TP Openvpn (1)

1-premire approche
mettre en place 2 machines linux debian 7 : C le client, S le serveur

sur un mme rseau (NAT vmware)

C rusit "pinger" S

S et C russissent accder au rseau externe

accs au WeB ventuellement via un proxy
export http_proxy=http://194.199.90.160:3128/ puis w3m www.ibisc.fr/~petit
ping 194.199.90.1 OK

avec le package openvpn install sur chacune

avec les packages wireshark, tcpdump et xbase-clients installs sur chacune

noter l'ip de votre serveur (on l'appellera IP_SERVEUR)

idem pour le client (IP_CLIENT)

lancer openvpn sur les 2 :

sur le serveur : openvpn --port 6789 --dev tun1 --ifconfig 192.168.10.1 192.168.10 .10
--verb 5
vrifiez l'existence de l'interface virtualle tun1
sur le client openvpn: openvpn --remote IP_SERVEUR --port 6789 --dev tun1 --ifconfig
192.168.10.10 192.168.10 .1 --verb 5
validez "ping 192.168.10.1" depuis le client
arrivez-vous tablir une connexion ssh sur le serveur sur l'ip 192.168.10.1 ?

2-avec fichier de configuration

reprenez la maquette prcdente mais faites en sorte que les options d'openvpn soient dans un
fichier de configuration et que le lancement d'openvpn soit fait automatiquement au dmarrage.

port serveur 1194

La page de manuel d'openvpn contient un exemple de fichier de configuration minimal qu'il suffira
d'adapter notamment en supprimant la ligne secret ... . :
# Sample OpenVPN configuration file for
# using a pre-shared static key.

# '#' or ';' may be used to delimit comments.

# Use a dynamic tun device.
dev tun
# Our remote peer
remote IPSERVER
# 10.1.0.1 is our local VPN endpoint
# 10.1.0.2 is our remote VPN endpoint
ifconfig 10.1.0.1 10.1.0.2
# Our pre-shared static key
secret static.key
sur le serveur :

changer les ip de la ligne ifconfig par rapport au client

supprimer la ligne remote

Note :

pensez remplacer IPSERVER par l'ip de votre serveur openvpn. :-)

votre fichier doit avoir un nom finissant par .conf

dans /etc/defaults/openvpn, dcommenter la ligne AUTOSTART="NONE" (et redmarrer la

machine et seulement le service openvpn)

3-tude du routage (1)

on considre la maquette suivante : on notera x.y.z.0 le rseau NAT de vmware (dpend de la
configuration du logiciel vmware sur votre poste)

+---------------+
| routeur vmware|
| ip x.y.z.2

+---------------+
|
NAT ------+----------------------+--------------+--------|

+-----+----+
| IP x.y.z.10
|

C10

+-----+----------+

IP x.y.z.3

S3

+----------+

|IP 192.168.20.3 |
+----------------+
|

interne (Host Only)

------+---------------+-----------|
+-----+------------+
| IP 192.168.20.5
|

S5 (serveur ssh)|

+------------------+
les machines C10 et S3 doivent avoir accs au rseau interne (WeB via proxy, ping vers
194.199.90.1).
S5 est un serveur interne l'entreprise.
vrifiez :

ping S3 depuis C10

ping S5 depuis S3

ping 194.199.90.1 depuis S3 et C10

Mettez en place un vpn entre C10 et S3. notez ci-dessous les ips de C10 et S3 sur le vpn :

IP S3 sur le VPN :

IP C10 sur le VPN :

affichez la table de routage de C10 l'aide de la commande netstat -rn .

que donne ping ipS5 depuis C10 ? expliquez et corrigez le problme.

Faites en sorte que C10 puisse se connecter en ssh sur S5 en passant par le vpn.

4-tude du routage (2)

On vous demande de complter l'infrastructure de l'entreprise de la faon suivante :

S3 est serveur dns cache

un serveur dns interne est install sur le rseau interne

il gre la zone interne.tp.org
il utilise S3 (192.168.20.3) comme forwarder
toutes les ip internes de l'entreprise correspond un nom en @interne.tp.org
toutes les machines internes de l'entreprise utilisent ce dns comme serveur dns

pour obtenir a, vous tes libres soit d'installer un logiciel dns sur S5 soit de crer une autre
machine avec ce dns (cas typique si vous tes plus l'aise avec un dns windows qu'avez un logiciel
dns unix).
arrivez-vous vous connecter en ssh sur s5.interne.tp.org depuis C10 ? pourquoi ? comment
corriger ce problme ?

5-tude du routage (3)

on souhaite maintenant que tout le trafic, y compris le trafic vers internet passe par le vpn.
proposez une mthode pour obtenir ce rsultat.
Aprs avoir modifi votre fichier de configuration pour la mettre en uvre, affichez la table de
routage de votre poste client et expliquez chacune de ses entres.