Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:openvpn:accueil [2021/02/08 14:23] – [Installation de OpenVPN sur un client Linux] techer.charles_educ-valadon-limoges.fr
+++ reseau:openvpn:accueil [2025/06/17 13:36] (Version actuelle) – [Création du certificat signé pour le serveur OpenVPN sur le serveur VPN] admin
@@ Ligne 9: / Ligne 9: @@
 Ressource :
   * https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10
+  * https://openmaniak.com/fr/openvpn.php
+  * https://www.openssl.org/
 ===== Installer OpenVPN sur le serveur  OpenVPN=====
 <code shell>
@@ Ligne 24: / Ligne 26: @@
 ==== Configurer le CA ====
     * copier le fichier vars.example en **vars**
 <code shell>
 # cd EasyRSA-3.0.8
 # cp vars.example vars
 </code>
     * éditer le fichier **vars** pour modifier ces lignes en les décommentant
 <code shell>
 #set_var EASYRSA_REQ_COUNTRY    "US"
@@ Ligne 39: / Ligne 44: @@
   * lancer le script **easyrsa** pour initialiser la PKI sur le CA serveur
 <code shell>
 # ./easyrsa init-pki
 </code>
   *  génération du CA en indiquant le **common name** et en supprimant la nécessité d'utiliser une passphrase pour chaque action sur le CA avec le paramètre **no-pass** :
 <code shell>
 # ./easyrsa build-ca nopass
 </code>
 <WRAP center round info>
 Le script crée 2 clés importantes :
@@ Ligne 56: / Ligne 65: @@
 ===== Création du certificat signé pour le serveur  OpenVPN sur le serveur VPN=====
   * Téléchargez EasyRSA
 <code shell>
 # wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
@@ Ligne 62: / Ligne 72: @@
   * lancer le script **easyrsa** pour initialiser le dossier PKI sur le client OpenVPN
 <code shell>
 # cd EasyRSA-3.0.8
 # ./easyrsa init-pki
 </code>
   * génération des clés avec l'option **nopass** en précisant le nom du serveur OpenVPN
 <code shell>
 # ./easyrsa gen-req OpenVPN nopass
 </code>
 <WRAP center round info>
 Création :
@@ Ligne 75: / Ligne 89: @@
   * du fichier de demande de certificat OpenVPN.req pour signature auprès du CA.
 </WRAP>
-    * copie de la clé privée du serveur
+  * copie de la clé privée du serveur
 <code shell>
 # cp pki/private/OpenVPN.key /etc/openvpn/
 </code>
-    * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)
+  * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)
 <code shell>
 # scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/OpenVPN.req /tmp
 </code >
-    * sur le serveur CA, importer le fichier de demande
+  * sur le serveur CA, importer le fichier de demande
 <code shell>
 # ./easyrsa import-req /tmp/OpenVPN.req OpenVPN
 </code>
-    * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes
+  * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes
 <code shell>
 # ./easyrsa sign-req server OpenVPN
 </code>
-    * transfert du certificat signé du CA vers le serveur OpenVPN
+  * transfert du certificat signé du CA vers le serveur OpenVPN
 <code shell>
 # scp pki/issued/OpenVPN.crt root@ip_serveur_OpenVPN:/tmp
 </code>
   * transfert du certificat public du CA vers le serveur OpenVPN
 <code shell>
 # scp pki/ca.crt root@ip_serveur_OpenVPN:/tmp
 </code>
   * copie sur le serveur OpenVPN des fichier OpenVPN.crt et ca.crt du dossier /tmp dans le dossier /etc/openvpn
 <code shell>
 # cp /tmp/{OpenVPN.cet,ca.crt} /etc/openvpn
 </code>
     * création sur le serveur OpenVPN d'une clé Diffie-Hellman qui sera utilisée pour les échanges de clés
 <code shell>
 # ./easyrsa gen-dh
 </code>
 <WRAP center round info>
 La clé Diffie-Hellman dh.pem est mise dans le sous-dossier pki
@@ Ligne 112: / Ligne 143: @@
     *  génération d'une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur:
 <code shell>
 # openvpn --genkey --secret ta.key
 </code>
     *  copie de la clé dh.pem et de la signature ta.key dans le dossier /etc/openvp:
 <code shell>
 # cp ta.key /etc/openvpn
 # cp pki/dh.pem /etc/openvpn
 </code>
 <WRAP center round info>
 Le serveur OpenVPN est maintenant prêt avec tous les fichiers nécessaires.
@@ Ligne 387: / Ligne 422: @@
 up /etc/openvpn/update-resolv-conf
 down /etc/openvpn/update-resolv-conf
+</code>
+  * pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus
+    * [[https://www.dnsleaktest.com/what-is-a-dns-leak.html| DNS leak]]
+    * [[https://iflorian.com/openvpn-block-outside-ds/]]
+<code shell>
+# eviter DNS leak
+pull-filter ignore "block-outside-dns"
 </code>
 <WRAP center round info>
-  * Pour éventuellement tester la connexion VPN :
+Pour éventuellement **tester la connexion VPN** :
 <code shell>
 client$ sudo openvpn --config client1.ovpn
@@ Ligne 410: / Ligne 454: @@
 </code>
 <WRAP center round info >
-Pour tester le bon fonctionnement du tunel VPN, utiliser le site {{https://www.dnsleaktest.com/|DNSLeakTest}} pour visualiser l'adresse IP publique qui vous permet de naviguer sur Internet. Cette adresse IP doit être celle serveur VPN et non plus celle du routeur de votre réseau (Box Intenet).
+Pour **tester le bon fonctionnement du tunnel VPN**, utiliser le site [[https://www.dnsleaktest.com/|DNSLeakTest]] pour visualiser l'**adresse IP publique** qui vous permet de naviguer sur Internet. Cette adresse IP doit être celle **serveur VPN** et non plus celle du **routeur de votre réseau** (Box Internet).
-Pour visualiser e voter , The site will return the IP address assigned by your internet service provider and as you appear to the rest of the world. To check your DNS settings through the same website, click on Extended Test and it will tell you which DNS servers you are using.
-bloc information
+Pour visualiser les serveurs DNS utilisés, cliquez sur **Extended Test**.
 </WRAP>