<<TableOfContents>>
= OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés =

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
 * utilisation des certificats de la [[PKI|PKI AUF]] https://igc.auf.org/. 
   Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
    . Soit on enlève le mot de passe après importation (comment faire ?)
    . Soit on met le mot de passe dans un fichier et on lance openvpn en appelant ce fichier avec l'option `--askpass`
    . Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option `-nodes` à la commande openssl)
 * configuration réseau :
  * une seul patte dans la DMZPUB
  * routage au niveau du parefeu pour le réseau openvpn 10.36.8.0/21
 * deux sous réseaux openvpn (réseau global : 10.36.8.0/21) :
  * 10.36.8.0/22 pour les utilisateurs identifiés dans le DNS
  * 10.36.12.0/22 pour les autres

Documentations :
 * [[ZAP/Hanoi/BAP/OpenVPN]]
 * [[ZA/PagesArchivées/OpenVPN]]
 * http://wiki.openvz.org/VPN_via_the_TUN/TAP_device

 * pas utile ici, mais pour mémoire : firewall dans un CT
  * http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration
  * http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

== Configuration du CT Openvpn ==
 * installation du paquet : `aptitude install openvpn`
 * création des fichiers de configuration : 
  * [[attachment:server-nomad.conf|/etc/openvpn/server-nomad.conf]] (en s'inspirant de [[http://git.auf.org/?p=rpv2.git;a=blob;f=openvpn/etc-openvpn/server.conf;h=761bb6958e1305558288e307b6bfeee58632b92e;hb=a47d8ba04477bb9dd731818bc2426e89daf9656e|openvpn rpv2]] : pour les paramètres globaux
  * [[attachment:server-nomad.conf.local|server-nomad.conf.local]] : paramètres locaux

== Configuration des clients ==
 * on utilise `network-manager-openvpn`
 * mettre un mot de passe sur la certificat privé
 * exemple de fichier de config [[attachment:client.conf|/etc/openvpn/client.conf]]

== Configuration du HN (hardware node = serveur hôte) ==
 * HN : vz-tech
 * Num de CT : 512
 * création du device tun :
  {{{
   # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
    # Allow your container to use the tun/tap device by running the following commands on the host node:

    vzctl set 512 --devices c:10:200:rw --save
    vzctl set 512 --capability net_admin:on --save

    #And create the character device file inside the container (execute the following on the host node):

    vzctl exec 512 mkdir -p /dev/net
    vzctl exec 512 mknod /dev/net/tun c 10 200
    vzctl exec 512 chmod 600 /dev/net/tun
  }}}

== Configuration du parefeu central ==
 * ajout du routage pour le sous-réseau openvpn sur l'interface DMZRPV du parefeu dans les routages
  {{{
    10.36.8.0/21 via 199.84.140.85
  }}}
 * filtrage : `/etc/network/firewall-openvpn`

== Reste à faire ==
 * finaliser la doc
 * network-manager-openvpn : problème de dns sur le client, remplacer dns et non ajouté dans /etc/resolv.conf
  * tests effectués avec lucid
   * AVANT lancement openvpn
    {{{
    nameserver 199.84.140.5
    search auf.org
    }}}
   * openvpn en marche : AVANT installation de resolvconf
    {{{
    # Generated by NetworkManager
    domain auf
    search auf auf.org
    nameserver 10.36.0.9
    nameserver 199.84.140.5
    }}}
   * openvpn en marche : resolvconf installé
    {{{
    # Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
    #     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
    nameserver 10.36.0.9
    nameserver 199.84.140.5
    search auf auf.org
    }}}
   * petite conclusion : network-manager-openvpn utilise resolvconf pour modifier la dns. Reste donc à voir comment leur dire de faire le travail attendu.

 * tester le ccd (réseau 10.36.8.0/22)
 * config du firewall : ajout d'une nouvelle chaîne