Configuration VPN sans brique » Historique » Révision 20
« Précédent |
Révision 20/40
(diff)
| Suivant »
pizzacoca, 19/04/2018 15:06
h1. Configuration VPN sans brique
h2. Configurer sa machine pour utiliser l'offre VPN
mode noob /on
Comme il y a marqué "c'est essentiellement la même chose que chez (...) il n'y a que le fichier de configuration qui change (adresse du serveur et certificat)" .
Je considère donc qu'il faut que je télécharge(nota en bas de page) "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn
ou ceux-ci : "aqn-separe.ovpn":https://atelier.aquilenet.fr/attachments/336/aqn-separe.ovpn et "ca.crt":https://atelier.aquilenet.fr/attachments/367/ca.crt
Et qu'il y aura peut-être une modif à faire d'adresse de serveur, de certificat quelque part, éventuellement la dénomination des fichiers.
en déroulant la page de chez FDN j'en arrive à l'install OpenVPN :
Il faut installer le client OpenVPN sur le poste à connecter, je me mets en root
apt install openvpn
On me dit de créer un fichier fdn.ovpn, ce que je ne fais pas puisque on m'a DIT qu'il fallait utiliser celui d'aquilenet, que j'ai téléchargé un peu plus tôt.
Je vois une note qui cause auth-user-pass, je cherche sans succes dans aqn.ovpn, aqn-separe.ovpn, ca.crt. << Heu ? Je le vois bien dans aqn.ovpn et aqn-separe.ovpn
Je commence à me douter que ça va foirer.
openvpn aqn.ovpn
Ça foire << Comment est-ce que ça foire ? Quels messages d'erreurs s'affichent ? Normalement ça devrait juste fonctionner. Si ça ne fonctionne pas, c'est qu'il y a un bug, et qu'il faut donc le corriger, mais sans retour détaillé, ben on ne sait pas quoi corriger (chezmoiçamarche.com)
Je cherche alors à créer le fichier fdn.ovpn (que je renomme en aqn-noob.ovpn), comme proposé plus haut.
cat aqn-noob.ovpn | grep auth-user-pass
Me renvoie un résultat, que j'exploite pour automatiser ma connexion (pas tout à fait safe, cette manip telle que décrite, d'ailleurs)
Comme il y a un certificat à l’intérieur de celui-ci qui correspond sans doute à celui de fdn je recherche celui d'aquilenet ... Que je suis bien incapable de trouver dans ce que j'ai déja parcouru de tuto.
J'ai un accès d'optimisme
openvpn aqn.ovpn
Ca foire .
Je fini par trouver le certificat dans le ca.rt téléchargé depuis le wiki aquilenet.
Je remplace ceux indiqués à la fin de aqn-noob.ovpn par celui-ci.
Toutefois un doute me taraude car dans le fichier il est indiqué en commentaire
Certificat permettant de vérifier que c'est bien à FDN que¶
l'on se connecte et donc à qui on donne notre mot de passe.¶
verify-x509-name *.fdn.fr name
mode noob /off
h2. +Impressions :+
Il m'aurait semble bien d'avoir :
h3. +Le tuto pour une install avec la brique+
Avec le fichier .cube d'aquilenet à utiliser avec l'interface web de la brique. Pas simple mais ca a eut marché avec moi.
h3. +Un tuto openvpn en ligne de commande+
- avec un fichier .ovpn spécifique Aquilenet. ready-to-use avec openvpn << Le format openvpn ne permet pas de mettre login/mot de passe dans le fichier lui-même, c'est forcément soit demandé interactivement, soit dans un autre fichier. À part ça, le aqn.ovpn devrait déjà être ready-to-use, sauf bug encore inconnu et donc juste il faut débugguer
- La note pour automatiser la connexion vpn lors de la connexion ou connexion à la demande du user (ca fait toujours plaisir de tuner un soi-même et chacun a un identifiant & mdp différent)
Une fin de tuto qui me permette d'éventuellement
- de faire un vpn partiel ou total
- d'automatiser complètement la connexion vpn
- de ne pas avoir à se connecter en root pour lancer la connexion vpn << Ce n'est pas possible sous Linux, le client openvpn a besoin d'être root pour pouvoir fonctionner
- de vérifier si je suis bien connecté en vpn
- autre mais toujours en mode ligne de commande.
