Outils personnels
Vous êtes ici : Accueil GNU / Linux Debian Installer et configurer OpenVPN sur Debian 4.0 Etch
Actions sur le document
  • Send this page to somebody
  • Print this page
  • Add Bookmarklet

Installer et configurer OpenVPN sur Debian 4.0 Etch

Par Pierre-Yves Landuré - Dernière modification 27/01/2014 17:29

OpenVPN est un logiciel permettant de créer des réseaux privés virtuels sans utiliser des technologies telles que PPtP (Microsoft) ou IPSec. Il est de plus disponibles sur de nombreux systèmes d'exploitation (Microsoft Windows, GNU / Linux, MacOS X, ...). C'est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites dans un environnement n'autorisant pas IPSec.

Ce guide est obsolète. Utilisez la nouvelle version sur le Help Desk Biapy:

Installer et configurer OpenVPN sur Debian

Installation du logiciel

L'installation d'OpenVPN se fait simplement par la ligne de commande :

apt-get install openvpn openssl

Une fois ceci fait, nous créons un dossier pour stocker les scripts utilisés par ce guide :

mkdir --parents /etc/openvpn/scripts/

Il nous faut aussi créer les fichiers spéciaux utilisés par le serveur et installer les pilotes nécessaires:

modprobe tun

Nous faisons ensorte que le module tun soit chargé au démarrage du système :

/bin/echo "# Needed by OpenVPN
tun" | /usr/bin/tee -a /etc/modules

Si votre système n'utilise pas Udev, il peu être nécessaire de créer la device adéquate :

if [ ! -e /dev/net/tun ]; then
  /bin/mkdir --parent /dev/net
  /bin/mknod /dev/net/tun c 10 200
fi

Remarque: si vous ne pouvez installer le module tun, il se peut qu'il vous manque le paquet module-init-tools :

/usr/bin/apt-get install module-init-tools

Source : Merci à Murmel pour son commentaire.

Création des clefs de chiffrement

OpenVPN utilise OpenSSL pour chiffrer les connexions. L'identification des clients se base sur un mécanisme de clefs privés / clefs publiques. Ce mécanisme est au cœur du fonctionnement du réseau privé. Il vous faut donc prêter la plus grande attention à sa configuration.

Mise en place des scripts EasyRSA

OpenVPN fournit des scripts pour faciliter la création des clefs de chiffrement. Nous allons les copier dans le répertoire de configuration du serveur VPN afin de les modifier à notre guise :

cp -r /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn

2 des fichiers de cette configuration d'exemple nécessitent d'être modifiés. Nous commençons par télécharger les versions nécessaires à ce guide :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/vars \
     --output-document /etc/openvpn/easy-rsa/vars
wget http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/openssl.cnf \
     --output-document /etc/openvpn/easy-rsa/openssl.cnf

Configuration des scripts

Vous pouvez maintenant adapter le fichier de configuration à vos besoins :

vim /etc/openvpn/easy-rsa/vars

Voici une courte description des informations que vous pouvez modifier :

  • OPENVPN_SERVER : L'alias DNS de la machine hébergeant le serveur OpenVPN.
  • OPENVPN_CLIENTS : La liste des noms des clients du VPN séparée par des espaces.
  • OPENVPN_IPRANGE : Les 3 premiers nombres des adresses IP du VPN.
  • OPENVPN_LOCALDOMAIN : Le nom du réseau associé au VPN.

Attention : Veillez à ce que la plage d'adresses IP du VPN soit différente de celle de votre réseau local et des réseaux locaux des machines clientes. Vous trouverez plus d'informations sur les plages d'IP possibles en visitant Numbering private subnets.

Vous devriez aussi renseigner vos informations géographiques :

  • KEY_COUNTRY : Le code de votre pays.
  • KEY_PROVINCE : Votre état / département.
  • KEY_CITY : Votre ville.
  • KEY_ORG : Le nom de la clef (vous n'avez pas besoin de le modifier).
  • KEY_EMAIL : L'adresse électronique associée à la clef.

Remarque : Par défaut, la longueur des clefs créées est de 1024 bits. Si vous êtes légèrement paranoïaque, vous pouvez augmenter cette valeur au coût de moindres performances de votre VPN.

KEY_SIZE=2048

Création d'une autorité de certification

Une autorité de certification est un ensemble clef privée / clef publique destiné à signer des clefs publiques. Pour créer votre autorité de certification, exécutez les lignes de commandes suivantes :

source /etc/openvpn/easy-rsa/vars
export KEY_COMMONNAME="ca.$OPENVPN_SERVER"
/etc/openvpn/easy-rsa/clean-all
/etc/openvpn/easy-rsa/build-ca

Si vous avez correctement configuré easy-rsa, vous pouvez utiliser les valeurs par défaut.

Remarque : Il existe des autorités de certification gratuites qui peuvent être utilisées pour signer les certificats de serveurs HTTPS. Ceci n'est pas nécessaire pour un serveur OpenVPN, mais si vous le préférez, je pense qu'il y a tout à fait moyen de faire signer votre certificat serveur par ce type d'autorités. Pour en savoir plus, visitez CAcert.

Création du certificat du serveur

Nous allons maintenant créer le certificat serveur. Exécutez les commandes suivantes :

source /etc/openvpn/easy-rsa/vars
export KEY_COMMONNAME="$OPENVPN_SERVER"
/etc/openvpn/easy-rsa/build-key-server server

Ici encore, utilisez les valeurs par défaut.

Remarque : Il est possible de protéger votre certificat serveur par un mot de passe. Si vous choisissez de le faire, ce mot de passe vous sera demandé à chaque manipulation des certificats clients. NE LE PERDEZ PAS. C'est un plus du point de vue de la sécurité, mais ce n'est pas forcément obligatoire. A vous de voir selon votre niveau de paranoïa.

Enfin, le script vous demande de confirmer la signature du certificat. Répondez Oui aux deux questions.

Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n] y

Remarque : La signature du certificat serveur est effectuée à l'aide de notre autorité de certification.

Génération des paramètres de Diffie Hellman

Les paramètres de Diffie Hellman doivent être généré pour que votre configuration fonctionne. Cela se fait grâce aux lignes :

source /etc/openvpn/easy-rsa/vars
/etc/openvpn/easy-rsa/build-dh

Génération d'une clef TLS

Nous allons maintenant générer une clef qui nous protègera de certains types d'attaques. Elle va nous permettre de créer un pare-feu HSA :

openvpn --genkey --secret /etc/openvpn/keys/ta.key

Configuration du serveur

Pour créer la configuration du serveur VPN, nous allons nous basé sur le fichier d'exemple disponible :

cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz

Nous allons ajuster ce fichier à nos besoins.

source /etc/openvpn/easy-rsa/vars
sed -i  \
    -e "s/^ca ca\.crt/ca \/etc\/openvpn\/keys\/ca\.crt/" \
    -e "s/^cert server\.crt/cert \/etc\/openvpn\/keys\/server\.crt/" \
    -e "s/^key server\.key/key \/etc\/openvpn\/keys\/server\.key/" \
    -e "s/^dh[\t ]*dh1024.pem/dh \/etc\/openvpn\/keys\/dh$KEY_SIZE.pem/" \
    -e "s/^server[\t ].*$/server $OPENVPN_IPRANGE\.0 255\.255\.255\.0/" \
    -e 's/^;\(tls-auth \)\(ta.key.*\)$/\1\/etc\/openvpn\/keys\/\2/' \
    -e 's/^;\(.*# Triple-DES\)$/\1/' \
    -e 's/^\(status \).*/\1\/var\/log\/openvpn-status.log/' \
    /etc/openvpn/server.conf

Privilèges réduits

Nous faisons aussi en sorte que le service VPN tourne avec des permissions minimales. En premier lieu, il faut rendre lisible de dossier keys :

chmod go+rx /etc/openvpn/keys

Et configurer OpenVPN de la manière adéquate :

sed -i \
    -e 's/^;\(user[ \t]*.*\)/\1/' \
    -e 's/^;\(group[ \t]*.*\)/\1/' \
    /etc/openvpn/server.conf

Communication de client à client dans le réseau VPN

Si vous souhaitez que les clients du VPN soient capable de communiquer entre eux, et pas uniquement avec le serveur, exécutez la ligne de commande suivante :

sed -i -e 's/^;client-to-client/client-to-client/' \
    /etc/openvpn/server.conf

Gestion de la révocation des clients

Afin de pouvoir reconnaître les clients révoqués, nous ajoutons la gestion des certificats révoqués :

echo "
# Revoked certificate list
crl-verify /etc/openvpn/keys/crl.pem" >> /etc/openvpn/server.conf

Et nous créons un fichier crl.pem vide :

chmod +x /etc/openvpn/easy-rsa/make-crl
/etc/openvpn/easy-rsa/make-crl /etc/openvpn/keys/crl.pem

Dernière étape

La dernière étape consiste à redémarrer votre serveur :

/etc/init.d/openvpn restart

Gestion des clients du réseau virtuel

Un certificat client peut être ou créé, ou révoqué. La révocation permet d'éjecter un client indésirable de notre réseau virtuel. C'est une manipulation que j'ai longtemps ignoré car mon réseau était limité à mon usage personnel... mais dont je vois maintenant la nécessité.

En premier lieu, nous allons récupérer deux scripts qui facilitent la révocation d'un client, et l'ajout d'un nouveau client.

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/add-client.sh \
     --output-document /etc/openvpn/scripts/add-client.sh
chmod +x /etc/openvpn/scripts/add-client.sh
wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/revoke-client.sh \
     --output-document /etc/openvpn/scripts/revoke-client.sh
chmod +x /etc/openvpn/scripts/revoke-client.sh

Création des certificats des clients

Nous créons enfin les certificats clients. Exécutez la commande suivante pour créer les certificats :

source /etc/openvpn/easy-rsa/vars
for OPENVPN_CLIENT in $OPENVPN_CLIENTS; do
  export KEY_COMMONNAME="$OPENVPN_CLIENT.client.$OPENVPN_SERVER";
  /etc/openvpn/easy-rsa/build-key $OPENVPN_CLIENT;
done

Lorsque le script vous pose des questions, utilisez les valeurs par défaut, mais faites bien attention de répondre y aux questions :

Sign the certificate? [y/n]: y
1 out of 1 certificate requests certified, commit? [y/n] y

Ajout d'un client supplémentaire

Si vous souhaitez ajouter après coup un client supplémentaire, vous pouvez le faire grâce à la ligne de commande suivante :

/etc/openvpn/scripts/add-client.sh nom_du_client

Je vous conseille ensuite de rejouer les étapes suivantes (elles sont décrites dans la suite de ce guide) :

  • Création des fichiers de configuration des clients.
  • Attribuer des adresses IP fixes aux clients du réseau privé virtuel.

  • Mise à jour des fichiers de configuration de Bind.

Révocation d'un client

Si vous souhaitez que l'un de vos client n'ai plus accès à votre réseau privé, vous pouvez le révoquer grâce à la commande :

/etc/openvpn/scripts/revoke-client.sh nom_du_client

Création des fichiers de configuration des clients

Nous allons maintenant créer des archives contenant les clefs et fichiers de configurations à copier sur les différents clients. Pour ce faire, nous téléchargeons un script chargé de nous simplifier la tâche.

