Project

General

Profile

Actions

Yunohost VPN contournement DNS

*3.2.4.1) Forcer La Brique à utiliser les adresses DNS de notre choix et à ne pas tenir compte de celles reçues en DHCP.

On n'utilisera pas les adresses DNS d'Aquilenet, parce qu'actuellement elles ne répondent qu'aux IP d'Aquilenet, et tant qu'on n'a pas monté le vpn, on en a probablement pas, or pour monter le vpn faut bien résoudre vpn.aquilenet.fr et donc on est coincé. On utilisera donc des adresses de serveurs DNS propres et plus ouverts /permisifs ceux de FDN et /ou LDN.

Pour ce faire on se connecte en ssh avec le compte root puis on copie-colle la ligne suivante :

echo \"nameserver 80.67.169.12\">/etc/resolv.conf ;echo \"nameserver 80.67.169.40\">>/etc/resolv.conf ; chattr +i /etc/resolv.conf

ou on le fait à la main en éditant le fichier /etc/resolv.conf via la commande nano /etc/resolv.conf

On colle les deux lignes suivantes (FDN):

nameserver 80.67.169.12
nameserver 80.67.169.40

éventuellement celle-ci en plus (LDN)

nameserver 80.67.188.188

on enregistre avec Ctrl+ O et on quitte avec Ctrl+x (les vilains poilus qui savent utiliser vi sans y rester coincés sont priés de ne pas rigoler trop fort, oui, je sais c'est :wq! :) )

- Rendre le resolv.conf immuable :

chattr +i /etc/resolv.conf

*

Mise à jour du Dyndns après activation du VPN (si vous ne pouvez pas attendre les 2 minutes qui séparent chaque execution du script via un CRON :) :

yunohost dyndns update

Note : le jour où La Brique est branchée sur un réseau qui n'autorise pas le trafic vers des adresses DNS autres que les siennes, faudra y penser et passer à la méthode ci-dessous

En attendant tout le trafic DNS va vers des serveurs DNS propres et tenus par des gens raisonnablement de confiance.

*3.2.4.2) Forcer La Brique à utiliser aussi les adresses DNS qu'elle reçoit du VPN

On laisse le fichier /etc/resolv.conf dans son état initial (éventuellement on le dé protège en écriture via chattr -i /etc/resolv.conf ) et on installe le paquet resolvconf avec la commande

apt-get install resolvconf

On ajoutera à la config du vpn les lignes suivantes (elles ne servent à rien si le paquet resolvconf n'est pas installé):

script-security 2

up /etc/openvpn/update-resolv-conf

down /etc/openvpn/update-resolv-conf

La Brique essaira alors toutes les adresses DNS qu'elle connait quand elle en a besoin.

Effet de bord notable, le trafic DNS va aussi vers des serveurs DNS pas forcément propres et tenus par des gens \"pas membres de la fédé\" pour rester poli.

*3.2.4.3) Installer un serveur DNS autonome sur La Brique

A essayer pour tester.

*3.2.4.4) Config VPN Aquilenet

La config par défaut du vpn de La Brique ne convient pas pour Aquilenet, il faut procéder à quelques ajustemets.

On commence par récupérer le fichier de config aqn.ovpn sur la page : https://atelier.aquilenet.fr/projects/aquilenet/wiki/Configuration_VPN

On l'ouvre et on copie-colle dans un nouveau fichier les deux certificats entre les balises et (si un courageux ayant accès au wiki en écriture veux bien faire un fichier .crt ...)

On ouvre ensuite la page de configuration du service (https://michu.nohost.me/vpnadmin/)

Normalement vpn.aquilenet.fr est déjà renseigné, de meme que 1194 en n° de port, et UDP est coché par défaut (si vous rencontrez des soucis de fiabilité, essayez en TCP).

On clique sur advanced et au minimum :

on remplace pull par client

et on commente en rajoutant un # devant comp-lzo adaptive et devant remote-cert-tls server

sinon on selectionne tout le pavé, on le supprime et on colle la partie suivante :

remote TPL:SERVER_NAME

proto TPL:PROTO

port TPL:SERVER_PORT

client

nobind

dev tun

tun-ipv6

#mssfix 1300

keepalive 10 30

#comp-lzo adaptive

persist-key

#persist-tun

  1. Authentication by login

TPL:LOGIN_COMMENTauth-user-pass /etc/openvpn/keys/credentials

  1. UDP only

TPL:UDP_COMMENTexplicit-exit-notify

  1. TLS

tls-client

#remote-cert-tls server

ca /etc/openvpn/keys/ca-server.crt

TPL:CERT_COMMENTcert /etc/openvpn/keys/user.crt

TPL:CERT_COMMENTkey /etc/openvpn/keys/user.key

  1. Logs

verb 3

mute 5

status /var/log/openvpn-client.status

log-append /var/log/openvpn-client.log

  1. Routing

route-ipv6 2000::/3

redirect-gateway def1

Qui est un mixage de la config par défaut et de la config du fichier aqn.ovpn

On laisse le champ IPv6 Delegated prefix non renseigné pour l'instant

On clique sur le champ Upload Server CA et on navigue dans le popup pour fournir le nouveau fichier créé précédement à partir du fichier aqn.ovpn

On valide.

Puis enfin on renseigne le username et le password du vpn qui sont fournis dans la page https://adherents.aquilenet.fr/

Updated by florian.lassenay about 2 years ago · 1 revisions