Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Dernière révision Les deux révisions suivantes | ||
doc:reseau:vpn:openvpn [28/07/2017 19:39] cemoi [Configuration reseau] |
doc:reseau:vpn:openvpn [17/02/2018 22:34] yaskos [Configuration reseau] |
||
---|---|---|---|
Ligne 133: | Ligne 133: | ||
<code root>nano /etc/openvpn/server.conf</code> **décommentez ou ajoutez les lignes suivantes :** | <code root>nano /etc/openvpn/server.conf</code> **décommentez ou ajoutez les lignes suivantes :** | ||
<code> | <code> | ||
+ | #On limite les droits à l'utilisateur nobody et au groupe nogroup. Attention cela n'est bon que pour les clients qui sont sur linux/unix. | ||
+ | #Pour les clients windows il faut commenter ces deux lignes | ||
user nobody | user nobody | ||
group nogroup | group nogroup | ||
+ | --- | ||
+ | #On limite le nombres de client simultanées | ||
+ | max-clients 5 | ||
+ | --- | ||
+ | #On active la compression ça permet de gagner de la bande passante et la vitesse pour tout ce qui est binaire. | ||
+ | #Attention il faut aussi que cette ligne soit dans le fichier de configuration du client openvpn | ||
+ | comp-lzo | ||
--- | --- | ||
ca /etc/openvpn/easy-rsa/keys/ca.crt | ca /etc/openvpn/easy-rsa/keys/ca.crt | ||
Ligne 202: | Ligne 211: | ||
**Activez le nouveau jeux de règle :** | **Activez le nouveau jeux de règle :** | ||
<code root>sysctl -p /etc/sysctl.d/NAT.conf</code> | <code root>sysctl -p /etc/sysctl.d/NAT.conf</code> | ||
+ | |||
+ | Quelques explications concernant la configuration du NAT sur le [[https://debian-facile.org/viewtopic.php?pid=232793#p232793|forum ici]] merci à raleur pour ces explications :) | ||
== Ajouts des règles dans iptables : == | == Ajouts des règles dans iptables : == | ||
Ligne 211: | Ligne 222: | ||
iptables -t filter -P FORWARD ACCEPT | iptables -t filter -P FORWARD ACCEPT | ||
iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT | iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT | ||
- | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | + | iptables -t nat -A POSTROUTING -o ethx(nom de votre interface) -j MASQUERADE |
- | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE | + | iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ethx(nom de votre interface) -j MASQUERADE |
</code> | </code> | ||
Pour rendre ces règles persistantes après un reboot de votre serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) : | Pour rendre ces règles persistantes après un reboot de votre serveur, il faut commencer par créer un script de chargement de règles de Firewall (ou utiliser un script existant) : | ||
Ligne 282: | Ligne 293: | ||
**Récupérer les fichiers suivant dans /etc/openvpn/easy-rsa/keys/:** | **Récupérer les fichiers suivant dans /etc/openvpn/easy-rsa/keys/:** | ||
[[doc:reseau:scp|scp : transfert de fichiers sécurisé entre machines]] | [[doc:reseau:scp|scp : transfert de fichiers sécurisé entre machines]] | ||
- | <note warning>Déconseillé d'utiliser root sur internet</note> | + | <note warning>Déconseillé d'utiliser la connexion via le compte root à travers internet!! Pour bien faire il faut mettre tout ça dans un répertoire, le compresser via targz, lui donner les droits d'un user qui est sur le client et enfin récupérer cette archive à partir du client via le user avec scp...</note> |
<code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/ca.crt /tmp/</code> | <code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/ca.crt /tmp/</code> | ||
Ligne 288: | Ligne 299: | ||
<code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/clientCert.crt /tmp/</code> | <code>scp root@ip_du_serveur:/etc/openvpn/easy-rsa/keys/clientCert.crt /tmp/</code> | ||
- | ==On copie le le fichier de configuration et certificats == | + | ==On copie le fichier de configuration et certificats == |
<code root>cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/</code> | <code root>cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/</code> | ||
Ligne 301: | Ligne 312: | ||
<code>mv /tmp/clientCert.crt /etc/openvpn/keys/</code> | <code>mv /tmp/clientCert.crt /etc/openvpn/keys/</code> | ||
- | == Modification du fichier de configuration sur le client == | + | === Modification du fichier de configuration sur le client === |
**Changer le chemin du serveur et des certificats dans /etc/openvpn/client.conf** | **Changer le chemin du serveur et des certificats dans /etc/openvpn/client.conf** | ||
Ligne 309: | Ligne 320: | ||
cert /etc/openvpn/keys/clientCert.crt | cert /etc/openvpn/keys/clientCert.crt | ||
key /etc/openvpn/keys/clientCert.key | key /etc/openvpn/keys/clientCert.key | ||
+ | #On active la compression ça permet de gagner de la bande passante et la vitesse pour tout ce qui est binaire. | ||
+ | #Attention il faut aussi que cette ligne soit dans le fichier de configuration du serveur openvpn | ||
+ | comp-lzo | ||
</code> | </code> | ||