Configuration VPN sans brique » Historique » Version 20
pizzacoca, 19/04/2018 15:06
1 | 1 | pizzacoca | h1. Configuration VPN sans brique |
---|---|---|---|
2 | |||
3 | 2 | pizzacoca | |
4 | 1 | pizzacoca | h2. Configurer sa machine pour utiliser l'offre VPN |
5 | |||
6 | |||
7 | 5 | florian | <pre> |
8 | 2 | pizzacoca | mode noob /on |
9 | 5 | florian | </pre> |
10 | 1 | pizzacoca | |
11 | 2 | pizzacoca | Comme il y a marqué "c'est essentiellement la même chose que chez (...) il n'y a que le fichier de configuration qui change (adresse du serveur et certificat)" . |
12 | 15 | florian | Je considère donc qu'il faut que je télécharge(nota en bas de page) "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn |
13 | 2 | pizzacoca | ou ceux-ci : "aqn-separe.ovpn":https://atelier.aquilenet.fr/attachments/336/aqn-separe.ovpn et "ca.crt":https://atelier.aquilenet.fr/attachments/367/ca.crt |
14 | Et qu'il y aura peut-être une modif à faire d'adresse de serveur, de certificat quelque part, éventuellement la dénomination des fichiers. |
||
15 | |||
16 | en déroulant la page de chez FDN j'en arrive à l'install OpenVPN : |
||
17 | |||
18 | Il faut installer le client OpenVPN sur le poste à connecter, je me mets en root |
||
19 | |||
20 | <pre> |
||
21 | apt install openvpn |
||
22 | </pre> |
||
23 | 4 | pizzacoca | On me dit de créer un fichier _fdn.ovpn_, ce que je ne fais pas puisque on m'a DIT qu'il fallait utiliser celui d'aquilenet, que j'ai téléchargé un peu plus tôt. |
24 | 7 | youpi | Je vois une note qui cause _auth-user-pass_, je cherche sans succes dans _aqn.ovpn, aqn-separe.ovpn, ca.crt_. << *Heu ? Je le vois bien dans aqn.ovpn et aqn-separe.ovpn* |
25 | 4 | pizzacoca | Je commence à me douter que ça va foirer. |
26 | 1 | pizzacoca | <pre> |
27 | 2 | pizzacoca | openvpn aqn.ovpn |
28 | </pre> |
||
29 | 15 | florian | Ça foire << *Comment est-ce que ça foire ? Quels messages d'erreurs s'affichent ? Normalement ça devrait juste fonctionner. Si ça ne fonctionne pas, c'est qu'il y a un bug, et qu'il faut donc le corriger, mais sans retour détaillé, ben on ne sait pas quoi corriger (chezmoiçamarche.com)* |
30 | 4 | pizzacoca | |
31 | Je cherche alors à créer le fichier _fdn.ovpn_ (que je renomme en _aqn-noob.ovpn_), comme proposé plus haut. |
||
32 | 1 | pizzacoca | <pre> |
33 | cat aqn-noob.ovpn | grep auth-user-pass |
||
34 | </pre> |
||
35 | Me renvoie un résultat, que j'exploite pour automatiser ma connexion (pas tout à fait safe, cette manip telle que décrite, d'ailleurs) |
||
36 | 4 | pizzacoca | Comme il y a un certificat à l’intérieur de celui-ci qui correspond sans doute à celui de fdn je recherche celui d'aquilenet ... Que je suis bien incapable de trouver dans ce que j'ai déja parcouru de tuto. |
37 | J'ai un accès d'optimisme |
||
38 | <pre> |
||
39 | openvpn aqn.ovpn |
||
40 | </pre> |
||
41 | 11 | youpi | Ca foire . |
42 | 1 | pizzacoca | |
43 | 5 | florian | Je fini par trouver le certificat dans le ca.rt téléchargé depuis le wiki aquilenet. |
44 | Je remplace ceux indiqués à la fin de _aqn-noob.ovpn_ par celui-ci. |
||
45 | Toutefois un doute me taraude car dans le fichier il est indiqué en commentaire |
||
46 | <pre> |
||
47 | # Certificat permettant de vérifier que c'est bien à FDN que |
||
48 | # l'on se connecte et donc à qui on donne notre mot de passe. |
||
49 | verify-x509-name *.fdn.fr name |
||
50 | </pre> |
||
51 | 1 | pizzacoca | |
52 | 5 | florian | <pre> |
53 | mode noob /off |
||
54 | </pre> |
||
55 | 1 | pizzacoca | |
56 | 5 | florian | h2. +Impressions :+ |
57 | 1 | pizzacoca | |
