Changes

From SME Server
Jump to navigationJump to search
105 bytes removed ,  08:03, 6 July 2010
m
no edit summary
Line 10: Line 10:     
=== Description ===
 
=== Description ===
 
+
SME Server version 7.4 dispose d’une contribs de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le server-manager.
La sme-server version 7.4 dispose d’une contribs de Firewall services (FIREWALL-SERVICES) permettant d’obtenir un serveur Open-Vpn facilement utilisable d’un point de vue graphique….
  −
c’est la magie de cette distribution ;)
      
=== Installation ===
 
=== Installation ===
Line 18: Line 16:  
pour résumer la problématique il y a 3 paquets à installer
 
pour résumer la problématique il y a 3 paquets à installer
   −
     * [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur openvpn.
+
     * [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
     * [[BridgeInterface|bridge-interface]] : le paquet qui créer le TAP sur votre carte réseau externe.
+
     * [[BridgeInterface|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP.
 
     * [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats.
 
     * [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats.
   −
Le serveur Open-vpn sera de type road warrior, c’est a dire qu’il attribuera une IP de votre réseau local à l’ordinateur qui initiera une connexion, autrement dis vous aurez accès à toutes les services accessibles depuis votre réseau local (partage de fichier, intranet, service de mail interne, etc, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux Sme-Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
+
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de mail interne, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux SME Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
    
on y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de firewall-services).…spéciale dédicace.
 
on y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de firewall-services).…spéciale dédicace.
Line 28: Line 26:  
==== bridge-interface ====
 
==== bridge-interface ====
   −
on installe le paquet qui va créer le TAP (interface réseau virtuelle)
+
on installe le paquet qui va créer l'interface TAP (interface réseau virtuelle)
    
  yum --enablerepo=smecontribs install smeserver-bridge-interface
 
  yum --enablerepo=smecontribs install smeserver-bridge-interface
Line 85: Line 83:  
=== Création des certificats ===
 
=== Création des certificats ===
   −
Il va nous falloir créer le certificat racine qui va permettre de signer tous les autres certificats, aussi pour cela nous utiliserons le menu que vous pouvez voir dans le menu de la Sme-server (https://IP-DU-SERVEUR/server-manager) « Gestion des certificats »
+
Il va nous falloir créer le certificat racine qui va permettre de signer tous les autres certificats, aussi pour cela nous utiliserons le menu que vous pouvez voir dans le menu de la SME Server (https://IP-DU-SERVEUR/server-manager) « Gestion des certificats »
   −
Ce menu servira donc pour manager, révoquer et toutes les autres opérations qui concerneront des certificats (pas seulement pour openvpn….). On vous propose deux formats de certificats.
+
Ce menu servira donc pour manager, révoquer et toutes les autres opérations qui concerneront des certificats (pas seulement pour OpenVPN….). On vous propose deux formats de certificats.
   −
     * PKCS12 (c’est un bundle qui englobe plusieurs certificats, pour l’instant seul le GUI d’openvpn pour windows l’utilise)
+
     * PKCS12 (c’est un bundle qui englobe le certificat utilisateur, sa clef privée, et le certificat racine)
     * PEM (qui peuvent etre utilisés par Network-manager)
+
     * PEM (qui peuvent être utilisés par Network-manager)
    
==== Certificat racine ====
 
==== Certificat racine ====
Line 119: Line 117:  
*'''Common Name''': c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
 
*'''Common Name''': c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
 
*'''Email address''': l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
 
*'''Email address''': l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
*'''Organization, Department, Locality, State and Country''': les champs devraient avoir les valeurs que vous avez entré lorsque vous avez créé votre PKY. Vous pouvez laisser ces valeurs.
+
*'''Organization, Department, Locality, State and Country''': les champs devraient avoir les valeurs que vous avez entré lorsque vous avez créé votre PKI. Vous pouvez laisser ces valeurs.
*'''Password: Ce champ doit être vide. Rappelez-vous que OpenVPN démon démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.'''
+
*'''Password: Ce champ doit être vide. Rappelez-vous que le démon OpenVPN démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.'''
 
*'''Certificate life''': Entrez ce que vous voulez, mais rappelez-vous, lorsque le certificat expire, vous devrez en créer un autre, et le mettre à jour dans le menu OpenVPN Bridge de la SME.
 
*'''Certificate life''': Entrez ce que vous voulez, mais rappelez-vous, lorsque le certificat expire, vous devrez en créer un autre, et le mettre à jour dans le menu OpenVPN Bridge de la SME.
 
*'''Key size''': vous pouvez entrer ce que vous voulez (j’utilise 2048 en général). Le plus grand utilisera un peu plus de puissance processeur lorsque la clé de session sera négocié (à la connexion, et une fois par heure)
 
*'''Key size''': vous pouvez entrer ce que vous voulez (j’utilise 2048 en général). Le plus grand utilisera un peu plus de puissance processeur lorsque la clé de session sera négocié (à la connexion, et une fois par heure)
Line 156: Line 154:  
dans ce menu vous avez la possibilité
 
dans ce menu vous avez la possibilité
   −
* de controler le serveur VPN (start/stop)
+
* de contrôler le serveur VPN (start/stop)
 
* de choisir le mode d’authentification (certificat ou certificat+mot de passe)
 
* de choisir le mode d’authentification (certificat ou certificat+mot de passe)
 
* de fixer la plage d’IP que le serveur attribuera aux PC qui se connecteront (elles doivent faire partie de votre réseau et ne pas appartenir a la plage attribuée au DHCP)
 
* de fixer la plage d’IP que le serveur attribuera aux PC qui se connecteront (elles doivent faire partie de votre réseau et ne pas appartenir a la plage attribuée au DHCP)

Navigation menu