\n
![\"Photo](\"https:\/\/i0.wp.com\/www.collet-matrat.com\/wp-content\/uploads\/2014\/02\/photo_post_openvpn.jpg?w=584\")
<\/center><\/p>\nEn bons Geeks nous avons tous besoin, \u00e0 un moment ou un autre, d'un VPN (pour se connecter en s\u00e9curit\u00e9 depuis un hot-spot public, pour acc\u00e9der \u00e0 des contenus disponibles qu'\u00e0 partir de certaines zones g\u00e9ographiques ...). Il existe bien entendu une offre commerciale assez fournie <\/a> mais partant du principe qu'on est jamais aussi bien servi que par soi m\u00eame il n'est en fait pas tr\u00e8s compliqu\u00e9 de mettre en \u0153uvre sa propre solution (en s'appuyant par exemple sur des offres de VPS low cost ...).<\/p>\n Il existe aujourd\u2019hui diff\u00e9rentes technologies permettant la mise en place d'un tunnel VPN (IPSec, PPTP, L2TP ...). Toutefois ces protocoles n\u00e9cessitent tous l'ouverture de certains ports et\/ou protocoles au niveau des routeurs utilis\u00e9s pour la connexion \u00e0 l'Internet. Malheureusement lors de vos d\u00e9placements vous ne ma\u00eetrisez pas toujours ces aspects ... OpenVPN permet de s\u2019affranchir de ce type de probl\u00e8me. En effet il est capable d'utiliser un port standard (par exemple le TCP:443) qui est habituellement utilis\u00e9 pour les connexions HTTPS. S'agissant l\u00e0 d'un port largement utilis\u00e9 il est fort probable que tous les acc\u00e8s Internet que vous rencontrerez laisseront passer ce type de flux !<\/p>\n Ce how-to est destin\u00e9 \u00e0 vous fournir les \u00e9l\u00e9ments n\u00e9cessaires \u00e0 la mise en \u0153uvre de ce type de VPN en toute autonomie (c\u00f4t\u00e9s serveur et client).<\/p>\n OpenVPN en quelques concepts :<\/p>\n Pr\u00e9-requis : vous devez disposer d'un serveur Linux fonctionnant sous Linux Debian 7 Vous verrez c'est un peu long \ud83d\ude09 mais j'ai essay\u00e9 de d\u00e9tailler chaque op\u00e9ration le plus pr\u00e9cis\u00e9ment possible.<\/p>\n C'est parti!<\/p>\n et adaptez les informations en fonction de vos besoins ...<\/p>\n Votre fichier devrait ressembler \u00e0 \u00e7a :<\/p>\n 8<---------------------------- push \"redirect-gateway def1 bypass-dhcp\"<\/em> ca \/etc\/openvpn\/easy-rsa\/keys\/ca.crt<\/em> status openvpn-status.log<\/em><\/p>\n verb 3<\/em> Vous devriez obtenir quelque chose de ce style :<\/p>\n On d\u00e9-commente (vers la ligne 28) :<\/p>\n et on lance les deux commandes suivantes<\/p>\n Voici le contenu du fichier<\/p>\n Voici le contenu du fichier<\/p>\n #!\/bin\/sh On donne les droits d\u2019ex\u00e9cution \u00e0 ce script<\/p>\n On lance une premi\u00e8re fois manuellement ce script<\/p>\n Et on indique au syst\u00e8me que ce script doit \u00eatre lanc\u00e9 automatiquement au d\u00e9marrage du syst\u00e8me<\/p>\n R\u00e9pondez aux questions (pour le CN - Common Name - utilisez la m\u00eame chaine que pour nom_du_user<\/em>)<\/p>\n Voici le contenu du fichier de configuration du client :<\/p>\n que votre fichier de configuration porte bien l'extension \".ovpn\"<\/em> (Windows \u00e0 souvent la bonne id\u00e9e d\u2019ajouter un .txt derri\u00e8re ... on se retrouve alors un .ovpn.txt le .txt \u00e9tant bien entendu masqu\u00e9 ...).<\/p>\n<\/li>\n que OpnVpn GUI<\/em> soit bien lanc\u00e9 avec les droits d'administrateur (autrement \u00e7a ne fonctionne pas !)<\/p>\n<\/li>\n<\/ul>\n Sous Windows il ne vous reste plus qu'\u00e0 cliquer-droit sur l'icone OpenVPN GUI<\/em> dans la barre de t\u00e2che et de choisir \"connecter\" !<\/p>\n Pour les autres plateformes je vous laisse vous reporter \u00e0 la documentation fournie avec votre client Open VPN en sachant que le fichier de conf ainsi que les certificats et cl\u00e9s sont compatibles sur tous les OS.<\/p>\n Si vous rep\u00e9rez des erreurs, impr\u00e9cisions, omissions (et oui \u00e7a peut arriver ...) n'h\u00e9sitez pas \u00e0 me l'indiquer dans les commentaires !<\/p>\n En bons Geeks nous avons tous besoin, \u00e0 un moment ou un autre, d'un VPN (pour se connecter en s\u00e9curit\u00e9 depuis un hot-spot public, pour acc\u00e9der \u00e0 des contenus disponibles qu'\u00e0 partir de certaines zones g\u00e9ographiques ...). Il existe bien … Lire la suite
\n![\"Logo](\"https:\/\/i0.wp.com\/www.collet-matrat.com\/wp-content\/uploads\/2014\/02\/openvpn_logo.png?w=584&ssl=1\"){kind=logo}
<\/center><\/p>\n\n
qui n'utilise pas actuellement le port TCP:443<\/del>(EDIT : voir le commentaire de Denis pour les possibilit\u00e9s de partage de ce port). Si vous utilisez d\u00e9j\u00e0 des r\u00e8gles IPtables vous serez amen\u00e9 \u00e0 adapter la configuration de votre Firewall ...<\/p>\n\n
\napt-get install openvpn\n<\/pre>\n
\n
\ncp -r \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/ \/etc\/openvpn\/easy-rsa\/\ncd \/etc\/openvpn\/easy-rsa\/\n<\/pre>\n
\n
\nvim vars\n<\/pre>\n
\n# These are the default values for fields\n# which will be placed in the certificate.\n# Don't leave any of these fields blank.\nexport KEY_COUNTRY="FR"\nexport KEY_PROVINCE="Auvergne"\nexport KEY_CITY="ClermontFerrand"\nexport KEY_ORG="BdX"\nexport KEY_EMAIL="votre@email.com"\n...\n<\/pre>\n
\n
\nsource .\/vars\n.\/clean-all\n.\/build-dh\n.\/pkitool --initca\n.\/pkitool --server server\n<\/pre>\n
\n
\ncd \/etc\/openvpn\/\nvim openvpn.conf\n<\/pre>\n
\nport 443<\/em>
\nproto tcp<\/em>
\ndev tun<\/em>
\ncomp-lzo<\/em>
\npersist-key<\/em>
\npersist-tun<\/em>
\nkeepalive 10 20<\/em>
\nserver 10.8.0.0 255.255.255.0<\/em><\/p>\n
\npush \"dhcp-option DNS 8.8.8.8\"<\/em>
\npush \"dhcp-option DNS 8.8.4.4\"<\/em><\/p>\n
\ncert \/etc\/openvpn\/easy-rsa\/keys\/server.crt<\/em>
\nkey \/etc\/openvpn\/easy-rsa\/keys\/server.key<\/em>
\ndh \/etc\/openvpn\/easy-rsa\/keys\/dh1024.pem<\/em><\/p>\n
\n8<----------------------------<\/p>\n\n
\nopenvpn openvpn.conf\n<\/pre>\n
\nroot@debian:\/etc\/openvpn# openvpn openvpn.conf\nSun Feb 16 16:33:46 2014 OpenVPN 2.2.1 i486-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 19 2013\nSun Feb 16 16:33:46 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables\nSun Feb 16 16:33:46 2014 Diffie-Hellman initialized with 1024 bit key\nSun Feb 16 16:33:46 2014 TLS-Auth MTU parms [ L:1544 D:140 EF:40 EB:0 ET:0 EL:0 ]\nSun Feb 16 16:33:46 2014 Socket Buffers: R=[87380->131072] S=[16384->131072]\nSun Feb 16 16:33:46 2014 ROUTE default_gateway=xxx.xxx.xxx.xxx\nSun Feb 16 16:33:46 2014 TUN\/TAP device tun0 opened\nSun Feb 16 16:33:46 2014 TUN\/TAP TX queue length set to 100\nSun Feb 16 16:33:46 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0\nSun Feb 16 16:33:46 2014 \/sbin\/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500\nSun Feb 16 16:33:46 2014 \/sbin\/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2\nSun Feb 16 16:33:46 2014 Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:135 ET:0 EL:0 AF:3\/1 ]\nSun Feb 16 16:33:46 2014 Listening for incoming TCP connection on [undef]\nSun Feb 16 16:33:46 2014 TCPv4_SERVER link local (bound): [undef]\nSun Feb 16 16:33:46 2014 TCPv4_SERVER link remote: [undef]\nSun Feb 16 16:33:46 2014 MULTI: multi_init called, r=256 v=256\nSun Feb 16 16:33:46 2014 IFCONFIG POOL: base=10.8.0.4 size=62, ipv6=0\nSun Feb 16 16:33:46 2014 MULTI: TCP INIT maxclients=1024 maxevents=1028\nSun Feb 16 16:33:46 2014 Initialization Sequence Completed\n<\/pre>\n
\n
\nvim \/etc\/sysctl.conf\n<\/pre>\n
\nnet.ipv4.ip_forward=1\n<\/pre>\n
\nsysctl -p\n\/etc\/init.d\/networking reload\n<\/pre>\n
\n
\nvim \/etc\/firewall.rules\n<\/pre>\n
\n*nat\n:PREROUTING ACCEPT\n:INPUT ACCEPT\n:OUTPUT ACCEPT\n:POSTROUTING ACCEPT\n-A POSTROUTING -s 10.8.0.0\/24 -o eth0 -j MASQUERADE\n-A POSTROUTING -o eth0 -j MASQUERADE\nCOMMIT\n\n*filter\n\n:INPUT ACCEPT\n:FORWARD DROP\n:OUTPUT ACCEPT\n\n-A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT\n-A FORWARD -i tun0 -o eth0 -j ACCEPT\n\nCOMMIT\n<\/pre>\n
\n
\nvim \/etc\/init.d\/firewall\n<\/pre>\n
\n\/sbin\/iptables-restore \/etc\/firewall.rules<\/p>\n\nchmod 755 \/etc\/init.d\/firewall\n<\/pre>\n
\n\/etc\/init.d\/firewall\n<\/pre>\n
\nupdate-rc.d firewall defaults\n<\/pre>\n
\n
\nservice openvpn start\n<\/pre>\n
\n
\ncd \/etc\/openvpn\/easy-rsa\nsource vars\n.\/build-key nom_du_user\n<\/pre>\n
\n
\n\n
\n \nNom du fichier<\/th>\n Contenu<\/th>\n<\/tr>\n<\/thead>\n \n nom_du_user.crt<\/td>\n Certificat de l'utilisateur<\/td>\n<\/tr>\n \n nom_du_user.key<\/td>\n Cl\u00e9 priv\u00e9e associ\u00e9e au certificat de l'utilisateur<\/td>\n<\/tr>\n \n ca.crt<\/td>\n Certificat de l'autorit\u00e9 de certification<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n
\nclient\ndev tun\nproto tcp\nremote INDIQUEZ_ICI_L_IP_DE_VOTRE_SERVEUR 443\nresolv-retry infinite\nnobind\n\nca ca.crt\ncert nom_du_user.crt\nkey nom_du_user.key\n\npersist-key\npersist-tun\n\ncomp-lzo\n\nverb 3\n<\/pre>\n
\n
\n