| Prochaine révision | Révision précédente |
| documentation:openvpn [2011/08/28 17:26] – créée francois | documentation:openvpn [2014/12/27 08:14] (Version actuelle) – modification externe 127.0.0.1 |
|---|
| ====== Description ====== | ====== Description ====== |
| L'objectif est de mettre en place un serveur OpenVPN afin que lorsque j'utilise mon ordinateur en déplacement mon traffic Internet ne passe pas en clair sur la connexion où je suis afin d'éviter les vols de mots de passes ou tout autre soucis technique ou de censure. | L'objectif est de mettre en place un serveur OpenVPN afin que lorsque j'utilise mon ordinateur en déplacement mon trafic Internet ne passe pas en clair sur la connexion où je suis afin d'éviter les vols de mots de passes ou tout autre soucis technique ou de censure. |
| |
| Pour cela j'installe le serveur OpenVPN sur un serveur qui est disponible sur Internet (dans mon cas chez OVH) puis je configure mon ordinateur pour se connecter là bas et que ma passerelle par defaut ("default gateway") pointe vers le serveur VPN. | Pour cela j'installe le serveur OpenVPN sur un serveur qui est disponible sur Internet (dans mon cas chez OVH) puis je configure mon ordinateur pour se connecter là bas et pour que ma passerelle par defaut ("default gateway") pointe vers le serveur VPN. |
| |
| ====== OpenVPN ====== | ====== OpenVPN ====== |
| apt-get install openvpn | apt-get install openvpn |
| |
| Une fois le package installé il y'a 3 endroits importants : | Une fois le package installé il y a 3 endroits importants : |
| * /etc/default/openvpn (contient la liste des fichier pour le démarrage) | * /etc/default/openvpn (contient la liste des fichier pour le démarrage) |
| * /etc/openvpn/ (contient la configuration de OpenVPN) | * /etc/openvpn/ (contient la configuration de OpenVPN) |
| |
| |
| Au besoin ne pas hésiter à lire le READMBE spécial Debian | Au besoin ne pas hésiter à lire le README spécial Debian |
| zless /usr/share/doc/openvpn/README.Debian.gz | zless /usr/share/doc/openvpn/README.Debian.gz |
| |
| gzip -d /etc/openvpn/server.conf.gz | gzip -d /etc/openvpn/server.conf.gz |
| |
| Création des certificats utilient au fonctionnement du serveur et à l'authentification des clients; dans mon cas je mets cela dans "/srv/syst/sbin/" : | Création des certificats utiles au fonctionnement du serveur et à l'authentification des clients; dans mon cas je mets cela dans "/srv/syst/sbin/" : |
| cp -rv /usr/share/doc/openvpn/examples/easy-rsa/2.0 /srv/syst/sbin/easy-rsa | cp -rv /usr/share/doc/openvpn/examples/easy-rsa/2.0 /srv/syst/sbin/easy-rsa |
| cd /srv/syst/sbin/easy-rsa | cd /srv/syst/sbin/easy-rsa |
| Maintenant en éditant le fichier /etc/default/openvpn j'ajoute la ligne suivante | Maintenant en éditant le fichier /etc/default/openvpn j'ajoute la ligne suivante |
| AUTOSTART="server_443-TCP" | AUTOSTART="server_443-TCP" |
| | |
| | Reste à lancer le serveur VPN |
| | /etc/init.d/openvpn start |
| | |
| | N.B. : pour une installation sur Ubuntu plutôt que Debian, commencer par "sudo su" pour exécuter tout en tant que "root". Il faut aussi créer les répertoires "/srv/syst/sbin/" qui n'existent pas. |
| | |
| | ====== Mise en place du client ====== |
| | Pour le client j'utilise un ordinateur sous Ubuntu. Pour installer le client aller dans Synaptic et choisir le paquet "openvpn". |
| | |
| | La logique de configuration du client est la même que le serveur à savoir : |
| | * /etc/default/openvpn (contient la liste des fichier pour le démarrage) |
| | * /etc/openvpn/ (contient la configuration de OpenVPN) |
| | |
| | Il faut récupérer les certificats depuis le serveur, là c'est l'opération délicate afin de vous assurer que tout est sécurisé durant cette copie. Seul 3 fichiers sont utiles pour le client, dans mon cas le certificat que j'ai généré ce nomme frbayart1 du coup voici les fichiers que j'ai téléchargés : |
| | ca.crt |
| | frbayart1.crt |
| | frbayart1.key |
| | |
| | Ensuite j'ai créé mon fichier de configuration dans /etc/openvpn que j'ai nommé monvpn.conf (par exemple sudo gedit /etc/openvpn/monvpn.conf) : |
| | client |
| | dev tun |
| | proto tcp |
| | remote 1.2.3.4 443 |
| | resolv-retry infinite |
| | nobind |
| | user nobody |
| | group nobody |
| | persist-key |
| | persist-tun |
| | ca /home/francois/vpn/ca.crt |
| | cert /home/francois/vpn/frbayart1.crt |
| | key /home/francois/vpn/frbayart1.key |
| | comp-lzo |
| | verb 3 |
| | |
| | Au passage le groupe nobody n'existant pas sur mon linux je le crée (sudo addgroup nobody). |
| | |
| | J'édite (sudo gedit) /etc/default/openvpn pour ajouter la ligne : |
| | AUTOSTART="monvpn" |
| | |
| | Puis je lance le tout : |
| | /etc/init.d/openvpn start |
| | |
| | Vous pouvez vérifier avec la commande "ip addr" et ouvrir une page du navigateur sur http://whatismyipaddress.com/fr/mon-ip pour constater que l'IP est celle du serveur openvpn ! |
| | |
| | Pour arrêter : |
| | /etc/init.d/openvpn stop |
| | |
| | La commande suivante permet d'__**éviter que openvpn démarre directement au boot du PC**__, elle est donc importante ! |
| | |
| | update-rc.d -f openvpn remove |
| | |
| | |
| | ====== Partage de la connexion sur le serveur ====== |
| | Afin que le serveur autorise la partage de la connexion Internet qu'il utilise il faut ajouter une petite règle dans "iptables" |
| | iptables -A POSTROUTING -t nat -s 10.0.0.0/8 ! -d 10.0.0.0/8 -o eth0 -j MASQUERADE |
| | echo 1 > /proc/sys/net/ipv4/ip_forward |
| | |
| | Avec un traceroute ou mtr nous pouvons vérifier que nous passons bien par le serveur VPN et non via la connexion où nous sommes. |
| | |