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/create-clients-configuration.sh \
     --output-document /etc/openvpn/scripts/create-clients-configuration.sh
chmod +x /etc/openvpn/scripts/create-clients-configuration.sh

Nous créons les fichiers de configurations adaptés aux différents clients :

/etc/openvpn/scripts/create-clients-configuration.sh

Vous disposez maintenant de plusieurs archives qu'il vous suffit de copier sur les machines clientes et de décompresser à l'aide de la commande :

tar --directory /etc -xzf votre-fichier-client.tar.gz

Enfin, il vous faut installer openvpn sur les machines clientes et / ou le redémarrer :

apt-get install openvpn liblzo1
/etc/init.d/openvpn restart

Normalement, vous verrez apparaître un message vous signalant que tout s'est bien passé, La commande suivante vous permettra d'obtenir plus d'informations sur votre lien VPN :

ifconfig tun0

Pour aller plus loin

La première partie de ce guide vous a permis de créer un réseau privé virtuel basique où les clients peuvent communiquer entre-eux et avec le serveur. C'est bien, mais dans la majorité des cas, ça ne suffit pas. Nous allons voir ici comment étoffer les fonctionnalités de votre VPN. La première étape pour ce-faire est d'exécuter les lignes de commandes suivantes :

mkdir /etc/openvpn/clients-configs
echo "
# Advanced configurations
client-config-dir /etc/openvpn/clients-configs" \
     >> /etc/openvpn/server.conf

Autoriser les clients VPN à accéder au réseau local du serveur

Si vous souhaitez accéder au réseau local de votre serveur VPN à partir des clients de votre VPN, vous devez d'abord vous assurez que les réseaux locaux de vos clients n'utilisent pas la même classe d'adresse IP que celui de votre serveur. Si tout va bien sur ce point, commencez par signaler aux clients quelle route utiliser pour accéder au réseau local de votre serveur :

ifconfig eth0 | grep inet | \
    sed -e 's/.*:\([0-9\.]*\)[0-9]\{1,3\} .*:\([0-9\.]*\) .*:\([0-9\.]*\).*/push "route \10 \3"/g' \
    >> /etc/openvpn/server.conf

Il faut redémarrer le serveur pour prendre en compte la configuration :

/etc/init.d/openvpn restart

Une fois ceci fait, nous allons jouer avec la configuration iptables pour faire de votre serveur VPN un routeur NAT. Oui, oui, j'ai bien dit NAT. J'ai vu passer plein de tutoriels compliqués pour mettre en place un routage complet entre les clients du VPN et le réseau local du serveur, mais je trouve que c'est complètement sur-dimensionné par rapport à la plupart des besoins.

Configuration de NetFilter (IpTables)

En premier lieu, si vous ne l'avez pas déjà fait, nous allons créer le fichier destiné à contenir les règles Iptables. Ces règles seront appliquées après le démarrage des interfaces réseaux:

if [ ! -e /etc/network/if-up.d/iptables ]; then
  echo '#!/bin/sh
# IpTables rules.' | /usr/bin/tee /etc/network/if-up.d/iptables
fi
/bin/chmod +x /etc/network/if-up.d/iptables

Nous autorisons le NAT sur le système :

sed -i -e 's/[# ]*\(net\.ipv4\.conf\.default\.forwarding=\).*/\11/g' /etc/sysctl.conf
sed -i -e 's/[# ]*\(net\.ipv4\.ip_forward=\).*/\11/g' /etc/sysctl.conf
/sbin/sysctl -p

Ensuite, nous mettons en place la configuration NAT pour notre réseau VPN :

iptables -t nat -A POSTROUTING -s $OPENVPN_IPRANGE.0/24 -o eth0 -j MASQUERADE

Et nous faisons en sorte qu'elle s'execute au démarrage du système :

echo "iptables -t nat -A POSTROUTING -s $OPENVPN_IPRANGE.0/24 -o eth0 -j MASQUERADE" \
    | /usr/bin/tee -a /etc/network/if-up.d/iptables

Votre configuration iptables sera rechargée à chaque redémarrage par la suite.

Faire en sorte que les clients VPN se connectent à Internet à travers la connexion VPN

Attention : Je ne RECOMMANDE PAS ce réglage.

Si vous souhaitez que vos clients VPN se connectent à Internet via la connexion VPN, exécutez cette ligne de commande :

/bin/sed -i -e 's/[; \t]*\(push[ \t]*"redirect-gateway".*\)$/\1/g' /etc/openvpn/server.conf

Et redémmarez le serveur

/etc/init.d/openvpn restart

Attribuer des adresses IP fixes aux clients du réseau privé virtuel

Il est possible d'attribuer une IP fixe à chacun des clients du réseau privé virtuel. Il vous est ainsi possible de vous connecter de manière sûre à une machine du réseau privé.

Pour plus d'informations, visitez Configuring client specific rules and access policies.

Pour ce faire, nous allons télécharger un script nous facilitant la tâche et nous allons l'exécuter :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/setup-clients-ips.sh \
     --output-document /etc/openvpn/scripts/setup-clients-ips.sh
chmod +x /etc/openvpn/scripts/setup-clients-ips.sh

Nous exécutons maintenant ce script :

/etc/openvpn/scripts/setup-clients-ips.sh

Configurer un serveur de nom pour votre VPN

Si vous avez choisi d'attribuer des adresses IP fixes aux clients de votre VPN, il est intéressant de disposer d'un serveur DNS pour diffuser simplement les associations nom de machine / adresse IP. Personnellement, j'utilise bind :

apt-get install bind9

Si vous dite que c'est utiliser un marteau-pilon pour enfoncer un clou, vous avez certainement raison, mais j'avais envie de me former à Bind ;D (Rien ne vaut l'apprentissage par la pratique). Bref, nous allons maintenant ajouter les adresses IPs fixes de notre VPN à la configuration de Bind.

Initialisation de la configuration de Bind

Cette étape est effectuée une fois pour toute. Nous y configureons Bind de façon à ce qu'il reconnaisse les configurations spécifiques à notre VPN. En premier lieu, nous récupérons les informations nécessaire, et nous effectuons un léger pré-traitement :

source /etc/openvpn/easy-rsa/vars
REVERSE_IPRANGE=`echo $OPENVPN_IPRANGE | sed -e 's/\([0-9]*\)\.\([0-9]*\)\.\([0-9]*\)/\3\.\2\.\1/'`

Nous signalons ensuite à Bind les fichiers que nous allons créer pour la gestion des DN de notre VPN.

echo "
# OpenVPN configuration
zone \"$REVERSE_IPRANGE.in-addr.arpa\" in {
        type master;
        file \"/etc/bind/db.$OPENVPN_IPRANGE\";
};

zone \"$OPENVPN_LOCALDOMAIN\" in {
        type master;
        file \"/etc/bind/db.$OPENVPN_LOCALDOMAIN\";
};" >> /etc/bind/named.conf.local

Il vous reste à configurer votre serveur VPN pour qu'il propage votre configuration DNS. Exécutez simplement la commande :

echo "
# VPN provided DNS server configuration.
push \"dhcp-option DOMAIN $OPENVPN_LOCALDOMAIN\"
push \"dhcp-option DNS $OPENVPN_IPRANGE.1\"" \
     >> /etc/openvpn/server.conf

Et redémarrez votre serveur VPN :

/etc/init.d/openvpn restart

Cette configuration fonctionnera automatiquement sur vos clients Microsoft Windows. Il faut effectuer une manipulation supplémentaire pour qu'elle fonctionne sur vos clients Linux (indiquée plus bas dans cette page).

Création ou mise à jour des fichiers de configuration de Bind

Nous allons maintenant télécharger le script permettant de mettre à jour votre configuration de Bind lorsque vous ajoutez ou révoquez un client du VPN :

wget  http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/update-bind-config.sh \
     --output-document /etc/openvpn/scripts/update-bind-config.sh
chmod +x /etc/openvpn/scripts/update-bind-config.sh

A partir de maintenant, à chaque fois que vous ajoutez un nouveau client à votre VPN, une fois que vous lui aurez attribué une IP fixe, vous pourrez mettre à jour la configuration de Bind en exécutant :

/etc/openvpn/scripts/update-bind-config.sh

Une fois ceci fait, vous devrez recharger la configuration de Bind :

/etc/init.d/bind9 reload

Configuration du serveur DNS fourni par le réseau VPN sur un client Linux

Attention : Les manipulations suivantes sont à effectuer sur chaque client Linux du VPN (et non sur le serveur).

Nous commençons par télécharger le script client.up qui permet de récupérer les informations de DNS fournies par le VPN et de les insérer dans le fichier resolv.conf du client linux :

wget http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch/client.up \
    --output-document=/etc/openvpn/client.up
chmod +x /etc/openvpn/client.up

Nous indiquons le nom du réseau VPN :

OPENVPN_LOCALDOMAIN=vpndomain.vpn

Et ensuite, nous configurons notre client pour qu'il lance le script client.up lors de la connexion au réseau VPN :

echo "
# VPN provided DNS configuration.
up /etc/openvpn/client.up
route-up /etc/openvpn/client.up
plugin /usr/lib/openvpn/openvpn-down-root.so \"script_type=down /etc/openvpn/client.up\"" \
    >> /etc/openvpn/$OPENVPN_LOCALDOMAIN.conf

Il vous suffit maintenant de redémarrer votre client VPN pour terminer la configuration :

/etc/init.d/openvpn restart

Pour aller plus loin

OpenVPN sur Windows

Si vous souhaitez installer OpenVPN sur Windows pour un utilisateur ne disposant pas des droits d'administration, je vous conseille de lire l'article de Michauko : OpenVPN, OpenVPN GUI, droits admin, et "add route"....

OpenVPN sur Mac OS X

Pour que OpenVPN puisse fonctionner sur Mac OS X, vous devez installer le logiciel suivant qui fournit la fonctionnalité de /dev/tun à Mac OS X :

Tun Tap - Virtual network interfaces for Mac OS X

De plus, si vous êtes à la recherche d'une interface graphique à OpenVPN, je vous conseille de vous tourner vers TunnelBlick.

Remerciements

Je souhaite remercier les acteurs qui m'ont aidés lors de la rédaction de ce howto :

http://www.openvpn.net 
Le site officiel du logiciel OpenVPN, qui fournit un HOWTO très complet et très bien écrit. Si vous souhaitez plongez plus en avant dans l'univers du réseau privé virtuel, c'est la qu'il vous faut aller.
Charles Duffy 
C'est la personne qui a écrit le script /etc/openvpn/client.up. Sans lui, ce howto n'aurait jamais été complet ;D Merci à lui donc.

Felix Knecht
Merci à toi Felix pour m'avoir signalé qu'utiliser /etc/network/options était une méthode périmée :D.
Attachements

bravo

Posté par electrobat1 le 04/08/2008 22:59
Merci pour ce tuto, tout a marché !

Installer et configurer OpenVPN sur Debian 4.0 Etch

Posté par michael le 11/08/2008 10:48
gunzip --to-stdout /usr/share/doc/iptables/examples/oldinitdscript.gz > /etc/init.d/iptables
/etc/network/options

dans ma config je ne retrouve pas dans le repertoire iptables le repertoires examples ou se trouverait oldinitdscript.gz. le fichie options n'est pas dans le repertoire /etc/network.peux-tu me donner un coup de pousse

Installer et configurer OpenVPN sur Debian 4.0 Etch

Posté par michael le 11/08/2008 11:01
Qand je tape la commande ci-contre :gunzip --to-stdout /usr/share/doc/iptables/examples/oldinitdscript.gz > /etc/init.d/iptables
voilà la reponse que me donne le système: gunzip: /usr/share/doc/iptables/examples/oldinitdscript.gz: No such file or directory

quelqu'un pourrait m'aider.

Installer et configurer OpenVPN sur Debian 4.0 Etch

Posté par hantayo le 19/10/2008 19:49
J'ai regardé dans le paquet iptables de la Etch, ce fichier n'existe pas, par contre on le bien dans celui de la sarge; il doit certainement falloir suivre un tuto d'installation d'iptables pour la Etch afin de rectifier le tir.

