Historique de la page

...

1. Nous n'exposons pas de service via le VPN. Le VPN est un moyen d’accéder aux service mais pas d'en exposer.
2. Le certificat racine des VPN est sous la responsabilité de l'équipe Roots: [email protected]

Serveur VPN

Client VPN

Deux instances de serveurs VPN OpenVPN sont installées sur charon :

admin-vpn.gorgu.net : pour les utilisateurs "admin" nomades

server-vpn.gorgu.net : pour les serveurs extérieurs au PCC OVH

Client VPN

Les clients VPN peuvent donc être de deux types :

• certificat utilisateur : pour les utilisateurs nomades
• certificat serveur : pour les serveurs

Procédure sous Linux debian pour un utilisateur nomade

1. Installation et génération de son certificat

Pour installer OpenVPN taper dans un terminal la commande suivante :

sudo apt-get install openvpn easy-rsa

Puis taper les commandes suivantes pour créer votre certificat. Elles vont générer deux fichiers :

• openvpn_admin-vpn.key : (Clé privée) ce fichier est a garder sur votre ordinateur et ne doit pas être envoyer par mail

• openvpn_admin-vpn.crt : (Certificat request) ce fichier doit être envoyer par mail aux roots de gadz.org qui vont retourner un fichier "openvpn_admin-vpn.crt" (Certificat publique généré via le CSR émis avec la clé privée)

   

openssl genrsa 10242048 > openvpn_admin-vpn.key
openssl req -new -key openvpn_admin-vpn.key > openvpn_admin-vpn.csr

• Faire signer son certificat.

Il vous faut envoyer à l'adresse [email protected] le fichier : openvpn_admin-vpn.csr en leurs demandant de le signer avec le certificat (voir la procédure : Signature de certificats client)

L'équipe vous répondra par mail avec les pièces jointes suivantes que vous devrez sauvegarder dans le même répertoire que les fichiers précédents :

• Mise en place de la configuration et lancement de openvpn

Copier les fichiers et relancer openvpn:

% sudo cp -rf * /etc/openvpn 
% sudo bash -c "echo 'AUTOSTART=\"all\"' >> /etc/default/openvpn 
% sudo systemctl daemon-reload 
% sudo /etc/init.d/openvpn restart