58 | 5 | florian | Il m'aurait semble bien d'avoir : |
59 | 1 | pizzacoca | |
60 | 5 | florian | h3. +*Le tuto pour une install avec la brique*+ |
61 | 1 | pizzacoca | |
62 | 5 | florian | Avec le fichier _.cube_ d'aquilenet à utiliser avec l'interface web de la brique. Pas simple mais ca a eut marché avec moi. |
63 | 1 | pizzacoca | |
64 | 5 | florian | h3. +*Un tuto openvpn en ligne de commande*+ |
65 | 1 | pizzacoca | |
66 | 13 | youpi | * avec un fichier _.ovpn_ spécifique Aquilenet. ready-to-use avec openvpn << *Le format openvpn ne permet pas de mettre login/mot de passe dans le fichier lui-même, c'est forcément soit demandé interactivement, soit dans un autre fichier. À part ça, le aqn.ovpn devrait déjà être ready-to-use, sauf bug encore inconnu et donc juste il faut débugguer* |
67 | 5 | florian | * La note pour automatiser la connexion vpn lors de la connexion ou connexion à la demande du user (ca fait toujours plaisir de tuner un soi-même et chacun a un identifiant & mdp différent) |
68 | * Une fin de tuto qui me permette d'éventuellement |
||
69 | 14 | youpi | |
70 | * de faire un vpn partiel ou total |
||
71 | * d'automatiser complètement la connexion vpn |
||
72 | * de ne pas avoir à se connecter en root pour lancer la connexion vpn << *Ce n'est pas possible sous Linux, le client openvpn a besoin d'être root pour pouvoir fonctionner* |
||
73 | * de vérifier si je suis bien connecté en vpn |
||
74 | * autre mais toujours en mode ligne de commande. |
||
75 | 1 | pizzacoca | |
76 | h3. +*Une deuxième méthode d'install en mode graphique sans la brique*+ |
||
77 | 15 | florian | |
78 | |||
79 | h2. nota sur le téléchargement |
||
80 | |||
81 | Une nuance que je n'avais pas vu : dans le wiki, lorsque l'on cite un fichier tel que "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn |
||
82 | Cela renvoie vers une page html et non directement vers le fichier, comme en bas de la page wiki. |
||
83 | cela peut entrainer une mauvaise manip (en faisant clic-droit "enregistrer la cible sous je viens de télécharger un _aqn-separe.htm_ que j'ai failli renommer aqn-separe.ovpn ) |
||
84 | Je l'ai remarqué car le IE du boulot ne se comporte pas comme le Firefox de la maison |
||
85 | Ma galère est peut-être due à ce mauvais téléchargement ... |
||
86 | 16 | youpi | |
87 | ST: Apparemment le nouvel atelier a changé les URLs en effet... J'ai ajouté "download/" dans l'URL pour que ça télécharge bien le fichier directement depuis le wiki |
||
88 | 17 | florian | |
89 | |||
90 | |||
91 | --------------------------------------------------------------- |
||
92 | DEBUT DE REDACTION DU TUTORIEL |
||
93 | --------------------------------------------------------------- |
||
94 | |||
95 | h1. Configuration VPN sans brique -> la solution OpenVPN |
||
96 | |||
97 | 18 | florian | # Help ! |
98 | 20 | pizzacoca | # Remarques |
99 | 17 | florian | # Préparation |
100 | # Installation |
||
101 | # Lancement |
||
102 | # Configurations diverses (et optionnelles) |
||
103 | 18 | florian | # Remerciements |
104 | 1 | pizzacoca | |
105 | 18 | florian | h2. 1.Help ! |
106 | 1 | pizzacoca | |
107 | 18 | florian | En cas de souci, contactez support@aquilenet.fr |
108 | |||
109 | 20 | pizzacoca | h2. 2.Remarques |
110 | 18 | florian | |
111 | 20 | pizzacoca | Tutoriel d'installation rédigé pour une distribution Debian 9 |
112 | L'outil client openvpn a besoin d'être root pour pouvoir fonctionner. |
||
113 | 17 | florian | |
114 | 18 | florian | h2. 3.Préparation |
115 | 17 | florian | |
116 | 19 | florian | Téléchargez dans votre répertoire de travail le fichier _*aqn.ovpn*_ situé en bas de cette page. |
117 | En prévision de la connexion VPN , préparez vos identifiants et mot de passe disponibles dans votre "l'espace adhérents":https://adherents.aquilenet.fr/vpn.php , section VPN. |
||
118 | 17 | florian | |
119 | 18 | florian | h2. 4.Installation |
120 | 17 | florian | |
121 | En root sur votre machine : |
||
122 | <pre> |
||
123 | 1 | pizzacoca | apt install openvpn |
124 | 17 | florian | </pre> |
125 | |||
126 | |||
127 | 18 | florian | h2. 5.Lancement |
128 | 17 | florian | |
129 | Toujours en root, |
||
130 | se placer dans le répertoire de travail contenant _aqn.ovpn_ , puis lancer |
||
131 | 1 | pizzacoca | <pre> |
132 | 17 | florian | openvpn aqn.ovpn |
133 | </pre> |
||
134 | |||
135 | |||
136 | 18 | florian | h2. 6.Configurations diverses (et optionnelles) |
137 | 17 | florian | |
138 | h3. +Routage si tout le trafic ne passe pas par le VPN+ |
||
139 | |||
140 | Si tout le trafic ne passe pas par le VPN, il faut router selon la source des paquets, pour que la réponse à un paquet venant du VPN ne passe pas par une autre interface où il risquerait d'être supprimé : |
||
141 | <pre> |
||
142 | ip route add default dev tun0 table 200 |
||
143 | ip rule add from 185.233.101.0/24 table 200 |
||
144 | ip -6 route add default dev tun0 table 200 |
||
145 | ip -6 rule add from 2a0c:e300:4::/56 table 200 |
||
146 | 1 | pizzacoca | </pre> |
147 | |||
148 | h3. +Connexion automatique+ |
||
149 | |||
150 | 20 | pizzacoca | |
151 | Pour éviter d'avoir à retaper le login et le mot de passe à chaque connexion on peut modifier à la main le fichier _aqn.ovpn_. |
||
152 | |||
153 | |||
154 | > !warning_gestion_droits.gif! Afin de protéger votre mot de passe cette manip est à réaliser dans un répertoire de travail uniquement accessible au root. |
||
155 | > |
||
156 | > Pour ce faire déplacer le fichier de connexion dans un répertoire appartenant à root |
||
157 | > <pre> |
||
158 | mv aqn.ovpn /root |
||
159 | </pre> |
||
160 | > Se déplacer dans ledit répertoire |
||
161 | > <pre> |
||
162 | cd |
||
163 | </pre> |
||
164 | > création du fichier _identification_vpn_ |
||
165 | > <pre> |
||
166 | touch identification_vpn |
||
167 | </pre> |
||
168 | > Modification des droits d'acces |
||
169 | > <pre> |
||
170 | chmod 700 identification_vpn |
||
171 | </pre> |
||
172 | |||
173 | Ajout du nom du fichier contenant login et mot de passe à côté de auth-user-pass ( qui se trouve vers la ligne 100) |
||
174 | |||
175 | |||
176 | auth-user-pass identification_vpn |
||
177 | |||
178 | |||
179 | Edition du _identification_vpn_ (qui doit donc être dans le même répertoire que _aqn.ovpn_ ) |
||
180 | <pre> |
||
181 | nano identification_vpn |
||
182 | </pre> |
||
183 | Sur la première ligne de _identification_vpn_ il y aura le login, sur la seconde ligne le mot de passe VPN (une info par ligne). |
||
184 | |||
185 | identifiant.connexion |
||
186 | mot_de_passe |
||
187 | |||
188 | |||
189 | |||
190 | 17 | florian | |
191 | h3. +Todo autres+ |
||
192 | |||
193 | * Paramétrer le vpn partiel par application (faisable ?) |
||
194 | 1 | pizzacoca | * d'automatiser complètement la connexion vpn au boot |
195 | 17 | florian | * -de ne pas avoir à se connecter en root pour lancer la connexion vpn- |
196 | * de vérifier si je suis bien connecté en vpn |
||
197 | * autre mais toujours en mode ligne de commande. |
||
198 | |||
199 | 18 | florian | h2. 7. Remerciements |
200 | 17 | florian | |
201 | 18 | florian | Merci au site de FDN donc la documentation nous a été précieuse : https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc |