OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :

• utilisation des certificats de la PKI AUF https://igc.auf.org/.

  • Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
    • Soit on enlève le mot de passe après importation (comment faire ?)

      Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option --askpass Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)

• une seule interface réseau : routage et filtrage avant de tout passer au parefeu central
• subdivision en deux sous réseaux openvpn :
  • 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS
  • 10.36.9.0/24 pour les autres

Documentations :

• ZAP/Hanoi/BAP/OpenVPN

• ZA/PagesArchivées/OpenVPN

• http://wiki.openvz.org/VPN_via_the_TUN/TAP_device

• firewall dans le CT

  • http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration

  • http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

Configuration Openvpn

• installation du paquet : aptitude install openvpn

• création du fichier de configuration : /etc/openvpn/serveur.conf (en s'inspirant de celui de ZAP/Hanoi/BAP/OpenVPN)

• création d'une nouvelle table de routage echo "200 OPENVPN" >> /etc/iproute2/rt_tables et d'un script de routage /etc/network/routage-openvpn.sh

• configuration du firewall :
  • par défaut tous les FORWARD sont interdits
  • les Forward depuis l'interface tun sont ouverts
  • SNAT de 10.36.8.0/24 et 10.36.9.0/24 sur l'IP du serveur
  • le reste du filtrage se fera sur le parefeu central (=gateway/route par défaut du serveur openvpn)

Configuration du HN (hardware node = serveur hôte)

• HN : vz-tech
• Num de CT : 512
• création du device tun :

  •    # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
        # Allow your container to use the tun/tap device by running the following commands on the host node:
    
        vzctl set 512 --devices c:10:200:rw --save
        vzctl set 512 --capability net_admin:on --save
    
        #And create the character device file inside the container (execute the following on the host node):
    
        vzctl exec 512 mkdir -p /dev/net
        vzctl exec 512 mknod /dev/net/tun c 10 200
        vzctl exec 512 chmod 600 /dev/net/tun

• configuration pour la mise en place des règles iptables dans le CT (cf http://wiki.openvz.org/Setting_up_an_iptables_firewall)

  • chargement de certains modules iptables : modeprobe nom_du_module. Les modules ajoutés sont ceux qu'on retrouve à la ligne suivante

  • modification de /etc/vz/vz.conf pour ajouter les modules :

       # IPv4 iptables kernel modules
       IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length ipt_state iptable_nat ipt_LOG"

    • Cette même ligne a aussi été ajouté dans /etc/vz/conf/512.conf pour l'activation côté CT.

  == Configuration du parefeu central ==
• on accepte le trafic de l'ip du serveur openvpn vers nos réseaux (DMZ, RPV, REFLETS)
• on laisse l'ip du serveur openvpn aller vers l'extérieur conformément aux règles existantes