Outils pour utilisateurs

Outils du site

Piste:
linux:openvpn (lu 52533 fois)

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision Les deux révisions suivantes
linux:openvpn [26-03-2010 10:33]
edmc73 créée 		linux:openvpn [26-03-2010 11:04]
edmc73
Ligne 6: Ligne 6:
  
 http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch http://howto.landure.fr/gnu-linux/debian-4-0-etch/installer-et-configurer-openvpn-sur-debian-4-0-etch
 +
 +http://www.vogelweith.com/debian_server/10_openvpn.php
  
 ===== But ===== ===== But =====
  
-Un serveur Debian avec un serveur OpenVPN+Un serveur Debian avec un serveur OpenVPN sur un reseau en 172.16.43.0
  
 Un client sous windows qui veut accéder au serveur debian et tous les pc qui se trouvent sur son LAN Un client sous windows qui veut accéder au serveur debian et tous les pc qui se trouvent sur son LAN
Ligne 84: Ligne 86:
    grep -E -v '^(#|;|[ ]*#|[ ]*;)' /etc/openvpn/server.conf    grep -E -v '^(#|;|[ ]*#|[ ]*;)' /etc/openvpn/server.conf
 </note> </note>
 +
 +exemple du fichier de conf
 +<code conf>
 +;Port en écoute utilisé pour la connexion VPN
 +port 1194
 +
 +;Protocole utilisé (Le protocole udp est plus sécurisé que le tcp)
 +proto udp
 +
 +;Type d'interface réseau virtuelle créée
 +dev tun
 +
 +;Nom des fichiers servant à l'authentification des clients via OpenSSL
 +ca ca.crt
 +cert LeServeurVPN.crt
 +key LeServeurVPN.key  
 +dh dh1024.pem
 +
 +;Adresse du réseau virtuel (Le serveur aura l'adresse 10.8.0.1)
 +server 10.8.0.0 255.255.255.0
 +
 +;Cette ligne ajoute sur le client la route du réseau du serveur
 +push "route 172.16.43.0 255.255.255.0"
 +
 +;Ces lignes indiquent aux clients l'adresse des serveur DNS et WINS
 +push "dhcp-option DNS 172.16.43.2"
 +push "dhcp-option DOMAIN MonDomaine.com"
 +push "dhcp-option WINS 172.16.43.3"
 +
 +# Cette ligne permet aux clients de voire les autres clients
 +;client-to-client
 +
 +keepalive 10 120
 +
 +;Cette ligne active la compression
 +comp-lzo
 +
 +;Ces lignes indiquent un user et un group particulier pour le processus et on ajoute un chroot pour plus de sécurité
 +chroot /etc/openvpn
 +user openvpn
 +group openvpn
 +
 +;Ces lignes permettent de rendre persistante la connexion
 +persist-key
 +persist-tun
 +
 +;Cette ligne permet de voir le status du serveur dans le fichier /etc/openvpn/openvpn-status.log
 +status openvpn-status.log
 +
 +;on définit le nom du fichier de log dans /var/log
 +log openvpn.log
 +
 +;Cette ligne permet d'indiquer le niveau de log souhaité (de 1 à 9)
 +verb 3
 +</code>
 +
 +**ATTENTION**, si les journaux sont écrits dans un fichier dédié comme c’est le cas dans la configuration ci-dessus, il faut absolument mettre en place une rotation des ces journaux. Dans le cas contraire, OpenVPN tombe lorsque le fichier atteint 2Go.
 +
 +Pour cela, il suffit de créer le fichier /etc/logrotate.d/openvpn et d’y ajouter les directives suivantes :
 +
 +<code>/var/log/openvpn.log { 
 +    rotate 4 
 +    daily 
 +    copytruncate 
 +    compress 
 +    missingok 
 +    notifempty 
 +}</code>
 +
 +Ainsi, une rotation des journaux d’OpenVPN sera effectuée chaque jour et les 4 derniers fichiers seront conservés. Bien sur ces valeurs doivent être adaptées en fonction de l’utilisation du serveur : si les journaux sont trop importants il est possible de diminuer le niveau de verbosité d’OpenVPN ou de modifier les paramètres de la rotation.
 +
 +Vous pouvez maintenant redémarrer le serveur openvpn pour qu'il prenne en compte son nouveau fichier de config
 +  /etc/init.d/openvpn restart
 +  
 +Dans l'état actuel, si un client se connecte sur le serveur openvpn, il n'aura accès uniquement au serveur mais pas au reste du LAN.
 +
 +Pour cela il faut configurer le reseau et le firewall.
 +
 +Vérifions que le port_forwarding est activé sur votre serveur avec la commande
 +  cat /proc/sys/net/ipv4/ip_forward
 +  
 +Si vous avez **1**, la fonction est activé, sinon vous avez **0**, vous pouvez changer cela grace à cette commande
 +  echo 1 > /proc/sys/net/ipv4/ip_forward
 +  
 +Afin que ce paramètre reste en place lors du redémarrage du serveur, il convient de modifier le fichier **/etc/sysctl.conf**
 +
 +Trouver la ligne
 +  # Uncomment the next line to enable packet forwarding for IPv4
 +  # net.ipv4.ip_forward=1
 +  
 +et décommenté la 2eme en vous assurant que la variable est bien définie sur la valeur **1**
 +  net.ipv4.ip_forward=1
 +  
 +Créons maintenant notre règle firewall pour rediriger les paquets venant du réseau virtuel VPN vers notre LAN
 +  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
 +  
 +Pour que cette règle s'exécute au redémarrage du serveur, il convient de créer un fichier contenant cette règle dans le répertoire
 +  /etc/network/if-up.d/
 +  
 +  
  
  
  
linux/openvpn.txt · Dernière modification: 04-04-2013 22:06 (modification externe)

Outils de la page

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki