Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Dernière révision Les deux révisions suivantes | ||
reseau:openvpn:accueil [2021/02/06 14:32] techer.charles_educ-valadon-limoges.fr [Création d'un script de génération de la configuration des clients] |
reseau:openvpn:accueil [2021/02/14 10:40] techer.charles_educ-valadon-limoges.fr [Présentation] |
||
---|---|---|---|
Ligne 9: | Ligne 9: | ||
Ressource : | Ressource : | ||
* https:// | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
===== Installer OpenVPN sur le serveur | ===== Installer OpenVPN sur le serveur | ||
<code shell> | <code shell> | ||
Ligne 373: | Ligne 375: | ||
<code shell> | <code shell> | ||
client$ ls / | client$ ls / | ||
+ | </ | ||
+ | * Transférer le script client1.ovpn situé sur le serveur OpenVPN sur le client | ||
+ | <code shell> | ||
+ | client$ # scp compte@ip_serveur_OpenVPN: | ||
+ | </ | ||
+ | |||
+ | * modifier le fichier client1.ovpn si le script update-resolv-conf existe en décommentant les lignes suivantes : | ||
+ | <code shell> | ||
+ | client$ nano client1.ovpn | ||
+ | </ | ||
+ | <code shell> | ||
+ | script-security 2 | ||
+ | up / | ||
+ | down / | ||
+ | </ | ||
+ | |||
+ | * pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus [[https:// | ||
+ | <code shell> | ||
+ | # eviter DNS leak | ||
+ | block-outside-dns | ||
+ | </ | ||
+ | <WRAP center round info> | ||
+ | Pour éventuellement **tester la connexion VPN** : | ||
+ | <code shell> | ||
+ | client$ sudo openvpn --config client1.ovpn | ||
+ | </ | ||
+ | |||
+ | </ | ||
+ | |||
+ | * pour démarrer automatiquement le client VPN au lancement du client : | ||
+ | * **copier** le fichier de configuration du client VPN **client1.ovpn** dans **/ | ||
+ | <code shell> | ||
+ | client$ sudo cp client1.ovpn / | ||
+ | </ | ||
+ | * modifier le fichier de configuration | ||
+ | <code shell> | ||
+ | AUTOSTART=" | ||
+ | </ | ||
+ | * activer le lancement automatique du lien VPN au démarrage du client | ||
+ | <code shell> | ||
+ | client$ sudo systemctl enable openvpn | ||
+ | </ | ||
+ | <WRAP center round info > | ||
+ | Pour **tester le bon fonctionnement du tunnel VPN**, utiliser le site [[https:// | ||
+ | |||
+ | Pour visualiser les serveurs DNS utilisés, cliquez sur **Extended Test**. | ||
+ | </ | ||
+ | |||
+ | ===== Révoquer des certificats client ===== | ||
+ | * sur le serveur CA exécuter le script easyrsa et confirmant avec le mot yes : | ||
+ | <code shell> | ||
+ | Depuis le serveur CA | ||
+ | # cd cd EasyRSA-v3.0.8 | ||
+ | # ./easyrsa revoke client1 | ||
+ | </ | ||
+ | * création d'un liste de révocation de certificats (CRL) | ||
+ | <code shell> | ||
+ | Depuis le serveur CA | ||
+ | # ./easyrsa gen-crl | ||
+ | </ | ||
+ | <WRAP center round info> | ||
+ | Un fichier **crl.pem** a été généré. | ||
+ | </ | ||
+ | * transfert du fichier crl.pem sur le serveur OpenVPN dans le dossier / | ||
+ | <code shell> | ||
+ | Depuis le serveur CA | ||
+ | # scp pki/crl.pem root@ip_serveur_OpenVPN:/ | ||
+ | </ | ||
+ | * modifier la configuration du serveur OpenVPN pour prendre en compte la liste de certificat révoqué : | ||
+ | <code shell> | ||
+ | Depuis le serveur OpenVPN | ||
+ | # nano / | ||
+ | </ | ||
+ | |||
+ | * Ajouter à la fin du fichier / | ||
+ | <code shell> | ||
+ | crl-verify crl.pem | ||
+ | </ | ||
+ | * redémarrer le serveur OpenVPN | ||
+ | <code shell> | ||
+ | # systemctl restart openvpn@server | ||
</ | </ | ||