Differences

This shows you the differences between two versions of the page.

--- informatique:logiciels:openvpn [2016/04/17 07:04] – relecture + MAJ pteu
+++ informatique:logiciels:openvpn [2017/10/24 16:30] – [Liens] configuration OpenVPN avec la Freebox révolution pteu
@@ Line 57: / Line 57: @@
 Puis intégrer ces variables et supprimer les précédents éventuels certificats présents dans le répertoire ''keys'' :
-</code bash>
+<code bash>
 source vars
 ./clean-all
@@ Line 214: / Line 214: @@
 Pour pérenniser cette config, on peut utiliser le paquet **iptables-persistent** :
 <code bash>
-apt remove ipmitool
+aptitude install iptables-persistent
-apt install iptables-persistent
 /etc/init.d/netfilter-persistent save
 </code>
@@ Line 276: / Line 275: @@
 ''route'' controls the routing from the kernel to the OpenVPN server (via the TUN interface) while ''iroute'' controls the routing from the OpenVPN server to the remote clients.
+=====Intégration système=====
+On va s'atteler à configurer les utilitaires du sytème pour une bonne intégration d'openvpn.
+====Démarrage automatique====
+Pour lancer openvpn automatiquement au démarrage de la machine :
+<code bash>
+update-rc.d openvpn defaults
+</code>
+====syslog====
+Pour orienter les log du daemon openvpn, on peut définir l'option idoine (''log-append openvpn.log'') dans la conf openvpn, mais je préfère les faire traiter par le syslog du système, c'est plus propre (et ça tombe bien, c'est la configuration par défaut d'openvpn !). On configurera le démon (r)syslog, en créant un fichier .conf du genre ''/etc/rsyslog/openvpn.conf'' :
+<code bash>
+# Create a template for the vpn log location
+$template OpenVPN,"/var/log/openvpn/ovpn.log"
+# Save log events where the programname starts with ovpn like ovpn-server to the
+# location mentioned in the template
+:programname, startswith, "ovpn-" -?OpenVPN
+# Stop processing ovpn-* log events
+:programname, startswith, "ovpn-" ~
+</code>
+Relancer ensuite le syslog :
+<code bash>
+systemctl restart rsyslog
+</code>
+====logrotate====
+Une configuration classique, à déposer dans ''/etc/logrotate.d/openvpn'' :
+<code bash>
+/var/log/openvpn/*.log
+{
+        rotate 12
+        size 500M
+        monthly
+        missingok
+        notifempty
+        delaycompress
+        compress
+        copytruncate    # pour ne pas interrompre les logs du daemon openvpn
+}
+</code>
+====fail2ban====
+On déclare le fichier à surveiller dans en créant un ''/etc/fail2ban/jail.d/openvpn.conf'' :
+<code bash>
+[openvpn]
+enabled = true
+protocol = udp
+port    = 5594
+filter    = openvpn
+logpath = /var/log/openvpn/ovpn.log
+</code>
+Et on défini les filtres dans ''/etc/fail2ban/filter.d/openvpn.conf'' :
+<code bash>
+[Definition]
+failregex = <HOST>:\\d{1,5} TLS Auth Error
+    <HOST>:\\d{1,5} VERIFY ERROR:
+    <HOST>:\\d{1,5} TLS Error: TLS handshake failed
+</code>
 =====Divers=====
-''dev-node "nom_de_linterface_reseau"'' permet de spécifier quelle interface utiliser (elle doit être créée avec ''addtap'').
+  * ''dev-node "nom_de_linterface_reseau"'' permet de spécifier quelle interface utiliser (elle doit être créée avec ''addtap'').
-''crl-verify crl.pem'' pour spécifier une liste de révocation
+  * ''crl-verify crl.pem'' pour spécifier une liste de révocation
+  * la commande ''openvpn --show-ciphers'' permet de lister les algorithmes de chiffrement disponibles, alors que ''openvpn --show-digests'' permet de lister les empreintes/hachages disponibles.
 =====Liens=====
+  * Documentation officielle : [[https://openvpn.net/index.php/open-source/documentation/manuals/]]
   * installation d'OpenVPN sous DD-WRT : http://www.dd-wrt.com/wiki/index.php/OpenVPN
   * [[http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B|VPN (the easy way) v24+]]
   * [[http://www.howtogeek.com/64433/how-to-install-and-configure-openvpn-on-your-dd-wrt-router/|How To Install and Configure OpenVPN On Your DD-WRT Router]] sur Howtogeek
   * HOWTO du site officiel : http://openvpn.net/index.php/documentation/howto.html#pki
+    * Miscellaneous : https://openvpn.net/index.php/open-source/documentation/miscellaneous/88-1xhowto.html
   * OpenVPN 2 HOWTO français : http://www.nbs-system.com/dossiers/howto-openvpn2.html
   * tunnel routé sous Ubuntu : http://blog.sionib.net/post/2007/06/28/Openvpn-Ubuntu-mode-routed
   * [[http://www.dd-wrt.com/phpBB2/viewtopic.php?t=35689|OpenVPN config docs for v24 SP1]]
+  * Pour faire fonctionner le serveur OpenVPN de la Freebox Révolution avec le client OpenVPN : [[https://forum.freenews.fr/index.php?topic=117463.0|[TUTO] Connexion à la Freebox en OpenVPN (Bridgé et Routé) depuis Windows 10]]. Spoil : ajouter ces lignes dans le fichier .ovpn généré par votre Freebox :
+<code bash>
+topology subnet
+# copier/coller de l'IP attribuée par la Freebox à notre client
+ifconfig 192.168.27.65 255.255.255.224
+# empêche d'accepter la configuration du serveur
+pull-filter ignore "ifconfig"
+# ip de l'interface tunnel de la Freebox
+route-gateway 192.168.27.94
+</code>