OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :

• utilisation des certificats de la PKI AUF https://igc.auf.org/.

  • Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
    • Soit on enlève le mot de passe après importation (comment faire ?)

    • Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass

    • Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)

• configuration réseau :
  • une seul patte dans la DMZPUB
  • routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21
• deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
  • 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
  • 10.36.12.0/22 pour les autres

Documentations :

• ZAP/Hanoi/BAP/OpenVPN

• ZA/PagesArchivées/OpenVPN

• http://wiki.openvz.org/VPN_via_the_TUN/TAP_device

• pas utile ici, mais pour mémoire : firewall dans un CT

  • http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration

  • http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

Configuration du CT Openvpn

• installation du paquet : aptitude install openvpn

• création des fichiers de configuration :

  • /etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux

  • server-nomad.conf.local : paramètres locaux

Configuration des clients

• on utilise network-manager-openvpn

• mettre un mot de passe sur la certificat privé

• exemple de fichier de config /etc/openvpn/client.conf

Configuration du HN (hardware node = serveur hôte)

• HN : vz-tech
• Num de CT : 512
• création du device tun :

  •    # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
        # Allow your container to use the tun/tap device by running the following commands on the host node:
    
        vzctl set 512 --devices c:10:200:rw --save
        vzctl set 512 --capability net_admin:on --save
    
        #And create the character device file inside the container (execute the following on the host node):
    
        vzctl exec 512 mkdir -p /dev/net
        vzctl exec 512 mknod /dev/net/tun c 10 200
        vzctl exec 512 chmod 600 /dev/net/tun

Configuration du parefeu central

• ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages

  •     10.36.8.0/21 via 199.84.140.85

• filtrage : /etc/network/firewall-openvpn

Reste à faire

• finaliser la doc
• network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
  • tests effectués avec lucid
    • AVANT lancement openvpn

      •     nameserver 199.84.140.5
            search auf.org

    • openvpn en marche : AVANT installation de resolvconf

      •     # Generated by NetworkManager
            domain auf
            search auf auf.org
            nameserver 10.36.0.9
            nameserver 199.84.140.5

    • openvpn en marche : resolvconf installé

      •     # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
            #     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
            nameserver 10.36.0.9
            nameserver 199.84.140.5
            search auf auf.org

    • petite conclusion : network-manager-openvpn utilise resolvconf pour modifier la dns. Reste donc à voir comment leur dire de faire le travail attendu.
• tester le ccd (réseau 10.36.8.0/22)
• config du firewall : ajout d'une nouvelle chaîne