Configuration VPN sans brique » Historique » Révision 21
Révision 20 (pizzacoca, 19/04/2018 15:06) → Révision 21/40 (pizzacoca, 19/04/2018 20:52)
h1. Configuration VPN sans brique +A h2. Configurer sa machine pour utiliser l'offre VPN <pre> mode noob /on </pre> Comme il y a marqué "c'est essentiellement la même chose que chez (...) il n'y a que le fichier de configuration qui change (adresse du serveur et certificat)" . Je considère donc qu'il faut que je télécharge(nota en bas de page) "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn ou ceux-ci : "aqn-separe.ovpn":https://atelier.aquilenet.fr/attachments/336/aqn-separe.ovpn et "ca.crt":https://atelier.aquilenet.fr/attachments/367/ca.crt Et qu'il y aura peut-être une modif à faire d'adresse de serveur, de certificat quelque part, éventuellement la dénomination des fichiers. en déroulant la page de chez FDN j'en arrive à l'install OpenVPN : Il faut installer le client OpenVPN sur le poste à connecter, je me mets en ligne root <pre> apt install openvpn </pre> On me dit de commande+ créer un fichier _fdn.ovpn_, ce que je ne fais pas puisque on m'a DIT qu'il fallait utiliser celui d'aquilenet, que j'ai téléchargé un peu plus tôt. Je vois une note qui cause _auth-user-pass_, je cherche sans succes dans _aqn.ovpn, aqn-separe.ovpn, ca.crt_. << *Heu ? Je le vois bien dans aqn.ovpn et aqn-separe.ovpn* Je commence à me douter que ça va foirer. <pre> openvpn aqn.ovpn </pre> Ça foire << *Comment est-ce que ça foire ? Quels messages d'erreurs s'affichent ? Normalement ça devrait juste fonctionner. Si ça ne fonctionne pas, c'est qu'il y a un bug, et qu'il faut donc le corriger, mais sans retour détaillé, ben on ne sait pas quoi corriger (chezmoiçamarche.com)* +B Je cherche alors à créer le fichier _fdn.ovpn_ (que je renomme en _aqn-noob.ovpn_), comme proposé plus haut. <pre> cat aqn-noob.ovpn | grep auth-user-pass </pre> Me renvoie un résultat, que j'exploite pour automatiser ma connexion (pas tout à fait safe, cette manip telle que décrite, d'ailleurs) Comme il y a un certificat à l’intérieur de celui-ci qui correspond sans doute à celui de fdn je recherche celui d'aquilenet ... Que je suis bien incapable de trouver dans ce que j'ai déja parcouru de tuto. J'ai un accès d'optimisme <pre> openvpn aqn.ovpn </pre> Ca foire . OpenVPN Je fini par trouver le certificat dans le ca.rt téléchargé depuis le wiki aquilenet. Je remplace ceux indiqués à la fin de _aqn-noob.ovpn_ par celui-ci. Toutefois un doute me taraude car dans le fichier il est indiqué en commentaire <pre> # Certificat permettant de vérifier que c'est bien à FDN que # l'on se connecte et donc à qui on donne notre mot de passe. verify-x509-name *.fdn.fr name </pre> <pre> mode graphique noob /off </pre> h2. +Impressions :+ Il m'aurait semble bien d'avoir : h3. +*Le tuto pour une install avec Network Manager+ la brique*+ +C . Remerciements+ Avec le fichier _.cube_ d'aquilenet à utiliser avec l'interface web de la brique. Pas simple mais ca a eut marché avec moi. h2. +*A . OpenVPN h3. +*Un tuto openvpn en ligne de commande*+ * avec un fichier _.ovpn_ spécifique Aquilenet. ready-to-use avec openvpn << *Le format openvpn ne permet pas de mettre login/mot de passe dans le fichier lui-même, c'est forcément soit demandé interactivement, soit dans un autre fichier. À part ça, le aqn.ovpn devrait déjà être ready-to-use, sauf bug encore inconnu et donc juste il faut débugguer* * La note pour automatiser la connexion vpn lors de la connexion ou connexion à la demande du user (ca fait toujours plaisir de tuner un soi-même et chacun a un identifiant & mdp différent) * Une fin de tuto qui me permette d'éventuellement * de faire un vpn partiel ou total * d'automatiser complètement la connexion vpn * de ne pas avoir à se connecter en root pour lancer la connexion vpn << *Ce n'est pas possible sous Linux, le client openvpn a besoin d'être root pour pouvoir fonctionner* * de vérifier si je suis bien connecté en vpn * autre mais toujours en mode ligne de commande. h3. +*Une deuxième méthode d'install en mode graphique sans la brique*+ h2. nota sur le téléchargement Une nuance que je n'avais pas vu : dans le wiki, lorsque l'on cite un fichier tel que "aqn.ovpn":https://atelier.aquilenet.fr/attachments/366/aqn.ovpn Cela renvoie vers une page html et non directement vers le