Différences

Ci-dessous, les différences entre deux révisions de la page.

--- wiki:services:openvpn [2017/02/07 18:36]
debiantarte correction de mise en page
+++ wiki:services:openvpn [2020/06/27 18:16]
@@ Ligne 1: / Ligne 1: @@
-====== OpenVPN ======
-**OpenVPN** est le logiciel que nous utilisons à **MiNET** pour faire un tunnel VPN-SSL jusqu'à nos VLANs d'admin, et ce de manière sécurisée.
-  * Machines concernées : Vpn1 et Vpn2 (identiques) et vpndev.
-==== Principe de fonctionnement ====
-Le principe de fonctionnent d'un VPN est de pouvoir relier à travers Internet ou tout autre réseau d'accès un ou plusieurs réseaux locaux entre eux. En général, ce que nous voulons obtenir est une transparence entre les différents réseaux de sorte qu'un réseau local 1 situé à Evry puisse rejoindre un réseau local 2 à Nantes, le tout à travers un canal sécurisé à différents niveaux.
-==== OpenVPN à MiNET ====
-L'utilité d'OpenVPN à MiNET est double :
-  * fournir un accès sécurisé et chiffré au VLAN d'admin, sans passer par des machines dont le SSH est ouvert sur l'extérieur
-  * éviter d'avoir un point d'entrée et d'avoir des ports privilégiés à ouvrir sur l'extérieur
-Nous avons dédié deux machines, situées à deux endroits physiques différents : vpn1 et vpn2 qui nous serviront de passerelles VPN.
-Ces machines sont configurées de la manière suivante :
-  * une adresse IP dans le VLAN2 en 157.159.40.0/25 pour être accessible de l'extérieur
-  * une adresse IP dans le VLAN103 en 192.168.103.0/24 ainsi que dans tous les vlans privés de minet, il y en a tellement !
-==== Accès dev ====
-[[wiki:services:openvpn:vpndev|C'est par ici pour vos premiers accès]]
-==== Accès complet ====
-[[wiki:services:openvpn:vpnprod|C'est par ici pour les vrai accès]]
-==== PAM/LDAP ====
-Les fichiers de conf intéressantes :
-<code>
-/etc/pam_ldap.conf
-/etc/pam.d/*
-/etc/libnss-ldap.conf
-</code>
-==== Firewall ====
-La conf iptables
-<code>
-/etc/init.d/firewall
-</code>
-Ce service est sujet à des normes particulières de sécurité. Si vous souhaitez l'appeler depuis une autre machine, veuillez lire [[wiki:cluster:proxmox:firewall | cette page]]
-==== Fail2ban ====
-Conf dans
-<code>
-/etc/fail2ban/jail.conf
-</code>
-<WRAP center round info 60%>
-wiki debian:
-Rappelez vous également que le loglevel de SSHD doit absolument être positionné sur DEBUG (il arrive qu'on le passe en INFO car trop verbose lorsqu'une surveillance, par exemple monit, est placée dessus), sans quoi, Fail2ban ne bloquera rien concernant SSH.
-</WRAP>
-==== Script pratique ====
-<code>
-#!/bin/bash
-#script in /usr/bin
-echo "(1) vpn1-udp"
-echo "(2) vpn2-udp"
-echo "(3) vpn1-udp redirect-gateway"
-echo "(4) vpn2-udp redirect-gateway"
-echo "(5) vpn1-tcp"
-echo "(6) vpn2-tcp
-echo "(7) vpn1-tcp redirect-gateway"
-echo "(8) vpn2-tcp redirect-gateway"
-read valeur
-case $valeur in
-)
-        sudo openvpn /path/to/minet_vpn1.ovpn;;
-)
-        sudo openvpn /path/to/minet_vpn2.ovpn;;
-)
-        sudo openvpn --config /path/to/minet_vpn1.ovpn --redirect-gateway;;
-)
-        sudo openvpn --config /path/to/minet_vpn2.ovpn --redirect-gateway;;
-)
-        sudo openvpn /path/to/minet_vpn1_eduroam.ovpn;;
-)
-        sudo openvpn /path/to/minet_vpn2_eduroam.ovpn;;
-)
-        sudo openvpn --config /path/to/minet_vpn1_eduroam.ovpn --redirect-gateway;;
-)
-        sudo openvpn --config /path/to/minet_vpn2_eduroam.ovpn --redirect-gateway;;
-        *)
-        echo "You stupid";;
-esac
-</code>

WikiMiNET

Outils pour utilisateurs

Outils du site

Différences

Outils de la page