Il existe une superbe Contribs de Firewall Service qui permet de faire du road-warrior avec openVPN. En d’autres termes vos utilisateurs qui se trouvent de l’autre coté du World Wide Web pourront avoir accès à votre réseau local de manière sécurisée, et donc ils pourront bénéficier des stockage en ligne ou autres services que vous ne voulez pas ouvrir au Web….(cela peut être aussi la messagerie mail).
je ne détaillerai pas ici la configuration du serveur openVPN, cela fera l’objet d’un autre post, je me concentrerai sur le paramétrage de Network-Manager (N-M) qui lui n’est pas forcément détaillé.
N-M est un GUI (Graphical User Interface) originellement développé par Red Hat Entreprise Linux, pour gérer les interfaces réseaux sous Linux….cela va de votre carte filaire, à celle de votre wifi, en passant par les réseaux 3G et bien sur la gestion des VPN (et pas seulement OPENVPN)
Bien évidemment ce post pourra resservir pour tous les autres qui ne connaissent pas la SME, les pauvres…. :) bon c’est quand même du Linux.
voici le fichier de configuration que nous pouvons telecharger de l’interface admin de la sme, pour une authentification avec échange de certificats et de mots de passe. Il est a noter que vous pouvez dire à la sme de n’utiliser que les certificats….
rport 1194 proto udp dev tap nobind remote nom-d-host-de-votre-serveur.org tls-client tls-auth takey.pem 1 ns-cert-type server auth-user-pass # Replace user.p12 with the certificate # bundle in PKCS12 format pkcs12 user.p12 # You can replace the pkcs12 # directive with the old ones #ca cacert.pem #cert user.pem #key user-key.pem mtu-test comp-lzo pull
en rouge et bleu les parametres que vous devez renseigner dans N-M.
Il va nous falloir installer les paquets qui permettent a N-M de gerer l’openvpn, vous pouvez faire une recherche graphique, sinon, il vous faudra installer ces paquets pour gnome
aptitude install network-manager-openvpn network-manager-openvpn-gnome
Pour aller plus en avant il nous faut obtenir les 4 certificats que la Sme vous a fourni dans la gestion intégrée des certificats (phpky)
- le certificat Racine ou ca, en général nommé ca.pem
- le certificat de l’utilisateur, en général user.pem
- la clef privée de l’utilisateur, en général user-key.pem
- une clef statique prépartagée, en général takey.pem
La suite en image….faite un clic gauche sur N-M, et sélectionner connexions VPN, puis configurez le VPN…..ensuite ajouter
Il vous faut choisir quel type de Vpn vous voulez paramétrer
et renseigner toutes les variables soulignées en rouge dans le fichier de configuration, ensuite cliquer sur Avancé
Renseigner comme ci dessous, puis aller sur authentification TLS
on renseigne la takey.pem, avec le sens de la clef (tres important), et on valide
puis on va vers IPV4
on sélectionne Routes
et on coche la croix au bon endroit…en fait cela va dire au client openVPN, de ne pas diriger toutes les requêtes vers le serveur VPN distant, autrement dis, vous allez pouvoir avoir un accès internet (mail, web, etc…etc) en même temps que la connexion VPN
that’s all folks, vous validez c’est fini
Il ne vous reste plus qu’a faire un clic gauche sur N-M, puis connexions VPN, et utiliser le VPN que vous venez de créer.
Un des interets de l’open-vpn en mod Tap, est que vous avez une adresse IP du réseau sur lequel vous vous connectez, autrement dit vous faites partis du Groupe de travail Samba ou du domaine windows. Cependant il peut arriver que lorsque vous demandez à browser le réseau pour parcourir les ordinateurs, et surtout les dossiers partagés, et bien que ce soit le vide absolu, vous etes tout seul :)
la solution…..relancer samba pour analyser les ordinateurs présent : en root
/etc/init.d/samba restart
ou
service samba restart
Commentaires récents