OpenVPN – RoadWarrior Server

Introduction

Dans cette section, nous verrons la configuration de OpenVPN en concentrateur VPN pour les clients roadwarrior configurés d’après ce document: RoadWarrior Client.

 

Préliminaires

Comme d’habitude, un système Debian Etch 4.0 à jour…. Si l’installation est fraiche et n’a pas été déjà torturé… c’est mieux… ca évite les effets de bord parfois étrange !

Pour OpenVPN, il n’y a pas de prérequis particulier, il suffit de l’installer.

Il nous faudra surtout une paire clef/certificat pour le concentrateur VPN. Pour cela, vous pouvez vous reporter aux documentations Création de l’autorité de certification et Création d’un certificat avec le CA pour générer des certificats signés par soi-même.

 

Configuration

Le fichier s’appelle: /etc/openvpn/serveur.conf. Il sera de la forme suivante:

# Adresse IP sur laquelle le daemon ecoute
local 1.2.3.4

# utilisation de l'UDP
proto udp

# Fonctionnement avec une interface TUN
# Pour un mode route
dev tun

# Le certificat du CA
ca /etc/openvpn/ssl/ca_cert.pem
# Le certificat et la clef du serveur
cert /etc/openvpn/ssl/vpn_gateway_cert.pem
key /etc/openvpn/ssl/vpn-gateway_key.pem

# Parametres Diffie hellman
dh dh1024.pem

# Fonctionnement a la facon d'un DHCP
# La plage dynamique
server 172.17.0.0 255.255.255.0

# Fichier pour conserver les IPs qui ont ete allouees aux clients
ifconfig-pool-persist ipp.txt

# Changement de la default gateway des clients
push "redirect-gateway"

# Envoi aux clients d'un serveur DNS et WINS
push "dhcp-option DNS 192.168.1.250"
push "dhcp-option WINS 192.168.1.251"

# Envoi d'une route supplementaire aux clients
push "route 172.25.0.0 255.255.0.0"

# Les clients peuvent se joindre entre eux.
client-to-client

# Maintien du tunnel
# Un ping toutes les 10 secondes
# On considère l'hote distant mort au bout de 120 secondes sans reponse
keepalive 10 120

# Hashage du traffic
tls-auth /etc/openvpn/hash.key 0

# L'algorithme utilise
cipher AES-128-CBC

# Activation de la compression
comp-lzo

# On descend les privileges du daemon apres son demarrage
user nobody
group nogroup

# On garde certaines informations pour ne pas avoir besoin
# d'y re-acceder car OpenVPN ne fonctionne plus en "root"
# après le demarrage
persist-key
persist-tun

# Le fichier de log de l'etat du daemon
status /var/log/openvpn-status.log

# La verbotiste du daemon
verb 3

# On utilise le plugin PAM pour l'authentification des utilisateurs
# La methode ssh est utilisee.
plugin /usr/lib/openvpn/openvpn-auth-pam.so ssh

Rien d’autre à configurer sur le concentrateur VPN.

 

Activer les modifications

il ne reste plus qu’à redémarrer OpenVPN avec la commande suivante sur une Debian:

# /etc/init.d/openvpn restart

 

Mot de la fin

Le concentrateur VPN est maintenant configuré. Il ne reste plus qu’à s’occuper des clients. Pour cela, vous pouvez vous reportez au document: RoadWarrior Client.

 

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Gravatar
Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Annuler

Connexion à %s