Viper61's Wiki

Outils pour utilisateurs

Outils du site

Vous êtes ici: Bienvenue » OpenVPN
openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision 		Révision précédente
openvpn [02/09/2015 01:00]
viper61 Correction des règles iptables 		openvpn [20/02/2016 17:08]
viper61 easy-rsa
Ligne 2: Ligne 2:
 ===== Installation ===== ===== Installation =====
 Pour l'installation, rien de plus simple. Nous l'effectuons depuis les dépôts officiel Debian. On s'assure cependant que notre liste de paquets est à jour : Pour l'installation, rien de plus simple. Nous l'effectuons depuis les dépôts officiel Debian. On s'assure cependant que notre liste de paquets est à jour :
-  # apt-get update && apt-get install openvpn+  # apt-get update && apt-get install openvpn easy-rsa
  
 ===== Configuration ===== ===== Configuration =====
Ligne 8: Ligne 8:
 On commence la configuration avec **Easy RSA**, installé en même temps que notre **OpenVPN**. On créer le dossier puis l'on copie ce dont nous avons besoin avant de nous rendre dans notre nouveau dossier : On commence la configuration avec **Easy RSA**, installé en même temps que notre **OpenVPN**. On créer le dossier puis l'on copie ce dont nous avons besoin avant de nous rendre dans notre nouveau dossier :
   # mkdir /etc/openvpn/easy-rsa/   # mkdir /etc/openvpn/easy-rsa/
-  # cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/+  # cp -r /usr/share/easy-rsa/* /etc/openvpn/easy-rsa/
   # cd /etc/openvpn/easy-rsa   # cd /etc/openvpn/easy-rsa
  
Ligne 62: Ligne 62:
 On doit maintenant s'occuper du routage. En effet, pour le moment nos clients n'ont pas la possibilité d’accéder au réseau public. Pour rendre cette action possible, nous allons utiliser les possibilités de routage de linux en exècutant la commande suivante, pour donner le droit de router à chaud : On doit maintenant s'occuper du routage. En effet, pour le moment nos clients n'ont pas la possibilité d’accéder au réseau public. Pour rendre cette action possible, nous allons utiliser les possibilités de routage de linux en exècutant la commande suivante, pour donner le droit de router à chaud :
   sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'   sh -c 'echo 1 > /proc/sys/net/ipv4/ip_forward'
-Pour que ce réglage soit persistant il faut l'indiquer dans le fichier de configuration **/etc/sysctl.conf** en dé-commentant la ligne **net.ipv4.ip_forward = 1**+Pour que ce réglage soit persistant il faut l'indiquer dans le fichier de configuration **/etc/sysctl.conf** en dé-commentant les lignes 
 +  net.ipv4.ip_forward = 1 
 +  net.ipv4.conf.default.rp_filter=1 
 +  net.ipv4.conf.all.rp_filter=1 
 +Puis en y ajoutant ''net.ipv4.conf.tun0.rp_filter=1''
  
 Il ne nous reste que les règles de routage à faire Il ne nous reste que les règles de routage à faire
Ligne 68: Ligne 72:
   iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT   iptables -A FORWARD -i tun0 -o venet0 -j ACCEPT
   iptables -t nat -A POSTROUTING -s 10.8.6.0/24 -o venet0 -j MASQUERADE   iptables -t nat -A POSTROUTING -s 10.8.6.0/24 -o venet0 -j MASQUERADE
 +  ip6tables -t raw -A PREROUTING -m rpfilter --invert -j DROP
 +
 +Sur le poste client, nous ajouterons également deux plugins permettant de bloquer tous les paquets UDP entrants via une interface différente de celle du VPN : https://github.com/ValdikSS/openvpn-block-incoming-udp-plugin \\
 +Ainsi que les fuites DNS : https://github.com/ValdikSS/openvpn-fix-dns-leak-plugin
  
 ==== Fichier serveur ==== ==== Fichier serveur ====
Ligne 78: Ligne 86:
   tcp-nodelay   tcp-nodelay
   dev tun   dev tun
-  tun-mtu 1200 
-  ;fragment 1300 
-  ;mssfix 
-  mtu-disc yes 
   comp-lzo   comp-lzo
   persist-key   persist-key
openvpn.txt · Dernière modification: 18/09/2016 02:54 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki