Dans cet article, nous allons créer un point d’accès vpn chargé de router l’ensemble du trafic des clients vpn.
Le système retenu pour créer ce point d’accés est une machine sous Centos 5 sur laquelle nous allons installer le logiciel OpenVPN.
Installation du serveur vpn :
Nous considérons que la machine est déjà installée sous Centos 5 et que les outils de développement y sont également installés (autoconf, automake, gcc, …). SELinux ainsi que IPtables sont désactivés.
Tous d’abord, nous allons installer la librairie lzo (téléchargeable en version 2.04 depuis ici, permettant de compresser en temps réel les flux qui transiteront par le tunnel :
[root@vador sources]# tar zxf lzo-2.04.tar.gz [root@vador sources]# cd lzo-2.04 [root@vador lzo-2.04]# ./configure --prefix=/usr && make && make install
Nous pouvons ensuite installer openvpn depuis les sources, téléchargeables depuis le site officiel :
[root@vador sources]# tar zxf openvpn-2.1.4.tar.gz [root@vador sources]# cd openvpn-2.1.4 [root@vador openvpn-2.1.4]# ./configure --prefix=/usr --sysconfdir=/etc/openvpn [root@vador openvpn-2.1.4]# make && make install [root@vador openvpn-2.1.4]# cp sample-scripts/openvpn.init /etc/init.d/ [root@vador openvpn-2.1.4]# chmod +x /etc/init.d/openvpn.init [root@vador openvpn-2.1.4]# cd plugin/auth-pam/ [root@vador openvpn-2.1.4]# make [root@vador auth-pam]# mkdir /usr/lib/openvpn [root@vador auth-pam]# cp openvpn-auth-pam.so /usr/lib/openvpn/
Nous allons ensuite générer les certificats :
[root@vador auth-pam]# cd ../.. [root@vador openvpn-2.1.4]# cd easy-rsa/2.0/ [root@vador 2.0]# vi vars [root@vador 2.0]# . ./vars [root@vador 2.0]# ./clean-all [root@vador 2.0]# ./build-ca [root@vador 2.0]# ./build-key-server server [root@vador 2.0]# ./build-dh [root@vador 2.0]# mkdir -p /etc/openvpn/keys [root@vador 2.0]# cp keys/ca.crt /etc/openvpn/keys/ [root@vador 2.0]# cp keys/ca.key /etc/openvpn/keys/ [root@vador 2.0]# cp keys/server.crt /etc/openvpn/keys/ [root@vador 2.0]# cp keys/server.key /etc/openvpn/keys/ [root@vador 2.0]# cp keys/dh1024.pem /etc/openvpn/keys/
Le fichier ca.crt sera a distribuer sur les clients.
Créons le fichier de configuration d’OpenVPN /etc/openvpn/openvpn.conf :
port 1194 proto udp dev tun0 ca /etc/openvpn/keys/ca.crt cert /etc/openvpn/keys/server.crt key /etc/openvpn/keys/server.key dh /etc/openvpn/keys/dh1024.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt client-to-client keepalive 10 120 comp-lzo max-clients 100 user nobody group nobody # of the privilege downgrade. persist-key persist-tun status /var/log/openvpn-status.log log-append /var/log/openvpn.log verb 4 client-cert-not-required plugin /usr/lib/openvpn/openvpn-auth-pam.so login push "redirect-gateway def1" push "dhcp-option DNS xxx.xxx.xxx.xxx" #Optionnel : Adresse IP du serveur dns
Ainsi configuré, OpenVPN écoutera sur le port 1194/udp et l’authentification se fera via login/mot de passe grace aux PAM. Ainsi, chaque utilisateur ayant un compte sur la machine pourra se connecter au VPN.
Il est possible d’aller plus loin en configurant les pam pour aller chercher les informations dans un annuaire LDAP par exemple.
La directive push « redirect-gateway def1 » permet de rediriger l’ensemble du trafic des clients via le VPN.
verb 4 pourra être diminué par la suite afin de rendre les logs moins volumineux.
[root@vador openvpn]# touch /var/log/openvpn.log [root@vador openvpn]# touch /var/log/openvpn-status.log [root@vador openvpn]# chown nobody:nobody /var/log/openvpn*.log
Nous pouvons ensuite demarrer openvpn grace à la commande :
/etc/init.d/openvpn.init start
Créons ensuite le script /etc/rc.d/rc.firewall qui permettra de masquerader le traffic provenant de l’interface virtuelle tun0.
#!/bin/sh /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -F FORWARD /sbin/iptables -F INPUT /sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT /sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT /sbin/iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE
Rendons le exécutable avec la commande :
chmod +x /etc/rc.d/rc.firewall
et nous pouvons modifier le fichier /etc/rc.local afin que rc.firewall soit lancé au démarrage de la machine.
La configuration du point d’accés et désormais terminée. Il faut juste s’assurer que le port 1194/udp est ouvert pour les clients.
Configuration d’un client vpn sous linux :
Pour cet exemple, nous allons configurer un client fonctionnant sous Ubuntu. Installons le plugin openvpn pour le networkmanager :
sudo apt-get install network-manager-openvpn-gnome
Il faut ensuite redemarrer le network-manager (ou la machine pour les plus fénéants 🙂 ).
Sur l’applet de configuration de réseau, nous choisissons « Configurer le VPN » :
La passerelle est l’adresse IP de notre serveur OpenVPN.
Le certificat du ca est le fichier ca.crt récupéré du répertoire /etc/openvpn/keys sur le serveur.
Cliquer sur « Avancé » et activer la compression lzo :
Après activation du vpn, à l’aide de la commande traceroute, nous voyons bien que le traffic passe par le vpn (10.8.0.1) :
Configuration d’un client vpn sous windows :
Il faut installer le logiciel Openvpn-GUI disponible ici. Installer le pilote
TAP-Win32 (soit depuis l’installation, soit depuis le menu demarrer->openvpn).
Dans le répertoire c:\program files\openvpn\config, placer le fichier ca.crt récupéré sur le serveur.
Éditer un fichier c:\program files\openvpn\config\client.ovpn :
### Client configuration file for OpenVPN client dev tun remote 192.168.0.10 1194 # Adresse & port du serveur openvpn proto udp nobind resolv-retry infinite persist-key persist-tun ca ca.crt cipher BF-CBC comp-lzo verb 3 auth-user-pass route-method exe route-delay 2
La connexion au vpn se fait par un clic droit sur l’icone openvpn dans la zone de notification et en cliquant sur connect.