Modifications entre les versions 5 et 6

OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :

utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
  - Soit on enlève le mot de passe après importation (comment faire ?)
  - Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
  - Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
configuration réseau :
- une seul patte dans la DMZPUB
- routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21
deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres

Documentations :

ZAP/Hanoi/BAP/OpenVPN
ZA/PagesArchivées/OpenVPN
http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
pas utile ici, mais pour mémoire : firewall dans un CT
- http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration
- http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

Configuration du CT Openvpn

installation du paquet : aptitude install openvpn
création des fichiers de configuration :
- /etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
- server-nomad.conf.local : paramètres locaux

Configuration des clients

on utilise network-manager-openvpn
mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf

Configuration du HN (hardware node = serveur hôte)

HN : vz-tech
Num de CT : 512

création du device tun :

   # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
    # Allow your container to use the tun/tap device by running the following commands on the host node:

    vzctl set 512 --devices c:10:200:rw --save
    vzctl set 512 --capability net_admin:on --save

    #And create the character device file inside the container (execute the following on the host node):

    vzctl exec 512 mkdir -p /dev/net
    vzctl exec 512 mknod /dev/net/tun c 10 200
    vzctl exec 512 chmod 600 /dev/net/tun

Configuration du parefeu central

ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
- ```
    10.36.8.0/21 via 199.84.140.85
```
filtrage : /etc/network/firewall-openvpn

Reste à faire

mettre à jour la doc

network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf

AVANT lancement openvpn

    search auf.org
    nameserver 199.84.140.5

APRES lancement openvpn

    search auf.org
    nameserver 199.84.140.5
    search auf
    nameserver 10.36.0.9

tester le ccd
config du firewall : ajout d'une nouvelle chaîne

ZA/Montréal/OpenVPN (dernière édition le 2010-03-17 14:19:46 par MoussaNombre)

-  ⇤ ← Version 5 à la date du 2010-03-12 22:32:30 → 
  Taille: 3442
  Éditeur: MoussaNombre
  Commentaire: correction
+   ← Version 6 à la date du 2010-03-12 22:34:24 → ⇥
  Taille: 3481
  Éditeur: MoussaNombre
  Commentaire: Mise à jour
-Texte supprimé.
+Texte ajouté.
 Ligne 9:
- * configuration réseau à l'image des netopia
  * eth0 : sur la DMZ
  * eth1 : sur le RPV
+ * configuration réseau :
  * une seul patte dans la DMZPUB
  * routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21

WikiTeki / Modifications de « ZA/Montréal/OpenVPN »