Table des matières

OpenVPN

OpenVPN est le logiciel que nous utilisons à MiNET pour faire un tunnel VPN-SSL jusqu'à nos VLANs d'admin, et ce de manière sécurisée.

Principe de fonctionnement

Le principe de fonctionnent d'un VPN est de pouvoir relier à travers Internet ou tout autre réseau d'accès un ou plusieurs réseaux locaux entre eux. En général, ce que nous voulons obtenir est une transparence entre les différents réseaux de sorte qu'un réseau local 1 situé à Evry puisse rejoindre un réseau local 2 à Nantes, le tout à travers un canal sécurisé à différents niveaux.

OpenVPN à MiNET

L'utilité d'OpenVPN à MiNET est double :

Nous avons dédié deux machines, situées à deux endroits physiques différents : vpn1 et vpn2 qui nous serviront de passerelles VPN.

Ces machines sont configurées de la manière suivante :

Accès complet

C'est par ici pour les vrai accès

PAM/LDAP

Les fichiers de conf intéressants :

/etc/pam_ldap.conf
/etc/pam.d/*
/etc/libnss-ldap.conf

Firewall

La conf iptables

/etc/init.d/firewall

Ce service est sujet à des normes particulières de sécurité. Si vous souhaitez l'appeler depuis une autre machine, veuillez lire cette page

Fail2ban

Conf dans

/etc/fail2ban/jail.conf

wiki debian: Rappelez vous également que le loglevel de SSHD doit absolument être positionné sur DEBUG (il arrive qu'on le passe en INFO car trop verbose lorsqu'une surveillance, par exemple monit, est placée dessus), sans quoi, Fail2ban ne bloquera rien concernant SSH.

Script pratique

Ce script est déprécié. Le VPN n'utilise plus que TCP et n'autorise plus la redirection de la gateway.

#!/bin/bash
#script in /usr/bin
echo "(1) vpn1-udp"
echo "(2) vpn2-udp"
echo "(3) vpn1-udp redirect-gateway"
echo "(4) vpn2-udp redirect-gateway"
echo "(5) vpn1-tcp"
echo "(6) vpn2-tcp
echo "(7) vpn1-tcp redirect-gateway"
echo "(8) vpn2-tcp redirect-gateway"
read valeur

case $valeur in
        1)
        sudo openvpn /path/to/minet_vpn1.ovpn;;
        2)
        sudo openvpn /path/to/minet_vpn2.ovpn;;
        3)
        sudo openvpn --config /path/to/minet_vpn1.ovpn --redirect-gateway;;
        4)
        sudo openvpn --config /path/to/minet_vpn2.ovpn --redirect-gateway;;
        5)
        sudo openvpn /path/to/minet_vpn1_eduroam.ovpn;;
        6)
        sudo openvpn /path/to/minet_vpn2_eduroam.ovpn;;
        7)
        sudo openvpn --config /path/to/minet_vpn1_eduroam.ovpn --redirect-gateway;;
        8)
        sudo openvpn --config /path/to/minet_vpn2_eduroam.ovpn --redirect-gateway;;
        *)
        echo "You stupid";;
esac