[TUTO] Mise en place d'un tunnel VPN entre deux réseaux

[ZEPsikopat]

Puisque je m'ennuyais cet aprem, je me suis motivé pour faire un vpn entre le réseau de chez mes parents et le mien.
C'est d'autant plus intéressant qu'ils sont enfin passés en dégroupage, donc avec un upload plus rationnel.

Bref.

Le tutorial est valable déjà sous debian, mais il est adaptable à toutes les distributions linux, et assez facilement portable sous windows.

Prérequis : Un poste opérant sous linux de chaque côté du tunnel, idéalement une passerelle.

[#ff0000]/!\ Pour l'instant je n'ai pas considéré le chiffrage du tunnel /!\[/#ff0000]
[*]Etape 1 : Installer openVPN
Sous debian, tout est déjà packagé, profitez-en :

aptitude install openvpn liblzo1

La librairie lzo permet de compresser partiellement les trames IP, résultant en une diminution légère de la BP utilisée (et l'overload est assez négligeable)
Réalisez donc cette installation sur les deux passerelles, client et serveur.

[*]Etape 2 : Configurer le serveur

Créez un fichier de configuration dans /etc/openvpn/, par exemple vpn-home.conf
Adaptez-y le contenu de celui-ci :

local 82.244.x.y
remote 88.172.z.t
port 1194
proto udp
dev tun
ifconfig 192.168.217.1 192.168.217.2
route 192.168.0.0 255.255.255.0 192.168.217.2
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key

Explications :

local -> l'adresse sur laquelle le serveur va écouter (ici l'adresse WAN)
remote -> l'adresse du client que l'on va accepter
port -> le port utilisé par le tunnel (par défaut 1194)
proto -> le protocole utilisé (par défaut udp)
dev -> le type de pont utilisé (bridge [tap] ou tunnel [tun])
ifconfig -> l'adresse des deux extrémités du tunnel. La première correspond au local, la seconde au distant.
route -> Si vous n'êtes pas dans le même réseau des deux côtés, vous pouvez préciser les routes nécessaire. Le champ peut être dupliqué suivant la complexité du réseau
comp-lzo -> indique qu'il faut utiliser la compression des paquets (recommandé)

Le reste des options peut être enlevé, dans mon cas elles servent à vérifier la persistance du tunnel.

Voilà, le serveur est configuré, vous pouvez le lancer par

/etc/init.d/openvpn restart

Vous aurez droit à un beau message du style :

Stopping virtual private network daemon: vpn-home.
Starting virtual private network daemon: vpn-home(OK).

Si vous voyez un failed pour un des vpn, allez jeter un oeil dans le syslog, c'est expliqué.

[*]Etape 3 : Configurer le client

Même principe que pour le serveur, les fichiers de config sont relativement semblables :

local 88.172.z.t
remote 82.244.x.y
port 1194
proto udp
dev tun
ifconfig 192.168.217.2 192.168.217.1
route 192.168.235.0 255.255.255.0 192.168.217.1
route 10.0.0.0 255.0.0.0 192.168.217.1
comp-lzo
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key

Ensuite, même principe, lancez le serveur côté client



Voilà, tout est opérationnel, les deux réseaux sont sensés être joints.
Pour le vérifier, essayez un ping sur l'extrémité du tunnel. Vous devriez avoir une réponse si tout s'est bien passé.

Attention cependant, cette configuration ne prend pas en compte les certificats pour le chiffrement (je le ferai à l'occasion)

[nicodache]

ca peut fonctionner si une des deux machines fonctionne sur ip dynamique ?
je ferais bien ca pour me connecter de manière plus sécurisée à mon serveur qui arrivera p'tet un jour, genre monter un share nfs au dessus du tunnel VPN, pour accéder à mon home du serv comme si il était sur ma machine

[ZEPsikopat]

Ca devrait pouvoir marcher oué, tu remplaces par un wildcard

mais dans ce cas, tu peux te faire saucer comme y'a pas de vérification par chiffrement...
Dans ce cas, vaut mieux mettre du tls par dessus ça, comme ça si quelqu'un se connecte sans être autorisé, il se fait éjecter puisqu'il peut pas dialoguer

[nicodache]

oki

tuto ?

[ZEPsikopat]

Ouais heu tu attends pour le chiffrement, j'm'emmele encore avec les certifs

[shreckbull]

je suis peut etre con mais je ne suis pas arrivé avec 2 box pfsense... reliée ainsi :

LAN 1 --- [BOX] ------ WAN bidon ----- [BOX] --- LAN2


donc sans etre relié a internet, j'ai utilisé un LAN en classe C et B privées et mon WAN en A publique ... donc n'etant pas relié au web pas de soucis ....

Je n'ai jamais réussi a monter un VPN via pfsense .... je dois pas etre très doué !

[ZEPsikopat]

C'est pourtant ce que j'ai chez moi, mais pas avec pfsense. Cela vient peut-être d'une confusion au niveau des certificats si tu en utilises.

Sinon je ne vois pas, il faudrait voir avec la conf de chaque côté

[shreckbull]

Avec open VPN ... mais bon j'ai tenté ca un jour de neige ou je me fesais un peu chier ... là a vrai dire, j'ai tout laissé tomber depuis longtemps !!!

[TNZ]

LAN Booster 6104P powaaaaaaaaaa :hot:

Serveur VPN inside avec maintien permanent ou temporaire des tunnels VPN (et jusqu' à 16 en simultanés ... avec ipsec toussa)

[ZEPsikopat]

Ouais mais tu peux pas te servir de xen avec :spamafote:

[gizmo78]

je up car j'ai une galère avec l'interface tun0: elle ne se créée pas et j'arrive pas à lancer le module.

quand je fais un modprobe tun j'ai ca :

Citation :

FATAL: Could not load /lib/modules/2.6.24-7-pve/modules.dep: No such file or directory

j'ai suivis ce tuto: http://wiki.vpslink.com/TUN/TAP_de [...] or_Hamachi

et j'ai cette erreur maintenant:

Citation :

Sep 4 13:28:41 section-8 ovpn-server[21731]: Note: Cannot open TUN/TAP dev /dev/net/tun: Permission denied (errno=13)
Sep 4 13:28:41 section-8 ovpn-server[21731]: Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Sep 4 13:28:41 section-8 ovpn-server[21731]: Cannot allocate TUN/TAP dev dynamically
Sep 4 13:28:41 section-8 ovpn-server[21731]: Exiting
section-8:/dev/net# modprobe tun

mais j'arrive pas à mettre les bons droits :/

c'est sur un debian 5.0 sous proxmox (je sais pas si ca joue) une idée du pk?

[poulpito]

proxmox ca joue moi le vpn est sur la partition root

les vm de base de proxmox on pas tout ce qu'il faut pour rajouter des modules et totu

[gizmo78]

okay et y a moyen de rajouter ce qu'il faut? car pas trop envi de toucher la partoche root quoi :/

[poulpito]

je sais pas j'ia pas regardé

[gizmo78]

hum ok vais regarder alors merci

[gizmo78]

ce tuto passerais sur la partition root? (quand tu dis partition root c'est celle qui contient l'hyperviseur quoi?)

http://doc.ubuntu-fr.org/openvpn

[poulpito]

root ou hyperviseur pardon

j'ai pas trop le temps de regarder mais sur la partition root
ouaip
installation d'openvpn de base rien de bien compliquer

[gizmo78]

hum okay, bas je vais faire ca la alors :/

merci

[gizmo78]

bon c'est fait et il se lance....


par contre pour le tester je peux mettre le client vpn sur mon mac et l'utiliser avec ma connexion mais comment je sais si je passe bien par le vpn? j'aurais l'ip de sortie différente?

[gizmo78]

bon bas ca le fait

j'ai pris viscosity pour mac et hop roulez!!!

en tout cas c'est chiant le coup du debian proxmox modifié :/

[poulpito]

bah promox c'est pas des VMs faut pas oublier ca

si tu regardes bien tt les applus des etmplates sont executées par l'hote

(htop sur le root)

[gizmo78]

y a une technique pour tester le vpn? car par exemple je peux pas me connecter aux ftp donc c'est que ca passe pas par le vpn alors que le client est connecté au serveur et dans info j'ai:

adresse ip de la machine: 10.8.0.6
adresse serveur: 213.251.186.xxx

c'est normale que ce soit pas les mêmes adresses?

[Ryu_wm]

pour 2 pfsense en vis à vis :
http://www.adminreseau.net/2008/11/10/p ... te-a-site/
http://www.adminreseau.net/2007/09/25/p ... -warriors/
http://infracom-france.com/blog2/?p=1276

pour 1 pfsense en vis à vis d'un linux :
http://doc.pfsense.org/index.php/VPN_Capability_OpenVPN


et pour finir un pdf de 2006 mais qui reste une bonne base de travail
http://bcc5-328.selfip.info/smp/pfsense-ovpn.pdf

[gizmo78]

merci