859
edits
Changes
Jump to navigation
Jump to search
Line 11:
Line 11: − + + + + + − + − − === Installation === − + − + − + − + − + + + + − On installe le paquet qui va créer l'interface TAP (interface réseau virtuelle).+ + + + − + + + + + Line 44:
Line 56: − + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Line 60:
Line 106: − ==== smeserver-openvpn-bridge ==== − − Et enfin on installe le serveur VPN : − − yum --enablerepo=smecontribs install smeserver-openvpn-bridge Line 183:
Line 224: − + Line 230:
Line 271: − + − + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Line 266:
Line 370: − + Line 272:
Line 376: − + + + + + − + + + + + + + + + + + + + + + + + + Line 391:
Line 516: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + Line 400:
Line 609: + + + + + + + + + + + +
no edit summary
{{#smeversion: smeserver-bridge-interface}}
{{#smeversion: smeserver-bridge-interface}}
=== Description ===
=== Description ===
Le Serveur KOOZALI versions 7.4 (obsolète), 8 (obsolète) et 9 disposent d’une contribution de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le gestionnaire du serveur.
Le Serveur KOOZALI versions 7.4 (obsolète), 8 (obsolète), 9 (obsolète) et 10 disposent d’une contribution de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le gestionnaire du serveur.
{{Note box|type=Note :|cette page ne comporte pas la traduction de la totalité de la page en anglais. Par contre, il y a des paragraphes qui ne figurent pas dans la version anglaise.}}
{{Note box|type=Note :|cette page ne comporte pas la traduction de la totalité de la page en anglais. Par contre, il y a des paragraphes qui ne figurent pas dans la version anglaise.}}
OpenVPN est une solution VPN SSL open source complète qui s'adapte à un large éventail de configurations, y compris l'accès à distance, les VPN de site à site, la sécurité Wi-Fi et les solutions d'accès à distance à l'échelle de l'entreprise avec équilibrage de charge, basculement, et des contrôles d'accès précis. Partant du principe fondamental que la complexité est l'ennemi de la sécurité, OpenVPN offre une alternative économique et légère aux autres technologies VPN qui est bien ciblée pour les marchés des PME et des entreprises.
Cette contribution vous aidera à configurer OpenVPN en mode bridge. Avec ce mode, les clients se connectant au VPN depuis l'extérieur obtiendront une adresse IP dans le sous-réseau local, le VPN et l'interface interne sont pontés. Il n'y a pas de problème de routage, pas de règles supplémentaires de pare-feu. L'inconvénient est que vous ne pouvez pas limiter les services auxquels les clients VPN ont accès, ils sont simplement traités comme des ordinateurs connectés localement.
=== Conditions requises ===
=== Conditions requises ===
*Vous devez installer et activer la contribution [[BridgeInterface/fr|bridge-interface]].
*Vous devez installer et activer la contribution [[BridgeInterface/fr|bridge-interface]].
*Vous devez installer [[PHPki/fr]] pour gérer facilement vos certificats.
*Vous pouvez installer [[PHPki/fr]] pour gérer facilement vos certificats.
Pour résumer la problématique, il y a 3 paquets à installer.
Pour résumer la problématique, il y a 3 paquets à installer.
* [[BridgeInterface|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP.
* [[BridgeInterface/fr|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP.
* [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats.
* [[PHPki/fr|PHPki]] : le paquet qui servira à gérer vos certificats, si vous souhaitez les gérer avec cette contribution.
* [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
* [[OpenVPN_Bridge/fr|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de mail interne, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux SME Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de courrier interne, etc.). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux serveurs SME KOOZALI ensembles (mais l’auteur de cette contribution géniale en a une autre dans ses cartons pour faire cela.)
On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace.
On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace.
==== bridge-interface ====
=== Installation ===
<tabs container><tab name="Pour SME 10">
/!\ Nouveau cipher par défaut : AES-128-CBC et HMAC SHA256 ; si vous avez des problèmes, vérifier les options de configuration.
yum --enablerepo=smecontribs install smeserver-openvpn-bridge
</tab>
<tab name="Pour SME 9">
Vous devez activer le dépôt '''[[epel]]'''.
yum --enablerepo=smecontribs,epel install smeserver-openvpn-bridge
yum --enablerepo=smecontribs install smeserver-bridge-interface
</tab>
<tab name="Pour SME 8">
yum --enablerepo=smecontribs install smeserver-openvpn-bridge
</tab>
</tabs>
Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier.
Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier.
tapInterface=tap0
tapInterface=tap0
Au besoin vous avez [[BridgeInterface|la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin.
Au besoin vous avez [[BridgeInterface/fr| la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin.
Si vous souhaitez utiliser PHPki pour gérer vos certificats, vous devez l'installer :
yum --enablerepo=smecontribs install smeserver-phpki-ng
Vous trouverez plus d'information sur [[PHPki/fr| cette page.]] Vous devez alors créer vos certificats '''avant''' de les configurer dans OpenVPNBridge (paragraphe suivant).
====Configurer les certificats====
{{Note box|type=Note : |si vous utilisez [[PHPki]] pour gérer les certificats, vous pouvez aller [[OpenVPN_Bridge/fr#Cr.C3.A9ation_des_certificats|ici]] pour plus de détails.
Si vous mettez à jour une installation précédente, vous pouvez aller [[OpenVPN_Bridge#Migrate_previous.2Fexisting_OpenVPN_Server_certificates|ici]].}}
Vous pouvez maintenant aller dans le gestionnaire du serveur, vous trouverez un nouveau menu « OpenVPN-Bridge » dans la rubrique « Configuration ». Là, en bas de page, vous devrez d'abord cliquer sur le lien « Configuration des certificats » et vous devrez saisir diverses informations obligatoires :
{{Note box|type=Note : |tous les certificats doivent être encodés [http://en.wikipedia.org/wiki/Privacy_Enhanced_Mail PEM].}}
*une URL où OpenVPN peut mettre à jour la CRL ; si vous utilisez PHPki sur le même serveur, vous pouvez laisser la valeur par défaut ;
{{Note box|type=Note : |si aucun fichier CRL valide (au format PEM) n'est trouvé à cette URL, vous recevrez un courriel toutes les heures dans la boîte aux lettres de l'administrateur.}}
*un certificat principal (utilisé pour vérifier les certificats des clients) ;
*le certificat du serveur (utilisé par les clients pour vérifier le serveur) ;
*la clé privée du serveur associée au certificat ;
*les paramètres Diffie-Helman (utilisés pour échanger la clé de session) ;
*une clé facultative générée par OpenVPN pour ajouter l'authentification TLS.
{{Note box|type=Note : |vous pouvez laisser ce champ vide si vous ne souhaitez pas utiliser l'authentification TLS supplémentaire.}}
Vous pouvez utiliser la contribution [[PHPki]] pour gérer cela facilement. [[PHPki]] n'a pas besoin d'être installé sur le même serveur. Vous pouvez également gérer votre PKI manuellement, ou avec votre propre outil PKI si vous en utilisez déjà un (par exemple, [http://tinyca.sm-zone.net/tinyCA]).
Une fois que vous avez entré toutes les informations requises, il vous suffit de soumettre le formulaire.
Vous devriez alors voir le message :
Statut des certificats Les certificats sont prêts
Avec « Les certificats sont prêts » en vert. Si ce n'est pas le cas, vous avez un problème avec la configuration des certificats.
==== PHPki ====
==== PHPki ====
sv u /service/httpd-pki
sv u /service/httpd-pki
==== Commande et monitoring d'openvpn ====
==== Commande et monitoring d'openvpn ====
Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki.
Une fois validé, votre certificat est créé, et vous pouvez en disposer dans le menu « manage certificates » de phpki.
=== Client Linux Debian Gnome===
=== Client Linux Debian XFCE===
Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation.
Texte copié à partir de la page de Stephdl [http://geekeries.de-labrusse.fr/?p=235] sur la configuration de network-manager, avec son aimable autorisation.
La suite en image…
La suite en image…
====Debian Stretch (v.9) Gnome Classic====
====Debian Buster (v.10) XFCE====
'''''ATTENTION, CE PARAGRAPHE N'EST PAS FINI.'''''
Le paquet Network Manager (network-manager) doit être installé.
Cliquer droit sur l'icône de la connexion en cours. Cela ouvre une fenêtre dont la 4e ligne s’appelle « Modifier les connexions ». Cliquer droit sur cette ligne : la fenêtre suivante s'ouvre.
[[File:Connexion_reseau_v10.png]]
Activer la ligne VPN en la sélectionnant et cliquer sur le signe + en bas à gauche de la fenêtre. Une nouvelle fenêtre s'ouvre :
[[File:Selectionner_type_v10.png]]
La fenêtre déroulante du milieu est généralement indiquée Ethernet par défaut. Descendre dans la liste pour chercher les connexions VPN et choisir OpenVPN, puis cliquer sur le bouton « Créer... ».
1. La nouvelle fenêtre suivante s'ouvre :
[[File:Modif_connex_VPN1_v10.png]]
- Donner un nom à votre connexion VPN dans le champ « Nom de la connexion » ;
- champ « Passerelle », mettre l'adresse IP de votre serveur (ou son nom : mon_serveur.com) ;
- choisir le type d'authentification à « Mot de passe avec certificats (TLS) » ;
- entrer votre nom d'utilisateur et le mot de passe associé ;
- en bout de cette ligne, cliquer sur la petite icône pour faire le choix approprié : en géréral « sauvegarder le mot de passe pour cet utilisateur » mais en cas d'utilisation d'une authentificaton au serveur au moyen de LDAP/SSSL, il faut choisir « Enregistrer le mot de passe pour tous les utilisateurs » de l'ordinateur portable ;
- télécharger les certificats :
-- le certificat de l'utilisateur est de type : « utilisateur.pem » ;
-- le certificat du CA est du type : « utilisateur-root.pem » ;
-- la clé privée est du type : « utilisateur-key.pem ».
Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « Le mot de passe n'est pas nécessaire » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivante en cliquant sur le bouton « Enregistrer ».
Voir ci-dessous, un exemple de ce que cela doit donner :
[[File:Modif_connex_VPN1_VPN_v10.png]]
2. Puis cliquer sur l'onglet « Général » et cocher la case « Tous les utilisateurs peuvent se connecter à ce réseau » comme sur l'image ci-dessous :
[[File:Modif_connex_VPN1_General_v10.png]]
3. Si tout semble correct, appuyer sur le bouton « Enregistrer » en bas à droite pour enregistrer la configuration, puis retourner sur l'onglet VPN pour cliquer sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Général » et le configurer comme indiqué dans l'image ci-dessous :
[[File:Modif_connex_VPN1_advanced_general_v10.png]]
Puis cliquer sur l'onglet « Authentification TLS » et le configurer comme indiqué dans l'image ci-dessous, notamment, il faut installer la clé « takey.pem »
[[File:Modif_connex_VPN1_advanced_Auth_v10.png]]
Cliquer sur « Valider » pour enregistrer les configurations et fermer cette fenêtre.
4. On est revenu sur cette fenêtre ci-dessous sur laquelle on sélectionne l'onglet « Paramètres IPV4 » :
[[File:Modif_connex_VPN1_IPV4_v10.png]]
5. Puis on clique sur le bouton « Routes ». Une nouvelle fenêtre s'ouvre :
[[File:Modif_connex_VPN1_IPV4_routes_v10.png]]
Cocher la case « Utiliser cette connexion uniquement pour les ressources de son réseau ».
Valider. Le fenêtre se ferme.
On revient à la fenêtre précédente. Enregistrer. C’EST FINI !
====Debian Stretch (v.9) Gnome Classic ou XFCE====
1. Aller dans Applications/Outils système/Outils réseau
1. Aller dans Applications/Outils système/Outils réseau
-- la clé privée est du type : «utilisateur-key.pem».
-- la clé privée est du type : «utilisateur-key.pem».
Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option «The password is not required» sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton «Ajouter» ou Appliquer».
Même si on n'utilise pas de «'''mot de passe pour la clé privée»''', il faut cliquer sur la petite icône à droite du champ pour sélectionner l'option « The password is not required » sinon, il n'est pas possible de sauvegarder la configuration, ce qu'il faut faire avant de passer à la phase suivant en cliquant sur le bouton «Ajouter» ou Appliquer».
Voir ci-dessous, un exemple de ce que cela doit donner :
Voir ci-dessous, un exemple de ce que cela doit donner :
[[File:VPN_config_1.png|600px]]
[[File:VPN_config_1.png|600px]]
4. Si tout semble correct, appuyer sur le bouton «Appliquer» en bas à droite pour enregistrer la configurtaion, puis sur le bouton «Advanced». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet «Authentification TLS»
4. Si tout semble correct, appuyer sur le bouton «Appliquer» en bas à droite pour enregistrer la configuration, puis sur le bouton « Advanced ». Une fenêtre s'ouvre avec 4 onglets. Cliquer sur l'onglet « Général » et le configurer comme indiqué dans l’image ci-dessous :
[[File:OpenVPN_9_Options_avancees_general.png]]
Puis cliquer sur l'onglet « Authentification TLS »
[[File:VPN_authentif_TLS.png|600]]
[[File:VPN_authentif_TLS.png|600]]
'''''ATTENTION : la procédure n'est pas terminée. Sera terminée prochainement.'''''
Cocher les 2 cases comme sur la photo puis cliquer sur la fenêtre déroulante « Fichier de clé » pour aller chercher le fichier takey.pem.
Même manipulation sur la ligne du dessous pour choisir la direction de la clé à 1.
Puis cliquer sur « Valider » pour enregistrer les configurations et on revient à la fenêtre :
[[File:VPN_config_1.png|600px]]
4. Sur cette fenêtre ci-dessus, on sélectionne l'onglet « Paramètres IPV4 » :
[[File:OpenVPN_9_para_IPV4.png]]
5. Puis on clique sur le bouton « Routes ». Une nouvelle fenêtre s'ouvre :
[[File:OpenVPN_9_routes_IPV4.png]]
Cocher la case « Utiliser cette connexion uniquement pour les ressources de son réseau ». Valider. Le fenêtre se ferme. On revient à la fenêtre précédente. Enregistrer.
C’EST FINI !
==== Debian Jessie (v.8) XFCE ====
==== Debian Jessie (v.8) XFCE ====
https://wiki.contribs.org/OpenVPN_Routed
https://wiki.contribs.org/OpenVPN_Routed
== Advanced configuration ==
Some advanced options are not presented in the panel. The goal was to keep the panel as simple as possible as most installations won't need to change advanced settings. But advanced options are still available with some DB keys:
*'''ConfigRequired''': (enabled|disabled). If set to enable, clients will be rejected unless a configuration rule match the common name of their certificate. This can be useful if you use just one CA to sign a lot of different certificates, but only want a limited number of certificates to connect to the VPN
*'''UDPPort''': (number) Change the port the server listen to when running in UDP mode
*'''TCPPort''': (number) Change the port the server listen to when running in TCP mode
*'''access''': (private|public) you should let this to public as running a VPN server just for the local network make no sens
*'''cipher''': (valid cipher name) You can force the cipher to use. Starting SME 10, default is AES-128-CBC . If you put auto ( or delete this key, for SME9 and before ) the default will be the current of openvpn wich is as per 2.4 :BF-CBC. Also when both client and server are at least version 2.4, they will negotiate the stronger cipher both side support. SME10 enforce the following authorized ciphers: --ncp-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC:AES-128-CBC:BF-CBC . To have the list of the supported cipher, issue the command :
openvpn --show-ciphers
*'''clientToClient''': (enabled|disabled) If you want to prevent two clients to communicate, you should enable this option
*'''duplicateCN''': (enabled|disabled) If you want to allow several clients to connect simultaneously using the same certificate, you need to enable this option (default is disabled)
*'''compLzo''': (enabled|disabled) This option control the usage of real time LZO compression. Enabling it usually improve the performance at no cost. It uses an adaptive algorithm, if data sent over the tunnel are uncompress-able, the compression will automatically be disabled. You may want to disable it on small hardware.
*'''management''': (<ip to bind to>:<port>:<password>) this key control the management interface of OpenVPN. The default is to listen only on the loopback interface. It's used to display connected clients. You can allow the access on the local network to get some more statistics using for example: http://www.mertech.com.au/mertech-products-openvpnusermanager.aspx
*'''maxClients''': (number) maximum number of clients connected at a time
*'''mtuTest''': (enabled|disabled) When using UDP as transport protocol, mtu-test will measure the best MTU for the virtual interface. You should let it enabled unless you know what you're doing
*'''protocol''': (udp|tcp) The transport protocol to use. UDP is recommended for both security and performance, but there are situations where you'll need to use TCP. If you use TCP, you should set TCPPort directive to set the port the daemon will listen on (instead of UDPPort)
*'''redirectGW''': (perClient|always) The default is to enable the gateway redirection on a per client basis. But if you want the redirection to be always enabled, you can set this key to "always". This way, you won't have to create a new rule for each client.
*'''tapIf''': (tap interface) use this tap interface. You should use a free tap interface enslaved in the bridge interface (configured with the [http://wiki.contribs.org/BridgeInterface#Installation bridge-interface] contrib). Do not change this setting unless you know what you're doing
Also you can also set the property PushRoute "disabled" to any network in networks db to avoid the contrib to push the network to the client.
Once you have configured the service like you want, just run the command
signal-event openvpn-bridge-update
== Désinstallation ==
Pour enlever la contribution, lancer seulement :
yum remove smeserver-openvpn-bridge
Vous pouvez également vouloir retirer les autres dépendances si vous ne les utilisez plus :
yum remove smeserver-phpki phpki smeserver-bridge-interface perl-Net-OpenVPN-Manage perl-Net-Telnet
==Notes ==
=== OpenVPN and SME installed in virtual machine - VMWare promiscuous mode ===
By default for all version of ESX(i) starting from 3.5 to 7.0 (current in february 2020) VMWare rejects packets in promiscuous mode on the vSwitch, which will cause trouble with OpenVPN in bridge mode. The main symptom is that after successful authentication from your remote client you can ping/reach only the OpenVPN server while any other ip address on the LAN can't be pinged/reached. To correct this in VMWare set:
Configuration > Networking > your vSwitch: Properties > Ports-tab > vSwitch > Edit > Security-tab > Promiscuous mode: accept
For ESXI hypervisor still working with vSphere client:
[[File:Promiscuous_mode_-_Esxi.jpg|786x786px]]
For ESXI greater than 6.5 using webui client:
[[File:Promiscuous mode - Webui.jpg|border|frameless|784x784px]]
=== OpenVPN and SME installed in virtual machine - Virtualbox promiscuous mode ===
There is the same thing in virtualbox, you need to give the argument "allow all" in the network tab configuration.
virtual machine > configuration > network > adapter 1
choose adapter type "intel pro 1000....."
then put attached to on "bridged adapter" on your default NIC
click on advanced
then put promiscuous mode on "allow all"
[[Image:virtualbox-Sme8-Settings.png]]<br />
=== OpenVPN and SME installed in virtual machine - Other hypervisors ===
It's documented that you can experience such problems in other hypervisors like OVirt, Proxmox, XEN or others. Keep in mind to search for equivalent settings concerning "promiscuous mode" of vSwitch.
=== Transparent proxy settings ===
{{Note box|Keep in mind you need to disabled your transparent proxy else your host can no longer browse the http protocol.}}
go to the server-manager>Proxy services and disabled http and smtp proxy
[[Image:proxy-setting.png|width|800px]]<br />
== Solutions de contournement et problèmes connus ==
== Solutions de contournement et problèmes connus ==
{{#bugzilla:columns=id,product,version,status,summary |sort=id |order=desc |component=smeserver-openvpn-bridge|noresultsmessage="No open bugs found."}}
{{#bugzilla:columns=id,product,version,status,summary |sort=id |order=desc |component=smeserver-openvpn-bridge|noresultsmessage="No open bugs found."}}
=== Journal des modifications ===
Seules les versions publiées dans smecontribs sont répertoriées ici.
{{ #smechangelog: smeserver-openvpn-bridge}}
==Autres articles dans cette catégorie==
{{#ask: [[Category:VPN]]}}
----
[[Category:Administration:VPN]]
[[Category:VPN]]
----
----
[[Category: Contrib/fr]]
[[Category: Contrib/fr]]