## page was renamed from ZAP/Hanoi/BAP/OpenVZ Cette page décrit (sommairement) la configuration OpenVPN au BAP. * le service OpenVPN a été installé dans le CT "vpn" (102) sous [[Debian/Lenny]] * tous les logs sont redirigés vers le service de logs commun dans le CT "log" (100) * la version du logiciel OpenVPN utilisée est celle du paquet livré avec Debian * contenu du `/etc/openvpn/server.conf` : {{{ local 192.168.0.102 port 1194 proto udp dev tun # Note : la topologie P2P ne fonctionne pas avec Windows topology p2p tls-server # à récupérer sur https://igc.auf.org/ ca keys/CA-AUF.pem cert keys/rpv-hanoi.vn.auf.org-cert.pem key keys/rpv-hanoi.vn.auf.org-key.pem persist-key # à générer avec : openssl dhparam -out dh1024.pem 1024 dh keys/dh1024.pem # configuration finale : # - 10.230.8.0/21 pour les accès RPV distants #server 10.230.8.0 255.255.248.0 # configuration temporaire : # - 10.230.6.0/24 pour les accès RPV distants inconnus dans le DNS # - 10.230.7.0/24 pour les accès RPV distants enregistrés dans le DNS server 10.230.6.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-config-dir ccd route 10.230.7.0 255.255.255.0 route 224.0.0.0 240.0.0.0 ;learn-address ./script # tentative d'optimisation du routage # (également pour éviter les coupures Jabber / courriel à la connexion RPV) # => échec pour cause de mauvaise gestion du "net_gateway" (bogue ?) ;push "route 210.245.61.192 255.255.255.240 net_gateway" ;push "route 199.84.140.0 255.255.255.0 net_gateway" ;push "route 81.80.122.0 255.255.254.0 net_gateway" push "route 10.0.0.0 255.0.0.0" # Note : l'astuce "def1" ne fonctionne pas avec Windows push "redirect-gateway def1" push "dhcp-option DOMAIN vn.auf" push "dhcp-option DNS 10.230.0.9" ;push "dhcp-option WINS 10.8.0.1" push "dhcp-option NTP 10.230.0.50" push "dhcp-option DISABLE-NBT" # Note : NetworkManager ne prend pas cette option en compte # => il faut toujours l'activer manuellement côté client (stupid dog...) push "comp-lzo yes" ;client-to-client persist-tun persist-key keepalive 10 120 comp-lzo ;max-clients 64 user nobody group nogroup status /var/run/openvpn-status # les logs vont vers rsyslog par défaut ;log openvpn.log ;log-append openvpn.log # 0 is silent, except for fatal errors # 4 is reasonable for general usage # 5 and 6 can help to debug connection problems # 9 is extremely verbose verb 3 ;mute 20 }}} * l'accès au sous-dossier `/etc/openvpn/keys` est restreint en 600 pour `root` * le sous-dossier `/etc/openvpn/keys` contient les certificats générés depuis [[PKI|l'infrastructure de gestion de certificats AuF]]