Pierre Porcheret




Voir la liste des articles



27 10 2014


OpenVPN avec authentification Linux

 

 Partie serveur

 

Installation de OpenVPN

 Installation du paquet :

apt-get install openvpn

Creation du repertoire de clés :

mkdir /etc/openvpn/easy-rsa/

cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/

 

Configuration des variables d’ environnement:

 Configuration des variables :

nano /etc/openvpn/easy-rsa/vars

 

export KEY_COUNTRY="FR"

export KEY_PROVINCE="FR"

export KEY_CITY="Ville"

export KEY_ORG="Organisation"

export KEY_EMAIL="mail@domaine.com"

export KEY_EMAIL=mail@domaine.com

export KEY_CN=Organisation

export KEY_NAME=Organisation

export KEY_OU=Organisation

export PKCS11_MODULE_PATH=Organisation

export PKCS11_PIN=1234

 

 

Generation de la clé serveur et du certificat:

 

cd /etc/openvpn/easy-rsa/

source vars

./clean-all

./build-ca

Creation du jeux de clés coté serveur :

./build-key-server SERVERNAME

./build-dh

 Installation du jeux de clés :

cd /etc/openvpn/easy-rsa/keys/

cp SERVERNAME.key SERVERNAME.crt ca.crt dh1024.pem /etc/openvpn

 

Configuration serveur

 

nano /etc/openvpn/server.conf

  

port1194 //Port de connexion

proto tcp-server//tcp ou udp

dev tun  //tun ou tap

ca ca.crt //attention cas ou ca et clés se trouvent dans le meme rep que server.conf

cert SERVERNAME.crt

key SERVERNAME.key

dh dh1024.pem

server 10.8.0.0 255.255.255.0

keepalive 10 120

comp-lzo

user nobody group nogroup

persist-key persist-tun

client-cert-not-required

plugin /usr/lib/openvpn/openvpn-auth-pam.so login //pluggin pour identification dans /etc/pam.d/login qui correspond a tous les utilisateur linux

status openvpn-status.log

verb 3

  

Tester la configuration

 

cd /etc/openvpn/

openvpn server.conf

 

Lancer le serveur Openvpn

 

service openvpn start

 

Partie client

 

Copier le ca.crt et créer le client.ovpn

 

dev tun

tls-client

 

remote <IP PUBLIQUE> 1194

pull

proto tcp-client

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

 

 


categorie :