|
Taille: 3501
Commentaire:
|
Taille: 3897
Commentaire: tests dns soucis resolv.conf
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Ligne 65: | Ligne 64: |
| * tests effectues avec lucid | |
| Ligne 67: | Ligne 67: |
| nameserver 199.84.140.5 | |
| Ligne 68: | Ligne 69: |
| }}} * openvpn en marche : AVANT installation de resolvconf {{{ # Generated by NetworkManager domain auf search auf auf.org nameserver 10.36.0.9 |
|
| Ligne 70: | Ligne 78: |
| * APRES lancement openvpn | * openvpn en marche : resolvconf installe |
| Ligne 72: | Ligne 80: |
| search auf.org | # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 10.36.0.9 |
| Ligne 74: | Ligne 84: |
| search auf nameserver 10.36.0.9 |
search auf auf.org |
OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés
Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- Soit on enlève le mot de passe après importation (comment faire ?)
Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option --askpass
Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- configuration réseau :
- une seul patte dans la DMZPUB
- routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21
- deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
- 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
- 10.36.12.0/22 pour les autres
Documentations :
- pas utile ici, mais pour mémoire : firewall dans un CT
Configuration du CT Openvpn
installation du paquet : aptitude install openvpn
- création des fichiers de configuration :
/etc/openvpn/server-nomad.conf (en s'inspirant de openvpn rpv2 : pour les paramètres globaux
server-nomad.conf.local : paramètres locaux
Configuration des clients
on utilise network-manager-openvpn
- mettre un mot de passe sur la certificat privé
exemple de fichier de config /etc/openvpn/client.conf
Configuration du HN (hardware node = serveur hôte)
- HN : vz-tech
- Num de CT : 512
- création du device tun :
# extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device # Allow your container to use the tun/tap device by running the following commands on the host node: vzctl set 512 --devices c:10:200:rw --save vzctl set 512 --capability net_admin:on --save #And create the character device file inside the container (execute the following on the host node): vzctl exec 512 mkdir -p /dev/net vzctl exec 512 mknod /dev/net/tun c 10 200 vzctl exec 512 chmod 600 /dev/net/tun
Configuration du parefeu central
- ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
10.36.8.0/21 via 199.84.140.85
filtrage : /etc/network/firewall-openvpn
Reste à faire
- finaliser la doc
- network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
- tests effectues avec lucid
- AVANT lancement openvpn
nameserver 199.84.140.5 search auf.org - openvpn en marche : AVANT installation de resolvconf
# Generated by NetworkManager domain auf search auf auf.org nameserver 10.36.0.9 nameserver 199.84.140.5
- openvpn en marche : resolvconf installe
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) # DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN nameserver 10.36.0.9 nameserver 199.84.140.5 search auf auf.org
- tester le ccd (réseau 10.36.8.0/22)
- config du firewall : ajout d'une nouvelle chaîne