Modifications entre les versions 1 et 5 (s'étendant sur 4 versions)

OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :

utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
  - Soit on enlève le mot de passe après importation (comment faire ?)
  - Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
  - Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
configuration réseau à l'image des netopia
- eth0 : sur la DMZ
- eth1 : sur le RPV
deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres

Documentations :

ZAP/Hanoi/BAP/OpenVPN
ZA/PagesArchivées/OpenVPN
http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
pas utile ici, mais pour mémoire : firewall dans un CT
- http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration
- http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

Configuration du CT Openvpn

installation du paquet : aptitude install openvpn
création des fichiers de configuration :
- /etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
- server-nomad.conf.local : paramètres locaux

Configuration des clients

on utilise network-manager-openvpn
mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf

Configuration du HN (hardware node = serveur hôte)

HN : vz-tech
Num de CT : 512

création du device tun :

   # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
    # Allow your container to use the tun/tap device by running the following commands on the host node:

    vzctl set 512 --devices c:10:200:rw --save
    vzctl set 512 --capability net_admin:on --save

    #And create the character device file inside the container (execute the following on the host node):

    vzctl exec 512 mkdir -p /dev/net
    vzctl exec 512 mknod /dev/net/tun c 10 200
    vzctl exec 512 chmod 600 /dev/net/tun

Configuration du parefeu central

ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
- ```
    10.36.8.0/21 via 199.84.140.85
```
filtrage : /etc/network/firewall-openvpn

Reste à faire

mettre à jour la doc

network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf

AVANT lancement openvpn

    search auf.org
    nameserver 199.84.140.5

APRES lancement openvpn

    search auf.org
    nameserver 199.84.140.5
    search auf
    nameserver 10.36.0.9

tester le ccd
config du firewall : ajout d'une nouvelle chaîne

ZA/Montréal/OpenVPN (dernière édition le 2010-03-17 14:19:46 par MoussaNombre)

-  ⇤ ← Version 1 à la date du 2010-02-24 19:09:10 → 
  Taille: 3489
  Éditeur: MoussaNombre
  Commentaire:
+   ← Version 5 à la date du 2010-03-12 22:32:30 → ⇥
  Taille: 3442
  Éditeur: MoussaNombre
  Commentaire: correction
-Texte supprimé.
+Texte ajouté.
 Ligne 6:
-    Soit on enlève le mot de passe après importation (comment faire ?)
    Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option `--askpass`
    Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl)
 * une seule interface réseau : routage et filtrage avant de tout passer au parefeu central
 * subdivision en deux sous réseaux openvpn :
  * 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS
  * 10.36.9.0/24 pour les autres
+    . Soit on enlève le mot de passe après importation (comment faire ?)
    . Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option `--askpass`
    . Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl)
 * configuration réseau à l'image des netopia
  * eth0 : sur la DMZ
  * eth1 : sur le RPV
 * deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
  * 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
  * 10.36.12.0/22 pour les autres
-Ligne 18:
+Ligne 20:
- * firewall dans le CT
+ * pas utile ici, mais pour mémoire : firewall dans un CT
-Ligne 22:
+Ligne 25:
-== Configuration Openvpn ==
+== Configuration du CT Openvpn ==
-Ligne 24:
+Ligne 27:
- * création du fichier de configuration : `/etc/openvpn/serveur.conf` (en s'inspirant de celui de [[ZAP/Hanoi/BAP/OpenVPN]])
 * création d'une nouvelle table de routage `echo "200 OPENVPN" >> /etc/iproute2/rt_tables` et d'un script de routage `/etc/network/routage-openvpn.sh`
 * configuration du firewall :
  * par défaut tous les FORWARD sont interdits
  * les Forward depuis l'interface tun sont ouverts
  * SNAT de 10.36.8.0/24 et 10.36.9.0/24 sur l'IP du serveur
  * le reste du filtrage se fera sur le parefeu central (=gateway/route par défaut du serveur openvpn)
+ * création des fichiers de configuration : 
  * [[attachment:server-nomad.conf|/etc/openvpn/server-nomad.conf]] (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux
  * [[attachment:server-nomad.conf.local|server-nomad.conf.local]] : paramètres locaux

== Configuration des clients ==
 * on utilise `network-manager-openvpn`
 * mettre un mot de passe sur la certificat privé
 * exemple de fichier de config [[attachment:client.conf|/etc/openvpn/client.conf]]
-Ligne 49:
+Ligne 53:
- * configuration pour la mise en place des règles iptables dans le CT (cf http://wiki.openvz.org/Setting_up_an_iptables_firewall)
  * chargement de certains modules iptables : `modeprobe nom_du_module`. Les modules ajoutés sont ceux qu'on retrouve à la ligne suivante
  * modification de `/etc/vz/vz.conf` pour ajouter les modules :
+== Configuration du parefeu central ==
 * ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
-Ligne 53:
+Ligne 57:
-   # IPv4 iptables kernel modules
   IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ipt_LOG"
+.36.8.0/21 via 199.84.140.85
-Ligne 56:
+Ligne 59:
-   Cette même ligne a aussi été ajouté dans `/etc/vz/conf/512.conf` pour l'activation côté CT.
+ * filtrage : `/etc/network/firewall-openvpn`
-Ligne 58:
+Ligne 61:
- == Configuration du parefeu central ==
 * on accepte le trafic de l'ip du serveur openvpn vers nos réseaux (DMZ, RPV, REFLETS)
 * on laisse l'ip du serveur openvpn aller vers l'extérieur conformément aux règles existantes
+== Reste à faire ==
 * mettre à jour la doc
 * network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
  * AVANT lancement openvpn
  {{{
    search auf.org
    nameserver 199.84.140.5
  }}}
  * APRES lancement openvpn
  {{{
    search auf.org
    nameserver 199.84.140.5
    search auf
    nameserver 10.36.0.9
  }}}
 * tester le ccd
 * config du firewall : ajout d'une nouvelle chaîne

WikiTeki / Modifications de « ZA/Montréal/OpenVPN »