Alsace Réseau Neutre

Outils pour utilisateurs

Outils du site

Piste :
documentation:internet:vpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
documentation:internet:vpn [2021/10/11 14:08] – ↷ Page déplacée de atrier:documentation:internet:vpn à documentation:internet:vpn ljfdocumentation:internet:vpn [2024/11/21 15:51] (Version actuelle) – ajout section WireGuard pour systemd-networkd ibis
Ligne 1: Ligne 1:
-====== Configuration VPN ARN ======+====== Configuration VPN ARN Wireguard ====== 
 +===== Sur Yunohost ===== 
 + 
 +  * Installer wireguard_client_ynh https://apps.yunohost.org/app/wireguard_client 
 +  * Aller dans le config panel et charger le fichier vpnXXX.conf 
 +  * Et tada !!! 
 + 
 +===== Sur Linux (NetworkManager) ===== 
 + 
 +  * Télécharger le fichier sur le bureau 
 +  * Lancer "nmcli connection import type wireguard file Bureau/vpnXXX.conf" 
 + 
 +===== Sur Linux (systemd-networkd version > 250) ===== 
 + 
 +La configuration suivante résultera en la redirection de tout le flux internet via le VPN ARN 
 + 
 +  * Créer deux fichiers accessibles au groupe **systemd-network** en lecture et contenant la PrivateKey et la PresharedKey. Ce sont des fichiers sensibles le mieux est de leur donner un chmod 640. 
 +  * Créer les fichiers de configuration suivants en reportant : 
 +    * **les deux adresses** depuis la configuration fournie par ARN 
 +    * corriger les chemins **PrivateKeyFile et PresharedKeyFile** pour correspondre aux fichiers de la première étape 
 +  * Recharger systemd-networkd pour prendre en compte la nouvelle configuration 
 +    * systemctl restart systemd-networkd 
 + 
 +  ###################################### 
 +  # /etc/systemd/network/10-wg0.netdev # 
 +  ###################################### 
 +  [NetDev] 
 +  Kind=wireguard 
 +  MTUBytes=1450 
 +  Name=wg0 
 +   
 +  [WireGuard] 
 +  # Doit être accessible par le groupe systemd-network 
 +  PrivateKeyFile=/run/keys/wireguard-privkey 
 +  # Crée automatiquement une route par défaut dans une table secondaire 
 +  RouteTable=2468 
 +  # Marque les paquets d'infra Wireguard pour les envoyer sur l'interface physique 
 +  FirewallMark=1234 
 +   
 +  [WireGuardPeer] 
 +   
 +  AllowedIPs=0.0.0.0/
 +  AllowedIPs=::/
 +  Endpoint=89.234.141.83:8095 
 +  PersistentKeepalive=15 
 +  # Doit être accessible par le groupe systemd-network 
 +  PresharedKeyFile=/run/keys/wireguard-psk.key 
 +  PublicKey=t3+JkBfXI1uw8fa9P6JfxXJfTPm9cOHcgIN215UHg2g= 
 + 
 +  ####################################### 
 +  # /etc/systemd/network/10-wg0.network # 
 +  ####################################### 
 +  [Match] 
 +  Name=wg0 
 +   
 +  [Network] 
 +  # A remplacer par ses IP attribuées 
 +  Address=X.X.X.X/32 
 +  Address=X:X:X:X::X/128 
 +   
 +  # Règle qui envoie tout le trafic dans le VPN 
 +  # Traduction en commande ip rule: 
 +  #     ip rule add not fwmark 1234 table 2468 
 +  # 
 +  [RoutingPolicyRule] 
 +  # Conditions en mode not 
 +  InvertRule=true 
 +  # La marque que seul Wireguard lui-même utilise 
 +  # et qui indique les paquets qui ne doivent pas 
 +  # être envoyés dans le tunnel 
 +  FirewallMark=1234 
 +  # Envoi du trafic IPv4 et IPv6 dans le tunnel 
 +  Family=both 
 +  Table=2468 
 +  Priority=10 
 +   
 +  # Envoi du traffic local dans la table de routage par défaut 
 +  # Traduction en commande ip rule: 
 +  #     ip rule add table main suppress_prefixlength 0 
 +  # 
 +  [RoutingPolicyRule] 
 +  SuppressPrefixLength=0 
 +  Family=both 
 +  Priority=9 
 + 
 +==== Troubleshoot ==== 
 + 
 +  ip a 
 + 
 +La commande ip doit montrer une nouvelle interface wg0 qui porte l'IP donnée par ARN 
 + 
 +  journalctl -xeu systemd-networkd 
 +   
 +Le journal de systemd-networkd peut contenir des informations en cas de problème (exemple: la version de networkd est trop ancienne et ne supporte pas les options utilisées) 
 + 
 +  wg show 
 + 
 +La commande wg permet de voir l'état du tunnel. 
 +Si la valeur received de la ligne transfer est nulle cela indique un soucis (configuration, réseau, ...). 
 + 
 +Vérifiez les différents paramètres (votre adresse, vos clés de connexion, les chemins des clés, les droits d'accès aux clés) contenus dans vos fichiers /etc/systemd/network/10-wg0.* 
 + 
 +====== Configuration VPN ARN OpenVPN ======
  
 ===== Configuration sur un système GNU/Linux ===== ===== Configuration sur un système GNU/Linux =====
  
-TL;DR: 
-  - Extraire l'archive qui provient de l'espace membre 
   - Installer openvpn   - Installer openvpn
-  - Copier le .conf dans /etc/openvpn/ +  - Extraire l'archive ''vpn123.zip'' téléchargé sur votre espace adhérent 
-  - systemctl start openvpn@openvpn.service+  - Copier le fichier ''vpn123.conf'' dans ''/etc/openvpn/'' 
 +  - ''sudo service openvpn restart'' 
 +  - ''ip a'' --> Si l'interface réseau « tun0 » n'apparait pas au bout de quelques minutes, écrivez à contact@arn-fai.net ou sur le chat. 
 +Nota : ''vpn123'' est l'identifiant de votre VPN, (ancien format 1ère lettre du prénom + nom) 
 + 
 +==== Anciennes instructions plus détaillées/avancées ====
  
 Il faut installer OpenVPN de la manière dont vous installez un logiciel d'habitude : apt-get, aptitude, logithèque,... Exemple avec apt-get :  Il faut installer OpenVPN de la manière dont vous installez un logiciel d'habitude : apt-get, aptitude, logithèque,... Exemple avec apt-get : 
Ligne 18: Ligne 123:
 Il faut également déplacer les fichiers que nous vous fournissons (login.{crt,key} et ca.crt) dans /etc/openvpn/. Il faut évidemment les droits root pour faire ça. Il faut également déplacer les fichiers que nous vous fournissons (login.{crt,key} et ca.crt) dans /etc/openvpn/. Il faut évidemment les droits root pour faire ça.
  
-Pour démarrer l'application, un simple **sudo service openvpn restart** devrait suffire. Si à la suite de cela, vous n'avez pas une interface réseau nommée « tun0 » qui s'est créée, contactez-nous, nous essaierons de trouver l'erreur ensemble.+Pour démarrer l'application, un simple **sudo service openvpn restart** devrait suffire. 
  
 **Sur un système équipé de systemd** (comme Debian Jessie), la commande ci-dessus n'est pas bonne. Il faut faire :  **Sur un système équipé de systemd** (comme Debian Jessie), la commande ci-dessus n'est pas bonne. Il faut faire : 
Ligne 80: Ligne 185:
 ===== Tutoriel pour Windows ===== ===== Tutoriel pour Windows =====
  
-Télécharger OpenVPN ici :  +Télécharger et Installer OpenVPN depuis https://openvpn.net/index.php/open-source/downloads.html
-https://openvpn.net/index.php/open-source/downloads.html +
-Installer.+
  
-Icion considère qu'il est installé dans C:\Program Files\OpenVPN+Depuis votre espace adhérentvous avez du récupérer votre matériel cryptographique sous forme d'un .zip. Ce .zip contient un fichier ".conf" qu'il convient de copier dans C:\Program Files\OpenVPN\config\ et de renommer l'extension ".conf" en ".ovpn".
  
-Récupérer le fichier de configuration (clic droit sur le lien, « Enregistrer la cible du lien sous » ou équivalent) : https://sans-nuage.fr/file/s/N688PAB3kYtiAQK&download +Puis, dans le menu démarrer (ou sur le bureau), clic droit sur l'icône "OpenVPN GUI" -> Exécuter en tant qu'administrateur.
- +
-Copier ce fichier dans C:\Program Files\OpenVPN\config +
- +
-Toujours dans ce dossieril faut également copier vos fichiers personnels téléchargés dans votre espace adhérent. +
- +
-Dans le menu démarrer (ou sur le bureau), clic droit sur l'icône "OpenVPN GUI" -> Exécuter en tant qu'administrateur+
- +
-En bas à droite, dans la zone de notification de la barre des tâches, clic droit sur la nouvelle icône -> Editer la configuration. +
- +
-Aux lignes 15 et 16, remplacer « $login » par votre login. Exemple :  +
- +
-  * ca ca.crt +
-  * cert glucas.crt +
-  * key glucas.key +
- +
-Enregistrer vos modifications.+
  
 Clic droit sur l'icône OpenVPN dans la zone de notification de la barre des tâches -> Connecter. Clic droit sur l'icône OpenVPN dans la zone de notification de la barre des tâches -> Connecter.
- 
- 
-Merci à TeSla d'avoir documenté cette section. :) 
- 
  
 ===== Tutoriel pour YunoHost ou une Brique Internet ===== ===== Tutoriel pour YunoHost ou une Brique Internet =====
  
-Il faut d'abord installer l'app vpnclient de YunoHost. (rien à voir avec vpnc, Cisco) +  * Installer l'app vpnclient de YunoHost. (rien à voir avec vpnc, Cisco) 
- +  accéder au panneau de configuration de l'app VPN à l'URL suivante : ''https://IP_de_la_Brique/yunohost/admin/#/apps/vpnclient/main''  
-Il faut ensuite accéder à l'interface web de configuration du VPN à l'URL suivante : https://IP_de_la_Brique/vpnadminet charger le fichier .cube dans l'onglet "Automatique"Pour récupérer le fichier .cube il faut télécharger le matériel cryptographique depuis l'interface adherents.arn-fai.net qui contient un dossier tmp contant le fichier "USER.cube". +  * charger le fichier .cube dans le champ ''Fichier de Configuration'' 
- +  * Pour récupérer le fichier .cube il faut télécharger le matériel cryptographique depuis l'interface adherents.arn-fai.net qui contient un dossier tmp contant le fichier ''USER.cube'' 
-Puis il ne faut pas oublier de valider sur l'interface de la page d'admin de vpnclient avec le bouton en bas+  * Cliquer sur ''Sauvegarder'' en bas du panneau de configuration
  
-<note important>Le fichier .cube inclut votre certificat et votre clé privée. Attention donc de ne pas le stocker n'importe où, à la légère.+<note important>Le fichier .cube inclut votre certificat et votre clé privée. Attention donc de ne pas le stocker n'importe où, à la légère. En dernier recours un admin d'ARN peut vous le re-donner ou en générer un nouveau.
  
 Attention également : nos certificats ont une durée de vie limitée (max un an). Votre .cube sera donc obsolète passé ce délai.</note> Attention également : nos certificats ont une durée de vie limitée (max un an). Votre .cube sera donc obsolète passé ce délai.</note>
documentation/internet/vpn.1633961320.txt.gz · Dernière modification : 2021/10/11 14:08 de ljf