OpenVPN sur openvpn.ca.auf.org pour clients nomades ou isolés

Il s'agit ici de la re-installation de l'openvpn de Montréal avec les changements suivants :

• utilisation des certificats de la PKI AUF https://igc.auf.org/.

  • Openvpn sait utiliser le fichier pkcs12, mais le soucis est le mot de passe qui le protège.
    • Soit on enlève le mot de passe après importation (comment faire ?)

      Soit on met le mot de passe dans un fichier et on lance openvpn en appeant ce fichier avec l'option --askpass Ou on décompose le PKCS#12 en fichiers PEM et on génère la clé privée sans passphrase (ajouter l'option -nodes à la commande openssl)

• configuration réseau à l'image des netopia
  • eth0 : sur la DMZ
  • eth1 : sur le RPV
• deux sous réseaux openvpn :
  • 10.36.8.0/24 pour les utilisateurs identifiés dans le DNS
  • 10.36.9.0/24 pour les autres

Documentations :

• ZAP/Hanoi/BAP/OpenVPN

• ZA/PagesArchivées/OpenVPN

• http://wiki.openvz.org/VPN_via_the_TUN/TAP_device

• pas utile ici, mais pour mémoire : firewall dans un CT

  • http://wiki.openvz.org/Setting_up_an_iptables_firewall#Setting_up_a_firewall_that_allows_per-container_configuration

  • http://download.openvz.org/doc/OpenVZ-Users-Guide.pdf page 69-70

Configuration du CT Openvpn

• installation du paquet : aptitude install openvpn

• création du fichier de configuration : /etc/openvpn/serveur.conf (en s'inspirant de celui de ZAP/Hanoi/BAP/OpenVPN)

• création d'une nouvelle table de routage echo "200 OPENVPN" >> /etc/iproute2/rt_tables et d'un script de routage /etc/network/routage-openvpn.sh

  • table principale :

        199.84.140.80/29 sur eth0
        default vers 199.84.140.86 (zeus)

  • nouvelle table :

        10.36.0.0/24 sur eth1
        default vers 10.36.0.254 (zeus)

Configuration du HN (hardware node = serveur hôte)

• HN : vz-tech
• Num de CT : 512
• création du device tun :

  •    # extrait et adapté de http://wiki.openvz.org/VPN_via_the_TUN/TAP_device
        # Allow your container to use the tun/tap device by running the following commands on the host node:
    
        vzctl set 512 --devices c:10:200:rw --save
        vzctl set 512 --capability net_admin:on --save
    
        #And create the character device file inside the container (execute the following on the host node):
    
        vzctl exec 512 mkdir -p /dev/net
        vzctl exec 512 mknod /dev/net/tun c 10 200
        vzctl exec 512 chmod 600 /dev/net/tun

• configuration du HN pour le vlan

  • réorganisation sur le switch vlan-parefeu : une des pattes du vz-tech (celle sur la DPZ actuellement) sera mise sur le switch vlan en TAGGED pour appartenir aux réseaux DMZPUB et DMZNETOPIA

  • installation et configuration du mode vlan sur vz-tech
  • ajout d'une seconde interface au CT512

Configuration du parefeu central

• ajout du routage pour les sous-réseaux openvpn sur l'interface DMZRPV du parefeu

  •     ...
        up ip route replace 10.36.8.0/24 via 10.36.0.85 src 10.36.0.254 || true
        up ip route replace 10.36.9.0/24 via 10.36.0.85 src 10.36.0.254 || true

• filtrage :