Académique Documents
Professionnel Documents
Culture Documents
SOURCES
Man OpenVPN :
http://lehmann.free.fr/openvpn/OpenVPNMan/OpenVPNMan-1.5.0.fr.1.0.html
Howto :
http://openvpn.net/index.php/open-source/documentation/howto.html#numbering
INDEX
SOURCES.............................................................................................................................................................. 1
INDEX................................................................................................................................................................... 2
Prambule ........................................................................................................................................................... 3
1.
2.
3.
4.
5.
6.
2.1
Initialisation ......................................................................................................................................... 4
2.2
2.3
2.4
2.5
2.6
3.2
3.3
4.2
Proxy .................................................................................................................................................. 10
4.3
4.4
Routage ..................................................................................................................................................... 12
5.1
5.2
7.
8.
Erreurs ....................................................................................................................................................... 14
8.1
8.2
8.3
8.4
8.5
Prambule
Lobjectif de ce tutorial est de vous prsenter la mise en place dun VPN SSL via le logiciel
OpenVPN. Lavantage de ce type de VPN est, en plus dune scurit accrue, de ne pas tre bloqu
dans les cyber-cafs, aroports ou tout autre lieu public Notez toutefois que sur certaines
appliance avances, les connexions des sites https peuvent tre autorises sans pour
autant que le VPN SSL soit fonctionnel.
Attention ! Si votre serveur est hberg sur une plateforme virtuelle de type OpenVZ , sachez
que des manipulations supplmentaires non dtailles seront effectuer (sources ici et ici).
Linstallation du VPN seffectuera sur la version Lenny AMD64 de Debian (tlchargement ici).
1. Installation du serveur
Commencez par installer les paquets suivants (inclut bridge-utils) :
aptitude install openvpn openssl
Crez un nouveau dossier pour OpenVPN :
mkdir /etc/openvpn/easy-rsa/
Copiez les fichiers de configuration dans ce nouveau rpertoire :
cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
Modifiez les droits sur le rpertoire :
chown -R $USER /etc/openvpn/easy-rsa/
2. Configuration du serveur
2.1 Initialisation
Initialisez les variables par dfaut situes dans le fichier suivant :
nano /etc/openvpn/easy-rsa/vars
en modifiant les informations suivantes votre convenance (en bas de page) :
export KEY_COUNTRY="FR"
export KEY_PROVINCE="00"
export KEY_CITY="ville"
export KEY_ORG="organisation"
export KEY_EMAIL="mail.domaine.com"
Initialisez ensuite les variables des scripts grce la commande source :
cd /etc/openvpn/easy-rsa/
source vars
Rinitialisez le sous-dossier keys :
./clean-all
2.4.2 Paramtres
Une fois le fichier server.conf cr, adaptez le votre besoin laide de la configuration suivante :
############### CONFIG SERVEUR ###############
mode server
port 443
proto tcp-server
dev tun
############### CLEFS ET CERTIFICATS ###############
ca /etc/openvpn/ca.crt
cert /etc/openvpn/< srv_vpn_ssl >.crt
key /etc/openvpn/< srv_vpn_ssl >.key
dh /etc/openvpn/dh1024.pem
tls-auth /etc/openvpn/ta.key 0
cipher AES-128-CBC
############### PARAMETRES RESEAU ###############
# Pool d'IP des clients VPN
server 172.16. 0.0 255.255.255.0
#Paramtre DNS
push "dhcp-option DNS 8.8.8.8"
# Routage intgral du trafic via le tunnel VPN
push "redirect-gateway def1 bypass-dhcp"
############### LOGS ###############
# Niveau log
verb 4
# Type de log
log openvpn.log
# Etat du serveur
status openvpn-status.log
############### AUTRES ###############
# Ping toute les 10s et arrt au bout de 2min
keepalive 10 120
# Activation compression ( activer galement cot client)
comp-lzo
# Limites l'accs certaines ressources lors du redmarrage
persist-key
persist-tun
2.4.3 Vrifications
Une fois votre fichier de configuration termin, excutez la commande suivante pour vrifier sa
configuration :
cd /etc/openvpn
openvpn server.conf
Attention ! Excutez cette commande quaprs avoir copi votre fichier de configuration. Dans le
cas contraire lerreur du point 8.2 apparatra.
2.5 Gnration des clefs et certificats
Pour terminer, gnrez le certificat et la clef pour lutilisateur pierre :
cd /etc/openvpn/easy-rsa/
./build-key pierre
3. Installation du client
3.1 Client Windows OpenVPN GUI
3.1.1 Installation
Le client sera install sur un Windows 7 SP1 x64. Pour cela :
Tlcharger et installez le client OpenVPN ici
Acceptez lajout dune carte rseau de type TAP-Win32
Tlchargement
9
4. Configuration du client
4.1 Fichier de configuration client
Crez un fichier nomm config.ovpn et copiez les paramtres suivants en les adaptant votre
besoin :
############### CLEFS ET CERTIFICATS ###############
cert <user>.crt
key <user>.key
ca ca.crt
tls-auth ta.key 1
tls-client
cipher AES-128-CBC
persist-key
persist-tun
;tls-remote <X509>
############### RESEAU ###############
remote <nom de domaine> 443
redirect-gateway def1
dev tun
resolv-retry 1
proto tcp-client
############### AUTRES ###############
verb 3
comp-lzo
pull
nobind
4.2 Proxy
Si vous passez par un serveur proxy, vous devrez ajouter les lignes ci-dessous dans votre fichier de
configuration client. Quant au fichier authfile.txt , il devra contenir sur deux lignes votre login et
votre mot de passe. Enfin, noubliez pas de NE PAS renseigner de proxy dans votre navigateur.
############### PROXY ###############
;http-proxy <IP proxy> <port> authfile.txt basic OU ;http-proxy <IP proxy> <port> stdin basic
;http-proxy-retry
;http-proxy-option AGENT "Mozilla/5.0 (Windows; U; Windows NT 6.1; fr; rv:1.9.2.13)
Gecko/20101203 Firefox/3.6.13 GTB7.1"
10
4.3.2 Connexion
11
5. Routage
5.1 Routage interne
5.1.1 Activation du forwarding
Activez le routage de faon permanente :
nano /etc/sysctl.conf
Et d-commentez la ligne ci-dessous :
net.ipv4.ip_forward=1
Vrification de ltat du routage (0 : dsactiv, 1 : activ) :
cat /proc/sys/net/ipv4/ip_forward
ou
sysctl net.ipv4.ip_forward
6. Scurisation du serveur
6.1 Rvocation des certificats
Si vous souhaitez rvoquer un certificat utilisateur, excutez la commande suivante et redmarrez
le service OpenVPN :
Dans server.conf, ajouter la ligne suivante :
crl-verify easy-rsa/keys/crl.pem
Initialiser la variable easy-rsa :
source /etc/openvpn/easy-rsa/rsa
Rvoquer le certificat du client :
./revoke-full <user>
service openvpn restart
12
7. Logs et dbogage
Pour redmarrer le service OpenVPN :
/etc/init.d/openvpn restart
Pour vrifier que le service OpenVPN est bien lanc :
ps aux | grep openvpn
Pour afficher les processus utilisant le port 443 :
cat /etc/services|grep 443
Pour afficher les logs :
tail -f /etc/openvpn/openvpn.log
Pour afficher les interfaces rseau (dont tun0) :
ifconfig
13
8. Erreurs
8.1 Logfile client
Lors du lancement de lapplication (XP ou Seven), lerreur suivante peut apparatre :
14
Cette erreur vient du fait que vous navez pas spcifi le protocole utiliser (UDP ou TCP). Hors si
aucun paramtre nest spcifi, lUDP est utilis par dfaut. Vrifiez alors la prsence des
paramtres proto tcp-client et proto tcp-server dans vos fichiers de configuration.
15