wikinotes

Outils pour utilisateurs

Outils du site

Piste : profilage-code docker-compose introduction_rust_embarque introduction_a_powershell systeme-sur-ssd gcc export_elasticsearch structure-case gestion-plugins compiler-noyau
netadmin:vpn:config-test-openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
netadmin:vpn:config-test-openvpn [2017/12/28 08:35] yoannnetadmin:vpn:config-test-openvpn [2021/02/01 21:51] (Version actuelle) – modification externe 127.0.0.1
Ligne 3: Ligne 3:
 ====== Mise en place d'une config test openvpn ====== ====== Mise en place d'une config test openvpn ======
  
-On cherche à connecter un poste client au travers d'un réseau non sécurisé au serveur. Un hôte virtuel apache associée à l'interface loopback du serveur sera accessible.+On cherche à connecter un poste client au travers d'un réseau non sécurisé au serveur. Dans cet exemple simple on crée un VPN entre deux VMs appartenant au même réseau.
  
 ===== Serveur ===== ===== Serveur =====
Ligne 21: Ligne 21:
 ==== Génération des clés ==== ==== Génération des clés ====
  
-easy-rsa contient un ensemble de scripts assistant la génération des certificats serveur et clients.+easy-rsa contient un ensemble de scripts assistant la génération des certificats racine, serveur et clients. 
 + 
 +On commence par mettre a jour le fichier contenant les variables: ''./vars'':
  
 <code bash> <code bash>
Ligne 35: Ligne 37:
  
 <code bash> <code bash>
-# sourcer le fichier définissant les variables+# sourcer le fichier exportant les variables
 source ./vars source ./vars
 +
 # par précaution supprimer les fichiers temporaires # par précaution supprimer les fichiers temporaires
 ./clean-all ./clean-all
-# construire clés et certificat pour l'autorité de certification racine+ 
 +# construire clés et certificat pour le CA ou Autorité de Certification racine
 ./build-ca ./build-ca
 </code> </code>
  
-Après validation des valeurs par défaut, les fichiers suivants ont été créés dans le repertoire **./keys**:+Après validation, les fichiers suivants ont été créés dans le répertoire **./keys**:
   * **ca.key**: la clé privée de l'autorité de certification racine.   * **ca.key**: la clé privée de l'autorité de certification racine.
   * **ca.crt**: le certificat de l'autorité de certification racine.   * **ca.crt**: le certificat de l'autorité de certification racine.
Ligne 49: Ligne 53:
   * **serial** identifiant du dernier certificat émis   * **serial** identifiant du dernier certificat émis
  
-Le certificat de l'autorité de certification racine exisant, on peut générer les clés et certificat pour le serveur et les clients:+Le certificat de l'autorité de certification racine existant, on peut générer les clés et certificats pour le serveur et les clients:
  
 Pour le serveur: Pour le serveur:
Ligne 179: Ligne 183:
 ==== Ajouter les routes ==== ==== Ajouter les routes ====
  
-Le tunnel est fonctionnel mais coté client les routes n'ont pas été mises a jour. Pour que le réseau soit accessible au client, il faut déclarer au serveur les routes qu'il doit mettre a jour sur le client pour que celui-ci puisse accéder au sous réseau.+Avec la configuration minimale, le tunnel est fonctionnel mais coté client les routes n'ont pas été mises a jour. Pour que le réseau soit accessible au client, il faut déclarer au serveur lesquelles de ses routes on souhaite qu'il mette à jour sur le client pour que celui-ci puisse accéder au sous réseau (directive **push**).
  
