Outils pour utilisateurs

Outils du site


documentation:vpn

Configuration VPN ARN

Configuration sur un système GNU/Linux

Il faut installer OpenVPN de la manière dont vous installez un logiciel d'habitude : apt-get, aptitude, logithèque,… Exemple avec apt-get :

sudo apt-get install openvpn

Il faut télécharger ce fichier de configuration et le stocker dans /etc/openvpn/ . Il faut évidemment les droits root pour faire ça. Vous pouvez le renommer mais le nom doit obligatoirement terminer par « .conf ». À l'intérieur du fichier, il faut remplacer « $login » par votre login personnel sur le VPN.

Il faut également déplacer les fichiers que nous vous fournissons (login.{crt,key} et ca.crt) dans /etc/openvpn/. Il faut évidemment les droits root pour faire ça.

Pour démarrer l'application, un simple sudo service openvpn restart devrait suffire. Si à la suite de cela, vous n'avez pas une interface réseau nommée « tun0 » qui s'est créée, contactez-nous, nous essaierons de trouver l'erreur ensemble.

Sur un système équipé de systemd (comme Debian Jessie), la commande ci-dessus n'est pas bonne. Il faut faire :

systemctl enable openvpn@openvpn.service
systemctl restart openvpn@openvpn.service

Attention, si vous avez changé le nom du fichier de configuration (openvpn.conf par défaut), il faudra adapter les deux commandes ci-dessus en remplaçant le « openvpn » après le « @ » par le nom que vous avez donné. Exemple :

systemctl enable openvpn@arn.service
systemctl restart openvpn@arn.service

Note pour Mageia

Contrairement à Debian, la distribution Mageia d'openpvn ne contient apparemment pas de méthode pour mettre à jour la liste des résolveurs de noms (/etc/resolv.conf); le plus simple est d'ajouter un petit script qui insère le resolveur de noms d'ARN (89.234.141.66) au moment du démarrage du VPN. Pour cela, créer (avec les droits d'administrateur) un fichier /etc/openvpn/arn-up.sh, qui contient:

#!/bin/sh
echo "nameserver  89.234.141.66" > /run/resolvconf/interface/tun0
resolvconf -u

puis donner à ce fichier les droits d'exécution:

sudo chmod +x /etc/openvpn/arn-up.sh

et indiquer ce script dans le fichier /etc/openvpn/openvpn.conf, en décommentant/modifiant les 2 lignes à la fin du paragraphe commençant par ; DNS:

; script-security 2 ; pour autoriser les exécutions de programmes externes
; route-up /etc/openvpn/client-handler

pour les remplacer par:

script-security 2
route-up "/etc/openvpn/arn-up.sh"

Tutoriel pour Mac OS X

Télécharger TunnelBlick (Alternative OpenVPN pour Mac) ici : https://tunnelblick.net et l'installer.

Créer un dossier qui contiendra les fichiers de configuration.

Télécharger le fichier de configuration (clic droit sur le lien, « Enregistrer la cible du lien sous » ou équivalent) : http://documents.arn-fai.net/openvpn/openvpn-win.ovpn et le placer dans le dossier créé précédemment.

Copier les fichiers personnels fournis dans l'espace adhérent.

Éditer le fichier openvpn-win.ovpn. Lignes 15 et 16, remplacer « $login » par votre login. Exemple :

  • ca ca.crt
  • cert prenomnom.crt
  • key prenomnom.key

Enregistrer le fichier.

Faire glisser le fichier modifié sur l'icône de TunnelBlick dans la barre de menu.

Enjoy !

Tutoriel pour Windows

Télécharger OpenVPN ici : https://openvpn.net/index.php/open-source/downloads.html Installer.

Ici, on considère qu'il est installé dans C:\Program Files\OpenVPN

Récupérer le fichier de configuration (clic droit sur le lien, « Enregistrer la cible du lien sous » ou équivalent) : http://documents.arn-fai.net/openvpn/openvpn-win.ovpn

Copier ce fichier dans C:\Program Files\OpenVPN\config

Toujours dans ce dossier, il faut également copier vos fichiers personnels téléchargés dans votre espace adhérent.

Dans le menu démarrer (ou sur le bureau), clic droit sur l'icône “OpenVPN GUI” → Exécuter en tant qu'administrateur.

En bas à droite, dans la zone de notification de la barre des tâches, clic droit sur la nouvelle icône → Editer la configuration.

Aux lignes 15 et 16, remplacer « $login » par votre login. Exemple :

  • ca ca.crt
  • cert glucas.crt
  • key glucas.key

Enregistrer vos modifications.

Clic droit sur l'icône OpenVPN dans la zone de notification de la barre des tâches → Connecter.

Merci à TeSla d'avoir documenté cette section. :)

Tutoriel pour une Brique Internet

Il faut d'abord installer le client VPN de LDN pour YunoHost en copiant l'URL suivante dans le champ prévu à cet effet en bas de l'interface web d'administration de votre Brique : https://github.com/labriqueinternet/vpnclient_ynh

Il faut ensuite accéder à l'interface web de configuration du VPN à l'URL suivante : https://IP_de_la_Brique/vpnadmin/

Voici les valeurs à indiquer :

  • Adresse du serveur : vpn.arn-fai.net
  • Port du serveur : 1194
  • Protocole : UDP
  • Préfixe délégué (IPv6) : La valeur est fournie par ARN, à nous demander si vous ne l'avez pas.

Avancé : placer le contenu de ce fichier de configuration. Aucune modification n'est à réaliser.

Il faut ensuite remplir les 3 cases de la section « Authentification » :

  • Dans « CA du serveur » il faut mettre le fichier ca.crt fourni par ARN.
  • Dans « certificat client », il faut sélectionner le fichier <votre_login>.crt fourni par ARN.
  • Dans « clé client », il faut sélectionner le fichier <votre_login>.key fournit par ARN.

Le champ « secret partagé » n'est pas à remplir.

C'est prêt.

Notes sur le .cube

Vous pouvez aussi utiliser un fichier .cube.

Le fichier .cube inclut votre certificat et votre clé privée. Attention donc de ne pas le stocker n'importe où, à la légère.

Attention également : nos certificats ont une durée de vie limitée (max un an). Votre .cube sera donc obsolète passé ce délai.

En cas de besoin d'un fichier .cube, les paramètres sont identiques à ceux présentés ci-dessus. Seul le fichier de configuration change, il se limite à ajouter deux lignes dans le champ « Options à ajouter » dans la partie « Avancé » de HyperCube :

fragment 1300
mssfix

Ce qui doit donner ceci dans le .cube à proprement dit :

"openvpn_add": [
    "fragment 1300 ",
    "mssfix"
]

Plus d'information :

Merci à Vacuity et à Rémy d'avoir documenté cette section. :)

Pistes de debug

  • Sous GENTOO : activer le useflag down-root sinon on a des erreurs dans /var/log/messages tels que :
Oct 28 12:03:27 localhost ovpn-arn[27909]: PLUGIN_INIT: could not load plugin shared object 
/usr/lib/openvpn/openvpn-plugin-down-root.so: /usr/lib/openvpn/openvpn-plugin-down-root.so: 
cannot open shared object file: No such file or directory
Oct 28 12:03:27 localhost ovpn-arn[27909]: Exiting due to fatal error
Oct 28 12:03:27 localhost /etc/init.d/openvpn.arn[27908]: start-stop-daemon: failed to start `/usr/sbin/openvpn'
Oct 28 12:03:27 localhost /etc/init.d/openvpn.arn[27879]: WARNING: openvpn.arn has started, but is inactive
  • Sous un système GNU/Linux (Debian, Ubuntu,…), si vous n'arrivez pas à comprendre l'origine du problème, vous pouvez regarder les logs pour les transmettre à un admin ARN.
    • Si vous avez un système équipé de systemd (si vous avez changé le nom du fichier de configuration dans /etc/openvpn, c'est ce nom-là qu'il faut indiquer après « @ » et avant « .service » au lieu de « openvpn » : sudo journalctl -u openvpn@openvpn.service -xn 50. Montrer tout ce qu'OpenVPN raconte à un admin ARN.
    • Si vous n'avez pas un système équipé de systemd, le plus simple reste encore de stopper le VPN sudo service openvpn stop puis de modifier le fichier de configuration (/etc/openvpn/openvpn.conf par défaut) pour faire précéder par un point-virgule (“;”) la ligne qui commence par « daemon ». Il faut avoir les droits root pour faire ça. ;) Enfin, exécutez OpenVPN dans un terminal : sudo openvpn –config /etc/openvpn/openvpn.conf. Montrer tout ce qu'OpenVPN raconte à un admin ARN.
  • À compléter avec l'expérience. ;)
documentation/vpn.txt · Dernière modification: 2017/09/25 20:45 par aleks