grand déplacement de la conf
This commit is contained in:
Daniel Jakots
parent
8e041c1c2b
commit
48b93ada7f
|
|
@ -60,7 +60,7 @@ La configuration se fera via un fichier `/etc/openvpn/server.conf` avec les para
|
|||
|
||||
La configuration se fera via un fichier `/etc/openvpn/server.conf` :
|
||||
|
||||
### Sous OpenBSD
|
||||
### Serveur, sous OpenBSD
|
||||
|
||||
|
||||
~~~
|
||||
|
|
@ -130,7 +130,7 @@ Pour que les logs générés par OpenVPN soient rotatés, il faut rajouter la li
|
|||
/var/log/openvpn.log 600 52 * $W6D4 Z
|
||||
~~~
|
||||
|
||||
### Sous Debian
|
||||
### Serveur, sous Debian
|
||||
|
||||
~~~
|
||||
#
|
||||
|
|
@ -206,6 +206,46 @@ Enfin on installe les dépendances du check
|
|||
# apt install libnet-telnet-perl
|
||||
~~~
|
||||
|
||||
### Client
|
||||
|
||||
Pour simplifier la configuration pour les utilisateurs finaux on peut générer un fichier de configuration embarquant les certificats :
|
||||
|
||||
~~~
|
||||
client
|
||||
dev tap0
|
||||
tls-client
|
||||
proto udp
|
||||
#comp-lzo
|
||||
#ns-cert-type server
|
||||
|
||||
tls-client
|
||||
remote vpn.example.com 1194
|
||||
|
||||
persist-key
|
||||
persist-tun
|
||||
pull
|
||||
|
||||
cipher AES-128-CBC
|
||||
|
||||
<ca>
|
||||
-----BEGIN CERTIFICATE-----
|
||||
[…]
|
||||
-----END CERTIFICATE-----
|
||||
</ca>
|
||||
|
||||
<cert>
|
||||
Certificate:
|
||||
Data:
|
||||
[…]
|
||||
-----END CERTIFICATE-----
|
||||
</cert>
|
||||
|
||||
<key>
|
||||
-----BEGIN RSA PRIVATE KEY-----
|
||||
[…]
|
||||
-----END RSA PRIVATE KEY-----
|
||||
</key>
|
||||
~~~
|
||||
|
||||
## PKI avec shellPKI (OpenBSD et Debian)
|
||||
|
||||
|
|
@ -281,48 +321,6 @@ ifconfig-pool-persist /etc/openvpn/ipp.txt 0
|
|||
Cela rend le fichier _ipp.txt_ en lecture seule pour OpenVPN.
|
||||
Il faudra donc ajouter une nouvelle ligne de la forme CN,IP à chaque ajout d'un nouveau client.
|
||||
|
||||
|
||||
## Configuration inline pour client OpenVPN
|
||||
|
||||
Pour simplifier la configuration pour les utilisateurs finaux on peut générer un fichier de configuration embarquant les certificats :
|
||||
|
||||
~~~
|
||||
client
|
||||
dev tap0
|
||||
tls-client
|
||||
proto udp
|
||||
#comp-lzo
|
||||
#ns-cert-type server
|
||||
|
||||
tls-client
|
||||
remote vpn.example.com 1194
|
||||
|
||||
persist-key
|
||||
persist-tun
|
||||
pull
|
||||
|
||||
cipher AES-128-CBC
|
||||
|
||||
<ca>
|
||||
-----BEGIN CERTIFICATE-----
|
||||
[…]
|
||||
-----END CERTIFICATE-----
|
||||
</ca>
|
||||
|
||||
<cert>
|
||||
Certificate:
|
||||
Data:
|
||||
[…]
|
||||
-----END CERTIFICATE-----
|
||||
</cert>
|
||||
|
||||
<key>
|
||||
-----BEGIN RSA PRIVATE KEY-----
|
||||
[…]
|
||||
-----END RSA PRIVATE KEY-----
|
||||
</key>
|
||||
~~~
|
||||
|
||||
## Template systemd pour démarrer le client OpenVPN
|
||||
|
||||
Pour démarrer le client OpenVPN, il existe un template systemd, pour le démarrer et l'activer au démarrage :
|
||||
|
|
@ -390,7 +388,6 @@ Si l'on utilise une version récente de [shellpki](https://forge.evolix.org/proj
|
|||
# cp crl.pem /var/empty
|
||||
~~~
|
||||
|
||||
|
||||
### Erreur "createipforwardentry" (client OpenVPN – Windows)
|
||||
|
||||
En cas d'erreur `ROUTE: route addition failed using createipforwardentry`, l'utilisateur n'a pas les droits suffisants pour ajouter une nouvelle route.
|
||||
|
|
|
|||
Loading…
Reference in a new issue