc/openvpn/easy-rsa</code> | ||
| Ligne 129: | Ligne 125: | ||
| - | === Création du fichier de configuration : === | + | ===== Création du fichier de configuration pour le serveur ===== |
| <code root>gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf</code> | <code root>gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf</code> | ||
| Ligne 155: | Ligne 151: | ||
| - | === On test la configuration openvpn : === | + | === On test la configuration openvpn pour le serveur: === |
| <code root>service openvpn stop</code> | <code root>service openvpn stop</code> | ||
| Ligne 161: | Ligne 157: | ||
| Vous devriez obtenir quelque chose comme suit : | Vous devriez obtenir quelque chose comme suit : | ||
| - | |||
| <code> | <code> | ||
| Thu Dec 22 18:27:00 2016 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015 | Thu Dec 22 18:27:00 2016 OpenVPN 2.3.4 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Nov 12 2015 | ||
| Ligne 199: | Ligne 194: | ||
| <code root>service openvpn start</code> | <code root>service openvpn start</code> | ||
| - | === Activation de l'ip forwarding : === | + | ===== Configuration reseau ===== |
| - | <code root>echo > "net.ipv4.ip_forward=1" /etc/sysctl.d/78-sysctl.conf</code> | + | === Activation de l'ip forwarding pour le NAT : === |
| + | |||
| + | <code root>echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/NAT.conf</code> | ||
| **Activez le nouveau jeux de règle :** | **Activez le nouveau jeux de règle :** | ||
| - | <code root>sysctl -p /etc/sysctl.d/78-sysctl.conf</code> | + | <code root>sysctl -p /etc/sysctl.d/NAT.conf</code> |
| + | |||
| + | Quelques explications concernant la configuration du NAT sur le [[https://debian-facile.org/viewtopic.php?pid=232793#p232793|forum ici]] merci à raleur pour ces explications :) | ||
| == Ajouts des règles dans iptables : == | == Ajouts des règles dans iptables : == | ||
| Ligne 217: | Ligne 216: | ||
| iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | ||
| </code> | </code> | ||
| + | Pour rendre ces règles persistantes après un reboot de votre serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) : | ||
| + | |||
| + | <code root>iptables-save > /etc/iptables.rules</code> | ||
| - | == On génère les certificats pour le client == | + | ===== Génération des certificats pour le client (oui nous sommes toujours sur le serveur) ===== |
| <code=root>cd /etc/openvpn/easy-rsa/</code> | <code=root>cd /etc/openvpn/easy-rsa/</code> | ||
| Ligne 270: | Ligne 272: | ||
| </code> | </code> | ||
| - | === On récupère les certificats sur le serveur : === | ||
| - | **Récupérer les fichiers suivant dans /etc/openvpn/easy-rsa/keys/:** | ||
| - | [[doc:reseau:scp|scp : transfert de fichiers sécurisé entre machines]] | ||
| - | <code>/etc/openvpn/easy-rsa/keys/ca.crt</code> | ||
| - | <code>/etc/openvpn/easy-rsa/keys/clientCert.key</code> | ||
| - | <code>/etc/openvpn/easy-rsa/keys/clientCert.crt</code> | ||
| - | === Sur le poste client === | + | ===== openvpn comme client sur le poste client ===== |
| ==On installe openvpn :== | ==On installe openvpn :== | ||
| Ligne 284: | Ligne 280: | ||
| <code root>sudo apt-get update</code> | <code root>sudo apt-get update</code> | ||
| <code root>sudo apt-get install openvpn</code> | <code root>sudo apt-get install openvpn</code> | ||
| + | |||
| + | === On récupère les certificats sur le serveur : === | ||
| + | **Récupérer les fichiers suivant dans /etc/openvpn/easy-rsa/keys/:** | ||
| + | [[doc:reseau:scp|scp : transfert de fichiers sécurisé entre machines]] | ||
| + | <note warning>Déconseillé d'utiliser root sur internet</note> | ||
| + | |||
| + | <code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/ca.crt /tmp/</code> | ||
| + | <code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/clientCert.key /tmp/</code> | ||
| + | <code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/clientCert.crt /tmp/</code> | ||
| ==On copie le le fichier de configuration et certificats == | ==On copie le le fichier de configuration et certificats == | ||
| Ligne 294: | Ligne 299: | ||
| **Coller dans le dossiers en cours (keys) les fichiers suivants :** | **Coller dans le dossiers en cours (keys) les fichiers suivants :** | ||
| - | <code>ca.crt</code> | + | <code>mv /tmp/ca.crt /etc/openvpn/keys/</code> |
| - | <code>clientCert.key</code> | + | <code>mv /tmp/clientCert.key /etc/openvpn/keys/</code> |
| - | <code>clientCert.crt</code> | + | <code>mv /tmp/clientCert.crt /etc/openvpn/keys/</code> |
| - | == Modification du fichier de configuration == | + | == Modification du fichier de configuration sur le client == |
| **Changer le chemin du serveur et des certificats dans /etc/openvpn/client.conf** | **Changer le chemin du serveur et des certificats dans /etc/openvpn/client.conf** | ||
| Ligne 308: | Ligne 313: | ||
| </code> | </code> | ||
| + | Pour que toutes les connexions passent par votre vpn il faut également ajouter: | ||
| + | <code>redirect-gateway def1</code> | ||
| + | |||
| + | |||
| + | |||
| + | <note important>Changez les DNS de votre client, ceux de votre FAI sont fermé! Vous pouvez utiliser ceux de [[https://wiki.opennic.org/doku.php|opennic]] par exemple</note> | ||
| + | <note tip>Si vous utilisez [[doc:reseau:network-manager|Network-Manager]] c'est dans ces options que vous devez définir les nouveaux DNS à utiliser.Vous pouvez également le faire en ligne de commande: | ||
| + | <code user>nmcli con mod lenom-de-votre-connexion ipv4.dns "169.239.202.202 185.121.177.177"</code> | ||
| + | </note> | ||
| == Test de connection == | == Test de connection == | ||
