Introduction
Dans cette section, nous verrons la configuration de OpenVPN en concentrateur VPN pour les clients roadwarrior configurés d’après ce document: RoadWarrior Client.
Préliminaires
Comme d’habitude, un système Debian Etch 4.0 à jour…. Si l’installation est fraiche et n’a pas été déjà torturé… c’est mieux… ca évite les effets de bord parfois étrange !
Pour OpenVPN, il n’y a pas de prérequis particulier, il suffit de l’installer.
Il nous faudra surtout une paire clef/certificat pour le concentrateur VPN. Pour cela, vous pouvez vous reporter aux documentations Création de l’autorité de certification et Création d’un certificat avec le CA pour générer des certificats signés par soi-même.
Configuration
Le fichier s’appelle: /etc/openvpn/serveur.conf. Il sera de la forme suivante:
# Adresse IP sur laquelle le daemon ecoute local 1.2.3.4 # utilisation de l'UDP proto udp # Fonctionnement avec une interface TUN # Pour un mode route dev tun # Le certificat du CA ca /etc/openvpn/ssl/ca_cert.pem # Le certificat et la clef du serveur cert /etc/openvpn/ssl/vpn_gateway_cert.pem key /etc/openvpn/ssl/vpn-gateway_key.pem # Parametres Diffie hellman dh dh1024.pem # Fonctionnement a la facon d'un DHCP # La plage dynamique server 172.17.0.0 255.255.255.0 # Fichier pour conserver les IPs qui ont ete allouees aux clients ifconfig-pool-persist ipp.txt # Changement de la default gateway des clients push "redirect-gateway" # Envoi aux clients d'un serveur DNS et WINS push "dhcp-option DNS 192.168.1.250" push "dhcp-option WINS 192.168.1.251" # Envoi d'une route supplementaire aux clients push "route 172.25.0.0 255.255.0.0" # Les clients peuvent se joindre entre eux. client-to-client # Maintien du tunnel # Un ping toutes les 10 secondes # On considère l'hote distant mort au bout de 120 secondes sans reponse keepalive 10 120 # Hashage du traffic tls-auth /etc/openvpn/hash.key 0 # L'algorithme utilise cipher AES-128-CBC # Activation de la compression comp-lzo # On descend les privileges du daemon apres son demarrage user nobody group nogroup # On garde certaines informations pour ne pas avoir besoin # d'y re-acceder car OpenVPN ne fonctionne plus en "root" # après le demarrage persist-key persist-tun # Le fichier de log de l'etat du daemon status /var/log/openvpn-status.log # La verbotiste du daemon verb 3 # On utilise le plugin PAM pour l'authentification des utilisateurs # La methode ssh est utilisee. plugin /usr/lib/openvpn/openvpn-auth-pam.so ssh
Rien d’autre à configurer sur le concentrateur VPN.
Activer les modifications
il ne reste plus qu’à redémarrer OpenVPN avec la commande suivante sur une Debian:
# /etc/init.d/openvpn restart
Mot de la fin
Le concentrateur VPN est maintenant configuré. Il ne reste plus qu’à s’occuper des clients. Pour cela, vous pouvez vous reportez au document: RoadWarrior Client.