665
edits
Changes
Jump to navigation
Jump to search
mLine 10:
Line 10: − + − La sme-server version 7.4 dispose d’une contribs de Firewall services (FIREWALL-SERVICES) permettant d’obtenir un serveur Open-Vpn facilement utilisable d’un point de vue graphique…. − c’est la magie de cette distribution ;) Line 18:
Line 16: − + − + − + Line 28:
Line 26: − + Line 85:
Line 83: − + − + − + − + Line 119:
Line 117: − + − + Line 156:
Line 154: − +
no edit summary
=== Description ===
=== Description ===
SME Server version 7.4 dispose d’une contribs de Firewall Services permettant d’obtenir un serveur [http://openvpn.net OpenVPN] utilisable facilement, avec une page d'administration dans le server-manager.
=== Installation ===
=== Installation ===
pour résumer la problématique il y a 3 paquets à installer
pour résumer la problématique il y a 3 paquets à installer
* [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur openvpn.
* [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
* [[BridgeInterface|bridge-interface]] : le paquet qui créer le TAP sur votre carte réseau externe.
* [[BridgeInterface|bridge-interface]] : le paquet qui crée un pont entre l'interface interne et une interface TAP.
* [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats.
* [[PHPki|PHPki]] : le paquet qui servira à gérer vos certificats.
Le serveur Open-vpn sera de type road warrior, c’est a dire qu’il attribuera une IP de votre réseau local à l’ordinateur qui initiera une connexion, autrement dis vous aurez accès à toutes les services accessibles depuis votre réseau local (partage de fichier, intranet, service de mail interne, etc, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux Sme-Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de mail interne, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux SME Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
on y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de firewall-services).…spéciale dédicace.
on y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de firewall-services).…spéciale dédicace.
==== bridge-interface ====
==== bridge-interface ====
on installe le paquet qui va créer le TAP (interface réseau virtuelle)
on installe le paquet qui va créer l'interface TAP (interface réseau virtuelle)
yum --enablerepo=smecontribs install smeserver-bridge-interface
yum --enablerepo=smecontribs install smeserver-bridge-interface
=== Création des certificats ===
=== Création des certificats ===
Il va nous falloir créer le certificat racine qui va permettre de signer tous les autres certificats, aussi pour cela nous utiliserons le menu que vous pouvez voir dans le menu de la Sme-server (https://IP-DU-SERVEUR/server-manager) « Gestion des certificats »
Il va nous falloir créer le certificat racine qui va permettre de signer tous les autres certificats, aussi pour cela nous utiliserons le menu que vous pouvez voir dans le menu de la SME Server (https://IP-DU-SERVEUR/server-manager) « Gestion des certificats »
Ce menu servira donc pour manager, révoquer et toutes les autres opérations qui concerneront des certificats (pas seulement pour openvpn….). On vous propose deux formats de certificats.
Ce menu servira donc pour manager, révoquer et toutes les autres opérations qui concerneront des certificats (pas seulement pour OpenVPN….). On vous propose deux formats de certificats.
* PKCS12 (c’est un bundle qui englobe plusieurs certificats, pour l’instant seul le GUI d’openvpn pour windows l’utilise)
* PKCS12 (c’est un bundle qui englobe le certificat utilisateur, sa clef privée, et le certificat racine)
* PEM (qui peuvent etre utilisés par Network-manager)
* PEM (qui peuvent être utilisés par Network-manager)
==== Certificat racine ====
==== Certificat racine ====
*'''Common Name''': c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
*'''Common Name''': c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
*'''Email address''': l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
*'''Email address''': l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
*'''Organization, Department, Locality, State and Country''': les champs devraient avoir les valeurs que vous avez entré lorsque vous avez créé votre PKY. Vous pouvez laisser ces valeurs.
*'''Organization, Department, Locality, State and Country''': les champs devraient avoir les valeurs que vous avez entré lorsque vous avez créé votre PKI. Vous pouvez laisser ces valeurs.
*'''Password: Ce champ doit être vide. Rappelez-vous que OpenVPN démon démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.'''
*'''Password: Ce champ doit être vide. Rappelez-vous que le démon OpenVPN démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.'''
*'''Certificate life''': Entrez ce que vous voulez, mais rappelez-vous, lorsque le certificat expire, vous devrez en créer un autre, et le mettre à jour dans le menu OpenVPN Bridge de la SME.
*'''Certificate life''': Entrez ce que vous voulez, mais rappelez-vous, lorsque le certificat expire, vous devrez en créer un autre, et le mettre à jour dans le menu OpenVPN Bridge de la SME.
*'''Key size''': vous pouvez entrer ce que vous voulez (j’utilise 2048 en général). Le plus grand utilisera un peu plus de puissance processeur lorsque la clé de session sera négocié (à la connexion, et une fois par heure)
*'''Key size''': vous pouvez entrer ce que vous voulez (j’utilise 2048 en général). Le plus grand utilisera un peu plus de puissance processeur lorsque la clé de session sera négocié (à la connexion, et une fois par heure)
dans ce menu vous avez la possibilité
dans ce menu vous avez la possibilité
* de controler le serveur VPN (start/stop)
* de contrôler le serveur VPN (start/stop)
* de choisir le mode d’authentification (certificat ou certificat+mot de passe)
* de choisir le mode d’authentification (certificat ou certificat+mot de passe)
* de fixer la plage d’IP que le serveur attribuera aux PC qui se connecteront (elles doivent faire partie de votre réseau et ne pas appartenir a la plage attribuée au DHCP)
* de fixer la plage d’IP que le serveur attribuera aux PC qui se connecteront (elles doivent faire partie de votre réseau et ne pas appartenir a la plage attribuée au DHCP)