Discussion:Création d'un serveur OpenVPN
De Wiki de l'internet libre.
-- Pierre 3 août 2009 à 10:03 (UTC)
sans vouloir troll : c'est quand même super compliqué par rapport à poptop (PPTP) ! :P Même si c'est un peu plus sécurisé c'est vrai ... Et le tuto pour se connecter avec OpenVPN n'est pas encore complet non plus ... Est ce que l'intégration au système d'exploitation client est aussi "naturelle" qu'avec PPTP ? Je veux dire : est-ce que l'on voit une connexion réseau sous Windows ?
Re: -- Xbb 3 août 2009 à 10:05 (UTC)
- Avec le GUI, oui on "voit" des petits écrans qui donnent l'état de la connexion VPN. Ca va viendre ne t'en fais pas :)
Re: -- Pierre 3 août 2009 à 10:08 (UTC)
- Mais ce n'est pas directement intégré à la fenêtre "Connexions réseaux" de Windows ? Il n'y a pas moyen de l'intégrer comme un "driver" OpenVPN ? Par ailleurs, je n'ai pas vu de "comparatif" OpenVPN/PPTP ... Qu'est ce qui distingue les 2 ?
Re: Re: -- Gaelprud 4 août 2009 à 13:35 (UTC)
- PPTP s'appuie sur le protocol IP : GRE (TCP est aussi un protocol IP), ceci en fait un inconvénient majeur. Pour l'accés via un routeur wifi et/ou adsl etc... il faut que celui ci soit pptp passthroug ou GRE passthrough), sinon ça ne fonctionne pas. Donc le ptpp au mcDo, pas possible
Alors qu'openvpn s'appuie lui sur la couche applicative (comme http ou ftp), il est donc possible fonctionner via n'importe qu'elle routeur adsl/wifi et il support même les proxys!
Re: Re: Re: -- Xbb 4 août 2009 à 13:48 (UTC)
- Tu peux nous mettre ça en introduction des réseaux VPN ? Pour aider les visiteurs à choisir le type de connexion dont ils ont besoin ! --> http://free.korben.info/index.php?title=VPN&action=edit§ion=1
Re: -- Xbb 3 août 2009 à 10:16 (UTC)
- Pour la distinction, je ne pourrai pas répondre avec certitude, si ce n'est que OpenVPN utilise OpenSSL (chiffrement des communications).
- Et non ce n'est pas intégré dans cette fenêtre. Il faut lancer le GUI qui s'occupe de tout. Tu verras tout ça dans mon tuto (en cours), c'est assez simple :). Le plus compliqué est la mise en place de la config (et ça aussi, c'est relativement simple)
Re: Re: -- Pierre 4 août 2009 à 14:21 (UTC)
- je ne savais pas que GRE était un protocole à part! OpenVPN a l'air plus sympa de ce coté là alors. J'ai jeté un oeil aux fichiers de config, mais ça n'a pas l'air evident :<
Illustration du réseau virtuel -- Gaelprud 4 août 2009 à 14:47 (UTC)
XBB => peut-etre pourrais-tu mettre un petit schéma du vpn avec les ip du vpn et les autres. Afin que les lecteurs puissent identifié tout de suite les éléments qu'il faut qu'il change pour mettre en place leur serveur openvpn ?
Re: Illustration du réseau virtuel -- Xbb 4 août 2009 à 15:06 (UTC)
- Sur ce point je suis un peu embêté. Je ne suis pas certain de la visibilité de telle ou telle IP par tel ou tel membre du réseau VPN. Par exemple je sais que sur mon VPN du boulot, je peux me connecter au serveur de production de notre site web (en SSH) en l'appelant par son IP locale. Mais pourquoi suis-je capable d'appeler cette IP ? Quelles sont les permissions ? Je pourrais pinger comme ça toutes les machines en LAN avec le serveur VPN ? Ou bien juste celles qui sont connectées sur ce même réseau VPN ? Et ces IP locales sont elles les vraies, ou bien des fausses, attribuées par le serveur VPN ? Le VPN est-il un "LAN dans le LAN", ou bien simplement une extension au LAN existant ? Ou bien une passerelle entre deux LAN, qui n'en forment plus qu'un ? Tout ça est plutôt flou pour moi. Si tu as une proposition de schéma explicatif, je te laisse la main; tu as l'air de maitriser mieux que moi :)
Re: Re: Illustration du réseau virtuel -- Pierre 4 août 2009 à 16:21 (UTC)
- Si tu appelles le serveur par son IP locale (non VPN), tu passes par le reseau local. Je ne crois pas que ce soit une question de permission, mais plutot de routage. Je pense qu'on peut dire que dans ton cas le VPN est un "LAN dans le LAN". Mais quelqu'un de l'exterieur pourrait très bien se connecter au VPN.
Re: Re: Re: Illustration du réseau virtuel -- Xbb 4 août 2009 à 16:29 (UTC)
- Oh non non du tout. Le réseau VPN est en Pologne ! :) Et moi dans le 92 :). J'y accède donc "de l'extérieur".
Re: Re: Re: Illustration du réseau virtuel -- Pierre 4 août 2009 à 16:38 (UTC)
- tu as laissé activer le parametre "utiliser la passerelle par défaut pour le réseau distant" ? Ca s'apelle comme ça sous PPTP (Windows)... Ca permet de faire transiter la TOTALITE des connexions reseau du client à travers le VPN.
