OpenVPN configuration !

Support Debian
#4

Pour gérer ton serveur dédié, tu te connectes bien avec ssh ?
Là c’est pareil, il suffit d’ajouter l’option à la ligne de commande de ssh.

#5

Je veux bien te croire, mais je vois aucun rapport avec les sites internet et SSH.
Sans explications, c’est confus se que tu me proposes !!!

#6

Depuis le poste client tu lances la connexion SSH avec la commande que j’ai donnée, en supposant que rien n’écoute déjà sur le port local 8000.
Si tu te connectes ensuite au port 8000 du client par exemple avec 127.0.0.1:8000, la connexion sera transférée par SSH sur le port 80 du serveur.
C’est assez clair ?

#7

Oui merci Pascal !
Je vais voir tout ça.

Cordialement

#8

Bonjour à toutes et tous,

Je me permet de relancer le sujet car la solution de “PascalHambourg” ne me convient pas.
Je souhaite réellement mettre en place un serveur OpenVPN pour accéder à mes sites privés.

J’ai encore cherché depuis mon dernier message sur ce topic et je n’ai encore rien trouvé de concluant.
D’habitude on dit que tout est déjà arrivé ou expliqué sur google vu la population d’aujourd’hui, mais très honnêtement je trouve pas mon bonheur.

Quelqu’un pourrait-il me donner un coup de main s’il vous plait ?

Merci
Cordialement

#9

Il y a de nombreux tutoriels sur l’installation de OpenVPN.
Essaie déjà de mettre en place ton serveur en posant tes questions si nécessaire :doh: .

Voici quelques lien qui devraient t’aider :wink: :
blog.tifab.info/installer-openvp … n-squeeze/
isalo.org/wiki.debian-fr/Serveur_OpenVPN
my1.fr/blog/creer-son-serveur-vpn-sous-debian/

#10

[quote=“Rathorian”]Bonjour à toutes et tous,

Je me permet de relancer le sujet car la solution de “PascalHambourg” ne me convient pas.
Je souhaite réellement mettre en place un serveur OpenVPN pour accéder à mes sites privés.

J’ai encore cherché depuis mon dernier message sur ce topic et je n’ai encore rien trouvé de concluant.
D’habitude on dit que tout est déjà arrivé ou expliqué sur google vu la population d’aujourd’hui, mais très honnêtement je trouve pas mon bonheur.

Quelqu’un pourrait-il me donner un coup de main s’il vous plait ?

Merci
Cordialement[/quote]

Tu es bien sûr que ce que t’a proposé Pascal ne te suffit pas ? ou tu n’y est pas arrivé ?

linux-france.org/prj/edu/arc … 13s04.html

Par ce qu’il est pleinement faisable d’atteindre tes backoffice de cette façon.

L’avantage c’est que tu pourra à terme te mettre ne place des alias te permettant ensuite de te connecter rapidement.

#11

Bonjour ben_raven,

Pour commencer, je voudrais te remercier d’intervenir sur mon sujet qui est un problème pour moi depuis plusieurs mois. 8)

J’ai du faire une recherche avec des dizaines et des dizaines de résultats qui permettent principalement de faire de la navigation sur internet en mode privée, comme les liens que tu m’as indiqué mais en aucun cas se que je souhaite réaliser.

J’ai déjà fait plusieurs installations sans parvenir à mes fins.

Je vais donc te montrer tout mes fichiers de configuration “openvpn” installé en ce moment sur mon serveur pour vous prouvez que j’ai cherché sans trouver mon bonheur :wink: .

