logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
doc:reseau:vpn:openvpn [27/07/2017 18:46]
enicar
doc:reseau:vpn:openvpn [07/08/2018 11:58] (Version actuelle)
cemoi [Installation]
Ligne 1: Ligne 1:
 +
 ====== OPENVPN Serveur et Client ====== ====== OPENVPN Serveur et Client ======
  
Ligne 9: Ligne 10:
   * Commentaires sur le forum : [[https://​debian-facile.org/​viewtopic.php?​id=15701 | Lien vers le forum concernant ce tuto]] ((N'​hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))   * Commentaires sur le forum : [[https://​debian-facile.org/​viewtopic.php?​id=15701 | Lien vers le forum concernant ce tuto]] ((N'​hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !))
  
-==== Présentation ====+===== Présentation ​=====
  
 Cette technique permet la création d'une liaison chiffrée entre votre machine et un serveur hébergé sur Internet (par exemple chez un fournisseur d’accès se trouvant en France ou à l'​étranger). \\  Cette technique permet la création d'une liaison chiffrée entre votre machine et un serveur hébergé sur Internet (par exemple chez un fournisseur d’accès se trouvant en France ou à l'​étranger). \\ 
Ligne 22: Ligne 23:
  
  
-==== Installation ====+===== Installation ​=====
  
 === On commence par installer OpenVPN à partir des dépôts officiels : === === On commence par installer OpenVPN à partir des dépôts officiels : ===
Ligne 35: Ligne 36:
  
 === Création des certificats de l'​autorité de certification : === === Création des certificats de l'​autorité de certification : ===
 +
 +<note warning> sur stretch et buster easy-rsa ne trouve pas le fichier openssl.cnf dans /​etc/​openvpn/​easy-rsa Il faut créer un lien symbolique qui pointe vers le fichier le plus récent présent dans ls -l /​etc/​openvpn/​easy-rsa et qui est openssl-1.0.0.cnf à ce jour</​note>​
 +
 +Pour créer le lien il faut se rendre dans le bon répertoire:​
 +<code user>cd /​etc/​openvpn/​easy-rsa</​code>​
 +puis faire le lien symbolique:
 +<code root>ln -s openssl-1.0.0.cnf openssl.cnf</​code>​
 +
  
 <code root>​./​build-ca</​code>​ <code root>​./​build-ca</​code>​
Ligne 124: Ligne 133:
  
  
-=== Création du fichier de configuration ​===+===== Création du fichier de configuration ​pour le serveur =====
   
 <code root>​gunzip -c /​usr/​share/​doc/​openvpn/​examples/​sample-config-files/​server.conf.gz > /​etc/​openvpn/​server.conf</​code>​ <code root>​gunzip -c /​usr/​share/​doc/​openvpn/​examples/​sample-config-files/​server.conf.gz > /​etc/​openvpn/​server.conf</​code>​
Ligne 132: Ligne 141:
 <code root>​nano /​etc/​openvpn/​server.conf</​code>​ **décommentez ou ajoutez les lignes suivantes :** <code root>​nano /​etc/​openvpn/​server.conf</​code>​ **décommentez ou ajoutez les lignes suivantes :**
 <​code>​ <​code>​
 +#On limite les droits à l'​utilisateur nobody et au groupe nogroup. Attention cela n'est bon que pour les clients qui sont sur linux/unix.
 +#Pour les clients windows il faut commenter ces deux lignes
 user nobody user nobody
 group nogroup group nogroup
 +---
 +#On limite le nombres de client simultanées
 +max-clients 5
 +---
 +#On active la compression ça permet de gagner de la bande passante et la vitesse pour tout ce qui est binaire.
 +#Attention il faut aussi que cette ligne soit dans le fichier de configuration du client openvpn
 +comp-lzo
 --- ---
 ca /​etc/​openvpn/​easy-rsa/​keys/​ca.crt ca /​etc/​openvpn/​easy-rsa/​keys/​ca.crt
Ligne 150: Ligne 168:
  
  
-=== On test la configuration openvpn : ===+=== On test la configuration openvpn ​pour le serveur: ===
  
 <code root>​service openvpn stop</​code>​ <code root>​service openvpn stop</​code>​
Ligne 193: Ligne 211:
 <code root>​service openvpn start</​code>​ <code root>​service openvpn start</​code>​
  
-=== Activation de l'ip forwarding : ===+===== Configuration reseau =====
  
-<code root>​echo "​net.ipv4.ip_forward=1"​ > /​etc/​sysctl.d/​ip_forwading.conf</​code>​+=== Activation de l'ip forwarding pour le NAT : === 
 + 
 +<code root>​echo "​net.ipv4.ip_forward=1"​ > /​etc/​sysctl.d/​NAT.conf</​code>​
  