 +Il est possible de changer le protocole et le port d’écoute du serveur avec les directives **proto** et **port**:
  
-===== Fichier de config serveur =====+<file> 
 +proto tcp 
 +port 26356 
 +</file> 
 + 
 +Le fichier périphérique de l'interface peut être renommé. Cela peut améliorer la clarté ou facilité la création de règles iptables:
  
 <file> <file>
 +dev vpn
 +dev-type tun
 +</file>
 +
 +===== Fichiers de configuration finalisés =====
 +
 +==== Serveur ====
 +
 +Sur le serveur le fichier de configuration du service openvpn a maintenant la forme suivante:
 +
 +<file txt serveur.conf>
 # Configuration du serveur openvpn # Configuration du serveur openvpn
 mode server mode server
-proto udp +proto tcp 
-dev tun+port 31100 
 + 
 +dev vpn 
 +dev-type tun
  
 topology subnet topology subnet
Ligne 196: Ligne 220:
 dh keys/dh2048.pem dh keys/dh2048.pem
  
-# pool d'adresses fournir aux clients+Adresse de réseau à exploiter. 
 +# Définit le pool d'adresses à fournir aux clients
 server 10.50.0.0 255.255.255.0 server 10.50.0.0 255.255.255.0
 keepalive 10 120 keepalive 10 120
 +
 +# Chemin des fichiers de configuration clients
 +# permet de redefinir la config générale par client
 +client-config-dir ./client-cfg
 +
 +# Décommenter la directive pour autoriser les communications
 +# entre clients
 +#client-to-client
 +
 +# Limiter le nombre de conexions au serveur
 +#max-clients 10
  
 # Renforcement de la securité par defaut # Renforcement de la securité par defaut
Ligne 227: Ligne 263:
 persist-tun persist-tun
  
-Log +Paramétrages des logs 
-#log /var/log/openvpn.log+log /var/log/openvpn.log
 verb 3 verb 3
 +# Condense la répétition de memes entrées dans les logs
 +mute 20
  
 # Fichier listant les connexions actives # Fichier listant les connexions actives
Ligne 235: Ligne 273:
 </file> </file>
  
-===== Fichier de config client =====+Il utilise les certificats présents dans le sous dossier **./keys/** et des fichier de configuration propres au clientsdans le dossier **./client-cfg/** si l'on souhaite redéfinir le paramétrages par défaut. Pour exemple, un fichier vm01.lan redefinit les paramétrage du client CN=vm01.lan
  
-<file>+<file txt vm01.lan> 
 +# Fichier de redefinition de la configuration  du client vm01.lan
  
-</file>+# Ne tient pas compte de la configuration générale 
 +push-reset
  
-===== Options de paramétrage =====+# Redéfinition de la configuration pour le client 
 +ifconfig-push 10.50.0.33 255.255.255.0
  
-Il est possible de changer le protocole et le port d’écoute du serveur avec les directives **proto** et **port**:+# Pousse les routes sur le client 
 +# NB: ces routes doivent exister sur le serveur 
 +push "route 10.50.0.0 255.255.255.0" 
 +push "route 172.16.3.0 255.255.255.0" 
 +</file>
  
 +==== Client ====
 +
 +Le fichier de configuration finalisé coté client a la forme suivante:
 <file> <file>
 +# Configuration du client
 +client
 proto tcp proto tcp
-port 26356 
-</file> 
  
-Le fichier périphérique de l'interface peut être renomméCela peut améliorer la clarté ou facilité la création de règles iptables:+remote serveur.lan 31100 
 +remote-cert-tls server
  
-<file> 
 dev vpn dev vpn
 dev-type tun dev-type tun
 +
 +
 +
 +nobind
 +tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
 +#tls-cipher TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-CAMELLIA-256-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-3DES-EDE-CBC-SHA
 +#tls-cipher TLS-DHE-RSA-WITH-AES-128-CBC-SHA
 +#tls-cipher TLS-DHE-RSA-WITH-SEED-CBC-SHA
 +#tls-cipher TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-AES-128-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-SEED-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-CAMELLIA-128-CBC-SHA
 +#tls-cipher TLS-RSA-WITH-RC4-128-SHA
 +#tls-cipher TLS-RSA-WITH-RC4-128-MD5
 +#tls-cipher TLS-RSA-WITH-DES-CBC-SHA
 +
 +cipher AES-256-CBC
 +auth SHA256
 +
 +persist-key
 +persist-tun
 +
 +ca /etc/openvpn/keys/ca.crt
 +cert /etc/openvpn/keys/vm01.lan.crt
 +key /etc/openvpn/keys/vm01.lan.key
 +
 +comp-lzo
 +verb 3
 </file> </file>
  
netadmin/vpn/config-test-openvpn.1514450101.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki