Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision Les deux révisions suivantes | |||
linux:openvpn [26-03-2010 10:33] edmc73 créée |
linux:openvpn [26-03-2010 11:04] edmc73 |
||
---|---|---|---|
Ligne 6: | Ligne 6: | ||
http:// | http:// | ||
+ | |||
+ | http:// | ||
===== But ===== | ===== But ===== | ||
- | Un serveur Debian avec un serveur OpenVPN | + | Un serveur Debian avec un serveur OpenVPN |
Un client sous windows qui veut accéder au serveur debian et tous les pc qui se trouvent sur son LAN | Un client sous windows qui veut accéder au serveur debian et tous les pc qui se trouvent sur son LAN | ||
Ligne 84: | Ligne 86: | ||
grep -E -v ' | grep -E -v ' | ||
</ | </ | ||
+ | |||
+ | exemple du fichier de conf | ||
+ | <code conf> | ||
+ | ;Port en écoute utilisé pour la connexion VPN | ||
+ | port 1194 | ||
+ | |||
+ | ;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp) | ||
+ | proto udp | ||
+ | |||
+ | ;Type d' | ||
+ | dev tun | ||
+ | |||
+ | ;Nom des fichiers servant à l' | ||
+ | ca ca.crt | ||
+ | cert LeServeurVPN.crt | ||
+ | key LeServeurVPN.key | ||
+ | dh dh1024.pem | ||
+ | |||
+ | ;Adresse du réseau virtuel (Le serveur aura l' | ||
+ | server 10.8.0.0 255.255.255.0 | ||
+ | |||
+ | ;Cette ligne ajoute sur le client la route du réseau du serveur | ||
+ | push "route 172.16.43.0 255.255.255.0" | ||
+ | |||
+ | ;Ces lignes indiquent aux clients l' | ||
+ | push " | ||
+ | push " | ||
+ | push " | ||
+ | |||
+ | # Cette ligne permet aux clients de voire les autres clients | ||
+ | ; | ||
+ | |||
+ | keepalive 10 120 | ||
+ | |||
+ | ;Cette ligne active la compression | ||
+ | comp-lzo | ||
+ | |||
+ | ;Ces lignes indiquent un user et un group particulier pour le processus et on ajoute un chroot pour plus de sécurité | ||
+ | chroot / | ||
+ | user openvpn | ||
+ | group openvpn | ||
+ | |||
+ | ;Ces lignes permettent de rendre persistante la connexion | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | |||
+ | ;Cette ligne permet de voir le status du serveur dans le fichier / | ||
+ | status openvpn-status.log | ||
+ | |||
+ | ;on définit le nom du fichier de log dans /var/log | ||
+ | log openvpn.log | ||
+ | |||
+ | ;Cette ligne permet d' | ||
+ | verb 3 | ||
+ | </ | ||
+ | |||
+ | **ATTENTION**, | ||
+ | |||
+ | Pour cela, il suffit de créer le fichier / | ||
+ | |||
+ | < | ||
+ | rotate 4 | ||
+ | daily | ||
+ | copytruncate | ||
+ | compress | ||
+ | missingok | ||
+ | notifempty | ||
+ | }</ | ||
+ | |||
+ | Ainsi, une rotation des journaux d’OpenVPN sera effectuée chaque jour et les 4 derniers fichiers seront conservés. Bien sur ces valeurs doivent être adaptées en fonction de l’utilisation du serveur : si les journaux sont trop importants il est possible de diminuer le niveau de verbosité d’OpenVPN ou de modifier les paramètres de la rotation. | ||
+ | |||
+ | Vous pouvez maintenant redémarrer le serveur openvpn pour qu'il prenne en compte son nouveau fichier de config | ||
+ | / | ||
+ | | ||
+ | Dans l' | ||
+ | |||
+ | Pour cela il faut configurer le reseau et le firewall. | ||
+ | |||
+ | Vérifions que le port_forwarding est activé sur votre serveur avec la commande | ||
+ | cat / | ||
+ | | ||
+ | Si vous avez **1**, la fonction est activé, sinon vous avez **0**, vous pouvez changer cela grace à cette commande | ||
+ | echo 1 > / | ||
+ | | ||
+ | Afin que ce paramètre reste en place lors du redémarrage du serveur, il convient de modifier le fichier **/ | ||
+ | |||
+ | Trouver la ligne | ||
+ | # Uncomment the next line to enable packet forwarding for IPv4 | ||
+ | # net.ipv4.ip_forward=1 | ||
+ | | ||
+ | et décommenté la 2eme en vous assurant que la variable est bien définie sur la valeur **1** | ||
+ | net.ipv4.ip_forward=1 | ||
+ | | ||
+ | Créons maintenant notre règle firewall pour rediriger les paquets venant du réseau virtuel VPN vers notre LAN | ||
+ | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | ||
+ | | ||
+ | Pour que cette règle s' | ||
+ | / | ||
+ | | ||
+ | | ||