From b55c917802ee152fdc1e11eba99b97007ec211af Mon Sep 17 00:00:00 2001 From: jdubois Date: Fri, 14 Oct 2022 18:06:24 +0200 Subject: [PATCH] =?UTF-8?q?M=C3=A0J=20partie=20IP=20statique?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenVPN.md | 39 +++++++++++++++++++-------------------- 1 file changed, 19 insertions(+), 20 deletions(-) diff --git a/HowtoOpenVPN.md b/HowtoOpenVPN.md index 03412484..db04e3b1 100644 --- a/HowtoOpenVPN.md +++ b/HowtoOpenVPN.md @@ -509,38 +509,37 @@ ifconfig-pool-persist /etc/openvpn/ipp.txt 0 Cela rend le fichier `ipp.txt` en lecture seule pour OpenVPN. Il faudra donc ajouter une nouvelle ligne de la forme `CN,IP` à chaque ajout d'un nouveau client. +**Attention** : cette configuration n'est qu'une suggestion pour OpenVPN, il n'y a aucune garantie qu'OpenVPN attribue réellement les IPs indiquées dans ce fichier aux clients. Pour que cela soit garantie, il faut utiliser l'option `client-config-dir`, voir ce-dessous. + #### /etc/openvpn/ccd -Une autre méthode est d'ajouter la directive suivante pour le serveur OpenVPN : +Doc complète : + +Pour attribuer une IP de manière statique de façon garantie sur le temps, par rapport à [configuration serveur classique](#configuration-serveur), il faut : + +* Supprimer la ligne de configuration `server 192.0.2.0 255.255.255.0` +* Ajouter les paramètres de configuration suivants : ~~~ +tls-server +push "topology subnet" +ifconfig 192.0.2.1 255.255.255.0 +push "route-gateway 192.0.2.1" +ifconfig-pool 192.0.2.2 192.0.2.199 255.255.255.0 client-config-dir /etc/openvpn/ccd -username-as-common-name ~~~ -Le répertoire `/etc/openvpn/ccd/` contient des fichiers avec les _Common Name_ et contenant les adresses IP fixés ainsi : +* Dans le fichier `/etc/openvpn/ccd/client1` (`client1` étant le CN du client auquel attribuer l'IP statique), mettre la configuration suivante : ~~~ -ifconfig-push 172.16.1.1 172.16.1.2 +ifconfig-push 192.0.2.200 255.255.255.0 ~~~ -Les IPs que l'on peut mettre doivent être prises selon des paires spécifiques, que l'on peut voir sur [la documentation OpenPVN](https://openvpn.net/community-resources/how-to/#configuring-client-specific-rules-and-access-policies) : +* Répéter la configuration dans `/etc/openvpn/ccd/` pour chaque CN auquel attribuer une IP statique -~~~ -[ 1, 2] [ 5, 6] [ 9, 10] [ 13, 14] [ 17, 18] -[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38] -[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58] -[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78] -[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98] -[101,102] [105,106] [109,110] [113,114] [117,118] -[121,122] [125,126] [129,130] [133,134] [137,138] -[141,142] [145,146] [149,150] [153,154] [157,158] -[161,162] [165,166] [169,170] [173,174] [177,178] -[181,182] [185,186] [189,190] [193,194] [197,198] -[201,202] [205,206] [209,210] [213,214] [217,218] -[221,222] [225,226] [229,230] [233,234] [237,238] -[241,242] [245,246] [249,250] [253,254] -~~~ +Ainsi, le serveur est configuré sur l'IP 192.0.2.1, la plage IP 192.0.2.2 jusqu'à .199 sera dynamique, et la plage .200 jusqu'à .254 ne sera jamais attribuée dynamiquement mais ne pourra qu'être statique. + +De cette façon, on peut également utiliser des plages d'IPs avec des autorisations spécifiques sur le firewall : par exemple la page dynamique .2 à .199 avec des autorisations limitées, une plage statique .200 à .220 avec certaines autorisations, puis une plage statique .221 à .254 avec d'autres autorisations. ### Authentification via Radius