evolix/wiki
22
0
Fork 0
Code Releases Activity

MàJ partie IP statique

Browse source
This commit is contained in:
jdubois 2022-10-14 18:06:24 +02:00
parent 8095dbe886
commit b55c917802
1 changed files with 19 additions and 20 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

39
HowtoOpenVPN.md
View file

@ -509,38 +509,37 @@ ifconfig-pool-persist /etc/openvpn/ipp.txt 0
Cela rend le fichier `ipp.txt` en lecture seule pour OpenVPN.
Il faudra donc ajouter une nouvelle ligne de la forme `CN,IP` à chaque ajout d'un nouveau client.
**Attention** : cette configuration n'est qu'une suggestion pour OpenVPN, il n'y a aucune garantie qu'OpenVPN attribue réellement les IPs indiquées dans ce fichier aux clients. Pour que cela soit garantie, il faut utiliser l'option `client-config-dir`, voir ce-dessous.
#### /etc/openvpn/ccd
Une autre méthode est d'ajouter la directive suivante pour le serveur OpenVPN :
Doc complète : <https://community.openvpn.net/openvpn/wiki/Concepts-Addressing>
Pour attribuer une IP de manière statique de façon garantie sur le temps, par rapport à [configuration serveur classique](#configuration-serveur), il faut :
* Supprimer la ligne de configuration `server 192.0.2.0 255.255.255.0`
* Ajouter les paramètres de configuration suivants :
~~~
tls-server
push "topology subnet"
ifconfig 192.0.2.1 255.255.255.0
push "route-gateway 192.0.2.1"
ifconfig-pool 192.0.2.2 192.0.2.199 255.255.255.0
client-config-dir /etc/openvpn/ccd
username-as-common-name
~~~
Le répertoire `/etc/openvpn/ccd/` contient des fichiers avec les _Common Name_ et contenant les adresses IP fixés ainsi :
* Dans le fichier `/etc/openvpn/ccd/client1` (`client1` étant le CN du client auquel attribuer l'IP statique), mettre la configuration suivante :
~~~
ifconfig-push 172.16.1.1 172.16.1.2
ifconfig-push 192.0.2.200 255.255.255.0
~~~
Les IPs que l'on peut mettre doivent être prises selon des paires spécifiques, que l'on peut voir sur [la documentation OpenPVN](https://openvpn.net/community-resources/how-to/#configuring-client-specific-rules-and-access-policies) :
* Répéter la configuration dans `/etc/openvpn/ccd/` pour chaque CN auquel attribuer une IP statique
~~~
[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101,102] [105,106] [109,110] [113,114] [117,118]
[121,122] [125,126] [129,130] [133,134] [137,138]
[141,142] [145,146] [149,150] [153,154] [157,158]
[161,162] [165,166] [169,170] [173,174] [177,178]
[181,182] [185,186] [189,190] [193,194] [197,198]
[201,202] [205,206] [209,210] [213,214] [217,218]
[221,222] [225,226] [229,230] [233,234] [237,238]
[241,242] [245,246] [249,250] [253,254]
~~~
Ainsi, le serveur est configuré sur l'IP 192.0.2.1, la plage IP 192.0.2.2 jusqu'à .199 sera dynamique, et la plage .200 jusqu'à .254 ne sera jamais attribuée dynamiquement mais ne pourra qu'être statique.
De cette façon, on peut également utiliser des plages d'IPs avec des autorisations spécifiques sur le firewall : par exemple la page dynamique .2 à .199 avec des autorisations limitées, une plage statique .200 à .220 avec certaines autorisations, puis une plage statique .221 à .254 avec d'autres autorisations.
### Authentification via Radius