Re: Re: Re: Illustration du réseau virtuel -- Pierre 4 août 2009 à 16:39 (UTC)
- d'ailleurs, je pense qu'on devrait completer les tutos "client VPN" sur ce point
Re: Re: Re: Illustration du réseau virtuel -- Xbb 4 août 2009 à 16:57 (UTC)
- Tu es en train de parler du "full tunneling". C'est un peu différent. Il faut pour ça que le serveur ait quelques params de config supplémentaire (gateway etc) et le client aussi (une histoire de "route-quelquechose"). Ca se fait donc dans le fichier config d'OpenVPN (aussi bien côté client que serveur)
Re: Re: Re: Illustration du réseau virtuel -- Pierre 4 août 2009 à 17:09 (UTC)
- coté serveur c'est ça : http://free.korben.info/index.php/Configurer_une_passerelle_r%C3%A9seau . Mais coté client sous PPTP, c'est juste une case à cocher "utiliser la passerelle par défaut pour le réseau distant". Le problème, c'est que cette option est activée par défaut, et a tendance à couper Internet au client...
Re: Re: Re: Illustration du réseau virtuel -- Xbb 4 août 2009 à 17:15 (UTC)
- Je n'ai pas eu ce problème avec openvpn, étant donné que ce n'est pas windows qui gère, mais... openvpn ! Par contre j'ai eu le souci quand j'ai fait joujou à créer un pont réseau entre ma connexion normale au réseau, et ma connexion VPN. Là effectivement, dès que j'étais connecté au VPN, je n'avais plus accès à internet. Le pb aurait pu être réglé en ajoutant des règles au serveur.. peut-être.. M'enfin je n'ai jamais vu cette manipulation décrite où que ce soit sur la toile.
-- Pierre 5 août 2009 à 13:15 (UTC)
Là j'essaye de me pencher sur les certificat, pour comprendre comment ça marche.
Les fichiers .crt sont les "certificats"
Les .key sont les "clés"
Je n'ai pas bien compris le principe de certificat et de clé. C'est comme les clés publique/privée ?
A quoi servent les .csr ?
Ensuite,
j'ai des fichiers ca.* , server.* , client.*
A quoi servent les fichiers ca.* ?
Merci
Re: -- Xbb 5 août 2009 à 13:33 (UTC)
- En vrai, les extensions sont inutiles. Elles servent juste à identifier quel fichier fait quoi. Mais OpenVPN s'en fiche :). Pour le rôle des fichiers, je ne les connais pas par coeur. Mais je reprendrai tout bien. (désolé, pas eu le courage de m'y remettre hier soir... trop de boulot, trop fatigué)
Re: Re: -- Pierre 5 août 2009 à 13:39 (UTC)
- oui ça je me doute que les extensions sont juste là à titre indicatif :P Je vais continuer à chercher de mon coté.
Re: Re: Re: -- Pierre 5 août 2009 à 17:56 (UTC)
- je crois que j'ai compris ! Comme c'est dit dans le tuto, ca="Clé d'Autorité de Certification Maître". Donc en fait c'est un petit peu comme Verisign, non ? Il va certifier les certificats générés : serveur et client.
-- Pierre 6 août 2009 à 13:57 (UTC) -- Pierre 6 août 2009 à 13:57 (UTC)
pas mal d'infos ici : http://doc.ubuntu-fr.org/openvpn
-- Pierre 7 août 2009 à 09:57 (UTC)
trouvé des infos sur un paramètre :
# Maintain a record of client <-> virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. ifconfig-pool-persist ipp.txt
-- Pierre 7 août 2009 à 13:05 (UTC) -- Pierre 7 août 2009 à 13:05 (UTC)
des infos sur le chiffrage par OpenVPN : http://people.mandriva.com/~ybourhis/openvpn/index.html#Crypto_Cipher
-- Pierre 14 août 2009 à 12:59 (UTC) -- Pierre 14 août 2009 à 12:59 (UTC)
définir des ip spécifiques pour les clients http://openvpn.net/index.php/open-source/documentation/howto.html#policy
connexion uniquement avec login/password -- Pierre 18 août 2009 à 23:07 (UTC)
En parcourant un peu tout les tutos, j'ai vu qu'il était possible de se passer en grande partie de tout ce qui est "clé publique/privée". En effet, cette méthode est peut etre d'un certain point de vue la plus sécurisée, mais elle est aussi la plus lourde. J'ai donc vu qu'il était possible d'utiliser des script pour déterminer si un couple login/password peut se connecter. Par contre je n'ai pas plus d'info, car je n'ai pas trouvé de script simple et que je comprenne...
Re: connexion uniquement avec login/password -- Pierre 18 août 2009 à 23:12 (UTC)
- des infos ici : http://openvpn.net/archive/openvpn-users/2004-10/msg00418.html Il y a un script déjà fourni qui permet de se baser sur les comptes du systeme *nix
Re: connexion uniquement avec login/password -- Pierre 20 août 2009 à 22:37 (UTC)
- bon j'ai expérimenté la connexion uniquement via login/pass : ça marche.
mais il y a quelques problèmes :
- le systeme d'allocation ip fixe ne fonctionne plus
- on est obligé de rentrer A LA MAIN les login/pass à la connexion du client
