3241
Commentaire: Gros virage
|
3349
|
Texte supprimé. | Texte ajouté. |
Ligne 6: | Ligne 6: |
Soit on enlève le mot de passe après importation (comment faire ?) Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option `--askpass` Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl) |
. Soit on enlève le mot de passe après importation (comment faire ?) . Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option `--askpass` . Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl) |
Ligne 12: | Ligne 12: |
* deux sous réseaux openvpn : * 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS * 10.36.9.0/24 pour les autres |
* deux sous réseaux openvpn (réseau global : 10.36.8.0/21) : * 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS * 10.36.12.0/22 pour les autres |
Ligne 27: | Ligne 27: |
* création du fichier de configuration : `/etc/openvpn/serveur.conf` (en s'inspirant de celui de [[ZAP/Hanoi/BAP/OpenVPN]]) * création d'une nouvelle table de routage `echo "200 OPENVPN" >> /etc/iproute2/rt_tables` et d'un script de routage `/etc/network/routage-openvpn.sh` * table principale : {{{ 199.84.140.80/29 sur eth0 default vers 199.84.140.86 (zeus) }}} * nouvelle table : {{{ 10.36.0.0/24 sur eth1 default vers 10.36.0.254 (zeus) }}} |
* création des fichiers de configuration : * `/etc/openvpn/server-nomad.conf` (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux * `server-nomad.conf.local` : paramètres locaux == Configuration des clients == * on utilise `network-manager-openvpn` * mettre un mot de passe sur la certificat privé * exemple de fichier de config `/etc/openvpn/client.conf` |
Ligne 57: | Ligne 53: |
* configuration du HN pour le vlan * réorganisation sur le [[ZA/Montréal/SwitchVlanParefeu|switch vlan-parefeu]] : une des pattes du vz-tech (celle sur la DPZ actuellement) sera mise sur le switch vlan en TAGGED pour appartenir aux réseaux DMZPUB et DMZNETOPIA * installation et configuration du mode vlan sur vz-tech * ajout d'une seconde interface au CT512 |
|
Ligne 63: | Ligne 55: |
* ajout du routage pour les sous-réseaux openvpn sur l'interface DMZRPV du parefeu | * ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages |
Ligne 65: | Ligne 57: |
... up ip route replace 10.36.8.0/24 via 10.36.0.85 src 10.36.0.254 || true up ip route replace 10.36.9.0/24 via 10.36.0.85 src 10.36.0.254 || true |
10.36.8.0/21 via 199.84.140.85 |
Ligne 69: | Ligne 59: |
* filtrage : | * filtrage : `/etc/network/firewall-openvpn` == Reste à faire == * mettre à jour la doc * network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf * AVANT lancement openvpn {{{ search auf.org nameserver 199.84.140.5 }}} * APRES lancement openvpn {{{ search auf.org nameserver 199.84.140.5 search auf nameserver 10.36.0.9 }}} * tester le ccd * config du firewall : ajout d'une nouvelle chaîne |
OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés
Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- Soit on enlève le mot de passe après importation (comment faire ?)
Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- configuration réseau à l'image des netopia
- eth0 : sur la DMZ
- eth1 : sur le RPV
- deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres
Documentations :
- pas utile ici, mais pour mémoire : firewall dans un CT
Configuration du CT Openvpn
installation du paquet : aptitude install openvpn
- création des fichiers de configuration :
/etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
server-nomad.conf.local : paramètres locaux
Configuration des clients
on utilise network-manager-openvpn
- mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf
Configuration du HN (hardware node = serveur hôte)
- HN : vz-tech
- Num de CT : 512
- création du device tun :
# extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device # Allow your container to use the tun/tap device by running the following commands on the host node: vzctl set 512 --devices c:10:200:rw --save vzctl set 512 --capability net_admin:on --save #And create the character device file inside the container (execute the following on the host node): vzctl exec 512 mkdir -p /dev/net vzctl exec 512 mknod /dev/net/tun c 10 200 vzctl exec 512 chmod 600 /dev/net/tun
Configuration du parefeu central
- ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
10.36.8.0/21 via 199.84.140.85
filtrage : /etc/network/firewall-openvpn
Reste à faire
- mettre à jour la doc
- network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
- AVANT lancement openvpn
search auf.org nameserver 199.84.140.5
- APRES lancement openvpn
search auf.org nameserver 199.84.140.5 search auf nameserver 10.36.0.9
- AVANT lancement openvpn
- tester le ccd
- config du firewall : ajout d'une nouvelle chaîne