Installation d’OpenNebula sous Archlinux (partie 2)

Dans cet article nous allons poursuivre l’installation de notre plateforme cloud utilisant OpenNebula sur une distribution Archlinux.
Nous avons vu que, par défaut, sunstone écoute sur le port 9869/tcp. Pour faciliter l’utilisation, nous allons mettre un reverse-proxy nginx en place. Ce dernier écoutera sur le port 80/tcp et enverra les requêtes à sunstone.

Mise en place de Nginx

L’installation se fait de manière classique sous Archlinux :

pacman -S nginx

La configuration se fait en éditant le fichier /etc/nginx/nginx.conf et en inserant un bloc server dans la section http :

http {
 	…

  server {
         listen       80 default_server;
         server_name  _;
         # A regler en fonction des images qcow2 que l'on souhaite uploader dans sunstone
         client_max_body_size 29G;

         location / {
                   proxy_pass http://127.0.0.1:9869;
          }
    }
 
	…
}

Le démarrage de nginx se fait à l’aide des commandes :

systemctl enable nginx
systemctl start nginx

Nous pouvons maintenant dire à sunstone de n’autoriser des requêtes que depuis le localhost.
Il nous faut éditer le fichier /etc/one/sunstone-server.conf et modifier la ligne :

:host: 0.0.0.0

en

:host: 127.0.0.1

et relancer le service :

systemctl stop opennebula-sunstone.service
systemctl start opennebula-sunstone.service

A présent si nous effectuons une requête depuis un navigateur web sur http://192.168.0.136 sans spécifier de port (a modifier bien sur en fonction de l’adresse de votre serveur opennebula),
nous obtenons la page d’accueil de sunstone :
sunstone

Installation d’OpenVPN

Vu que les VMs deployées par OpenNebula seront reliées à un switch virtuel n’ayant aucune connexion avec un quelconque réseau physique, nous devons installer un service VPN sur notre serveur OpenNebula qui nous permettra accéder aux machines.
Pour simplifier les choses, openvpn sera configuré pour authentifier les utilisateurs via leur compte système via les PAM. Nous allons d’abord créer un groupe « vpn » :

groupadd vpn

Nous allons donc créer le compte d’un utilisateur (ici beroot qui pourra se connecter au vpn :

useradd -s /usr/bin/nologin -M -g vpn beroot
passwd beroot

Installons OpenVPN :

pacman -S openvpn iptables easy-rsa

Créons le fichier de configuration d’OpenVPN /etc/openvpn/server.conf :

port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem


server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

comp-lzo
max-clients 100

user nobody
group nobody

persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log

verb  4

client-cert-not-required
plugin /usr/lib/openvpn/plugins/openvpn-plugin-auth-pam.so openvpn
push "route 192.168.1.0 255.255.255.0"

Créons le fichier /etc/pam.d/openvpn :

auth    required         pam_listfile.so        onerr=fail item=group sense=allow file=/etc/pam.d/openvpn.allowed
auth    sufficient       pam_unix.so            try_first_pass likeauth nullok
auth    required         pam_deny.so
account required         pam_unix.so
session required         pam_unix.so

et le fichier /etc/pam.d/openvpn.allowed qui contient juste le nom du groupe unix autorisé à se connecter au vpn :

vpn

Il nous faut maintenant préparer l’environnement qui va nous permettre de créer les clés de cryptage :

mkdir -p /etc/openvpn/keys
cp -r /usr/share/easy-rsa /etc/openvpn/

Nous éditons ensuite le fichier vars et le modifions en fonction de notre localisation.

cd /etc/openvpn/easy-rsa
vim vars

Nous générons ensuite les clés :

 . ./vars
 ./clean-all
 ./build-ca
 ./build-key-server server
 ./build-dh

Puis nous les copions à l’endroit approprié :

 cp keys/ca.crt /etc/openvpn/keys/
 cp keys/ca.key /etc/openvpn/keys/
 cp keys/server.crt /etc/openvpn/keys/
 cp keys/server.key /etc/openvpn/keys/
 cp keys/dh2048.pem /etc/openvpn/keys/

Vous pouvez déjà exporter le fichier /etc/openvpn/keys/ca.crt car il sera à installer sur les clients vpn par la suite.

Nous pouvons alors démarrer le service openvpn :

systemctl enable openvpn@server.service
systemctl start openvpn@server.service

Le serveur vpn est en service mais il faut que nous paramétrions quelques règles iptables pour rendre le système utilisable.

Mise en place de règles iptables

Créons le fichier /etc/iptables/iptables.rules (remplacez eno1 par le nom de votre interface réseau) :

*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A INPUT  -i br0 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp  --match multiport --dports 5900:6000 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 29876 -j ACCEPT
-A INPUT -i eno1 -p udp --dport 1194 -j ACCEPT
COMMIT

Créons un fichier /etc/sysctl.d/iptables.conf :

net.ipv4.ip_forward = 1

Démarrons l’ensemble :

systemctl enable iptables.service
systemctl start iptables.service
sysctl -p

Ce deuxième article sur la configuration de notre plateforme OpenNebula s’achève ici. Le système est utilisable dans l’état mais nous irons encore plus loin dans un prochain article …

Création d’un VPN avec OpenVPN sous Centos 5

Dans cet article, nous allons créer un point d’accès vpn chargé de router l’ensemble du trafic des clients vpn.
Le système retenu pour créer ce point d’accés est une machine sous Centos 5 sur laquelle nous allons installer le logiciel OpenVPN.

Installation du serveur vpn :

Nous considérons que la machine est déjà installée sous Centos 5 et que les outils de développement y sont également installés (autoconf, automake, gcc, …). SELinux ainsi que IPtables sont désactivés.

Tous d’abord, nous allons installer la librairie lzo (téléchargeable en version 2.04 depuis ici, permettant de compresser en temps réel les flux qui transiteront par le tunnel :

[root@vador sources]# tar zxf lzo-2.04.tar.gz
[root@vador sources]# cd lzo-2.04
[root@vador lzo-2.04]# ./configure --prefix=/usr && make && make install

Nous pouvons ensuite installer openvpn depuis les sources, téléchargeables depuis le site officiel :

[root@vador sources]# tar zxf openvpn-2.1.4.tar.gz
[root@vador sources]# cd openvpn-2.1.4
[root@vador openvpn-2.1.4]# ./configure --prefix=/usr --sysconfdir=/etc/openvpn
[root@vador openvpn-2.1.4]# make && make install
[root@vador openvpn-2.1.4]# cp sample-scripts/openvpn.init /etc/init.d/
[root@vador openvpn-2.1.4]# chmod +x /etc/init.d/openvpn.init
[root@vador openvpn-2.1.4]# cd plugin/auth-pam/
[root@vador openvpn-2.1.4]# make
[root@vador auth-pam]# mkdir /usr/lib/openvpn
[root@vador auth-pam]# cp openvpn-auth-pam.so /usr/lib/openvpn/

Nous allons ensuite générer les certificats :

[root@vador auth-pam]# cd ../..
[root@vador openvpn-2.1.4]# cd easy-rsa/2.0/
[root@vador 2.0]# vi vars
[root@vador 2.0]# . ./vars
[root@vador 2.0]# ./clean-all
[root@vador 2.0]# ./build-ca
[root@vador 2.0]# ./build-key-server server
[root@vador 2.0]# ./build-dh
[root@vador 2.0]# mkdir -p /etc/openvpn/keys
[root@vador 2.0]# cp keys/ca.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/ca.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/dh1024.pem /etc/openvpn/keys/

Le fichier ca.crt sera a distribuer sur les clients.
Créons le fichier de configuration d’OpenVPN /etc/openvpn/openvpn.conf :

port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem


server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

comp-lzo
max-clients 100

user nobody
group nobody

# of the privilege downgrade.
persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log

verb  4

client-cert-not-required
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

push "redirect-gateway def1"
push "dhcp-option DNS xxx.xxx.xxx.xxx"  #Optionnel : Adresse IP du serveur dns 

Ainsi configuré, OpenVPN écoutera sur le port 1194/udp et l’authentification se fera via login/mot de passe grace aux PAM. Ainsi, chaque utilisateur ayant un compte sur la machine pourra se connecter au VPN.
Il est possible d’aller plus loin en configurant les pam pour aller chercher les informations dans un annuaire LDAP par exemple.
La directive push « redirect-gateway def1 » permet de rediriger l’ensemble du trafic des clients via le VPN.
verb 4 pourra être diminué par la suite afin de rendre les logs moins volumineux.

[root@vador openvpn]# touch /var/log/openvpn.log
[root@vador openvpn]# touch /var/log/openvpn-status.log
[root@vador openvpn]# chown nobody:nobody /var/log/openvpn*.log

Nous pouvons ensuite demarrer openvpn grace à la commande :

/etc/init.d/openvpn.init start

Créons ensuite le script /etc/rc.d/rc.firewall qui permettra de masquerader le traffic provenant de l’interface virtuelle tun0.

#!/bin/sh
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F FORWARD
/sbin/iptables -F INPUT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

Rendons le exécutable avec la commande :

chmod +x /etc/rc.d/rc.firewall

et nous pouvons modifier le fichier /etc/rc.local afin que rc.firewall soit lancé au démarrage de la machine.
La configuration du point d’accés et désormais terminée. Il faut juste s’assurer que le port 1194/udp est ouvert pour les clients.

Configuration d’un client vpn sous linux :

Pour cet exemple, nous allons configurer un client fonctionnant sous Ubuntu. Installons le plugin openvpn pour le networkmanager :

sudo apt-get install network-manager-openvpn-gnome

Il faut ensuite redemarrer le network-manager (ou la machine pour les plus fénéants 🙂 ).

Sur l’applet de configuration de réseau, nous choisissons « Configurer le VPN » :

La passerelle est l’adresse IP de notre serveur OpenVPN.
Le certificat du ca est le fichier ca.crt récupéré du répertoire /etc/openvpn/keys sur le serveur.

Cliquer sur « Avancé » et activer la compression lzo :

Après activation du vpn, à l’aide de la commande traceroute, nous voyons bien que le traffic passe par le vpn (10.8.0.1) :

Configuration d’un client vpn sous windows :

Il faut installer le logiciel Openvpn-GUI disponible ici. Installer le pilote
TAP-Win32 (soit depuis l’installation, soit depuis le menu demarrer->openvpn).

Dans le répertoire c:\program files\openvpn\config, placer le fichier ca.crt récupéré sur le serveur.

Éditer un fichier c:\program files\openvpn\config\client.ovpn :

### Client configuration file for OpenVPN
client
dev tun
remote 192.168.0.10 1194   # Adresse & port du serveur openvpn
proto udp
nobind
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cipher BF-CBC
comp-lzo
verb 3
auth-user-pass
route-method exe
route-delay 2

La connexion au vpn se fait par un clic droit sur l’icone openvpn dans la zone de notification et en cliquant sur connect.