Projet

Général

Profil

Actions

Configuration VPN sans brique » Historique » Révision 18

« Précédent | Révision 18/40 (diff) | Suivant »
florian, 19/04/2018 11:45


h1. Configuration VPN sans brique

h2. Configurer sa machine pour utiliser l'offre VPN

mode noob /on

Comme il y a marqué "c'est essentiellement la même chose que chez (...) il n'y a que le fichier de configuration qui change (adresse du serveur et certificat)" .
Je considère donc qu'il faut que je télécharge(nota en bas de page) "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn
ou ceux-ci : "aqn-separe.ovpn":https://atelier.aquilenet.fr/attachments/336/aqn-separe.ovpn et "ca.crt":https://atelier.aquilenet.fr/attachments/367/ca.crt
Et qu'il y aura peut-être une modif à faire d'adresse de serveur, de certificat quelque part, éventuellement la dénomination des fichiers.

en déroulant la page de chez FDN j'en arrive à l'install OpenVPN :

Il faut installer le client OpenVPN sur le poste à connecter, je me mets en root

apt install openvpn

On me dit de créer un fichier fdn.ovpn, ce que je ne fais pas puisque on m'a DIT qu'il fallait utiliser celui d'aquilenet, que j'ai téléchargé un peu plus tôt.
Je vois une note qui cause auth-user-pass, je cherche sans succes dans aqn.ovpn, aqn-separe.ovpn, ca.crt. << Heu ? Je le vois bien dans aqn.ovpn et aqn-separe.ovpn
Je commence à me douter que ça va foirer.

openvpn aqn.ovpn

Ça foire << Comment est-ce que ça foire ? Quels messages d'erreurs s'affichent ? Normalement ça devrait juste fonctionner. Si ça ne fonctionne pas, c'est qu'il y a un bug, et qu'il faut donc le corriger, mais sans retour détaillé, ben on ne sait pas quoi corriger (chezmoiçamarche.com)

Je cherche alors à créer le fichier fdn.ovpn (que je renomme en aqn-noob.ovpn), comme proposé plus haut.

cat aqn-noob.ovpn | grep auth-user-pass

Me renvoie un résultat, que j'exploite pour automatiser ma connexion (pas tout à fait safe, cette manip telle que décrite, d'ailleurs)
Comme il y a un certificat à l’intérieur de celui-ci qui correspond sans doute à celui de fdn je recherche celui d'aquilenet ... Que je suis bien incapable de trouver dans ce que j'ai déja parcouru de tuto.
J'ai un accès d'optimisme

openvpn aqn.ovpn

Ca foire .

Je fini par trouver le certificat dans le ca.rt téléchargé depuis le wiki aquilenet.
Je remplace ceux indiqués à la fin de aqn-noob.ovpn par celui-ci.
Toutefois un doute me taraude car dans le fichier il est indiqué en commentaire

Certificat permettant de vérifier que c'est bien à FDN que

l'on se connecte et donc à qui on donne notre mot de passe.

verify-x509-name *.fdn.fr name

mode noob /off

h2. +Impressions :+

Il m'aurait semble bien d'avoir :

h3. +Le tuto pour une install avec la brique+

Avec le fichier .cube d'aquilenet à utiliser avec l'interface web de la brique. Pas simple mais ca a eut marché avec moi.

h3. +Un tuto openvpn en ligne de commande+

  • avec un fichier .ovpn spécifique Aquilenet. ready-to-use avec openvpn << Le format openvpn ne permet pas de mettre login/mot de passe dans le fichier lui-même, c'est forcément soit demandé interactivement, soit dans un autre fichier. À part ça, le aqn.ovpn devrait déjà être ready-to-use, sauf bug encore inconnu et donc juste il faut débugguer
  • La note pour automatiser la connexion vpn lors de la connexion ou connexion à la demande du user (ca fait toujours plaisir de tuner un soi-même et chacun a un identifiant & mdp différent)
  • Une fin de tuto qui me permette d'éventuellement

    • de faire un vpn partiel ou total
    • d'automatiser complètement la connexion vpn
    • de ne pas avoir à se connecter en root pour lancer la connexion vpn << Ce n'est pas possible sous Linux, le client openvpn a besoin d'être root pour pouvoir fonctionner
    • de vérifier si je suis bien connecté en vpn
    • autre mais toujours en mode ligne de commande.

h3. +Une deuxième méthode d'install en mode graphique sans la brique+

h2. nota sur le téléchargement

Une nuance que je n'avais pas vu : dans le wiki, lorsque l'on cite un fichier tel que "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn
Cela renvoie vers une page html et non directement vers le fichier, comme en bas de la page wiki.
cela peut entrainer une mauvaise manip (en faisant clic-droit "enregistrer la cible sous je viens de télécharger un aqn-separe.htm que j'ai failli renommer aqn-separe.ovpn )
Je l'ai remarqué car le IE du boulot ne se comporte pas comme le Firefox de la maison
Ma galère est peut-être due à ce mauvais téléchargement ...

ST: Apparemment le nouvel atelier a changé les URLs en effet... J'ai ajouté "download/" dans l'URL pour que ça télécharge bien le fichier directement depuis le wiki


DEBUT DE REDACTION DU TUTORIEL

h1. Configuration VPN sans brique -> la solution OpenVPN

Help !

Limitations

Préparation

Installation

Lancement

Configurations diverses (et optionnelles)

Remerciements

h2. 1.Help !

En cas de souci, contactez support@aquilenet.fr

h2. 2.Limitations

Installation rédigée pour une distribution Debian 9
Le client openvpn a besoin d'être root pour pouvoir fonctionner.

h2. 3.Préparation

Téléchargez dans votre répertoire de travail le fichier aqn.ovpn situé en bas de cette page.
Notez votre identifiant et mot de passe disponibles dans votre "l'espace adhérents":https://adherents.aquilenet.fr/vpn.php , section VPN.

h2. 4.Installation

En root sur votre machine :

apt install openvpn

h2. 5.Lancement

Toujours en root,
se placer dans le répertoire de travail contenant aqn.ovpn , puis lancer

openvpn aqn.ovpn

h2. 6.Configurations diverses (et optionnelles)

h3. +Routage si tout le trafic ne passe pas par le VPN+

Si tout le trafic ne passe pas par le VPN, il faut router selon la source des paquets, pour que la réponse à un paquet venant du VPN ne passe pas par une autre interface où il risquerait d'être supprimé :

ip route add default dev tun0 table 200
ip rule add from 185.233.101.0/24 table 200
ip -6 route add default dev tun0 table 200
ip -6 rule add from 2a0c:e300:4::/56 table 200

h3. +Connexion automatique+

todo : pomper sur https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc

h3. +Todo autres+

  • Paramétrer le vpn partiel par application (faisable ?)
  • d'automatiser complètement la connexion vpn au boot
  • -de ne pas avoir à se connecter en root pour lancer la connexion vpn-
  • de vérifier si je suis bien connecté en vpn
  • autre mais toujours en mode ligne de commande.

h2. 7. Remerciements

Merci au site de FDN donc la documentation nous a été précieuse : https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc

Mis à jour par florian il y a presque 6 ans · 18 révisions