documentation:openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision 		Révision précédente
documentation:openvpn [2014/04/06 00:20]
sthibaul créée 		documentation:openvpn [2022/05/22 07:53] (Version actuelle)
khrys [FDN]
Ligne 1: Ligne 1:
-La configuration FDN du VPN est finalement relativement simple. On a un fichier serveur.conf 
  
-    # en option, addresse sur laquelle écouter +====== Configurations OpenVPN ====== 
-    #local 80.67.169.57 + 
-     +===== Côté Client ===== 
-    port 1194 + 
-     +  * [[https://git.fdn.fr/fdn-public/wiki/-/blob/master/VPN/doc.md|Documentation FDN]] 
-    # On veut aussi de l'ipv6 + 
-    proto tcp6-server +===== Côté Serveur ===== 
-     + 
-    dev tun +Cette page liste les configurations OpenVPN utilisées par les FAI de la fédé. 
-    tun-ipv6 + 
-    push tun-ipv6 +Slides d'une présentation en AG FFDN: {{:documentation:vpn.odp|ODP}}, {{:documentation:vpn.pdf|PDF}} 
-    ca /etc/ssl/private/star.fdn.fr.chain + 
-    cert /etc/ssl/private/star.fdn.fr.crt +==== FDN ==== 
-    key /etc/ssl/private/star.fdn.fr.key + 
-     +Utilisation de radius, adressage IPv4 + IPv6 (via un plugin radius patché). Configuration : [[.:openvpn:fdn]]. 
-    # à générer avec openssl dhparam -out dh2048.pem 2048 + 
-    dh dh2048.pem +  * [[https://git.fdn.fr/fdn-public/wiki/-/blob/master/VPN/doc.md|Configuration client chez FDN]] 
-     +  * [[https://git.fdn.fr/fdn-public/wiki/-/blob/master/VPN/doc_serveur.md|Configuration serveur chez FDN]] 
-    # le serveur piochera 179.pour lui. + 
-    server 80.67.179.0 255.255.255.0 nopool +Pour RSF, on utilise un bête fichier de mots de passe, et éventuellement des fichiers .ccd pour des options spécifiques, IP fixes, etcOn passe pour ça à l'option auth-user-pass-verify le script [[https://git.fdn.fr/fdn-public/wiki/-/blob/master/VPN/doc/checkpass.txt|checkpass]] 
-    ifconfig-ipv6 2001:910:1301::1/64 2001:910:1301::1 + 
-    # Tout le monde est dans le même subnet + 
-    topology subnet +==== LDN ==== 
-     + 
-    # C'est là qu'openvpn trouvera la configuration remontée du Radius +Basé sur la config de FDN, mais sans Radius pour éviter de patcher OpenVPN pour IPv6 (configuration des clients dans des fichiers plats)Configuration et discussion des choix : [[https://wiki.ldn-fai.net/wiki/Tuto_Serveur_OpenVPN|Tuto serveur OpenVPN]] 
-    client-config-dir ccd + 
-     +==== Illyse ==== 
-    # pour les clients qui sauraient le prendre en compte + 
-    push "dhcp-option DNS 80.67.169.12" +Inspiré de la config de FDN, mais en utilisant LDAP plutôt que Radius.  Ca permet notamment de faire de l'IPv6 sans patcher OpenVPN et de configurer plusieurs subnets routés vers un client directement dans le LDAP
-    push "dhcp-option DNS 80.67.169.40" + 
-     +Modèle : tous les abonnés ont une configuration client identique, et les données spécifiques à chaque abonné (IP et DNS) sont poussés par le serveur OpenVPN. 
-    # détecter la perte de connexion de la même façons des deux côtés + 
-    ping 5 +Configuration client(s), avec en plus quelques idées de configuration avancées : https://www.illyse.org/projects/publicdocs/wiki/Vpn_doc_user 
-    ping-exit 60 + 
-    push "ping 5" +==== Aquilenet ==== 
-    push "ping-restart 60" + 
-     +On utilise le script checkpass, et on met manuellement des fichiers ccd pour les IPs fixes. 
-    persist-key + 
-    persist-tun +  * [[https://atelier.aquilenet.fr/projects/aquilenet/wiki/Configuration_VPN|Configuration client chez Aquilenet]] 
-     +  * [[https://atelier.aquilenet.fr/projects/aquilenet/wiki/Configuration_VPN_sans_brique|tutoriel configuration client chez Aquilenet]] 
-    # De quoi regarder l'état des connexions + 
-    status /var/log/openvpn-status.log 1 +==== Trucs généraux ==== 
-     + 
-    # le client s'authentifiera juste par le plugin radius +Pour faire du VPN sur n'importe quel port, il faut deux IP distinctes sur la machine ($IP_MAIN et $IP_VPN)Puis, avec iptables 
-    client-cert-not-required + 
-    username-as-common-name +  iptables -t nat -A PREROUTING -d $IP_VPN/32 -p tcp -j DNAT --to-destination $IP_MAIN:1194 
-    plugin /usr/lib/openvpn/radiusplugin.so /etc/openvpn/radiusplugin.cnf +  iptables -t nat -A PREROUTING -d $IP_VPN/32 -p udp -j DNAT --to-destination $IP_MAIN:1194 
-     +
-    # des scripts pour modifier le routage +
-    script-security 2 +
-    client-connect /etc/openvpn/client-connect +
-    client-disconnect /etc/openvpn/client-disconnect +
-    learn-addresse /etc/openvpn/client-learen-address +
-     +
-    # De quoi tuer une connexion avec +
-    # socat /var/run/openvpn.management.serveur EXEC:"echo kill foo@vpn.fdn.fr" +
-    management-client-user root +
-    management /var/run/openvpn.management.serveur unix+
  • documentation/openvpn.1396736411.txt.gz
  • Dernière modification: 2014/04/06 00:20
  • de sthibaul