Yunohost VPN contournement DNS¶
*3.2.4.1) Forcer La Brique à utiliser les adresses DNS de notre choix et à ne pas tenir compte de celles reçues en DHCP.
On n'utilisera pas les adresses DNS d'Aquilenet, parce qu'actuellement elles ne répondent qu'aux IP d'Aquilenet, et tant qu'on n'a pas monté le vpn, on en a probablement pas, or pour monter le vpn faut bien résoudre vpn.aquilenet.fr et donc on est coincé. On utilisera donc des adresses de serveurs DNS propres et plus ouverts /permisifs ceux de FDN et /ou LDN.
Pour ce faire on se connecte en ssh avec le compte root puis on copie-colle la ligne suivante :
echo \"nameserver 80.67.169.12\">/etc/resolv.conf ;echo \"nameserver 80.67.169.40\">>/etc/resolv.conf ; chattr +i /etc/resolv.conf
ou on le fait à la main en éditant le fichier /etc/resolv.conf via la commande nano /etc/resolv.conf
On colle les deux lignes suivantes (FDN):
nameserver 80.67.169.12 nameserver 80.67.169.40
éventuellement celle-ci en plus (LDN)
nameserver 80.67.188.188
on enregistre avec Ctrl+ O et on quitte avec Ctrl+x (les vilains poilus qui savent utiliser vi sans y rester coincés sont priés de ne pas rigoler trop fort, oui, je sais c'est :wq! :) )
- Rendre le resolv.conf immuable :
chattr +i /etc/resolv.conf
*
Mise à jour du Dyndns après activation du VPN (si vous ne pouvez pas attendre les 2 minutes qui séparent chaque execution du script via un CRON :) :
yunohost dyndns update
Note : le jour où La Brique est branchée sur un réseau qui n'autorise pas le trafic vers des adresses DNS autres que les siennes, faudra y penser et passer à la méthode ci-dessous
En attendant tout le trafic DNS va vers des serveurs DNS propres et tenus par des gens raisonnablement de confiance.
*3.2.4.2) Forcer La Brique à utiliser aussi les adresses DNS qu'elle reçoit du VPN
On laisse le fichier /etc/resolv.conf dans son état initial (éventuellement on le dé protège en écriture via chattr -i /etc/resolv.conf ) et on installe le paquet resolvconf avec la commande
apt-get install resolvconf
On ajoutera à la config du vpn les lignes suivantes (elles ne servent à rien si le paquet resolvconf n'est pas installé):
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
La Brique essaira alors toutes les adresses DNS qu'elle connait quand elle en a besoin.
Effet de bord notable, le trafic DNS va aussi vers des serveurs DNS pas forcément propres et tenus par des gens \"pas membres de la fédé\" pour rester poli.
*3.2.4.3) Installer un serveur DNS autonome sur La Brique
A essayer pour tester.
*3.2.4.4) Config VPN Aquilenet
La config par défaut du vpn de La Brique ne convient pas pour Aquilenet, il faut procéder à quelques ajustemets.
On commence par récupérer le fichier de config aqn.ovpn sur la page : https://atelier.aquilenet.fr/projects/aquilenet/wiki/Configuration_VPN
On l'ouvre et on copie-colle dans un nouveau fichier les deux certificats entre les balises et (si un courageux ayant accès au wiki en écriture veux bien faire un fichier .crt ...)
On ouvre ensuite la page de configuration du service (https://michu.nohost.me/vpnadmin/)
Normalement vpn.aquilenet.fr est déjà renseigné, de meme que 1194 en n° de port, et UDP est coché par défaut (si vous rencontrez des soucis de fiabilité, essayez en TCP).
On clique sur advanced et au minimum :
on remplace pull par client
et on commente en rajoutant un # devant comp-lzo adaptive et devant remote-cert-tls server
sinon on selectionne tout le pavé, on le supprime et on colle la partie suivante :
remote TPL:SERVER_NAME
proto TPL:PROTO
port TPL:SERVER_PORT
client
nobind
dev tun
tun-ipv6
#mssfix 1300
keepalive 10 30
#comp-lzo adaptive
persist-key
#persist-tun
- Authentication by login
TPL:LOGIN_COMMENTauth-user-pass /etc/openvpn/keys/credentials
- UDP only
TPL:UDP_COMMENTexplicit-exit-notify
- TLS
tls-client
#remote-cert-tls server
ca /etc/openvpn/keys/ca-server.crt
TPL:CERT_COMMENTcert /etc/openvpn/keys/user.crt
TPL:CERT_COMMENTkey /etc/openvpn/keys/user.key
- Logs
verb 3
mute 5
status /var/log/openvpn-client.status
log-append /var/log/openvpn-client.log
- Routing
route-ipv6 2000::/3
redirect-gateway def1
Qui est un mixage de la config par défaut et de la config du fichier aqn.ovpn
On laisse le champ IPv6 Delegated prefix non renseigné pour l'instant
On clique sur le champ Upload Server CA et on navigue dans le popup pour fournir le nouveau fichier créé précédement à partir du fichier aqn.ovpn
On valide.
Puis enfin on renseigne le username et le password du vpn qui sont fournis dans la page https://adherents.aquilenet.fr/
Mis à jour par pizzacoca il y a environ 7 ans · 1 révisions