SOURCE
le but de ce tuto est de créé un openvpn et configuration client de façon a avoir acces a mon reseaux local (voisinage reseaux) depuis l'exterieur.(testé sur sme 7.5)
Le tutoriel original a écrit:installer smeserver-openvpn-bridge (smeserver-bridge-interface devrais s'intallé en meme temp)
- Code: Tout sélectionner
yum --enablerepo=smecontribs install smeserver-openvpn-bridge
on verifie que le TAP est present: (si pas present veuillez installer smeserver-bridge-interface)
- Code: Tout sélectionner
db configuration show bridge
bridge=service
bridgeInterface=br0
ethernetInterface=eth0
status=enabled
tapInterface=tap0
installer smeserver-phpki
- Code: Tout sélectionner
yum --enablerepo=smecontribs install smeserver-phpki
démarrage / redémarrage des services nécessaires:
- Code: Tout sélectionner
expand-template /etc/httpd/conf/httpd.conf
expand-template /etc/httpd/pki-conf/httpd.conf
sv t /service/httpd-e-smith
sv u /service/httpd-pki
Il va nous falloir créer le certificat racine qui va permettre de signer tous les autres certificats, aussi pour cela nous utiliserons le menu que vous pouvez voir dans le menu de la Sme-server (https://IP-DU-SERVEUR/server-manager) « Gestion des certificats »
second parti
vous pouvez laisser les paramètres par défaut, sauf le « Document Contact Info » que vous pouvez modifier si vous le souhaitez. Une fois accepté, après quelques instant, vous aurez ceci……
Maintenant, vous êtes en mesure d’utiliser PHPki.
L’interface d’administration est disponible sur le server-manager ou directement https://IP-DU-SERVEUR/phpki/ca
Il y a aussi une interface publique, disponible uniquement à partir des réseaux locaux, mais sans mot de passe à l’adresse https://IP-DU-SERVEUR/phpki
Créer un certificat pour le serveur
Maintenant, vous devez créer un certificat pour OpenVPN sur le serveur. Pour cela, allez dans l’interface PHPki, puis « créer un nouveau certificat ». Ici, vous devrez entrer quelques informations sur le certificat:
•Nom commun: c’est le nom du certificat. Vous pouvez entrer ce que vous voulez, par exemple « openvpn-bridge »
•Adresse Email: l’adresse e-mail du contact technique (ce champ n’est pas utilisé, vous pouvez entrer ce que vous voulez tant qu’il s’agit d’une adresse e-mail valide), par exemple admin@domain.tld
•Organisation du Département, de la localité, l’État et les champs de pays devraient avoir les valeurs que vous avez entré lorsque vous avez créé votre PKY. Vous pouvez laisser ces valeurs.
•Mot de passe: Ce champ doit être vide. Rappelez-vous que OpenVPN démon démarre sans intervention humaine lors du démarrage du serveur, donc il faut avoir accès à la clé du certificat sans être invité à entrer un mot de passe.
•Durée de vie du certificat: Entrez ce que vous voulez, mais rappelez-vous, lorsque le certificat expire, vous devrez en créer un autre, et le mettre à jour dans le menu OpenVPN Bridge de la SME.
•Taille de la clé: vous pouvez entrer ce que vous voulez (j’utilise 2048 en général). Le plus grand utilisera un peu plus de puissance processeur lorsque la clé de session sera négocié (à la connexion, et une fois par heure)
•Certificat d’utilisation: vous devez utiliser « VPN server only». Ce point est important. Si vous ne choisissez pas ce type de certificats, les clients peuvent être incapables de se connecter
voici un exemple de configuration
vous pouvez confirmer votre certificat
Nous pouvons à present configurer le serveur OpenVpn.
il vous faut aller dans le menu server-manager->OpenVPN-Bridge->certificates configuration.
Vous avez quelques champs à renseigner
•URL pour mettre à jour la CRL: vous devriez laisser la valeur par défaut: à moins http://localhost:940/phpki/index.php?stage=dl_crl_pem PHPki soit installé sur un autre serveur (ou si vous utilisez un autre outil PKI)
•Certificat CA: Vous pouvez mettre ici le certificat racine au format PEM. Vous pouvez l’obtenir dans PHPki, en cliquant sur le lien «Afficher le certificat racine (PEM)» (faite un copier/coller)
•Le certificat du serveur: Vous pouvez mettre ici le certificat du serveur. Vous pouvez l’obtenir dans PHPki, gérer les certificats, cliquez sur le lien de téléchargement correspondant au certificat que vous avez créé pour le serveur (« openvpn-bridge » dans l’exemple), choisissez certificat PEM dans le menu déroulant, le télécharger. Vous pouvez ouvrir ce fichier avec un éditeur de texte.
•Server clé privée: Il s’agit de la clé privée associée au certificat du serveur. Pour l’obtenir, suivez les mêmes étapes que ci-dessus, mais choisir « PEM key » dans le menu déroulant ci-lieu de «PEM Certificate »
•Paramètres DH: Pour obtenir les paramètres DH, cliquez sur « Display the Diffie-Hellman parameters » dans PHPki
•Statique clés: Cette option est facultative. Vous pouvez l’obtenir en utilisant l’option « Display the static pre-shared key » dans PHPki. Notez que si vous entrez cette clé sur le serveur, vous aurez à le déployer sur chaque poste client. (pour ma part je l’ai fais, no problemo faite le)
Vous pouvez maintenant soumettre la demande : «Les certificats sont prêts » doit être affiché. :
Une fois les certificats parametrés, vous devez aller dans le menu server-manager->OpenVPN-Bridge->configuration du service
dans ce menu vous avez la possibilité
•de controler le serveur VPN (start/stop)
•de choisir le mode d’authentification (certificat ou certificat+mot de passe)
•de fixer la plage d’IP que le serveur attribuera au PC qui se connecteront (elles doivent faire partie de votre sous réseau)
Création d’un certificat client pour se connecter au serveur OpenVpn
dans PHPki l’interface d’administartion, cliquez sur le lien « Create a new certificate ». Vous allez devoir y remplir certaines informations, qui vous sont propres.
Le mieux étant de choisir un type de certificat en « VPN client Only, car les autres certificats nécessitent un mot de passe qui vous sera demandé obligatoirement à chaque connexion (en plus du mot de passe du compte utilisateur de la SME si il est parametré)
Vous pouvez jouer sur la durée de vie du certificat pour autoriser l’acces pendant un temps donné, une fois cette periode passé, le certificat devra etre regéneré.
Installation et configuration d’un client Openvpn Windows
Connecter un client Openvpn Windows à un serveur Openvpn Linux.
Tout d'abord télécharger la version Windows d’OpenVPN (la même que le serveur si possible 2.0.9 ou 2.1_rc15) :
téléchargement ici : http://openvpn.net/index.php/downloads.html
Ensuite Il faut copier dans C :/Program Files/OpenVPN/config/
le fichier client que l’on a normalement créé sur notre serveur : client1.p12
On utilise ensuite le fichier de configuration d’exemple situé dans le server-manager section "openvpn-bridge" et cliquez sur "afficher un fichier de configuration fonctionnel pour les clients" et faite un copier coller dans le bloc note et modifié le "user.p12" par votre client "client1.p12" et nommé le conf.ovpn et deposé le dans C :/Program Files/OpenVPN/config/
On démarre OpenVPN comme ceci :
Démarrer, Programmes, OpenVPN, OpenVPN-GUI.
Pour se connecter, on clique droit sur l’icone d’OpenVPN à côté de l’heure, puis Se connecter.
L’installation a du vous créer une interface TAP-Win32
[EDIT]Editer par Muzo du service de Modération[/EDIT]
