====== VPN ======
Documenter la génération de clés pour les membres d'Evryone.
Le VPN d'Evryone est une machine virtuelle hébergée sur LittleBoy.
On peut y accéder depuis le réseau INT en ssh sur le port 22 ou depuis l'extérieur sur le 2222.
====== Générer les clés d'un membre ======
Pour générer les clés d'un membre (client). Voici les commandes à effectuer:
cd /etc/openvpn/easy-rsa
source vars
./build-key
Puis il faut envoyer .key, .crt et ca.crt au client qui doit les placer dans /etc/openvpn/easy-rsa/keys/.
====== Configuration côté client ======
Côté client, il faut installer openvpn.
client
port 443
dev tun
proto tcp
remote 157.159.32.30 443
nobind
ca /etc/openvpn/evryone/ca.crt
cert /etc/openvpn/evryone/sowarks.crt
key /etc/openvpn/evryone/sowarks.key
comp-lzo
cipher AES-256-CBC
auth SHA512
persist-key
persist-tun
;management 127.0.0.1 6001 #interface de management
verb 3 #range of verbosity
;daemon #daemonize vpn
; Pour avoir les bons DNS (voir plus loin pour avoir le script)
script-security 2
up /etc/openvpn/update-resolv-conf.sh
down /etc/openvpn/update-resolv-conf.sh
====== Configuration côté serveur ======
Les logs serveurs sont dans /etc/openvpn/log/openvpn-status.log .
Pour le choix du port du vpn, c'est plus compliqué:
* La DISI bloque les ports en dessous de 1240 sauf 80 en sortie (du réseau MiNET) pour le traffic adhérents
* Eduroam bloque les ports au dessus de 1024.
On a donc choisi de mettre une interface VPN sur le port 443 (fonctionne derrière le wifi et
On utilise une connexion en udp sur le port 443 et une en udp sur le 1194.
De plus il faut activer l'IP forwarding dans /etc/sysctl.conf et autoriser les changements faits: sysctl -p /etc/sysctl.conf
Le script pour lancer les règles du firewall est dans /etc/systemd/system/iptables.service . Ce script est enable et devrait donc être lancé à chaque démarrage.
--- //[[sowarks@minet.net|Yohan Pipereau]] 2017/05/26 21:25//