Line 19: |
Line 19: |
| === Conditions requises === | | === Conditions requises === |
| *Vous devez installer et activer la contribution [[BridgeInterface/fr|bridge-interface]]. | | *Vous devez installer et activer la contribution [[BridgeInterface/fr|bridge-interface]]. |
− | *Vous devez installer [[PHPki/fr]] pour gérer facilement vos certificats. | + | *Vous pouvez installer [[PHPki/fr]] pour gérer facilement vos certificats. |
− | | |
− | === Installation ===
| |
| | | |
| Pour résumer la problématique, il y a 3 paquets à installer. | | Pour résumer la problématique, il y a 3 paquets à installer. |
| | | |
− | * [[BridgeInterface|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP. | + | * [[BridgeInterface/fr|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP. |
− | * [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats. | + | * [[PHPki/fr|PHPki]] : le paquet qui servira à gérer vos certificats, si vous souhaitez les gérer avec cette contribution. |
− | * [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN. | + | * [[OpenVPN_Bridge/fr|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN. |
| | | |
− | Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de mail interne, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux SME Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.) | + | Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de courrier interne, etc.). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux serveurs SME KOOZALI ensembles (mais l’auteur de cette contribution géniale en a une autre dans ses cartons pour faire cela.) |
| | | |
| On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace. | | On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace. |
| | | |
− | ==== bridge-interface ==== | + | === Installation === |
| + | <tabs container><tab name="Pour SME 10"> |
| + | /!\ Nouveau cipher par défaut : AES-128-CBC et HMAC SHA256 ; si vous avez des problèmes, vérifier les options de configuration. |
| + | yum --enablerepo=smecontribs install smeserver-openvpn-bridge |
| | | |
− | On installe le paquet qui va créer l'interface TAP (interface réseau virtuelle).
| + | </tab> |
| + | <tab name="Pour SME 9"> |
| + | Vous devez activer le dépôt '''[[epel]]'''. |
| + | yum --enablerepo=smecontribs,epel install smeserver-openvpn-bridge |
| | | |
− | yum --enablerepo=smecontribs install smeserver-bridge-interface | + | </tab> |
| + | <tab name="Pour SME 8"> |
| + | yum --enablerepo=smecontribs install smeserver-openvpn-bridge |
| + | </tab> |
| + | </tabs> |
| | | |
| Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier. | | Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier. |
Line 48: |
Line 56: |
| tapInterface=tap0 | | tapInterface=tap0 |
| | | |
− | Au besoin vous avez [[BridgeInterface|la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin. | + | Au besoin vous avez [[BridgeInterface/fr| la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin. |
| + | |
| + | |
| + | Si vous souhaitez utiliser PHPki pour gérer vos certificats, vous devez l'installer : |
| + | yum --enablerepo=smecontribs install smeserver-phpki-ng |
| + | |
| + | Vous trouverez plus d'information sur [[PHPki/fr| cette page.]] Vous devez alors créer vos certificats '''avant''' de les configurer dans OpenVPNBridge (paragraphe suivant). |
| + | |
| + | ====Configurer les certificats==== |
| + | {{Note box|type=Note : |si vous utilisez [[PHPki]] pour gérer les certificats, vous pouvez aller [[OpenVPN_Bridge/fr#Cr.C3.A9ation_des_certificats|ici]] pour plus de détails. |
| + | Si vous mettez à jour une installation précédente, vous pouvez aller [[OpenVPN_Bridge#Migrate_previous.2Fexisting_OpenVPN_Server_certificates|ici]].}} |
| + | |
| + | Vous pouvez maintenant aller dans le gestionnaire du serveur, vous trouverez un nouveau menu « OpenVPN-Bridge » dans la rubrique « Configuration ». Là, en bas de page, vous devrez d'abord cliquer sur le lien « Configuration des certificats » et vous devrez saisir diverses informations obligatoires : |
| + | |
| + | {{Note box|type=Note : |tous les certificats doivent être encodés [http://en.wikipedia.org/wiki/Privacy_Enhanced_Mail PEM].}} |
| + | |
| + | *une URL où OpenVPN peut mettre à jour la CRL ; si vous utilisez PHPki sur le même serveur, vous pouvez laisser la valeur par défaut ; |
| + | {{Note box|type=Note : |si aucun fichier CRL valide (au format PEM) n'est trouvé à cette URL, vous recevrez un courriel toutes les heures dans la boîte aux lettres de l'administrateur.}} |
| + | |
| + | *un certificat principal (utilisé pour vérifier les certificats des clients) ; |
| + | *le certificat du serveur (utilisé par les clients pour vérifier le serveur) ; |
| + | *la clé privée du serveur associée au certificat ; |
| + | *les paramètres Diffie-Helman (utilisés pour échanger la clé de session) ; |
| + | *une clé facultative générée par OpenVPN pour ajouter l'authentification TLS. |
| + | {{Note box|type=Note : |vous pouvez laisser ce champ vide si vous ne souhaitez pas utiliser l'authentification TLS supplémentaire.}} |
| + | |
| + | Vous pouvez utiliser la contribution [[PHPki]] pour gérer cela facilement. [[PHPki]] n'a pas besoin d'être installé sur le même serveur. Vous pouvez également gérer votre PKI manuellement, ou avec votre propre outil PKI si vous en utilisez déjà un (par exemple, [http://tinyca.sm-zone.net/tinyCA]). |
| + | |
| + | Une fois que vous avez entré toutes les informations requises, il vous suffit de soumettre le formulaire. |
| + | |
| + | Vous devriez alors voir le message : |
| + | |
| + | Statut des certificats Les certificats sont prêts |
| + | |
| + | Avec « Les certificats sont prêts » en vert. Si ce n'est pas le cas, vous avez un problème avec la configuration des certificats. |
| | | |
| ==== PHPki ==== | | ==== PHPki ==== |
Line 64: |
Line 106: |
| sv u /service/httpd-pki | | sv u /service/httpd-pki |
| | | |
− | ==== smeserver-openvpn-bridge ====
| |
− |
| |
− | <tabs container><tab name="For SME 10">
| |
− | /!\ nouveaux ciphers par défaut : AES-128-GCM et HMAC SHA56 ; si vous avez des problèmes, vérifiez les options de configuration.
| |
− | yum --enablerepo=smecontribs install smeserver-openvpn-bridge
| |
− |
| |
− | </tab>
| |
− | <tab name="For SME 9">
| |
− | Il faut activer le dépôt '''[[epel]]''' :
| |
− | yum --enablerepo=smecontribs,epel install smeserver-openvpn-bridge
| |
− |
| |
− | </tab>
| |
− | <tab name="For SME 8">
| |
− | yum --enablerepo=smecontribs install smeserver-openvpn-bridge
| |
− | </tab>
| |
− | </tabs>
| |
| | | |
| ==== Commande et monitoring d'openvpn ==== | | ==== Commande et monitoring d'openvpn ==== |
Line 502: |
Line 528: |
| *'''access''': (private|public) you should let this to public as running a VPN server just for the local network make no sens | | *'''access''': (private|public) you should let this to public as running a VPN server just for the local network make no sens |
| | | |
− | *'''cipher''': (valid cipher name) You can force the cipher to use. Starting SME 10, default is AES-256-GCM . If you put auto ( or delete this key, for SME9 and before ) the default will be the current of openvpn wich is as per 2.4 :BF-CBC. Also when both client and server are at least version 2.4, they will negotiate the stronger cipher both side support. SME10 enforce the following authorized ciphers: --ncp-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC:AES-128-CBC:BF-CBC . To have the list of the supported cipher, issue the command : | + | *'''cipher''': (valid cipher name) You can force the cipher to use. Starting SME 10, default is AES-128-CBC . If you put auto ( or delete this key, for SME9 and before ) the default will be the current of openvpn wich is as per 2.4 :BF-CBC. Also when both client and server are at least version 2.4, they will negotiate the stronger cipher both side support. SME10 enforce the following authorized ciphers: --ncp-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC:AES-128-CBC:BF-CBC . To have the list of the supported cipher, issue the command : |
| | | |
| openvpn --show-ciphers | | openvpn --show-ciphers |