tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
reseaux_openvpn

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
reseaux_openvpn [2007/04/10 12:26] – créée thierryreseaux_openvpn [2012/04/14 22:00] (Version actuelle) thierry
Ligne 426: Ligne 426:
 ==== Au final ==== ==== Au final ====
  
-Dans **/etc/openvpn/easy-rsa/keys** on: +Dans **/etc/openvpn/easy-rsa/keys** on 
- +dh1024.pem | Diffie Hellman parameters 
-dh1024.pemDiffie Hellman parameters ca.crt root CA certificate ca.key root _private_ CA key server.crt server certificate server.key _private_ server key *.crt client certificate *.key _private_ client key+ca.crt root CA certificate 
 +ca.key root _private_ CA key |  
 +server.crt server certificate 
 +server.key _private_ server key 
 +*.crt client certificate |  
 +*.key _private_ client key |
  
 les clefs prives des clients, doivent être sur le poste du client, et uniquement. les clefs prives des clients, doivent être sur le poste du client, et uniquement.
Ligne 669: Ligne 674:
    PING 172.16.0.35 (172.16.0.35) 56(84) bytes of data.    PING 172.16.0.35 (172.16.0.35) 56(84) bytes of data.
    64 bytes from 172.16.0.35: icmp_seq=1 ttl=126 time=51.3 ms    64 bytes from 172.16.0.35: icmp_seq=1 ttl=126 time=51.3 ms
 +
  
 ===== VPN et partage Internet ===== ===== VPN et partage Internet =====
Ligne 717: Ligne 723:
 Le serveur VPN etant routé par defaut vers le NET , tout ce qui vient d'un client routé vers le client VPN, est transmis au serveur VPN qui va lui même envoyer vers le NET. Le serveur VPN etant routé par defaut vers le NET , tout ce qui vient d'un client routé vers le client VPN, est transmis au serveur VPN qui va lui même envoyer vers le NET.
  
---\\ + 
-EOF+ 
 + 
 +===== /dev/net/tun : No such file ... ==== 
 + 
 +==== Problème ==== 
 +J'ai eu ça: 
 +  Aug  4 11:15:28 netcave ovpn-client-ild-eko[2035]: Note: Cannot open TUN/TAP dev /dev/net/tun: No such file or directory (errno=2) 
 + 
 +La solution provisoire: 
 +  # mkdir /dev/net 
 +  # mknod /dev/net/tun c 10 200 
 +  # modprobe tun 
 + 
 + 
 +==== solution ==== 
 +En fait, "udev" n'etait pas installé, et c'est lui qui créé le "nod"
 + 
 +  # aptitude install udev 
 + 
 +===== Redirect gateway ===== 
 + 
 +==== Automatique ==== 
 + 
 +=== methode 1 === 
 + 
 +Pour le client (dans le ccd par exemple), ajouter: 
 +  push-reset 
 +  push "redirect-gateway" 
 + 
 +Ce qui aura grossièrement l'effet de faire sur le client, une: 
 +   
 +  # route add default dev <tunnel> 
 + 
 +Mais certaines configuration n'aime pas qu'on touche la "default gateway" ainsi. 
 + 
 +=== methode 2 === 
 + 
 +  push-reset 
 +  push "redirect-gateway def1" 
 + 
 +Ce qui fera plutôt: 
 +   
 +  # route add -net 0.0.0.0/1 dev <tunnel> 
 +  # route add -net 128.0.0.0/1 dev <tunnel> 
 + 
 +Ce qui est plus supportable... parfois. 
 + 
 +==== A la main ==== 
 + 
 +En fait, je préfère jouer avec "iproute2" plutôt que de laisser "openvpn" defoncer ma route par defaut. 
 + 
 +Pour la conf client (ccd?) ajouter: 
 +  iroute 0.0.0.0 0.0.0.0.0 
 +  push-reset 
 + 
 +On autorise tout a passer, sans rien faire côté client. 
 + 
 +Sur le client, on ajoute le routage vers la nouvelle gateway à la main. 
 + 
 +=== Avec route === 
 + 
 +Sans iptables, on peut faire un truc comme ça: 
 +   
 +  # route add -host <IP_DU_SERVEUR_VPN> gw <GATEWAY> 
 +Et enfin: 
 +  # route add -net 0.0.0.0/1 dev <tunnel> 
 +  # route add -net 128.0.0.0/1 dev <tunnel> 
 + 
 + 
 +=== Avec IpTables === 
 + 
 +Il faut regarder la doc sur la manière de marké le communication, et associés une route a une mark. 
 + 
 +FIXME ! 
 + 
reseaux_openvpn.1176207968.txt.gz · Dernière modification : 2007/04/10 12:26 de thierry