|
Taille: 3489
Commentaire:
|
← Version 11 à la date du 2010-03-17 14:19:46 ⇥
Taille: 4095
Commentaire: p'te conclusion
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| <<TableOfContents>> | |
| Ligne 6: | Ligne 7: |
| Soit on enlève le mot de passe après importation (comment faire ?) Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option `--askpass` Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl) * une seule interface réseau : routage et filtrage avant de tout passer au parefeu central * subdivision en deux sous réseaux openvpn : * 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS * 10.36.9.0/24 pour les autres |
. Soit on enlève le mot de passe après importation (comment faire ?) . Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option `--askpass` . Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl) * configuration réseau : * une seul patte dans la DMZPUB * routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21 * deux sous réseaux openvpn (réseau global : 10.36.8.0/21) : * 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS * 10.36.12.0/22 pour les autres |
| Ligne 18: | Ligne 21: |
| * firewall dans le CT | * pas utile ici, mais pour mémoire : firewall dans un CT |
| Ligne 22: | Ligne 26: |
| == Configuration Openvpn == | == Configuration du CT Openvpn == |
| Ligne 24: | Ligne 28: |
| * création du fichier de configuration : `/etc/openvpn/serveur.conf` (en s'inspirant de celui de [[ZAP/Hanoi/BAP/OpenVPN]]) * création d'une nouvelle table de routage `echo "200 OPENVPN" >> /etc/iproute2/rt_tables` et d'un script de routage `/etc/network/routage-openvpn.sh` * configuration du firewall : * par défaut tous les FORWARD sont interdits * les Forward depuis l'interface tun sont ouverts * SNAT de 10.36.8.0/24 et 10.36.9.0/24 sur l'IP du serveur * le reste du filtrage se fera sur le parefeu central (=gateway/route par défaut du serveur openvpn) |
* création des fichiers de configuration : * [[attachment:server-nomad.conf|/etc/openvpn/server-nomad.conf]] (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux * [[attachment:server-nomad.conf.local|server-nomad.conf.local]] : paramètres locaux == Configuration des clients == * on utilise `network-manager-openvpn` * mettre un mot de passe sur la certificat privé * exemple de fichier de config [[attachment:client.conf|/etc/openvpn/client.conf]] |
| Ligne 49: | Ligne 54: |
| * configuration pour la mise en place des règles iptables dans le CT (cf http://wiki.openvz.org/Setting_up_an_iptables_firewall) * chargement de certains modules iptables : `modeprobe nom_du_module`. Les modules ajoutés sont ceux qu'on retrouve à la ligne suivante * modification de `/etc/vz/vz.conf` pour ajouter les modules : |
== Configuration du parefeu central == * ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages |
| Ligne 53: | Ligne 58: |
| # IPv4 iptables kernel modules IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ipt_LOG" |
10.36.8.0/21 via 199.84.140.85 |
| Ligne 56: | Ligne 60: |
| Cette même ligne a aussi été ajouté dans `/etc/vz/conf/512.conf` pour l'activation côté CT. | * filtrage : `/etc/network/firewall-openvpn` |
| Ligne 58: | Ligne 62: |
| == Configuration du parefeu central == * on accepte le trafic de l'ip du serveur openvpn vers nos réseaux (DMZ, RPV, REFLETS) * on laisse l'ip du serveur openvpn aller vers l'extérieur conformément aux règles existantes |
== Reste à faire == * finaliser la doc * network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf * tests effectués avec lucid * AVANT lancement openvpn {{{ nameserver 199.84.140.5 search auf.org }}} * openvpn en marche : AVANT installation de resolvconf {{{ # Generated by NetworkManager domain auf search auf auf.org nameserver 10.36.0.9 nameserver 199.84.140.5 }}} * openvpn en marche : resolvconf installé {{{ # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 10.36.0.9 nameserver 199.84.140.5 search auf auf.org }}} * petite conclusion : network-manager-openvpn utilise resolvconf pour modifier la dns. Reste donc à voir comment leur dire de faire le travail attendu. * tester le ccd (réseau 10.36.8.0/22) * config du firewall : ajout d'une nouvelle chaîne |
Sommaire
OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés
Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- Soit on enlève le mot de passe après importation (comment faire ?)
Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- configuration réseau :
- une seul patte dans la DMZPUB
- routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21
- deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres
Documentations :
- pas utile ici, mais pour mémoire : firewall dans un CT
Configuration du CT Openvpn
installation du paquet : aptitude install openvpn
- création des fichiers de configuration :
/etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
server-nomad.conf.local : paramètres locaux
Configuration des clients
on utilise network-manager-openvpn
- mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf
Configuration du HN (hardware node = serveur hôte)
- HN : vz-tech
- Num de CT : 512
- création du device tun :
# extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device # Allow your container to use the tun/tap device by running the following commands on the host node: vzctl set 512 --devices c:10:200:rw --save vzctl set 512 --capability net_admin:on --save #And create the character device file inside the container (execute the following on the host node): vzctl exec 512 mkdir -p /dev/net vzctl exec 512 mknod /dev/net/tun c 10 200 vzctl exec 512 chmod 600 /dev/net/tun
Configuration du parefeu central
- ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
10.36.8.0/21 via 199.84.140.85
filtrage : /etc/network/firewall-openvpn
Reste à faire
- finaliser la doc
- network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
- tests effectués avec lucid
- AVANT lancement openvpn
nameserver 199.84.140.5 search auf.org
- openvpn en marche : AVANT installation de resolvconf
# Generated by NetworkManager domain auf search auf auf.org nameserver 10.36.0.9 nameserver 199.84.140.5
- openvpn en marche : resolvconf installé
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 10.36.0.9 nameserver 199.84.140.5 search auf auf.org
- petite conclusion : network-manager-openvpn utilise resolvconf pour modifier la dns. Reste donc à voir comment leur dire de faire le travail attendu.
- AVANT lancement openvpn
- tests effectués avec lucid
- tester le ccd (réseau 10.36.8.0/22)
- config du firewall : ajout d'une nouvelle chaîne