Installer et configurer OpenVPN sur Debian 4.0 Etch

Posté par hantayo le 19/10/2008 19:51
J'ai regardé dans le paquet iptables de la Etch, ce fichier n'existe pas, par contre on le trouve bien dans celui de la Sarge; il doit certainement falloir suivre un tuto d'installation d'iptables pour la Etch afin de rectifier le tir.

règles IpTables

Posté par Pierre-Yves Landuré le 20/10/2008 03:09
Bonjour

j'ai mis à jour ce guide avec la méthode de mise en place des règles IpTables de Etch. Cela devrait marcher maintenant.

je ne suis pas d'accord!!

Posté par ce le 04/06/2009 13:42
Je trouve que ce tuto n'est pas du tout clair comme beaucoup d'autres d'ailleurs.
Quelqu'un qui est débutant en linux debian et qui veut juste travailler avec openvpn ne comprend pas forcement ce qui est écrit!
Il faut améliorer la façon de présenter les choses afin que tout le monde puisse te suivre et non une poignée de personnes cherchant le bout de code manquant

problèmes avec la config chez moi

Posté par ericstifler le 31/08/2009 11:46
moi jai suivi pas à pas les instructions mais non seulemnet je ne lai pas linterface tun qd je fais ifconfig même sil se voit
qd je fais ls -l /dev/net et qd je redémarre openvpn jai client (failed ) server (failed) pourtant jai configuré un client et
jai eu le message "ok" si kelkun peut maider c urgent

Clients VPN en DHCP

Posté par Menelik le 27/11/2008 12:08
Bonjour,
Tout d'abord bravo pour ce tuto, je l'ai juste lui est tout est clair et assez conci.
Je souhaite mettre en place un réseau vpn entre plusieurs site cependant juste l'un d'entre eux dispose d'une adresse fixe (tous les autres ont des liaisons adsl, donc des adresse ip dynamiques).
Est ce possible?
Merci d'avance

Oui, c'est possible

Posté par Pierre-Yves Landuré le 27/11/2008 12:30
Enfait, plusieurs solutions s'offrent à vous.

soit vous placez le serveur VPN sur la liaison avec l'adresse IP fixe. C'est le plus simple, car cela ne nécessite pas un nom de domaine.

Sinon, vous pouvez utiliser un service du type de celui fournit par http://www.dyndns.org pour obtenir un nom de domaine qui sera mis a jour au fur et a mesure des changements d'IP internet du serveur VPN.

Le fait que l'IP du serveur change pourra causer d'éventuelles déconnexion temporaires, mais rien de plus grave.

Merci pour votre retour, et bonne continuation.

Bravo

Posté par Franck le 02/12/2008 08:15
C'est clair, concis, et précis. Merci beaucoup.

eth0 devrait correspondre à la patte interne ou externe de mon Fw

Posté par Menelik le 05/12/2008 12:58
Bonjour,
Je suis le tuto et tout se déroule assez bien pour le moment.
J'aurais juste besoin d'un éclairssisement:
Dans la partie "Autoriser les clients VPN à accéder au réseau local du serveur"
l'interface eth0 doit correspondre à celle connectée au LAN n'est ce pas?
Merci d'avance

interface réseau

Posté par lwolf le 05/12/2008 13:10
Oui, tout a fait, eth0 est considérée comme étant l'interface du réseau local.

Bon courage et bonne continuation.

tip top

Posté par Dju le 02/12/2008 15:21
open mis en place facilement grâce à ce tuto impec.
merci surtout pour les différents scripts facilitant énormément la gestion des clients :-)

push route

Posté par jpnguyen_baolong le 09/05/2009 04:47
Bonjour,

j'ai suivi le tuto c'est vraiment génial, mais juste pour la partie :

"Autoriser les clients VPN à accéder au réseau local du serveur
Si vous souhaitez accéder au réseau local de votre serveur VPN à partir des clients de votre VPN, vous devez d'abord vous assurez que les réseaux locaux de vos clients n'utilisent pas la même classe d'adresse IP que celui de votre serveur. Si tout va bien sur ce point, commencez par signaler aux clients quelle route utiliser pour accéder au réseau local de votre serveur :

ifconfig eth0 | grep inet | \ sed -e 's/.*:\([0-9\.]*\)[0-9]\{1,3\} .*:\([0-9\.]*\) .*:\([0-9\.]*\).*/push "route \10 \3"/g' \ >> /etc/openvpn/server.conf"

Malheureusement ça fait échoué le service openvpn quand je la rajoute. Pouvez-vous m'éclairez là-dessus?
Merci

wifi ?

Posté par Pierre-Yves Landuré le 04/06/2009 14:57
Bonjour,

êtes vous connecté en ethernet ? remplacer le "eth0" par le nom de votre interface réseau local (ifconfig pour obtenir la liste des interfaces).

Bon courrange.

3-DES ?

Posté par Madbix le 18/08/2009 14:36
Merci pour ce tuto si bien écrit, mais une question me titille l'esprit : pourquoi utiliser un chiffrement triple DES, alors qu'AES est désormais le standard officiel, reconnu comme plus sur et plus performant ?

Je fais référence à la partie "Configuration du serveur" du tuto.

Heu... :)

Posté par Lone Wolf le 18/08/2009 17:05
Merci de me signaler ce point.. a vrai dire, j'ai écrit la première version de ce tuto il y a plusieurs années, et je doit admettre que certains points nécessitent sans doute une petite mise à jour.

Je regarderais cela dès que j'aurai un peu de temps devant moi. Merci pour le signalement.

Debian Lenny

Posté par Jérôme le 28/12/2009 12:47
Je viens de finir l'installation sur une Lenny
A part quelques scripts qui ne sont pas aux mêmes endroits ( ex: make-crl)
ce qui est normal suivant les versions d'openvpn (2.x pour ma part )

Ca fonctionne superbement bien
Merci pour ce tutorial :-)

Script ip fixe

Posté par matthieu le 29/12/2009 21:56
Bonsoir,
Serait-il possible d'avoir plus de précision concernant le script d'attribution d'IP fixe?

Merci!

probleme avec vpndomain.vpn

Posté par macgyver79 le 04/06/2010 14:23
Moi j'ai un soucis avec vpndomain.vpn . Il me marque (FAILED) quand je restart openvpn.
Le Bind9 est tout OK
Il y a que le script de vpndomain.vpn qui veut pas.
Comment y remedier.

fichiers journaux

Posté par Lone Wolf le 04/06/2010 14:35
Bonjour,

je vous invite a regarder le contenu de /var/log/syslog pour trouver des indications sur la source du problème.

Bon courage.

Installer et configurer OpenVPN sur Debian 5.0 Lenny

Posté par macgyver79 le 01/07/2010 01:04
Slt lone wolf,

Peux-tu nous faire un tuto pour debian 5 lenny car je ne peu plus mettre a jour debian 4.0 etch.

Merci

OpenVPN sur Debian 5 Lenny

Posté par macgyver79 le 15/07/2010 00:11
J'ai résolu le soucis sous Lenny, je me suis basé sur les post du haut se qui ma bien aider en réfléchissant.
En tout cas, Merci Lone Wolf pour se beau tuto.

adaptation sur Debian 5 lenny

Posté par macgyver79 le 29/08/2010 13:23
Slt Lone Wolf,

J'ai fait une adaptation de ton script simplifier niveau (add-client.sh) et sa fonctionne terrible.
la config se fait rapidement sans blabla.
J'ai aussi fait de l'authentification pam.

Continue comme sa.

Openvpn + fail2ban

Posté par Antoine le 27/04/2011 09:02
Bonjour,

Merci beaucoup pour ce tuto!
Je viens de mettre en place un serveur vpn et je m'intéresse désormais à sa sécurité.
J'ai pu voir que fail2ban est recommandé ...
Comment fait-on pour configurer correctement fail2ban pour openvpn ?

D'avance merci!

BlogBang
Navigation
 

Réalisé avec Plone

Ce site respecte les normes suivantes :

Wikio