OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés
Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :
utilisation des certificats de la PKI AUF https://igc.auf.org/.
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- Soit on enlève le mot de passe après importation (comment faire ?)
Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option --askpass Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)
- Soit on enlève le mot de passe après importation (comment faire ?)
- Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
- une seule interface réseau : routage et filtrage avant de tout passer au parefeu central
- subdivision en deux sous réseaux openvpn :
- 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS
- 10.36.9.0/24 pour les autres
Documentations :
- firewall dans le CT
Configuration Openvpn
installation du paquet : aptitude install openvpn
création du fichier de configuration : /etc/openvpn/serveur.conf (en s'inspirant de celui de ZAP/Hanoi/BAP/OpenVPN)
création d'une nouvelle table de routage echo "200 OPENVPN" >> /etc/iproute2/rt_tables et d'un script de routage /etc/network/routage-openvpn.sh
- configuration du firewall :
- par défaut tous les FORWARD sont interdits
- les Forward depuis l'interface tun sont ouverts
- SNAT de 10.36.8.0/24 et 10.36.9.0/24 sur l'IP du serveur
- le reste du filtrage se fera sur le parefeu central (=gateway/route par défaut du serveur openvpn)
Configuration du HN (hardware node = serveur hôte)
- HN : vz-tech
- Num de CT : 512
- création du device tun :
# extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device # Allow your container to use the tun/tap device by running the following commands on the host node: vzctl set 512 --devices c:10:200:rw --save vzctl set 512 --capability net_admin:on --save #And create the character device file inside the container (execute the following on the host node): vzctl exec 512 mkdir -p /dev/net vzctl exec 512 mknod /dev/net/tun c 10 200 vzctl exec 512 chmod 600 /dev/net/tun
configuration pour la mise en place des règles iptables dans le CT (cf http://wiki.openvz.org/Setting_up_an_iptables_firewall)
chargement de certains modules iptables : modeprobe nom_du_module. Les modules ajoutés sont ceux qu'on retrouve à la ligne suivante
modification de /etc/vz/vz.conf pour ajouter les modules :
# IPv4 iptables kernel modules IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ipt_LOG"
Cette même ligne a aussi été ajouté dans /etc/vz/conf/512.conf pour l'activation côté CT.
- on accepte le trafic de l'ip du serveur openvpn vers nos réseaux (DMZ, RPV, REFLETS)
- on laisse l'ip du serveur openvpn aller vers l'extérieur conformément aux règles existantes