Configuration VPN routée avancée sur le serveur à partir du Guide du serveur Ubuntu par OnWorks

Passer au contenu

<Précédent | Table des matières | Suivant>

1.6.1. Configuration VPN routée avancée sur le serveur

Ce qui précède est un VPN fonctionnel très simple. Le client peut accéder aux services sur la machine serveur VPN via un tunnel crypté. Si vous souhaitez atteindre plus de serveurs ou quoi que ce soit dans d'autres réseaux, poussez certaines routes vers les clients. Par exemple, si le réseau de votre entreprise peut être résumé au réseau 192.168.0.0/16, vous pouvez pousser cette route vers les clients. Mais vous devrez également modifier le routage pour le retour - vos serveurs doivent connaître un itinéraire vers le réseau client VPN.

Ou vous pouvez pousser une passerelle par défaut vers tous les clients pour envoyer tout leur trafic Internet à la passerelle VPN d'abord et de là via le pare-feu de l'entreprise vers Internet. Cette section vous montre quelques options possibles.

Pousser les routes vers le client pour lui permettre d'atteindre d'autres sous-réseaux privés derrière le serveur. N'oubliez pas que ces sous-réseaux privés devront également savoir rediriger le pool d'adresses client OpenVPN (10.8.0.0/24) vers le serveur OpenVPN.

pousser "route 10.0.0.0 255.0.0.0"

Si elle est activée, cette directive configurera tous les clients pour rediriger leur passerelle réseau par défaut via le VPN, provoquant le passage de tout le trafic IP tel que la navigation Web et les recherches DNS via le VPN (la machine serveur OpenVPN ou votre pare-feu central peut avoir besoin de NAT le TUN /TAP à Internet pour que cela fonctionne correctement).

push "redirect-gateway def1 bypass-dhcp"

Configurez le mode serveur et fournissez un sous-réseau VPN pour qu'OpenVPN puise les adresses des clients. Le serveur prendra 10.8.0.1 pour lui-même, le reste sera mis à disposition des clients. Chaque client pourra atteindre le serveur sur

10.8.0.1. Commentez cette ligne si vous faites un pont Ethernet.

serveur 10.8.0.0 255.255.255.0

Conservez un enregistrement des associations client-adresse IP virtuelle dans ce fichier. Si OpenVPN tombe en panne ou est redémarré, les clients qui se reconnectent peuvent se voir attribuer la même adresse IP virtuelle à partir du pool qui a été précédemment attribué.

ifconfig-pool-persist ipp.txt

Poussez les serveurs DNS vers le client.

pousser "dhcp-option DNS 10.0.0.2" pousser "dhcp-option DNS 10.1.0.2"

Autoriser la communication client à client.

client à client

Activez la compression sur le lien VPN.

comp-lzo

La rester en vie La directive provoque l'envoi de messages de type ping sur le lien afin que chaque côté sache quand l'autre côté est tombé en panne. Ping toutes les 1 seconde, supposez que l'homologue distant est en panne si aucun ping n'est reçu pendant une période de 3 secondes.

keepalive 1 3

C'est une bonne idée de réduire les privilèges du démon OpenVPN après l'initialisation.

utilisateur personne groupe nogroup

OpenVPN 2.0 inclut une fonctionnalité qui permet au serveur OpenVPN d'obtenir en toute sécurité un nom d'utilisateur et un mot de passe d'un client se connectant, et d'utiliser ces informations comme base pour authentifier le client. Pour utiliser cette méthode d'authentification, ajoutez d'abord la directive auth-user-pass à la configuration du client. Il demandera au client OpenVPN de demander à l'utilisateur un nom d'utilisateur/mot de passe, en le transmettant au serveur via le canal TLS sécurisé.

# configuration client ! auth-user-pass

Cela indiquera au serveur OpenVPN de valider le nom d'utilisateur/mot de passe saisi par les clients à l'aide du module de connexion PAM. Utile si vous avez une authentification centralisée avec par exemple Kerberos.

plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so connexion