Configurer un serveur OPENVPN

Voici un tutoriel simple pour installer un serveur openvpn chez soi, sur Fedora ou Ubuntu-server.

Côté Serveur :

Tout d'abord commencez par installer le package openvpn :

yum install openvpn

ou

apt-get install openvpn

Une fois installé, il suffit de récupérer les scripts qui vous aideront à créer les certificats et clés d'accès, allez dans le répertoire openvpn pour commencer à travailler :

cd /etc/openvpn

Commençons par éditer le fichier vars, qui contiendra les valeurs par défaut pour les certificats :

nano vars

Il suffit d'aller à la fin du fichier, et de compléter les valeurs :

export KEY_COUNTRY="FR"
export KEY_PROVINCE="France"
export KEY_CITY="votre ville"
export KEY_ORG="votre domaine"
export KEY_EMAIL="une adresse mail"

Sauvegardez. Lançons le scripts vars, et effectuons un clean pour préparer la création des certificats :

. ./vars
./clean-all

Créons le certificat de l'autorité de certification (remplissez bien les champs, attention, le common name doit être votre nom de domaine) :

./build-ca

Créons la clé dh (ça va mettre quelques minutes) :

./build-dh

Initialisons le certificat :

./pkitool --initca

Créons la clé et le certificat pour le serveur :

./pkitool --server votredomaine

Copions les bons fichiers dans la racine du répertoire openvpn :

cp /etc/openvpn/keys/ca.crt /etc/openvpn/

cp /etc/openvpn/keys/votredomaine.* /etc/openvpn/

Finissons le paramétrage du serveur en créant le fichier de configuration :

cp /usr/share/doc/openvpn-2.1/sample-config-files/server.conf /etc/openvpn/votredomaine.conf

Editez le pour choisir les bons paramétres :

nano /etc/openvpn/votredomaine.conf

Dans le fichier, vous pouvez principalement changer l'adressage IP du réseau VPN (par défaut 10.8.0.0)
server 10.8.0.0 255.255.255.0

Vous pouvez changer le port
port 1194

Donnez les bons noms des fichiers certificats/clés :

ca ca.crt
cert votredomaine.crt
key votredomaine.key  # This file should be kept secret

Autre option utile, si vous souhaitez que les clients puissent être accessibles les uns les autres, il faut décommenter la ligne
client-to-client

Cette ligne active la compression des données :
comp-lzo

Vous pouvez maintenant lancer le service :

/etc/init.d/openvpn restart

Si tout se passe bien vous aurez un joli [OK] :)

Ouvrez bien le port 1194 sur votre serveur et sur votre box.


Pour les clients :

Il faut générer une clé et un certificat pour chaque client. C'est très simple. Sur le serveur, commencez par lui dire qu'on va utiliser les valeurs inscrites dans le fichier vars :

cd /etc/openvpn

. ./vars

Pour créer la clé/certificat pour le client on utilise :

./pkitool nomduclient

Vous auriez pu aussi créer la même chose avec avec une passphrase sur la clé avec :

./pkitool --pass nomduclient

Les fichiers seront créés dans le répertoire /etc/openvpn/keys

Pour chaque client, il faut le ca.crt du serveur, les fichier nomduclient.crt et nomduclient.key


Paramétrage du client :

En cours....