tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
reseaux_openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseaux_openvpn [2008/08/04 12:36] thierryreseaux_openvpn [2012/04/14 22:00] (Version actuelle) thierry
Ligne 426: Ligne 426:
 ==== Au final ==== ==== Au final ====
  
-Dans **/etc/openvpn/easy-rsa/keys** on: +Dans **/etc/openvpn/easy-rsa/keys** on 
- +dh1024.pem | Diffie Hellman parameters 
-dh1024.pemDiffie Hellman parameters ca.crt root CA certificate ca.key root _private_ CA key server.crt server certificate server.key _private_ server key *.crt client certificate *.key _private_ client key+ca.crt root CA certificate 
 +ca.key root _private_ CA key |  
 +server.crt server certificate 
 +server.key _private_ server key 
 +*.crt client certificate |  
 +*.key _private_ client key |
  
 les clefs prives des clients, doivent être sur le poste du client, et uniquement. les clefs prives des clients, doivent être sur le poste du client, et uniquement.
Ligne 737: Ligne 742:
  
   # aptitude install udev   # aptitude install udev
 +
 +===== Redirect gateway =====
 +
 +==== Automatique ====
 +
 +=== methode 1 ===
 +
 +Pour le client (dans le ccd par exemple), ajouter:
 +  push-reset
 +  push "redirect-gateway"
 +
 +Ce qui aura grossièrement l'effet de faire sur le client, une:
 +  
 +  # route add default dev <tunnel>
 +
 +Mais certaines configuration n'aime pas qu'on touche la "default gateway" ainsi.
 +
 +=== methode 2 ===
 +
 +  push-reset
 +  push "redirect-gateway def1"
 +
 +Ce qui fera plutôt:
 +  
 +  # route add -net 0.0.0.0/1 dev <tunnel>
 +  # route add -net 128.0.0.0/1 dev <tunnel>
 +
 +Ce qui est plus supportable... parfois.
 +
 +==== A la main ====
 +
 +En fait, je préfère jouer avec "iproute2" plutôt que de laisser "openvpn" defoncer ma route par defaut.
 +
 +Pour la conf client (ccd?) ajouter:
 +  iroute 0.0.0.0 0.0.0.0.0
 +  push-reset
 +
 +On autorise tout a passer, sans rien faire côté client.
 +
 +Sur le client, on ajoute le routage vers la nouvelle gateway à la main.
 +
 +=== Avec route ===
 +
 +Sans iptables, on peut faire un truc comme ça:
 +  
 +  # route add -host <IP_DU_SERVEUR_VPN> gw <GATEWAY>
 +Et enfin:
 +  # route add -net 0.0.0.0/1 dev <tunnel>
 +  # route add -net 128.0.0.0/1 dev <tunnel>
 +
 +
 +=== Avec IpTables ===
 +
 +Il faut regarder la doc sur la manière de marké le communication, et associés une route a une mark.
 +
 +FIXME !
 +
  
reseaux_openvpn.txt · Dernière modification : 2012/04/14 22:00 de thierry