3,054
edits
Changes
From SME Server
Jump to navigationJump to search→Debian Buster (v.10) XFCE
{{Languages|OpenVPN_Bridge}}
{{Languages|OpenVPN_Bridge}}
{{usefulnote}}
{{usefulnote/fr}}
<blockquote style="float: right;">[[File:openvpn.png|250px]]</blockquote><br>
<blockquote style="float: right;">[[File:openvpn.png|250px]]</blockquote><br>
===Mainteneur===
===Mainteneur===
[mailto:daniel@firewall-services.com[[User:VIP-ire|Daniel B.]]] from [http://www.firewall-services.com Firewall Services]
[mailto:daniel@firewall-services.com][[User:VIP-ire|Daniel B.]] from [http://www.firewall-services.com Firewall Services]
=== Version ===
=== Version ===
{{ #smeversion: smeserver-openvpn-bridge }}
{{#smeversion: smeserver-openvpn-bridge }}
{{ #smeversion: smeserver-bridge-interface}}
{{#smeversion: smeserver-bridge-interface}}
=== Description ===
=== Description ===
Le Serveur KOOZALI versions 7.4 (obsolète), 8 (obsolète) et 9 disposent d’une contribution de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le gestionnaire du serveur.
Le Serveur KOOZALI versions 7.4 (obsolète), 8 (obsolète) et 9 disposent d’une contribution de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le gestionnaire du serveur.
{{Note box|type=Note :|cette page ne comporte pas la traduction de la totalité de la page en anglais. Par contre, il y a des paragraphes qui ne figurent pas dans la version anglaise.}}
=== Conditions requises ===
*Vous devez installer et activer la contribution [[BridgeInterface/fr|bridge-interface]].
*Vous devez installer [[PHPki/fr]] pour gérer facilement vos certificats.
=== Installation ===
=== Installation ===
Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki.
Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki.
=== Client Linux Debian 7 Wheezy ===
=== Client Linux Debian XFCE===
Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation.
Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation.
Bien évidemment, ce post pourra resservir pour tous les autres qui ne connaissent pas la SME, les pauvres… :) bon c’est quand même du Linux.
Bien évidemment, ce post pourra resservir pour tous les autres qui ne connaissent pas la SME, les pauvres… :) bon c’est quand même du Linux.
Voici le fichier de configuration que nous pouvons télécharger de l’interface admin de la SME, pour une authentification avec échange de certificats et de mots de passe. Il est a noter que vous pouvez dire à la SME de n’utiliser que les certificats…
Voici le fichier de configuration que nous pouvons télécharger depuis le gestionnaire du serveur Koozali-SME (dans le menu Configuration/OpenVPN-Bridge/Afficher_un_fichier_de_configuration_fonctionnel_pour_les_clients), pour une authentification avec échange de certificats et de mots de passe. Il est à noter que vous pouvez dire à la SME de n’utiliser que les certificats…
[[File:Ovpn.png]]
[[File:Ovpn.png]]
en rouge et bleu les paramètres que vous devez renseigner dans N-M.
en rouge et bleu les paramètres que vous devez renseigner dans N-M.
Il va nous falloir installer les paquets qui permettent a N-M de gérer l’openvpn, vous pouvez faire une recherche graphique, sinon, il vous faudra installer ces paquets pour Gnome :
Il va nous falloir installer les paquets qui permettent à N-M de gérer l’openvpn, vous pouvez faire une recherche graphique, sinon, il vous faudra installer ces paquets pour Gnome :
apt-get install network-manager-openvpn network-manager-openvpn-gnome
Pour aller plus en avant il nous faut obtenir les 4 certificats que la Sme vous a fourni dans la gestion intégrée des certificats (PHPki)
Pour aller plus en avant, il nous faut obtenir les 4 certificats que la Sme vous a fournis dans la gestion intégrée des certificats (PHPki) :
le certificat Racine ou ca, en général nommé ca.pem
le certificat Racine ou ca, en général nommé ca.pem
une clef statique prépartagée, en général takey.pem
une clef statique prépartagée, en général takey.pem
La suite en image… Faites un clic gauche sur N-M, et sélectionner connexions VPN, puis configurez le VPN… Ensuite ajouter
Pour ce faire, toujours dans le gestionnaire du serveur, dans Sécurité / Gestion des certificats, dans le Menu de gestion des certificats, cliquer sur la ligne « Manage certificate ».
Une nouvelle page s'ouvre avec un tableau de tous les certificats. Repérer le certificat et cliquer en bout de ligne sur l'icône de téléchargement.
Une nouvelle page s'ouvre avec, à gauche une liste déroulante des différents fichiers du certificat :
# PKCS12 Bundle ;
# PEM certificate qui correspond au certificat en lui-même (environ 1,9 kio en 2048 bits) ;
# PEM key qui est la clé privé du certificat (environ 1,7 kio en 2048 bits) ;
# PEM Bundle
# PEM Bundle w/Root qui est le certificat racine ou CA (environ 5,4 kio en 2048 bits).
Attention, quand vous allez demander le téléchargement des fichiers 2, 3 et 5, les fichiers 2 et 5 vont être téléchargés sous le même nom avec l'extension .pem. Renommer rapidement le n°2 en *-cert.pem et le n°5 en *-CA.pem pour éviter toute confusion.
La clé statique pré-partagée est à télécharger en revenant au tableau PHPki : « Menu de gestion des certificats », dans l'avant-dernière ligne.
Mettre ces 4 certificats sur une clé USB, par exemple, pour pouvoir les installer sur la machine cliente.
La suite en image…
====Debian Buster (v.10) XFCE====
Le paquet Network Manager doit être installé.
Cliquer droit sur l'icône de la connexion en cours. Cela ouvre une fenêtre dont la 4e ligne s’appelle « Modifier les connexions ». Cliquer droit sur cette ligne : la fenêtre suivante s'ouvre.
[[File:Connexion_reseau_v10.png]]
Activer la ligne VPN en la sélectionnant et cliquer sur le signe + en bas à gauche de la fenêtre. Une nouvelle fenêtre s'ouvre :
[[File:Selectionner_type_v10.png]]
La fenêtre déroulante du milieu est généralement indiquée Ethernet par défaut. Descendre dans la liste pour chercher les connexions VPN et choisir OpenVPN, puis cliquer sur le bouton « Créer... ».
1. La nouvelle fenêtre suivante s'ouvre :
[[File:Modif_connex_VPN1_v10.png]]
- Donner un nom à votre connexion VPN dans le champ « Nom de la connexion » ;
- champ « Passerelle », mettre l'adresse IP de votre serveur (ou son nom : mon_serveur.com) ;
- choisir le type d'authentification à « Mot de passe avec certificats (TLS) » ;
- entrer votre nom d'utilisateur et le mot de passe associé ;
- en bout de cette ligne, cliquer sur la petite icône pour faire le choix approprié : en géréral « sauvegarder le mot d epasse pour cet utilisateur » mais en cas d'utilisation d'une authentificaton au serveur au moyen de LDAP/SSSL, il faut choisir « Enregistrer le mot de passe pour tous les utilisateurs » de l'ordinateur portable ;
- télécharger les certificats :
-- le certificat de l'utilisateur est de type : « utilisateur.pem » ;
-- le certificat du CA est du type : « utilisateur-root.pem » ;
-- la clé privée est du type : « utilisateur-key.pem ».
Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « Le mot de passe n'est pas nécessaire » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton « Enregistrer ».
Voir ci-dessous, un exemple de ce que cela doit donner :
[[File:Modif_connex_VPN1_VPN_v10.png]]
2. Puis cliquer sur l'onglet « Général » et cocher la case « Tous les utilisateurs peuvent se connecter à ce réseau » comme sur l'image ci-dessous :
[[File:Modif_connex_VPN1_General_v10.png]]
3. Si tout semble correct, appuyer sur le bouton « Enregistrer » en bas à droite pour enregistrer la configuration, puis retourner sur l'onglet VPN pour cliquer sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Général » et le configurer comme indiqué dans l'iamge ci-dessous :
[[File:Modif_connex_VPN1_advanced_general_v10.png]]
Puis cliquer sur l'onglet « Authentification TLS » et le configurer comme indiqué dans l'image ci-dessous, notamment, il faut installer la clé « takey.pem »
[[File:Modif_connex_VPN1_advanced_Auth_v10.png]]
Cliquer sur « Valider » pour enregistrer les configurations et fermer cette fenêtre.
4. On est revenu sur cette fenêtre ci-dessous sur laquelle on sélectionne l'onglet « Paramètres IPV4 » :
[[File:Modif_connex_VPN1_IPV4_v10.png]]
5. Puis on clique sur le bouton « Routes ». Une nouvelle fenêtre s'ouvre :
[[File:Modif_connex_VPN1_IPV4_routes_v10.png]]
Cocher la case « Utiliser cette connexion uniquement pour les ressources de son réseau ».
Valider. Le fenêtre se ferme.
On revient à la fenêtre précédente. Enregistrer. C’EST FINI !
====Debian Stretch (v.9) Gnome Classic====
'''''ATTENTION, CE PARAGRAPHE N'EST PAS FINI.'''''
1. Aller dans Applications/Outils système/Outils réseau
Si vous avez déjà un réseau de configuré, vous pouvez arriver à cette fenêtre :
[[File:Reseau.png|600px]]
2. Cliquer sur le bouton « + » en bas à gauche.
[[File:Ajouter.png|600px]]
3. Choisir OpenVPN, ce qui ouvre la fenêtre suivante.
[[File:Config_VPN_1.png|600px]]
- Donner un nom à votre connexion VPN dans le champ «Nom» ;
- indiquer si vous souhaitez mettre la connexion à disposition des autres utilisateurs en cochant la case ;
- mettre l'adresse IP de votre serveur suivie de «:1194» dans le champ «Passerelle» ;
- choisir le type d'authentification à «Mot de passe avec certificats (TLS)» ;
- entrer votre nom d'utilisateur et le mot de passe associé ;
- télécharger les certificats :
-- le certificat de l'utilisateur est de type : «utilisateur.pem» ;
-- le certificat du CA est du type : «utilisateur-bundle-root.pem» ;
-- la clé privée est du type : «utilisateur-key.pem».
Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « The password is not required » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton «Ajouter» ou Appliquer».
Voir ci-dessous, un exemple de ce que cela doit donner :
[[File:VPN_config_1.png|600px]]
4. Si tout semble correct, appuyer sur le bouton «Appliquer» en bas à droite pour enregistrer la configuration, puis sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Authentification TLS »
[[File:VPN_authentif_TLS.png|600]]
'''''ATTENTION : la procédure n'est pas terminée. Sera terminée prochainement.'''''
==== Debian Jessie (v.8) XFCE ====
Aller dans «Menu des applications/Paramètres/Connexions réseau». Cette fenêtre s'ouvre :
[[File:Jessie connexions reseau.png]]
Cliquer sur «+Ajouter». Une nouvelle fenêtre s'ouvre et cliquez sur la fenêtre déroulante pour valider le choix «OpenVPN» :
[[File:Jessie_choix_VPN.png]]
Puis cliquer sur le bouton «Créer...».
La suite de la procédure est identique à la procédure pour Wheezy ci-dessous.
====Debian Wheezy (v.7) Gnome Classic ====
Faites un clic gauche sur N-M, et sélectionner connexions VPN, puis configurez le VPN… Ensuite ajouter
[[File:Connexion_ajouter.png]]
[[File:Connexion_ajouter.png]]
ou
ou
service samba restart
service samba restart
===Client Windows 10===
===Client Windows 10===
Pour les systèmes Windows, vous devrez télécharger l'exécutable OpenVPN à l'adresse https://openvpn.net/index.php/download/community-downloads.html. OpenVPN contient un GUI Windows dans l'installeur.
Pour les systèmes Windows, vous devrez télécharger l'exécutable OpenVPN à l'adresse https://openvpn.net/index.php/download/community-downloads.html. OpenVPN contient un GUI Windows dans l'installeur.
Sur Windows, le répertoire de configuration pour OpenVPN est C:\Program Files\OpenVPN\config. Vous pouvez déposer là tous les fichiers nécessaires, ou créer des sous-répertoires si vous voulez configurer plusieurs connexions. Vous pouvez aussi déposer vos fichiers dans les répertoires %utilisateur\OpenVPN\config.
Sur Windows, le répertoire de configuration pour OpenVPN est C:\Program Files\OpenVPN\config. Vous pouvez déposer là tous les fichiers nécessaires, ou créer des sous-répertoires si vous voulez configurer plusieurs connexions. Vous pouvez aussi déposer vos fichiers dans les répertoires %utilisateur\OpenVPN\config.
Déposer, soit dans le répertoire de configuration, soit dans un sous-répertoire, le fichier PKCS#12 que vous avez téléchargé précédemment, et la clé secrète partagée (takey, je suppose, ndt) si vous en utilisez une sur le serveur. Puis, créer un fichier texte et changer l'extension en .ovpn (le nom n'est pas important). L'éditer avec votre éditeur de texte favori. Aller maintenant dans le panneau d'OpenVPN-Bridge et cliquer sur le lien « Afficher un fichier de configuration client fonctionnel ». Copier et coller-le dans votre fichier de configuration (.ovpn), et changer uniquement la directive pkcs12 pour qu'elle corresponde à votre nom de certificat. Sauvegarder ce fichier. Maintenant votre client devrait pouvoir se connecter avec l'interface graphique utilisateur OpenVPN.
===Client Apple Mac===
Installer tunnelblick
Cocher la case « tout le trafic IPv4 à travers le VPN ».
* Si cette option est cochée, Tunnelblick demandera à OpenVPN de router tout le trafic IPv4 à travers le serveur VPN.
* Si cette option n'est pas cochée, par défaut OpenVPN utilisera le VPN uniquement pour le trafic qui est destiné au réseau du VPN. Tout le reste du trafic utilisera la connexion internet normale sans passer par le VPN. Le comportement par défaut de OpenVPN peut être modifié dans la configuration OpenVPN ou dans le serveur VPN et peut faire que tout le trafic IPv4 soit routé vers le serveurVPN comme si cette option était cochée.
Fichier de configuration
Voici un fichier de configuration qui fonctionne mais dont la sécurité/sûreté n'a pas été testée.
client
dev tap
proto udp
remote MonServeur.com 1194
resolv-retry infinite
nobind
auth-user-pass
persist-key
persist-tun
pkcs12 MaCle.p12
tls-client
ns-cert-type server
tls-auth takey.pem 1
verb 3
=== Client Android ===
Vous ne pouvez pas utiliser le mode TAP, et donc openvpn-bridge, avec Android.
S'il vous plaît, lire ceci pour plus d'information :
https://openvpn.net/faq/why-does-the-app-not-support-tap-style-tunnels/
Vous pouvez utiliser openvpn-routed :
https://wiki.contribs.org/OpenVPN_Routed
== Solutions de contournement et problèmes connus ==
Si vous migrez de SME 8 à SME 9 et que vous ne parvenez pas à vous connecter après avoir correctement migré vos certificats, cela peut être lié à un algorithme insuffisamment sécurisé. Les notes de publication de CentOS 6.9 indiquent que "La prise en charge des protocoles et algorithmes cryptographiques non sécurisés a été abandonnée. Cela affecte l'utilisation des paramètres MD5, SHAO, RC4 et DH de moins de 1024 bits". Bien sûr, la vraie solution serait de migrer tous vos certificats vers un meilleur algorithme.
== Bogues ==
Ouvrir, svp, des bogues dans la section SME-Contribs dans [http://bugs.contribs.org/enter_bug.cgi bugzilla]
et sélectionner le composant smeserver-openvpn-bridge ou utiliser {{BugzillaFileBug|product=SME%20Contribs|component=smeserver-openvpn-bridge|title=ce lien.}}
{{#bugzilla:columns=id,product,version,status,summary |sort=id |order=desc |component=smeserver-openvpn-bridge|noresultsmessage="No open bugs found."}}
----
----
[[Category: Contrib/fr]]
[[Category: Contrib/fr]]