fichier, comme en bas de la page wiki. cela peut entrainer une mauvaise manip (en faisant clic-droit "enregistrer la cible sous je viens de télécharger un _aqn-separe.htm_ que j'ai failli renommer aqn-separe.ovpn ) Je l'ai remarqué car le IE du boulot ne se comporte pas comme le Firefox de la maison Ma galère est peut-être due à ce mauvais téléchargement ... ST: Apparemment le nouvel atelier a changé les URLs en effet... J'ai ajouté "download/" dans l'URL pour que ça télécharge bien le fichier directement depuis le wiki --------------------------------------------------------------- DEBUT DE REDACTION DU TUTORIEL --------------------------------------------------------------- h1. Configuration VPN sans brique -> la solution OpenVPN # Help ! # Remarques # Préparation # Installation # Lancement # Configurations diverses (et optionnelles) # Remerciements > h2. 1. Remarques 1.Help ! En cas de souci, contactez support@aquilenet.fr h2. 2.Remarques Tutoriel d'installation rédigé pour une distribution Debian 9 Le L'outil client openvpn a besoin d'être root pour pouvoir fonctionner. En cas de souci, faites un log (commande blabla > nom_du_log ) et contactez support@aquilenet.fr avec celui-ci en pièce jointe. > h2. 2. Préparation 3.Préparation Téléchargez dans votre répertoire de travail le fichier _*aqn.ovpn*_ situé en bas de cette page. En prévision de la connexion VPN , préparez vos identifiants et mot de passe disponibles dans votre "l'espace adhérents":https://adherents.aquilenet.fr/vpn.php , section VPN. > h2. 3. Installation 4.Installation En root sur votre machine : <pre> apt install openvpn </pre> > h2. 4. Lancement 5.Lancement Toujours en root, se placer dans le répertoire de travail contenant _aqn.ovpn_ , puis lancer <pre> openvpn aqn.ovpn </pre> > h2. 5. Configurations 6.Configurations diverses (et optionnelles) h3. +Routage si tout le trafic ne passe pas par le VPN+ Si tout le trafic ne passe pas par le VPN, il faut router selon la source des paquets, pour que la réponse à un paquet venant du VPN ne passe pas par une autre interface où il risquerait d'être supprimé : <pre> ip route add default dev tun0 table 200 ip rule add from 185.233.101.0/24 table 200 ip -6 route add default dev tun0 table 200 ip -6 rule add from 2a0c:e300:4::/56 table 200 </pre> h3. +Connexion automatique+ Pour éviter d'avoir à retaper le login et le mot de passe à chaque connexion on peut modifier à la main le fichier _aqn.ovpn_. > *Avertissement* !warning_gestion_droits.gif! > > Afin de protéger vos identifiants et mots votre mot de passe il cette manip est conseillé à réaliser dans un répertoire de faire attention aux droits de lecture des fichiers. travail uniquement accessible au root. > > > A titre d'exemple cette manip Pour ce faire déplacer le fichier de déplacement connexion dans le un répertoire /root appartenant à root > <pre> mv aqn.ovpn /root </pre> > Se déplacer dans ledit répertoire > <pre> cd </pre> > création du fichier _identification_vpn_ > <pre> touch identification_vpn </pre> > Modification des droits d'acces > <pre> chmod 700 identification_vpn </pre> *Modification de _aqn.ovpn_* Ajout du nom du fichier contenant login et mot de passe à côté de auth-user-pass ( qui se trouve vers la ligne 100) auth-user-pass identification_vpn Edition du _identification_vpn_ (qui doit donc être dans le même répertoire que _aqn.ovpn_ ) <pre> nano identification_vpn </pre> Sur la première ligne de _identification_vpn_ il y aura le login, sur la seconde ligne le mot de passe VPN (une info par ligne) : <pre> ligne). identifiant.connexion mot_de_passe </pre> Relancer openvpn <pre> openvpn aqn.ovpn </pre> h3. +Todo autres+ N'hésitez pas à jeter un œil sur les #commentaires contenus dans le fichier *_aqn.ovpn_* ! > * Paramétrer le vpn partiel par application (faisable ?) > * d'automatiser complètement la connexion vpn au boot > * -de ne pas avoir à se connecter en root pour lancer la connexion vpn- > * de vérifier si je suis bien connecté en vpn > * autre mais toujours en mode ligne de commande. h2. +*B .OpenVPN en mode graphique avec Network Manager*+ 7. Remerciements Voir https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc h2. +*C . Remerciements*+ Merci au site de FDN donc la documentation nous a été précieuse : https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc