Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
tutoriel:connectionvpn [Le 24/07/2017, 18:05] – 213.152.161.85 | tutoriel:connectionvpn [Le 12/08/2017, 15:51] (Version actuelle) – [Le fichier client.conf] deobs | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag> | ||
+ | ----- | ||
+ | ====== Connexion VPN ====== | ||
+ | Ce tutoriel décrit comment utiliser le // | ||
+ | |||
+ | < | ||
+ | |||
+ | ===== Pré-requis ===== | ||
+ | ==== Paquets nécessaires ==== | ||
+ | Vous devez [[: | ||
+ | |||
+ | ==== Inscription à un service ==== | ||
+ | Vous devez vous inscrire chez un prestataire de service proposant un VPN de type **OpenVPN**. Vous trouverez une liste de prestataires, | ||
+ | |||
+ | Attention, certains prestataires refusent le P2P, ou le rendent impossible par des déconnexions toutes les 20 minutes ! D' | ||
+ | |||
+ | ==== Ouverture du Pare-feu ==== | ||
+ | |||
+ | Vous devrez pour les tests : | ||
+ | * soit désactiver complètement votre pare-feu (par défaut !), | ||
+ | * soit autoriser tout ce qui passe par la connexion VPN ; vous pourrez affiner cela plus tard. | ||
+ | |||
+ | Si vous utilisez FireStarter pour gérer votre [[: | ||
+ | < | ||
+ | # Autoriser tout traffic sur l' | ||
+ | $IPT -A INPUT -i tun+ -j ACCEPT | ||
+ | $IPT -A OUTPUT -o tun+ -j ACCEPT | ||
+ | </ | ||
+ | |||
+ | ==== Redirection (NATage) de port sur votre routeur (ou votre Box) ==== | ||
+ | |||
+ | Pour le service connectionVPN.com, | ||
+ | |||
+ | Pour les autres services, consultez leur F.A.Q. | ||
+ | |||
+ | Consultez la documentation de votre routeur ou de votre Box. | ||
+ | |||
+ | ===== Le fichier client.ovpn de départ ===== | ||
+ | |||
+ | Une fois inscrit auprès d'un prestataire de service VPN, vous recevrez par e-mail, ou vous téléchargerez, | ||
+ | |||
+ | <note important> | ||
+ | |||
+ | ==== Exemple de fichier client.ovpn ==== | ||
+ | |||
+ | Votre fichier // | ||
+ | < | ||
+ | # Automatically generated OpenVPN client config file | ||
+ | # Generated on < | ||
+ | # Note: this config file contains inline private keys | ||
+ | # and therefore should be kept confidential! | ||
+ | # Note: this configuration is user-locked to the username below | ||
+ | # OVPN_ACCESS_SERVER_USERNAME=< | ||
+ | # Define the profile name of this particular configuration file | ||
+ | # OVPN_ACCESS_SERVER_PROFILE=< | ||
+ | # OVPN_ACCESS_SERVER_WSHOST=< | ||
+ | # OVPN_ACCESS_SERVER_WEB_CA_BUNDLE_START | ||
+ | # -----BEGIN CERTIFICATE----- | ||
+ | # <ici un certificat> | ||
+ | # -----END CERTIFICATE----- | ||
+ | # OVPN_ACCESS_SERVER_WEB_CA_BUNDLE_STOP | ||
+ | # OVPN_ACCESS_SERVER_IS_OPENVPN_WEB_CA=1 | ||
+ | client | ||
+ | proto udp | ||
+ | nobind | ||
+ | remote < | ||
+ | port < | ||
+ | dev tun | ||
+ | dev-type tun | ||
+ | ns-cert-type server | ||
+ | reneg-sec 86400 | ||
+ | auth-user-pass | ||
+ | auth-retry interact | ||
+ | comp-lzo no | ||
+ | verb 3 | ||
+ | |||
+ | <ca> | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | < | ||
+ | -----END CERTIFICATE----- | ||
+ | </ca> | ||
+ | |||
+ | < | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | < | ||
+ | -----END CERTIFICATE----- | ||
+ | </ | ||
+ | |||
+ | <key> | ||
+ | -----BEGIN RSA PRIVATE KEY----- | ||
+ | < | ||
+ | -----END RSA PRIVATE KEY----- | ||
+ | </ | ||
+ | |||
+ | key-direction 1 | ||
+ | < | ||
+ | # | ||
+ | # 2048 bit OpenVPN static key (Server Agent) | ||
+ | # | ||
+ | -----BEGIN OpenVPN Static key V1----- | ||
+ | < | ||
+ | -----END OpenVPN Static key V1----- | ||
+ | </ | ||
+ | |||
+ | # -----BEGIN RSA SIGNATURE----- | ||
+ | < | ||
+ | # -----END RSA SIGNATURE----- | ||
+ | </ | ||
+ | |||
+ | ==== Utilisation directe ==== | ||
+ | |||
+ | Vous pouvez utiliser directement ce fichier pour établir votre connexion, afin de la tester. Pour ce faire, entrez dans un [[: | ||
+ | |||
+ | Il vous sera demandé votre mot de passe local, puis votre identifiant auprès du serveur, et enfin votre mot de passe auprès du serveur (ceux avec lesquels vous vous êtes inscrit auprès du prestataire de service VPN). | ||
+ | |||
+ | ==== Test de la connexion VPN ==== | ||
+ | |||
+ | Ouvrez votre navigateur favori sur [[http:// | ||
+ | |||
+ | ==== Clôture de la connexion VPN ==== | ||
+ | |||
+ | Tapez Ctrl-C dans le [[: | ||
+ | |||
+ | |||
+ | |||
+ | ===== Les fichiers à créer ===== | ||
+ | |||
+ | Nous devons transformer le fichier '' | ||
+ | |||
+ | ==== Le fichier client.conf ==== | ||
+ | |||
+ | Copiez le fichier **/ | ||
+ | |||
+ | Il vous faut adapter le contenu de **client.conf** en tenant compte des données de **client.ovpn**, | ||
+ | |||
+ | Vous devez obtenir un fichier '' | ||
+ | |||
+ | < | ||
+ | ################################################################### | ||
+ | # Exemple de fichier de configuration d'un client OpenVPN 2.0 # | ||
+ | # pour se connecter à un serveur multi-client. | ||
+ | # # | ||
+ | # Cette configuration peut être utilisée par plusieurs clients, | ||
+ | # chaque client devant posséder ses propres fichiers de clé (key) # | ||
+ | # et de certificat (cert). | ||
+ | # # | ||
+ | # Sous Windows, vous pourriez avoir à renommer ce fichier pour # | ||
+ | # qu'il ait une extension .ovpn # | ||
+ | ################################################################### | ||
+ | |||
+ | # Préciser que nous sommes un client et que nous allons accepter | ||
+ | # certaines directives de configuration de la part du serveur. | ||
+ | client | ||
+ | |||
+ | # Nous connectons-nous à un serveur utilisant le protocole | ||
+ | # TCP ou UDP ? | ||
+ | ;proto tcp | ||
+ | proto udp | ||
+ | |||
+ | # La plupart des clients n'ont pas besoin de lier (bind) leur | ||
+ | # connection à un numéro de port spécifique. | ||
+ | nobind | ||
+ | |||
+ | # Le nom complet (ou l'IP) et le port du serveur. | ||
+ | # Vous pouvez indiquer plusieurs serveurs (s'ils existent) pour | ||
+ | # une répartition de charge. | ||
+ | remote < | ||
+ | ;remote my-server-2 1194 | ||
+ | |||
+ | # Choisir un serveur au hasard dans la liste ci-dessus. | ||
+ | # Sinon, essayer les serveurs dans l' | ||
+ | ; | ||
+ | |||
+ | # Type d' | ||
+ | # Remarque : sur la plupart des systèmes, le VPN ne fonctionnera | ||
+ | # pas si vous ne désactivez pas partiellement ou complètement | ||
+ | # le pare-feu pour cette interface tun/tap. | ||
+ | ;dev tap | ||
+ | dev tun | ||
+ | dev-type tun | ||
+ | |||
+ | # keepalive 10 60 et ping-timer-rem, | ||
+ | # la connexion pour la relancer si elle semble coupée. | ||
+ | ;keepalive 10 60 | ||
+ | ; | ||
+ | | ||
+ | # Vérifier que le certificat du serveur a bien son champ nsCertType | ||
+ | # mis à " | ||
+ | # attaques potentielles, | ||
+ | # http:// | ||
+ | # | ||
+ | # Pour que cette protection soit effective, le serveur doit avoir | ||
+ | # généré son certificat avec un champ nsCertType mis à " | ||
+ | # (Le script build-key-server du dossier easy-rsa permet de le faire.) | ||
+ | ns-cert-type server | ||
+ | |||
+ | # Temps entre chaque régénération de clé (en sec. ; 86400 sec = 24 h) | ||
+ | reneg-sec 86400 | ||
+ | |||
+ | # L' | ||
+ | # Si on ajoute un nom de fichier (auth.conf) contenant 2 lignes, | ||
+ | # la première l' | ||
+ | # n'aura plus à les indiquer à chaque démarrage. | ||
+ | # Attention le fichier auth.conf doit avoir les droits 400 (lecture | ||
+ | # pour le propriétaire, | ||
+ | ; | ||
+ | auth-user-pass | ||
+ | |||
+ | # En cas d' | ||
+ | # - nouvel essai interactif (interact) : l' | ||
+ | # lui-même son identifiant et son mot de passe ; | ||
+ | # - nouvel essai non-interactif (nointeract) : avec les données du | ||
+ | # fichier auth.conf ; | ||
+ | # - pas de nouvel essai (none). | ||
+ | ;auth-retry none | ||
+ | ;auth-retry nointeract | ||
+ | auth-retry interact | ||
+ | |||
+ | # Active la compression des données sur le lien VPN. | ||
+ | # Ne pas activer sauf si ça l'est dans la configuration du serveur. | ||
+ | ;comp-lzo | ||
+ | comp-lzo no | ||
+ | |||
+ | # Essayer indéfiniment de résoudre le nom d' | ||
+ | # Très utile sur les ordinateurs qui ne sont pas connectés en permanence | ||
+ | # à internet, comme les portables. | ||
+ | resolv-retry infinite | ||
+ | |||
+ | # Abaisser le niveau de privilège du démon après l' | ||
+ | # la connexion (pas pour Windows). | ||
+ | ;user nobody | ||
+ | ;group nogroup | ||
+ | |||
+ | # En cas de redémarrage de la connexion, on tente de préserver les états | ||
+ | # de la clé (ne pas la relire) et de l' | ||
+ | # pour la réactiver ensuite). | ||
+ | persist-key | ||
+ | persist-tun | ||
+ | |||
+ | # Si votre connexion passe par un proxy HTTP, pour joindre le serveur OpenVPN, | ||
+ | # indiquer ici son nom (ou son IP) et son numéro de port. | ||
+ | # Cf. la man-page si votre proxy requiert une authentification. | ||
+ | ; | ||
+ | ;http-proxy [proxy server] [proxy port #] | ||
+ | |||
+ | # Paramètres SSL/TLS. | ||
+ | # Cf. la configuration du serveur OpenVPN. | ||
+ | # Il est préférable d' | ||
+ | # chaque client. Un seul et même fichier ca peut être distribué à tous les les | ||
+ | # clients. | ||
+ | ca ca.crt | ||
+ | cert client.crt | ||
+ | key client.key | ||
+ | |||
+ | # Si une clé tls-auth est requise par le serveur, chaque client doit posséder | ||
+ | # cette clé. Le numéro qui suit le nom du fichier (ta.key) est en général 0 | ||
+ | # sur le serveur et 1 sur le client. | ||
+ | tls-auth ta.key 1 | ||
+ | |||
+ | # Fichier de log | ||
+ | log / | ||
+ | |||
+ | # Verbosité du fichier de log. | ||
+ | # Niveau 3 pour le debugging. | ||
+ | # Niveau 1 suffisant lorsque tout fonctionne. | ||
+ | verb 3 | ||
+ | |||
+ | # Au plus 20 messages identiques à la suite dans le fichier de log. | ||
+ | ;mute 20 | ||
+ | |||
+ | # Les connexions WiFi (si vous en utilisez une) produisent souvent de nombreux | ||
+ | # doublons de paquets. Activer cette option pour ne pas signaler ces doublons. | ||
+ | ; | ||
+ | |||
+ | # C'est pour Windows, on s'en TAPe ! ;-) | ||
+ | # Windows needs the TAP-Win32 adapter name | ||
+ | # from the Network Connections panel | ||
+ | # if you have more than one. On XP SP2, | ||
+ | # you may need to disable the firewall | ||
+ | # for the TAP adapter. | ||
+ | ;dev-node MyTap</ | ||
+ | |||
+ | ==== Le fichier ca.crt ==== | ||
+ | |||
+ | Copiez les lignes du fichier '' | ||
+ | |||
+ | Exemple de fichier '' | ||
+ | < | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | ici le certificat, sur plusieurs lignes | ||
+ | -----END CERTIFICATE----- | ||
+ | </ | ||
+ | |||
+ | ==== Le fichier client.crt ==== | ||
+ | |||
+ | Copiez les lignes du fichier '' | ||
+ | |||
+ | Exemple de fichier '' | ||
+ | < | ||
+ | -----BEGIN CERTIFICATE----- | ||
+ | ici le certificat, sur plusieurs lignes | ||
+ | -----END CERTIFICATE----- | ||
+ | </ | ||
+ | |||
+ | ==== Le fichier client.key ==== | ||
+ | |||
+ | Copiez les lignes du fichier '' | ||
+ | |||
+ | Exemple de fichier '' | ||
+ | < | ||
+ | -----BEGIN RSA PRIVATE KEY----- | ||
+ | ici la clé privée RSA, sur plusieurs lignes | ||
+ | -----END RSA PRIVATE KEY----- | ||
+ | </ | ||
+ | |||
+ | ==== Le fichier ta.key ==== | ||
+ | |||
+ | Copiez les lignes du fichier '' | ||
+ | |||
+ | Exemple de fichier '' | ||
+ | < | ||
+ | # | ||
+ | # 2048 bit OpenVPN static key (Server Agent) | ||
+ | # | ||
+ | -----BEGIN OpenVPN Static key V1----- | ||
+ | ici la clé TLS-AUTH, sur plusieurs lignes | ||
+ | -----END OpenVPN Static key V1----- | ||
+ | </ | ||
+ | |||
+ | ==== Le fichier auth.conf (optionnel) ==== | ||
+ | |||
+ | Vous pouvez créer, si vous êtes certain de la sécurité de votre poste, un fichier '' | ||
+ | |||
+ | Pensez alors à transformer, | ||
+ | auth-user-pass | ||
+ | en : | ||
+ | auth-user-pass auth.conf | ||
+ | |||
+ | ==== Test de votre configuration ==== | ||
+ | |||
+ | Faites le même test que précédemment, | ||
+ | < | ||
+ | |||
+ | Si cela ne fonctionne pas, consultez le fichier ''/ | ||
+ | |||
+ | ===== Protection des fichiers ===== | ||
+ | |||
+ | Les fichiers que vous avez créés, et le fichier '' | ||
+ | chmod 600 client.* *.key *.crt | ||
+ | Voire, une fois les fichiers définitivement mis au point, vous pouvez les mettre en lecture seule : | ||
+ | chmod 400 client.* *.key *.crt | ||
+ | |||
+ | ===== Utilisation avec le Network Manager ===== | ||
+ | |||
+ | ==== Importation de client.conf ==== | ||
+ | |||
+ | Ouvrez l' | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Une fenêtre s' | ||
+ | |||
+ | {{http:// | ||
+ | |||
+ | ==== Paramètres avancés ==== | ||
+ | |||
+ | Cliquez sur Avancé... : | ||
+ | |||
+ | === Onglet Général === | ||
+ | |||
+ | {{: | ||
+ | |||
+ | === Onglet Sécurité === | ||
+ | |||
+ | Scrutez ce que vous a raconté openvpn, lors de vos tests, pour renseigner les champs // | ||
+ | |||
+ | {{: | ||
+ | |||
+ | === Onglet Authentification TLS === | ||
+ | |||
+ | Sélectionnez votre fichier '' | ||
+ | |||
+ | {{http:// | ||
+ | |||
+ | ==== Connexion par le Network Manager ==== | ||
+ | |||
+ | Assurez-vous de ne pas être connecté à votre VPN (fermez votre terminal de test). | ||
+ | |||
+ | En cliquant sur l' | ||
+ | |||
+ | Vous pouvez également vous déconnecter par Network-Manager : // | ||
+ | |||
+ | ===== Voir aussi ===== | ||
+ | |||
+ | * Tout ce qui concerne [[: | ||
+ | * L' | ||
+ | |||
+ | ---- | ||
+ | |||
+ | // |