OPENVPN sous Debian 8<\/p>\n
– attention \u00e7a ne marche pas sous la 9 ;-(<\/p><\/blockquote>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/a>Configuration du serveur<\/h1>\n
<\/a>Pr\u00e9-requis<\/h3>\n
Une Debian (ici chez OVH)<\/p>\n
<\/a>Installation du serveur<\/h3>\n
\nApt-get update<\/p>\n
apt-get install openvpn easy-rsa<\/p>\n
cp -r \/usr\/share\/easy-rsa \/etc\/openvpn\/easy-rsa<\/p>\n
cd \/etc\/openvpn\/easy-rsa\/<\/p>\n<\/blockquote>\n
<\/a>Gestion des cl\u00e9s & certificats<\/h3>\n
\n
- Certificat CA (autorit\u00e9 de certification)\u00a0: valide les \u00e9changes entre le client et le serveur<\/li>\n
- Le certificat serveur\u00a0: authentifi\u00e9 par le CA, contient la cl\u00e9 publique du serveur<\/li>\n
- Le certificat client\u00a0: cr\u00e9e sur le serveur, il est copi\u00e9 sur le client\u00a0; permet au serveur de s\u2019assurer de l\u2019identit\u00e9 du client\u00a0: 1 par client<\/li>\n
- La cl\u00e9 du serveur, elle sert \u00e0 chiffrer les communications avec le serveur<\/li>\n
- La TA key\u00a0: permet de signer les paquets \u00e9chang\u00e9s \u00e0 l\u2019aide d\u2019une clef secr\u00e8te partag\u00e9e entre le Client et le Serveur. C\u2019est la \u201cta.key<\/em><\/strong>\u201d<\/li>\n<\/ul>\n
\n
- Le dh\u2019taille\u2019.pem : le fichier \u201cdh2048.pem<\/em><\/strong>\u201d devra \u00eatre copi\u00e9 sur le Serveur et distribu\u00e9 aux Clients. Il contient les param\u00e8tres de cryptage Diffie Hellman.<\/li>\n<\/ul>\n
Editer le fichier vars pour mettre les infos du certificat puis<\/p>\n
Nano \u00a0vars<\/p>\n
Puis ces diff\u00e9rentes commandes vont permettre de g\u00e9n\u00e9rer les diff\u00e9rentes cl\u00e9s et certificats<\/p>\n
Source vars<\/p>\n
.\/clean-all<\/p>\n
.\/build-dh<\/p>\n
.\/pkitool –initca<\/p>\n
.\/pkitool –server server<\/p>\n
sudo openvpn –genkey –secret keys\/ta.key<\/p>\n
Toutes les cl\u00e9s et certificats sont dans le dossier \u00ab\u00a0keys\u00a0\u00bb<\/p>\n
mkdir \/etc\/openvpn\/serveur\/<\/p>\n
cp keys\/server* keys\/ca* keys\/ta.* keys\/dh2048.pem ..\/serveur<\/p>\n
<\/a>Gestion des logs<\/h3>\n
mkdir \/etc\/openvpn\/jail\/tmp<\/p>\n
mkdir -p \/var\/log\/openvpn\/<\/p>\n
touch \/var\/log\/openvpn\/openvpn-status.log<\/p>\n
<\/a>INIT des utilisateurs<\/h3>\n
On ajoute l\u2019utilisateur\u00a0:<\/p>\n
adduser –system –shell \/usr\/sbin\/nologin –no-create-home openvpn<\/p>\n
On cr\u00e9e un r\u00e9pertoire pour les cl\u00e9s et fichiers de config<\/p>\n
mkdir \/etc\/openvpn\/client \/ openvpn<\/p>\n
Dans \/etc\/openvpn\/easy-rsa on\u00a0fabrique la cl\u00e9 et on g\u00e9n\u00e8re le certificat du cl\u00e9 :<\/p>\n
source vars<\/p>\n
.\/build-key-pass openvpn<\/p>\n
cp keys\/toto.* ..\/client \/openvpn<\/p>\n
Maintenant, on se place dans le bon dossier et on cr\u00e9e le fichier de configuration de l’utilisateur\u00a0:<\/p>\n
cd \/etc\/openvpn\/clientconf\/openvpn \/<\/p>\n
touch client.conf<\/p>\n
puis nano client.conf<\/p>\n
# Config Client\r\n\r\nclient\r\n\r\ndev tun\r\n\r\nproto tcp-client\r\n\r\nremote 1.2.3.4 443 (a modifier par votre adresse ip)\r\n\r\nresolv-retry infinite\r\n\r\ncipher AES-256-CBC\r\n\r\n# Certificats + Cles\r\n\r\nca ca.crt\r\n\r\ncert toto.crt\r\n\r\nkey toto.key\r\n\r\ntls-auth ta.key 1\r\n\r\n# Config Securite\r\n\r\nnobind\r\n\r\npersist-key\r\n\r\npersist-tun<\/pre>\n<\/p>\n
Attention \u00e0 la cr\u00e9ation du certificat client un mot de passe est demand\u00e9 il sera n\u00e9cessaire lors de la connexion – retenez le bien !<\/span><\/p>\n
Maintenant, nous allons faire une copie du fichier cr\u00e9\u00e9 avec l\u2019extension. Ovpn pour le logiciel client.<\/p>\n
cp client.conf client.ovpn<\/p>\n
Il faudra aussi faire une copie du certificat CA et de la dh2048.pem dans le dossier pour la connexion<\/p>\n
<\/a>Fichier de configuration du serveur<\/h3>\n
Cr\u00e9er le fichier server.conf dans \/etc\/openvpn<\/p>\n
# Serveur TCP\/443 mode server proto tcp port 443 dev tun # Cl\u00e9s et certificats ca \/etc\/openvpn\/serveur_AT\/ca.crt cert \/etc\/openvpn\/serveur_AT\/server.crt key \/etc\/openvpn\/serveur_AT\/server.key dh \/etc\/openvpn\/serveur_AT\/dh2048.pem tls-auth \/etc\/openvpn\/serveur_AT\/ta.key 1 key-direction 0 cipher AES-256-CBC<\/p>\n
# Reseau client-to-client #push \u00ab\u00a0route 192.168.100.0 255.255.255.0\u00a0\u00bb server 10.8.0.0 255.255.255.0 push \u00ab\u00a0redirect-gateway def1 bypass-dhcp\u00a0\u00bb push \u00ab\u00a0dhcp-option DNS 208.67.222.222\u00a0\u00bb push \u00ab\u00a0dhcp-option DNS 208.67.220.220\u00a0\u00bb keepalive 10 120 # Securite user nobody group nogroup chroot \/etc\/openvpn\/jail persist-key persist-tun comp-lzo # Log verb 3 mute 20 status \/var\/log\/openvpn\/openvpn-status.log log-append \/var\/log\/openvpn\/openvpn.log<\/p>\n
<\/p>\n
V\u00e9rifier si la carte tun0 est l\u00e0 avec un ifconfig (si non, faire un reboot)<\/p>\n
<\/a>D\u00e9marrer le serveur<\/h3>\n
\/etc\/init.d\/openvpn restart<\/p>\n
<\/p>\n
<\/a>Config du firewall<\/h3>\n
\n
- Editer le fichier de r\u00e8gles\u00a0:<\/li>\n<\/ul>\n
nano \/etc\/iptables.openvpn.rules<\/p>\n
Ajouter les lignes:<\/p>\n
*nat\r\n\r\n-A POSTROUTING -s 10.8.0.0\/24 -o eth0 -j MASQUERADE\r\n\r\nCOMMIT<\/pre>\n\n
- Puis<\/li>\n<\/ul>\n
iptables-restore < \/etc\/iptables.openvpn.rules<\/p>\n
iptables-save > \/etc\/iptables.up.rules<\/p>\n
\n
- Sauvegardez les r\u00e8gles pour le prochain reboot<\/li>\n<\/ul>\n
\/etc\/init.d\/netfilter-persistent save<\/p>\n
\n
- Edition du fichier iptables<\/li>\n<\/ul>\n
nano \/etc\/network\/if-pre-up.d\/iptables<\/p>\n
\n
- Ajouter le contenu :<\/li>\n<\/ul>\n
\u00a0#!\/bin\/sh\r\n\r\n\u00a0\/sbin\/iptables-restore < \/etc\/iptables.up.rules<\/pre>\n\n
- Modifier les droits\u00a0:<\/li>\n<\/ul>\n
chmod +x \/etc\/network\/if-pre-up.d\/iptables<\/p>\n
\n
- Activer le forwarding\u00a0:<\/li>\n<\/ul>\n
nano \/etc\/sysctl.conf<\/p>\n
D\u00e9commenter la ligne<\/p>\n
net.ipv4.ip_forward=1<\/p>\n