h3. +Une deuxième méthode d'install en mode graphique sans la brique+
h2. nota sur le téléchargement
Une nuance que je n'avais pas vu : dans le wiki, lorsque l'on cite un fichier tel que "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn
Cela renvoie vers une page html et non directement vers le fichier, comme en bas de la page wiki.
cela peut entrainer une mauvaise manip (en faisant clic-droit "enregistrer la cible sous je viens de télécharger un aqn-separe.htm que j'ai failli renommer aqn-separe.ovpn )
Je l'ai remarqué car le IE du boulot ne se comporte pas comme le Firefox de la maison
Ma galère est peut-être due à ce mauvais téléchargement ...
ST: Apparemment le nouvel atelier a changé les URLs en effet... J'ai ajouté "download/" dans l'URL pour que ça télécharge bien le fichier directement depuis le wiki
DEBUT DE REDACTION DU TUTORIEL ¶
h1. Configuration VPN sans brique -> la solution OpenVPN
Help !¶
Remarques¶
Préparation¶
Installation¶
Lancement¶
Configurations diverses (et optionnelles)¶
Remerciements¶
h2. 1.Help !
En cas de souci, contactez support@aquilenet.fr
h2. 2.Remarques
Tutoriel d'installation rédigé pour une distribution Debian 9
L'outil client openvpn a besoin d'être root pour pouvoir fonctionner.
h2. 3.Préparation
Téléchargez dans votre répertoire de travail le fichier aqn.ovpn situé en bas de cette page.
En prévision de la connexion VPN , préparez vos identifiants et mot de passe disponibles dans votre "l'espace adhérents":https://adherents.aquilenet.fr/vpn.php , section VPN.
h2. 4.Installation
En root sur votre machine :
apt install openvpn
h2. 5.Lancement
Toujours en root,
se placer dans le répertoire de travail contenant aqn.ovpn , puis lancer
openvpn aqn.ovpn
h2. 6.Configurations diverses (et optionnelles)
h3. +Routage si tout le trafic ne passe pas par le VPN+
Si tout le trafic ne passe pas par le VPN, il faut router selon la source des paquets, pour que la réponse à un paquet venant du VPN ne passe pas par une autre interface où il risquerait d'être supprimé :
ip route add default dev tun0 table 200
ip rule add from 185.233.101.0/24 table 200
ip -6 route add default dev tun0 table 200
ip -6 rule add from 2a0c:e300:4::/56 table 200
h3. +Connexion automatique+
Pour éviter d'avoir à retaper le login et le mot de passe à chaque connexion on peut modifier à la main le fichier aqn.ovpn.
!warning_gestion_droits.gif! Afin de protéger votre mot de passe cette manip est à réaliser dans un répertoire de travail uniquement accessible au root.
Pour ce faire déplacer le fichier de connexion dans un répertoire appartenant à root
mv aqn.ovpn /root
Se déplacer dans ledit répertoire
cd
création du fichier identification_vpn
touch identification_vpn
Modification des droits d'acces
chmod 700 identification_vpn
Ajout du nom du fichier contenant login et mot de passe à côté de auth-user-pass ( qui se trouve vers la ligne 100)
auth-user-pass identification_vpn
Edition du identification_vpn (qui doit donc être dans le même répertoire que aqn.ovpn )
nano identification_vpn
Sur la première ligne de identification_vpn il y aura le login, sur la seconde ligne le mot de passe VPN (une info par ligne).
identifiant.connexion
mot_de_passe
h3. +Todo autres+
- Paramétrer le vpn partiel par application (faisable ?)
- d'automatiser complètement la connexion vpn au boot
- -de ne pas avoir à se connecter en root pour lancer la connexion vpn-
- de vérifier si je suis bien connecté en vpn
- autre mais toujours en mode ligne de commande.
h2. 7. Remerciements
Merci au site de FDN donc la documentation nous a été précieuse : https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc
Mis à jour par pizzacoca il y a plus de 6 ans · 20 révisions