Outils pour utilisateurs
Catégories
Catégories:
OpenVPN : Installation
Aujourd'hui, les derniers exemples de nos dirigeants nous donnent encore une très bonne raison d'utiliser OpenVPN, mais principalement il va permettre d'anonymiser les connexions d'un utilisateur (chambre d'hôtel, télé-travail, de passer un serveur proxy un peu chiant 
, de faire une LAN party, …), de faire son cloud privé sécurisé avec comme accès le réseau VPN, de voir un site distant, … .
Comme vous pouvez le voir dans mes exemples, il y a pleins de raison d'utiliser ce genre d'outils, mais pour moi la vraie raison sa licence GNU GPL ce qui est à mon sens la liberté 
J'ai réalisé cette article avec une distribution Linux Debian 8, mais c'est faisable sur d'autres en adaptant 
Prérequis :
Avant de commencer, l'installation d'OpenVPN nécessite la résolution des dépendances de celui-ci, mais pas que, nous allons aussi préparer la création de la PKI et de la compilation d'OpenVPN
aptitude install liblzo2-2 liblzo2-dev libssl-dev openssl libpam0g-dev dh-autoreconf git gcc g++
compilation
Télécharger les sources openvpn source
tar -xvzf openvpn-2.3.6.tar.gz cd openvpn-2.3.6
La compilation n'a rien de bien compliqué
autoreconf -i -v -f ./configure --enable-strict --prefix=/usr/local make
autoreconf : la commande permet de mettre à jour les fichiers de configuration générés
./configure : On regroupe dans cette catégorie les macros liées à la configuration préalable et à la compilation d'une application.
Les petites options :
- –enable-strict : active le mode débogage “warnings”
make : Le but de l'utilitaire make est de déterminer automatiquement quelles sont les parties d'un gros programme qu'il faut recompiler, et d'exécuter les commandes appropriées
Une fois la compilation terminer nous allons effectuer un test et après on passe à l'installation
make check make install
L'infrastructure à clés publiques "PKI" (Easy-rsa version 3)
Désormais, Easy-RSA n'est plus fourni en bundle avec OpenVPN, il doit être récupéré depuis un dépôt Git.
git clone https://github.com/OpenVPN/easy-rsa
Alors, libre à vous de faire cela sur la même machine, pour des raisons de facilité, j'ai volontairement fait sur la même machine et même mis à coter du fichier de configuration pour un but pratique (on est d'accord tout ce qui est pratique n'est pas forcément sécurisé ), mais dans un environnement de production on veillera à ne pas faire cela.
), mais dans un environnement de production on veillera à ne pas faire cela.
cd easy-rsa cp vars.example vars
Éditer le fichier vars copié, décommenter et modifier les paramètres suivants:
set_var EASYRSA_REQ_COUNTRY "US" set_var EASYRSA_REQ_PROVINCE "California" set_var EASYRSA_REQ_CITY "San Francisco" set_var EASYRSA_REQ_ORG "Copyleft Certificate Co" set_var EASYRSA_REQ_EMAIL "me@example.net" set_var EASYRSA_REQ_OU "My Organizational Unit"
Initialisez la PKI et construisez le CA.
cd /etc/openvpn/easy-rsa ./easyrsa init-pki ./easyrsa build-ca
Ensuite il y a 2 méthode :
méthode long, mais on maitrise LOL
Générer une requête de certificat et une paire de clés.
./easyrsa gen-req <nom-du-serveur> [nopass]
Utilisez l'option [nopass] pour ne pas être embêté pour une passphrase (option recommandée pour le serveur, mais déconseillée pour les clients).
Faite de même sur chacun des clients :
./easyrsa gen-req <nom-du-client>
souvenez vous de la passphrase, car elle vous sera demandée à la connexion
Transférez ensuite chacun des fichiers .req (générés dans pki/reqs/) sur le serveur PKI.
cp pki cp reqs/* ../
Sur la PKI, importez ces demandes.
./easyrsa import-req /chemin/vers/<nom-du-client>.req <nom-court-unique>
dans mon exemple :
./easyrsa import-req /etc/openvpn/easy-rsa/toto.req toto
Puis, s'il s'agit d'un .req serveur, signez la demande avec :
./easyrsa sign server <nom-court-unique>
pour un client :
./easyrsa sign client <nom-court-unique>
Méthode rapide
La commande suivante va générer et signer automatiquement les certificats clients et serveur
Création du certificat serveur :
./easyrsa build-server-full <nom-du-serveur> [nopass]
Création d'un certificat client :
./easyrsa build-client-full <nom-du-client> [nopass]
Une fois terminé, retournez dans le répertoire d'easy-rsa et générez les paramètres Diffie-Hellman :
./easyrsa gen-dh
Sur le serveur OpenVPN
les fichiers suivant vous serons nécessaire :
| nom du fichier | details |
|---|---|
| ca.crt | certificat de l'autorité de certification |
| serveur.key | fichier contenant la clé RSA privé du serveur |
| serveur.crt | certificat x509 pour une durée de validité de 10 ans et auto-signé |
| dh.pem | contient les paramètres Diffie-Hellman, en gros c'est une clé |
Placer ces fichiers à la racine de votre serveur OpenVPN (/etc/openvpn)
Voilà l'installation est finie, j'ai segmenté l'article pour que vous puissiez le digéré et me poser des questions, la configuration est très simple et surtout il existe plusieurs configurations possibles donc cela me permettra d'essayer de traités cela dans d'autres articles.
Articles en lien : OpenVPN : configuration tun avec authentification PAM
sources: OpenVPN easy-rsa 3 man OpenVPN wiki OpenVPN
0 Comments
Comments :
Outils de la page
Sauf mention contraire, le contenu de ce site est placé sous les termes de la licence suivante: GNU Free Documentation License 1.3