Mon fichier “/etc/openvpn/server.conf” :

[code]# Port OpenVPN
port 1194

Protocole de connexion

proto udp

Mode Bridge

dev tap

Certificats et Clés

ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh2048.pem
tls-auth keys/ta.key 0

“DHCP” Interne - [@serveur] [mask] [@pool_début @pool_fin]

server-bridge 10.42.2.254 255.255.255.0 10.42.2.10 10.42.2.250

Sécurité

cipher AES-256-CBC
chroot /etc/openvpn/jail
client-config-dir ccd
ccd-exclusive
keepalive 10 120
max-clients 10
user nobody
group nogroup

Compression

comp-lzo

Garde la configuration au reboot

persist-key
persist-tun

Status des connexions

status openvpn-status.log

Fichier de logs

log-append /var/log/openvpn.log

Niveau de logs

verb 3

Nombres de messages à ne pas loguer quand ils se répètent

mute 20[/code]

Mon fichier de configuration pour un client windows ( coté serveur ) “/etc/openvpn/jail/ccd/pc-portable” :

ifconfig-push 10.42.2.30 255.255.255.0 push "dhcp-option DNS 10.42.0.250" push "dhcp-option DNS 10.42.0.251"

Mon fichier de configuration pour un client windows ( coté client ) ( pc-portable.ovpn ) :

[code]# Indique que c’est un client
client

Mode Bridge

dev tap

Protocole de connexion

proto udp

Indique l’Hôte à joindre et son port

remote XXX.XXX.XXX.XXX 1194

Essaye de résoudre le nom d’hôte indéfiniment

resolv-retry infinite

Certificats et clés

ca pc-portable/ca.crt
cert pc-portable/pc-portable.crt
key pc-portable/pc-portable.key
tls-auth pc-portable/ta.key 1

Sécurité

cipher AES-256-CBC
nobind

Garde la configuration au reboot

persist-key
persist-tun

Compression

comp-lzo

Niveau de logs

verb 3[/code]

Mon firewall ( Dans le cas ou j’aurais oublié quelques choses ) :

[code]#!/bin/sh

BEGIN INIT INFO

Provides: firewall

Required-Start: $remote_fs $syslog

Required-Stop: $remote_fs $syslog

Default-Start: 2 3 4 5

Default-Stop: 0 1 6

Short-Description: Lancement du Firewall

Description: Pare-feu du serveur

END INIT INFO

###############################################################################

FIREWALL

###############################################################################

Arret de fail2ban

/etc/init.d/fail2ban stop
echo " + Arret de Fail2ban : [OK]"

Reinitialisation des tables actuelles

iptables -t filter -F
iptables -t filter -X LOG_DROP_OUT
echo " + Suppression des regles existantes : [OK]"

Creations des regles de logs

iptables -N LOG_DROP_OUT
iptables -A LOG_DROP_OUT -j LOG --log-prefix '[IPTABLES DROP OUT] : ’
iptables -A LOG_DROP_OUT -j DROP
echo " + Creations des regles de logs : [OK]"

-------------------------------

Autorisation totale du Loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo " + Autorisation totale du Loopback : [OK]"

Ne pas casser les connexions etablies

iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo " + Garder les connexions existantes : [OK]"

ICMP (Ping)

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo " + Autorisation du Ping ICMP : [OK]"

MRTG OVH

iptables -t filter -A OUTPUT -d XXX.XXX.XXX.XXX -j ACCEPT
echo " + Autorisation MRTG OVH : [OK]"

OpenVPN

iptables -t filter -A INPUT -p udp --dport 1194 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 1194 -j ACCEPT
echo " + Autorisation OpenVPN : [OK]"

Drop de ports, trames invalides, IP’s

#iptables -t filter -A INPUT -p udp --dport 67 -j DROP
#iptables -t filter -A INPUT -p udp --dport 68 -j DROP

-------------------------------

Bloquage w00tw00t

iptables -t filter -I INPUT -d XXX.XXX.XXX.XXX -p tcp --dport 80 -m string --to 70 --algo bm --string ‘GET /w00tw00t.at.’ -j DROP

-------------------------------

SSH In/Out

iptables -t filter -A INPUT -p tcp --dport 2647 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 2647 -j ACCEPT
echo " + Ouverture SSH : [OK]"

DNS In/Out

#iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
echo " + Fermeture Bind 9 : [OK]"

NTP Out

iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo " + Ouverture NTP : [OK]"

Whois Out

iptables -t filter -A OUTPUT -p tcp --dport 43 -j ACCEPT
echo " + Ouverture Whois : [OK]"

Relais SMTP Gmail Out

iptables -t filter -A OUTPUT -p tcp --dport 587 -j ACCEPT
echo " + Ouverture SMTP Gmail : [OK]"

HTTP In/Out

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
echo " + Ouverture HTTP : [OK]"

HTTPS In/Out

#iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
echo " + Ouverture HTTPS : [OK]"

-------------------------------

Initialisation des regles de log

iptables -A OUTPUT -j LOG_DROP_OUT
echo " + Initialisation des regles de log : [OK]"

Comportement par defaut de iptables

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo " + Comportement par defaut de iptables : [OK]"

Lancement de fail2ban

/etc/init.d/fail2ban start
echo " + Lancement de fail2ban : [OK]"

echo " + ======================== SCRIPT TERMINE! ========================="
echo " + Afficher la configuration de la table filter : ‘iptables -L -n -v’"
echo " + =================================================================="[/code]

Mon VirtualHost Apache pour le site que je veux protéger avec l’accès seulement par VPN :

[code]<VirtualHost 10.42.2.30:80>
ServerAdmin webmaster@localhost
ServerName XXX.XXXXXX.fr

    SuexecUserGroup phpmyadmin phpmyadmin

    DocumentRoot /home/phpmyadmin/www
    <Directory /home/phpmyadmin/www/>
            Options -Indexes -FollowSymLinks -MultiViews
            AllowOverride None
            Order allow,deny
            allow from all
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/XXX.XXXXXX.fr.error.log

    # Possible values include: debug, info, notice, warn, error, crit, alert, emerg.
    LogLevel warn

    CustomLog ${APACHE_LOG_DIR}/XXX.XXXXXX.fr.access.log combined

[/code]

Voilà, je crois avoir mis tout les fichiers de configurations.

J’arrive bien à me connecter au VPN, il m’attribue l’IP “10.42.2.30” à partir de mon client.
Mais quand j’essaye de rentrer le nom de domaine de mon VirtualHost dans la barre d’adresse, au lieu de m’afficher mon site, je suis redirigé sur le site “default” d’Apache ( le fameux It works! ).

J’espère sincèrement que vous pourrez m’aider !

Merci
Cordialement

#12

Tu utilises quel client windows ?
Je te conseil OpenVPN GUI qui fonctionne très bien une fois paramétré.

openvpn.net/index.php/open-sour … loads.html

Tes clés et certifs sont indiquées dans ta conf qu’elles sont dans /etc/openvpn/keys … vérifie bien qu’elles ne soient pas dans dans /etc/openvpn/easy-rsa/keys auquel cas il faut modifier ton fichier de conf.

#13

Il n’y a rien qui te choque là-dedans ? Pas un petite incohérence/confusion entre l’adresse du serveur et l’adresse du client ?

Compte tenu de ce que j’ai relevé ci-dessus, ce n’est pas surprenant.

#14

Bonjour,

Les certificats et clés sont aux bonnes endroits, j’ai vérifié et j’arrive à me connecter au serveur VPN.
J’utilise comme logiciel OpenVPN GUI pour me connecter.

J’ai fait la modification de l’adresse IP sur le VirtualHost en mettant l’adresse IP de l’interface VPN qui est : 10.42.2.254
Le problème c’est que je suis débutant ( surtout en réseau ) donc avec toutes ces IP’s je me perds facilement.

Le problème persiste toujours malgré ce changement et je pense que c’est normal car l’interface TAP n’apparait pas quand je fais un “ifconfig” j’ai que ( eth0 et lo ).

J’ai bien essayé un “ifup tap” où “ifup tap0” mais j’ai que des messages du genre : Ignoring unknown interface tap0=tap0.

Je sais plus trop quoi faire en faite !

#15

S’il n’y a pas d’interface tun/tap, alors le VPN n’est pas monté et je ne vois pas comment tu peux accéder à quoi que ce soit sur cette adresse depuis le client.

#16

Pourtant j’arrive à me connecter depuis le client au serveur VPN :

Tue Feb 18 17:31:59 2014 Initialization Sequence Completed Tue Feb 18 17:31:59 2014 MANAGEMENT: >STATE:1392741119,CONNECTED,SUCCESS,10.42.2.30,XXX.XXX.XXX.XXX

#17

même avis que PascalHambourg, ssh gère très bien tout ce qui est applications web, mais il faut lui indiquer de passer par le socks.

exemple:
ssh user@serveur -D 8080

et dans préférences/réseau de ton navigateur, tu mets 127.0.0.1 pour Hôte SOCKS4 ou 5 Port 8080 et tu coches SOCKSv4 ou SOCKSv5
cela fonctionnera parfaitement pour toutes tes applications web local (sites, phpmyadmin, etc…)

#18

Je viens de voir qu’en faisant un “ifconfig -a” mon interface “tap0” apparait mais rien avec un “ifconfig” seul…

Je dois en déduire quoi ?

Merci
Cordialement

#19

[quote=“Rathorian”]Je viens de voir qu’en faisant un “ifconfig -a” mon interface “tap0” apparait mais rien avec un “ifconfig” seul…

Je dois en déduire quoi ?

Merci
Cordialement[/quote]

Que tu n’a pas consulter le manuel de ifconfig :stuck_out_tongue:

http://www.delafond.org/traducmanfr/man/man8/ifconfig.8.html

-a    Afficher toutes les interfaces actuellement disponibles, même celles qui sont inactives.

Donc oui ton interface tap est bien présente mais pas montée :033

#20

Bonsoir,

Dans ce cas comment monter l’interface “tap0” car si j’essaye de faire “ifup tap0” ça me dit qu’il ne connait pas l’interface…

Merci

#21

Ta réponse confirme que tu ne lis pas les pages de manuel des commandes que tu utilises. Cela inclut ifconfig, ifup… et openvpn. Tu devrais notamment lire attentivement la description de l’option [mono]server-bridge[/mono], sa signification et celle de ses paramètres.

#22

C’est bon, j’ai activé “tap0”.
Mais rien ne change encore à mon problème.

C’est pas spécialement contre vous mais mise à part dire aux personnes de lire la doc c’est tout se que vous faites sur un forum de support, je suis loin de vouloir que tout me tombe dans les mains mais un minimum sinon ça sert pas à grand chose d’intervenir sur des forums ?

Je suis désolé de vous décevoir mais les personnes qui utilisent Debian ou même linux en général, n’ont pas tous des diplômes en informatique et réseaux et ou des talents en Anglais.

Alors oui il existe des traducteurs… Mais avez-vous déjà vu les traductions que ce genre de programme fait ?
C’est souvent incompréhensible, déjà que c’est pas le plus facile le monde du réseau informatique si en plus de ça c’est traduit par un soft merdique…

Bref tout ça pour dire que je suis un passionné mais si l’entraide est comme ça continuellement il est clair que Debian ou autre remplacera jamais Windaube un jour !

Bonne soirée à tous

Cordialement

#23

Ce n’est pas spécialement contre toi, mais lire la documentation est la première étape, et tu ne sembles pas l’avoir lue. A partir de là difficile d’aller plus loin.

Tant mieux parce que ça n’arrivera pas de ma part. J’ai une façon particulière d’aider les gens : je m’efforce de les guider pour leur faire trouver ce dont ils ont besoin, plutôt que de leur donner tout de suite. Cela implique un état d’esprit particulier de la part de leur part, qui consiste notamment à fournir un maximum d’informations. J’admets que cela ne convient pas à tout le monde, mais je n’ai pas l’ambition d’aider tout le monde.

Je t’ai donné un piste concernant une option précise que tu as utilisée visiblement sans la comprendre. La balle est dans ton camp.

Moi le premier.

Là, il n’y a pas à discuter : l’anglais est de fait incontournable en informatique et réseau comme dans d’autres disciplines techniques et scientifique. On peut le regretter mais c’est comme ça. Je ne comprends pas qu’on puisse faire de l’informatique sans maîtriser un minimum l’anglais. Moi, je ne pourrais tout simplement pas.

Oui, et il vaut mieux oublier tout de suite. D’autant plus que l’anglais informatique est finalement assez simple, il ne s’agit pas de lire de la littérature ni même des articles de presse. Les tournures sont basiques et les mots compliqués sont les mots techniques, qui sont souvent les mêmes qu’on utilise en français.

Discours usé jusqu’à la corde. Rien à foutre. Pas mon objectif.