Modifications de « ZAP/Hanoi/BAP/OpenVPN »

Modifications entre les versions 2 et 3

Cette page décrit (sommairement) la configuration OpenVPN au BAP.

le service OpenVPN a été installé dans le CT "vpn" (102) sous Debian/Lenny
tous les logs sont redirigés vers le service de logs commun dans le CT "log" (100)
la version du logiciel OpenVPN utilisée est celle du paquet livré avec Debian

contenu du /etc/openvpn/server.conf :

local 192.168.0.102
port 1194
proto udp
dev tun
# Note : la topologie P2P ne fonctionne pas avec Windows
topology p2p

tls-server
# à récupérer sur https://igc.auf.org/
ca keys/CA-AUF.pem
cert keys/rpv-hanoi.vn.auf.org-cert.pem
key keys/rpv-hanoi.vn.auf.org-key.pem
persist-key
# à générer avec : openssl dhparam -out dh1024.pem 1024
dh keys/dh1024.pem

# configuration finale :
# - 10.230.8.0/21 pour les accès RPV distants
#server 10.230.8.0 255.255.248.0
# configuration temporaire :
# - 10.230.6.0/24 pour les accès RPV distants inconnus dans le DNS
# - 10.230.7.0/24 pour les accès RPV distants enregistrés dans le DNS
server 10.230.6.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-config-dir ccd
route 10.230.7.0 255.255.255.0
route 224.0.0.0 240.0.0.0

;learn-address ./script

# tentative d'optimisation du routage
# (également pour éviter les coupures Jabber / courriel à la connexion RPV)
# => échec pour cause de mauvaise gestion du "net_gateway" (bogue ?)
;push "route 210.245.61.192 255.255.255.240 net_gateway"
;push "route 199.84.140.0 255.255.255.0 net_gateway"
;push "route 81.80.122.0 255.255.254.0 net_gateway"
push "route 10.0.0.0 255.0.0.0"
# Note : l'astuce "def1" ne fonctionne pas avec Windows
push "redirect-gateway def1"
push "dhcp-option DOMAIN vn.auf"
push "dhcp-option DNS 10.230.0.9"
;push "dhcp-option WINS 10.8.0.1"
push "dhcp-option NTP 10.230.0.50"
push "dhcp-option DISABLE-NBT"
# Note : NetworkManager ne prend pas cette option en compte
# => il faut toujours l'activer manuellement côté client (stupid dog...)
push "comp-lzo yes"

;client-to-client

persist-tun
persist-key
keepalive 10 120
comp-lzo
;max-clients 64
user nobody
group nogroup
status /var/run/openvpn-status
# les logs vont vers rsyslog par défaut
;log         openvpn.log
;log-append  openvpn.log
# 0 is silent, except for fatal errors
# 4 is reasonable for general usage
# 5 and 6 can help to debug connection problems
# 9 is extremely verbose
verb 3
;mute 20

l'accès au sous-dossier /etc/openvpn/keys est restreint en 600 pour root
le sous-dossier /etc/openvpn/keys contient les certificats générés depuis l'infrastructure de gestion de certificats AuF

ZAP/Hanoi/BAP/OpenVPN (dernière édition le 2010-10-14 13:41:30 par JeanChristopheAndré)

-  ⇤ ← Version 2 à la date du 2010-02-16 18:32:45 → 
  Taille: 2588
  Éditeur: JeanChristopheAndré
  Commentaire: Ooops...
+   ← Version 3 à la date du 2010-10-14 13:41:30 → ⇥
  Taille: 2704
  Éditeur: JeanChristopheAndré
  Commentaire:
-Texte supprimé.
+Texte ajouté.
 Ligne 16:
+# à récupérer sur https://igc.auf.org/
-Ligne 20:
+Ligne 21:
+# à générer avec : openssl dhparam -out dh1024.pem 1024
-Ligne 58:
+Ligne 60:
+persist-key

WikiTeki / Modifications de « ZAP/Hanoi/BAP/OpenVPN »