 **Activez le nouveau jeux de règle :** **Activez le nouveau jeux de règle :**
-<code root>​sysctl -p /​etc/​sysctl.d/​78-sysctl.conf</​code>​+<code root>​sysctl -p /​etc/​sysctl.d/​NAT.conf</​code>​ 
 + 
 +Quelques explications concernant la configuration du NAT sur le [[https://​debian-facile.org/​viewtopic.php?​pid=232793#​p232793|forum ici]] merci à raleur pour ces explications :)
  
 == Ajouts des règles dans iptables : ==  == Ajouts des règles dans iptables : == 
Ligne 208: Ligne 230:
 iptables -t filter -P FORWARD ACCEPT iptables -t filter -P FORWARD ACCEPT
 iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
-iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE +iptables -t nat -A POSTROUTING -o ethx(nom de votre interface) ​-j MASQUERADE 
-iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE+iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ethx(nom de votre interface) ​-j MASQUERADE
 </​code>​ </​code>​
 + Pour rendre ces règles persistantes après un reboot de votre serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) : 
 +
 +<code root>​iptables-save > /​etc/​iptables.rules</​code>​
  
-== On génère les certificats pour le client == +===== Génération des certificats pour le client ​(oui nous sommes toujours sur le serveur) =====
  
 <​code=root>​cd /​etc/​openvpn/​easy-rsa/</​code>​ <​code=root>​cd /​etc/​openvpn/​easy-rsa/</​code>​
Ligne 265: Ligne 290:
  
  
-=== Sur le poste client ===+ 
 +===== openvpn comme client sur le poste client ​=====
  
 ==On installe openvpn :== ==On installe openvpn :==
Ligne 275: Ligne 301:
 **Récupérer les fichiers suivant dans /​etc/​openvpn/​easy-rsa/​keys/:​** ​ **Récupérer les fichiers suivant dans /​etc/​openvpn/​easy-rsa/​keys/:​** ​
 [[doc:​reseau:​scp|scp&​nbsp;:​ transfert de fichiers sécurisé entre machines]] [[doc:​reseau:​scp|scp&​nbsp;:​ transfert de fichiers sécurisé entre machines]]
-<note warning>​Déconseillé d'​utiliser root sur internet</​note>​+<note warning>​Déconseillé d'​utiliser ​la connexion via le compte ​root à travers ​internet!! Pour bien faire il faut mettre tout ça dans un répertoire,​ le compresser via targz, lui donner les droits d'un user qui est sur le client et enfin récupérer cette archive à partir du client via le user avec scp...</​note>​
  
 <​code>​scp root@ip_du_serveur:/​etc/​openvpn/​easy-rsa/​keys/​ca.crt /​tmp/</​code>​ <​code>​scp root@ip_du_serveur:/​etc/​openvpn/​easy-rsa/​keys/​ca.crt /​tmp/</​code>​
Ligne 281: Ligne 307:
 <​code>​scp root@ip_du_serveur:/​etc/​openvpn/​easy-rsa/​keys/​clientCert.crt /​tmp/</​code>​ <​code>​scp root@ip_du_serveur:/​etc/​openvpn/​easy-rsa/​keys/​clientCert.crt /​tmp/</​code>​
  
-==On copie le le fichier de configuration et certificats ==+==On copie le fichier de configuration et certificats ==
  
 <code root>cp /​usr/​share/​doc/​openvpn/​examples/​sample-config-files/​client.conf /​etc/​openvpn/</​code>​ <code root>cp /​usr/​share/​doc/​openvpn/​examples/​sample-config-files/​client.conf /​etc/​openvpn/</​code>​
Ligne 294: Ligne 320:
 <​code>​mv /​tmp/​clientCert.crt /​etc/​openvpn/​keys/</​code>​ <​code>​mv /​tmp/​clientCert.crt /​etc/​openvpn/​keys/</​code>​
  
-== Modification du fichier de configuration ==+=== Modification du fichier de configuration ​sur le client ===
  
 **Changer le chemin du serveur et des certificats dans /​etc/​openvpn/​client.conf** **Changer le chemin du serveur et des certificats dans /​etc/​openvpn/​client.conf**
Ligne 302: Ligne 328:
 cert /​etc/​openvpn/​keys/​clientCert.crt cert /​etc/​openvpn/​keys/​clientCert.crt
 key /​etc/​openvpn/​keys/​clientCert.key key /​etc/​openvpn/​keys/​clientCert.key
 +#On active la compression ça permet de gagner de la bande passante et la vitesse pour tout ce qui est binaire.
 +#Attention il faut aussi que cette ligne soit dans le fichier de configuration du serveur openvpn
 +comp-lzo
 </​code>​ </​code>​
  
doc/reseau/vpn/openvpn.1501174003.txt.gz · Dernière modification: 27/07/2017 18:46 par enicar

Pied de page des forums

Propulsé par FluxBB