WikiMiNET

La documentation technique et administrative

Outils pour utilisateurs

Outils du site

Piste:
wiki:services:openvpn:vpnprod

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
wiki:services:openvpn:vpnprod [2017/09/18 15:23]
insolentbacon 		wiki:services:openvpn:vpnprod [2019/10/03 20:49]
frazew auth-nocache c'est cancer
Ligne 10: Ligne 10:
 ==== Comment je crée mes clés? ==== ==== Comment je crée mes clés? ====
 Pour avoir ses accès sur le VPN il faut tout d'abord créer ses clés //OpenVPN//. Pour avoir ses accès sur le VPN il faut tout d'abord créer ses clés //OpenVPN//.
-Premièrement demandez à un membre de MiNET qui a déjà accès au VPN le fichier **ca.crt**.+Pour cela, vous aurez notamment besoin du fichier suivant : {{ :wiki:services:openvpn:ca.crt |}}.
    
 La première étape sera de télécharger un outil appelé __"easy-rsa"__ (logique vu que ça sera des clés RSA qui seront créées...). La première étape sera de télécharger un outil appelé __"easy-rsa"__ (logique vu que ça sera des clés RSA qui seront créées...).
Ligne 24: Ligne 24:
 Pour faire un lien symbolique: Pour faire un lien symbolique:
   ln -s openssl-1.0.0.cnf openssl.cnf   ln -s openssl-1.0.0.cnf openssl.cnf
 +  
 +Puis éditez le fichier
 +  vars
 +Par exemple en modifiant ces variables :
 +  export KEY_COUNTRY="FR"
 +  export KEY_PROVINCE="Ile-de-France"
 +  export KEY_CITY="Evry"
 +  export KEY_ORG="MiNET"
 +  export KEY_EMAIL="(user)@minet.net"
 +  export KEY_OU="Equipe"
 +
  
 Puis chargez les variables Puis chargez les variables
   source ./vars   source ./vars
      
-Mettez le **ca.crt** que on vous a filé dans le dossier keys/+Mettez le **ca.crt** que on vous a filé dans le dossier keys/ (qu'il faut créer)
 Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//). Ensuite vous allez créer votre clé ainsi qu'une demande de signature pour votre clé (//CSR: certificate signing request//).
   ./build-req ton_pseudo_ldap_en_minuscules   ./build-req ton_pseudo_ldap_en_minuscules
Ligne 34: Ligne 45:
 On vous demandera de renseigner des informations. On vous demandera de renseigner des informations.
 Le "__Common Name__" doit être votre pseudo en minuscules. Le "__Common Name__" doit être votre pseudo en minuscules.
 +(Laissez //challenge password// vide, il est mis en clair dans le fichier)
  
-Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys///+Un fichier **ton_pseudo.key** et **ton_pseudo.crt** seront créé dans le dossier //keys/// que vous devez créer auparavant
 Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l'envoyer à qui que ce soit. Le fichier en **.key** est la clé privée. Il faut la garder bien précieusement et ne jamais l'envoyer à qui que ce soit.
  
-Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)//. Par mail chiffré de préférence (mais non obligatoire). Celui-ci vous renverra votre certificat signé (le fichier **.crt** qui sera envoyé au VPN pour certifier que vous avez bien le droit d'y accéder).+Il faut envoyer le **.csr** au président ou à un membre qui détient le //CA (autorité de certification)//. Celui-ci vous renverra votre certificat signé (le fichier **.crt** qui sera envoyé au VPN pour certifier que vous avez bien le droit d'y accéder).
  
-Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers  importants: __deux__ .crt et un .key (vous pouvez supprimer le .csr, il ne vous sert plus à rien à ce moment là)+Une fois qu'on vous a renvoyé un fichier par mail, vous aurez trois fichiers  importants: __deux__ .crt ( ca.crt et pseudo.crt) et un .key (vous pouvez supprimer le .csr, il ne vous sert plus à rien à ce moment là)
  
 Vous pourrez mettre ces trois fichiers dans le dossier de votre choix et vous débarrasser de easy-rsa. Vous pourrez mettre ces trois fichiers dans le dossier de votre choix et vous débarrasser de easy-rsa.
Ligne 121: Ligne 133:
  
  
-===== Un joli de fichier de conf commenté =====+===== Un joli de fichier de conf commenté pour Linux =====
  
 <code> <code>
Ligne 165: Ligne 177:
 # to load balance between the servers. # to load balance between the servers.
 remote 157.159.40.19 443 remote 157.159.40.19 443
-;remote my-server-2 1194+remote 157.159.40.20 443
  
 # Choose a random host from the remote # Choose a random host from the remote
Ligne 251: Ligne 263:
 #  Authenticate data channel packets with SHA515 algorithm #  Authenticate data channel packets with SHA515 algorithm
 auth SHA512 auth SHA512
- 
-# Don't cache username/password 
-auth-nocache 
 </code> </code>
  
  
  
-==== Comment avoir les DNS derrière les VPNs ====+===== Comment avoir les DNS derrière les VPNs =====
  
 ; Pour avoir les bons DNS (voir plus loin pour avoir le script) ; Pour avoir les bons DNS (voir plus loin pour avoir le script)
Ligne 347: Ligne 356:
  </code>  </code>
  
-Gateway : vpn1(2).minet.net +<del>Gateway : vpn1(2).minet.net 
 +</del>
 Type : mot de passe + certificat TLS Type : mot de passe + certificat TLS
  
Ligne 356: Ligne 365:
 IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6 IMPORTANT : ne pas oublier de cocher la case tout en bas pour les options ipv6
  
-==== Comment accéder au VPN depuis Windows ?====+===== Comment regénérer la CRL ===== 
 +La CRL ou certificate revocation list, permet de révoquer des certificats. Elle est signée par le CA et doit être renouvelée régulièrement. 
 + 
 +Pour la réactualiser il faut faire: 
 +> source vars 
 +> export KEY_CN="" 
 +> export KEY_OU="" 
 +> export KEY_NAME="" 
 +> openssl ca -gencrl -out "$CRL" -config "$KEY_CONFIG" 
 + 
 +===== Comment accéder au VPN depuis Windows ?=====
  
 Installer OpenVPN sur votre machine en vous rendant à l'adresse suivante : http://openvpn.net/index.php/open-source/downloads.html Installer OpenVPN sur votre machine en vous rendant à l'adresse suivante : http://openvpn.net/index.php/open-source/downloads.html
  
 Une fois installé, rendez vous dans le dossier C:\Program Files\OpenVPN\config\ et créez un nouveaux fichier MiNET.txt . Ouvrez le et tapez : Une fois installé, rendez vous dans le dossier C:\Program Files\OpenVPN\config\ et créez un nouveaux fichier MiNET.txt . Ouvrez le et tapez :
 +<del>
 <code> <code>
 client client
Ligne 391: Ligne 410:
 ;down /usr/share/openvpn/update-resolv-conf ;down /usr/share/openvpn/update-resolv-conf
 </code> </code>
-et remplacer /*votre pseudo*/ par votre pseudo.+et remplacer /*votre pseudo*/ par votre pseudo.</del>
  
 Ensuite renommez le en MiNET.ovpn. Ensuite renommez le en MiNET.ovpn.
  
 Lancez ensuite openvpn et dans la barre d’icône en bas à droite cliquez avec le bouton droit de la souris sur l’icône openvpn et sélectionnez MiNET puis connecter. Rentrez votre login et mot de passe et c'est bon :) . Lancez ensuite openvpn et dans la barre d’icône en bas à droite cliquez avec le bouton droit de la souris sur l’icône openvpn et sélectionnez MiNET puis connecter. Rentrez votre login et mot de passe et c'est bon :) .
wiki/services/openvpn/vpnprod.txt · Dernière modification: 2020/06/27 18:16 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki