|
Taille: 3448
Commentaire: ajout des fichiers de config
|
Taille: 3442
Commentaire: correction
|
| Texte supprimé. | Texte ajouté. |
| Ligne 28: | Ligne 28: |
| * [[attachment:server-nomad.conf|`/etc/openvpn/server-nomad.conf`]] (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux * [[attachment:server-nomad.conf.local|`server-nomad.conf.local`]] : paramètres locaux |
* [[attachment:server-nomad.conf|/etc/openvpn/server-nomad.conf]] (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux * [[attachment:server-nomad.conf.local|server-nomad.conf.local]] : paramètres locaux |
| Ligne 34: | Ligne 34: |
| * exemple de fichier de config [[attachment:client.conf|`/etc/openvpn/client.conf`]] | * exemple de fichier de config [[attachment:client.conf|/etc/openvpn/client.conf]] |
OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés
Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- Soit on enlève le mot de passe après importation (comment faire ?)
Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- configuration réseau à l'image des netopia
- eth0 : sur la DMZ
- eth1 : sur le RPV
- deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres
Documentations :
- pas utile ici, mais pour mémoire : firewall dans un CT
Configuration du CT Openvpn
installation du paquet : aptitude install openvpn
- création des fichiers de configuration :
/etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
server-nomad.conf.local : paramètres locaux
Configuration des clients
on utilise network-manager-openvpn
- mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf
Configuration du HN (hardware node = serveur hôte)
- HN : vz-tech
- Num de CT : 512
- création du device tun :
# extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device # Allow your container to use the tun/tap device by running the following commands on the host node: vzctl set 512 --devices c:10:200:rw --save vzctl set 512 --capability net_admin:on --save #And create the character device file inside the container (execute the following on the host node): vzctl exec 512 mkdir -p /dev/net vzctl exec 512 mknod /dev/net/tun c 10 200 vzctl exec 512 chmod 600 /dev/net/tun
Configuration du parefeu central
- ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
10.36.8.0/21 via 199.84.140.85
filtrage : /etc/network/firewall-openvpn
Reste à faire
- mettre à jour la doc
- network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
- AVANT lancement openvpn
search auf.org nameserver 199.84.140.5 - APRES lancement openvpn
search auf.org nameserver 199.84.140.5 search auf nameserver 10.36.0.9
- AVANT lancement openvpn
- tester le ccd
- config du firewall : ajout d'une nouvelle chaîne