Le VPN d'Evryone est une machine virtuelle hébergée sur LittleBoy. On peut y accéder depuis le réseau INT en ssh sur le port 22 ou depuis l'extérieur sur le 2222.

Pour générer les clés d'un membre (client). Voici les commandes à effectuer:

cd /etc/openvpn/easy-rsa
source vars
./build-key <clientname>

Puis il faut envoyer <clientname>.key, <clientname>.crt et ca.crt au client qui doit les placer dans /etc/openvpn/easy-rsa/keys/.

Côté client, il faut installer openvpn.

client

port 443
dev tun
proto tcp

remote 157.159.32.30 443
nobind

ca /etc/openvpn/evryone/ca.crt
cert /etc/openvpn/evryone/sowarks.crt
key /etc/openvpn/evryone/sowarks.key

comp-lzo
cipher AES-256-CBC
auth SHA512
persist-key
persist-tun
;management 127.0.0.1 6001 #interface de management
verb 3 #range of verbosity
;daemon #daemonize vpn

; Pour avoir les bons DNS (voir plus loin pour avoir le script)
script-security 2
up /etc/openvpn/update-resolv-conf.sh
down /etc/openvpn/update-resolv-conf.sh

Les logs serveurs sont dans /etc/openvpn/log/openvpn-status.log . Pour le choix du port du vpn, c'est plus compliqué:

• La DISI bloque les ports en dessous de 1240 sauf 80 en sortie (du réseau MiNET) pour le traffic adhérents
• Eduroam bloque les ports au dessus de 1024.

On a donc choisi de mettre une interface VPN sur le port 443 (fonctionne derrière le wifi et On utilise une connexion en udp sur le port 443 et une en udp sur le 1194.

De plus il faut activer l'IP forwarding dans /etc/sysctl.conf et autoriser les changements faits: sysctl -p /etc/sysctl.conf

Le script pour lancer les règles du firewall est dans /etc/systemd/system/iptables.service . Ce script est enable et devrait donc être lancé à chaque démarrage.

— Yohan Pipereau 2017/05/26 21:25