Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
reseau:openvpn:accueil

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:openvpn:accueil [2021/02/14 10:37] – [Présentation] techer.charles_educ-valadon-limoges.frreseau:openvpn:accueil [2025/06/17 13:36] (Version actuelle) – [Création du certificat signé pour le serveur OpenVPN sur le serveur VPN] admin
Ligne 10: Ligne 10:
   * https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10   * https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-debian-10
   * https://openmaniak.com/fr/openvpn.php   * https://openmaniak.com/fr/openvpn.php
 +  * https://www.openssl.org/
 ===== Installer OpenVPN sur le serveur  OpenVPN===== ===== Installer OpenVPN sur le serveur  OpenVPN=====
 <code shell> <code shell>
Ligne 25: Ligne 26:
 ==== Configurer le CA ==== ==== Configurer le CA ====
     * copier le fichier vars.example en **vars**     * copier le fichier vars.example en **vars**
 +
 <code shell> <code shell>
 # cd EasyRSA-3.0.8 # cd EasyRSA-3.0.8
 # cp vars.example vars # cp vars.example vars
 </code> </code>
 +
     * éditer le fichier **vars** pour modifier ces lignes en les décommentant     * éditer le fichier **vars** pour modifier ces lignes en les décommentant
 +
 <code shell> <code shell>
 #set_var EASYRSA_REQ_COUNTRY    "US" #set_var EASYRSA_REQ_COUNTRY    "US"
Ligne 40: Ligne 44:
  
   * lancer le script **easyrsa** pour initialiser la PKI sur le CA serveur    * lancer le script **easyrsa** pour initialiser la PKI sur le CA serveur 
 +
 <code shell> <code shell>
 # ./easyrsa init-pki # ./easyrsa init-pki
 </code> </code>
 +
   *  génération du CA en indiquant le **common name** et en supprimant la nécessité d'utiliser une passphrase pour chaque action sur le CA avec le paramètre **no-pass** :   *  génération du CA en indiquant le **common name** et en supprimant la nécessité d'utiliser une passphrase pour chaque action sur le CA avec le paramètre **no-pass** :
 +
 <code shell> <code shell>
 # ./easyrsa build-ca nopass # ./easyrsa build-ca nopass
 </code> </code>
 +
 <WRAP center round info> <WRAP center round info>
 Le script crée 2 clés importantes : Le script crée 2 clés importantes :
Ligne 57: Ligne 65:
 ===== Création du certificat signé pour le serveur  OpenVPN sur le serveur VPN===== ===== Création du certificat signé pour le serveur  OpenVPN sur le serveur VPN=====
   * Téléchargez EasyRSA   * Téléchargez EasyRSA
 +
 <code shell> <code shell>
 # wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz # wget wget https://github.com/OpenVPN/easy-rsa/releases/download/v3.0.8/EasyRSA-3.0.8.tgz
Ligne 63: Ligne 72:
  
   * lancer le script **easyrsa** pour initialiser le dossier PKI sur le client OpenVPN    * lancer le script **easyrsa** pour initialiser le dossier PKI sur le client OpenVPN 
 +
 <code shell> <code shell>
 # cd EasyRSA-3.0.8 # cd EasyRSA-3.0.8
 # ./easyrsa init-pki # ./easyrsa init-pki
 </code> </code>
 +
   * génération des clés avec l'option **nopass** en précisant le nom du serveur OpenVPN    * génération des clés avec l'option **nopass** en précisant le nom du serveur OpenVPN 
 +
 <code shell> <code shell>
 # ./easyrsa gen-req OpenVPN nopass # ./easyrsa gen-req OpenVPN nopass
 </code> </code>
 +
 <WRAP center round info> <WRAP center round info>
 Création : Création :
Ligne 76: Ligne 89:
   * du fichier de demande de certificat OpenVPN.req pour signature auprès du CA.    * du fichier de demande de certificat OpenVPN.req pour signature auprès du CA. 
 </WRAP> </WRAP>
-    * copie de la clé privée du serveur+ 
 +  * copie de la clé privée du serveur 
 <code shell> <code shell>
 # cp pki/private/OpenVPN.key /etc/openvpn/ # cp pki/private/OpenVPN.key /etc/openvpn/
 </code> </code>
-    * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp)+ 
 +  * transfert du fichier OpenVPN.req du serveur OpenVPN dans le dossier /tmp du serveur CA (avec SCP ou Winscp) 
 <code shell> <code shell>
 # scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/OpenVPN.req /tmp # scp root@ip_serveur_OpenVPN:/root/EasyRSA-3.0.8/pki/reqs/OpenVPN.req /tmp
 </code > </code >
-    * sur le serveur CA, importer le fichier de demande+ 
 +  * sur le serveur CA, importer le fichier de demande 
 <code shell> <code shell>
 # ./easyrsa import-req /tmp/OpenVPN.req OpenVPN # ./easyrsa import-req /tmp/OpenVPN.req OpenVPN
 </code> </code>
-    * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes+ 
 +  * signer la demande en précisant le type de client qui est ici un serveur OpenVPN. Il faudra confirmer la demande avec le mot yes 
 <code shell> <code shell>
 # ./easyrsa sign-req server OpenVPN # ./easyrsa sign-req server OpenVPN
 </code> </code>
-    * transfert du certificat signé du CA vers le serveur OpenVPN+ 
 +  * transfert du certificat signé du CA vers le serveur OpenVPN 
 <code shell> <code shell>
 # scp pki/issued/OpenVPN.crt root@ip_serveur_OpenVPN:/tmp # scp pki/issued/OpenVPN.crt root@ip_serveur_OpenVPN:/tmp
 </code> </code>
 +
   * transfert du certificat public du CA vers le serveur OpenVPN   * transfert du certificat public du CA vers le serveur OpenVPN
 +
 <code shell> <code shell>
 # scp pki/ca.crt root@ip_serveur_OpenVPN:/tmp # scp pki/ca.crt root@ip_serveur_OpenVPN:/tmp
 </code> </code>
 +
   * copie sur le serveur OpenVPN des fichier OpenVPN.crt et ca.crt du dossier /tmp dans le dossier /etc/openvpn   * copie sur le serveur OpenVPN des fichier OpenVPN.crt et ca.crt du dossier /tmp dans le dossier /etc/openvpn
 +
 <code shell> <code shell>
 # cp /tmp/{OpenVPN.cet,ca.crt} /etc/openvpn # cp /tmp/{OpenVPN.cet,ca.crt} /etc/openvpn
 </code> </code>
 +
     * création sur le serveur OpenVPN d'une clé Diffie-Hellman qui sera utilisée pour les échanges de clés     * création sur le serveur OpenVPN d'une clé Diffie-Hellman qui sera utilisée pour les échanges de clés
 +
 <code shell> <code shell>
 # ./easyrsa gen-dh # ./easyrsa gen-dh
 </code> </code>
 +
 <WRAP center round info> <WRAP center round info>
 La clé Diffie-Hellman dh.pem est mise dans le sous-dossier pki La clé Diffie-Hellman dh.pem est mise dans le sous-dossier pki
Ligne 113: Ligne 143:
  
     *  génération d'une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur:     *  génération d'une signature HMAC pour renforcer les capacités de vérification de l'intégrité TLS du serveur:
 +
 <code shell> <code shell>
 # openvpn --genkey --secret ta.key # openvpn --genkey --secret ta.key
 </code> </code>
 +
     *  copie de la clé dh.pem et de la signature ta.key dans le dossier /etc/openvp:     *  copie de la clé dh.pem et de la signature ta.key dans le dossier /etc/openvp:
 +
 <code shell> <code shell>
 # cp ta.key /etc/openvpn # cp ta.key /etc/openvpn
 # cp pki/dh.pem /etc/openvpn # cp pki/dh.pem /etc/openvpn
 </code> </code>
 +
 <WRAP center round info> <WRAP center round info>
 Le serveur OpenVPN est maintenant prêt avec tous les fichiers nécessaires. Le serveur OpenVPN est maintenant prêt avec tous les fichiers nécessaires.
Ligne 390: Ligne 424:
 </code> </code>
  
-  * pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus [[https://www.dnsleaktest.com/what-is-a-dns-leak.html| DNS leak]]+  * pour éviter le DNS leak, ajouter la lignea suivante à la fin du fichier. Pour en savoir plus  
 +    * [[https://www.dnsleaktest.com/what-is-a-dns-leak.html| DNS leak]] 
 +    * [[https://iflorian.com/openvpn-block-outside-ds/]] 
 <code shell> <code shell>
 # eviter DNS leak # eviter DNS leak
-block-outside-dns+pull-filter ignore "block-outside-dns"
 </code> </code>
 <WRAP center round info> <WRAP center round info>
reseau/openvpn/accueil.1613295457.txt.gz · Dernière modification : 2021/02/14 10:37 de techer.charles_educ-valadon-limoges.fr