Prérequis : Notepad ++

1. Installer le package OpenVPN en version 64 bits, penser à cocher les scripts RSA

• Éditer C:\Program Files\OpenVPN\easy-rsa\vars.bat avec N++
• ouvrir cmd en admin
• cd “c:\program files\openvpn\easy-rsa”
• init-config pour copier vars.bat.sample en vars.bat
• exécuter vars
• exécuter clean-all pour initialiser serial et index.txt
• build-dh
• lancer les commandes build-ca, build-key-server et build-client AVEC un argument ; bien que non repris dans les champs à remplir, ça sera le nom du fichier créé (sinon, nom vide)
• ajouter la ligne crl-verify “C:\Program Files\OpenVPN\easy-rsa\crl.pem” dans la conf du serveur pour gérer les certificats révoqués (mais fait planter le serveur si crl.pem est absent ou vide => révoquer un certificat test pour initialiser le fichier)

démarrage du service en automatique

désactiver pare-feu sur réseaux publics

redirection routeur 1194

si plusieurs connexions (sur serveur ou client), adapter le nom de la carte réseau à la conf ovpn

Réalisé avec un Mac Mini sous Lion (10.7.4) fraichement installé, et un client MacBook Pro sous la même version.

Etapes :

Sur le serveur :

• Installer l’application Server (vendue sur l’app store), et les Server admin Tools v10.7.4 disponibles ici : http://support.apple.com/kb/DL1528 (le français est inclus dans l’installeur)

• créer un annuiare ldap (Open Directory) sur le serveur. Dans l’appli Server, aller dans le menu Gérer -> Gérer les comptes réseau. Ceci déclenche la procédure de création d’annuaire. L’utilisateur diradmin est créé.

• ajouter un utilisateur (usermobile) via l’application Server. Maitenant que le serveur héberge un annuaire, le compte créé sera un utilisateur réseau. On le reconait grâce au petit rond bleu a coté de lui. L’utilisateur est pour l’instant seulement présent dans l’annuaire. il n’a pas encore de répertoire.

Note : Une fois qu’un serveur d’annuaire est créé, un ajoure d’utilisateur via l’application Server créera un compte réseau. Si on veut créer un compte local, il faut passer par les préférences système.

• Dans l’appli Server, ouvrir la partie Partage de Fichiers. Double-cliquer sur Users, et sélectionner “Mettre a disposition des dossiers de départ par AFP”. Eventuellement déselectionner le partage SMB (si environnement homogène mac). Ceci permet la création (et l’accès) à ce dossier pour héberger un dossier home entier. Bien évidemment, penser à activer le partage de fichiers.

• Ouvrir le Gestionnaire de Groupe de travail (Workgroup Manager) disponible dans les Server Admin Tools 10.7. Se connecter à l’annuaire LDAPv3/127.0.0.1 (pas le local). Cliquer sur le cadenas en haut à droite pour déverrouiller avec l’utilisateur diradmin. Sélectionner usermobile, puis aller sur l’onglet “Départ”. Sélectionner /Users et cliquer le symbole – en bas pour supprimer ce dossier Home (sinon, le client obéira betement et créera betement un dossier /Users/usermobile chez lui ! ) Puis séléectionner la ligne afp://server.local/Users et cliquer sur Créer Départ (en bas). Ainsi, le répertoire physique sera créé sur le serveur (/Users/usermobile). Cliquer sur Enregistrer.

• Toujours dans le Workgroup Manager, sélectionner usermobile, et cliquer sur l’icône Préférences (en haut de la fenêtre). Séléctionner “Mobilité”, aller dans l’onglet “Création de compte”, puis “Création”. Cocher Gérer : “Toujours” puis cocher “Créer un compte si l’ouverture…”. Valider par “Appliquer”

————————

On passe maintenant sur le portable (client). Il a bien sûr déjà un compte avec privilèges administrateur, que je nommerai ici admin. L’install est fraîche, c’est donc le seul compte existant (si vous déjà un compte du même nom que usermobile, sauvegardez les données et supprimez-le ! )

• Ouvrir les préférences système puis “Utilisateurs et groupes”. Déverrouiller avec le cadenas en bas à gauche. Cliquer sur Options. A côté de Compte serveur réseau, cliquer sur “Rejoindre”. Rentrer l’IP (ou mieux, le hostname du server, type “mac-mini-de-bidule.local” que l’on peut trouver dans les informations de l’appli Server ) et valider. Accepter les certificats SSL. Continuer sur l’avertissement de non-sécurisation du réseau.

• Toujours dans les Options, devant “Ouverture de session par” sélectionner “nom et mot de passe”.

–> Le portable est maintenant connecté à l’annuaire du serveur. Ainsi, si un utilisateur demande à se connecter et n’existe pas dans les utilisateurs locaux, il ira vérifier si cet utilisateur existe sur le serveur.

• Se déconnecter de la session admin. Rentrer les identifiants et mot de passe de usermobile. Confirmer la création du compte mobile.

–> Il crée le dossier utilisateur en local, et lance la première synchronisation. A partir de la, la synchronisation se fera automatiquement. Vous pouvez définir les options de synchronisation dans Paramètres système –> Utilisateurs et groupes –> sélectionner usermobile –> réglages du compte mobile. Vous avez aussi une icône dans la barre de notification qui indiqué l’état et permet de faire une synchro.

• Maintenant que l’utilisateur existe en local, vous pouvez si vous le souhaitez remettre les utilisateurs à la fenêtre de login.

A partir de Lion, le partage WebDAV est intégré non pas dans la partie “Web”, mais directement dans la partie “Partage de fichiers”. Il fait bien entendu appel à Apache, mais est actif même si la partie “Web” est désactivé (dans ce cas, le serveur Apache continue de fonctionner mais a une configuration particulière qui refuse toute connexion avec un message de page Forbidden)

Pour l’activer sur une install toute fraîche de Lion + Server :

• Aller dans “Partage de fichiers”
• Le dossier pré-partagé présent sous le nom “Dossier public de Prénom NOM” correspond au Dossier personnel (“Départ”) de l’utilisateur. (oui, c’est aberrant, mais c’est ce que je constate)
• Cliquer 2 fois dessus, et cocher la case “Partager avec les périphériques iOS (WebDAV)”.
• Cliquer sur Terminer et attendre que la conf se fasse (quelques secondes).
• Le dossier est maintenant accessible par un client webdav (donc pas un navigateur sauf si extension) à l’URL http://192.168.x.x/webdav/prenom (ajuster votre ip et votre login, bien évidemment) // Selon les clients, ce peut-être avec le protocole dav://login@dossier (par exemple nautilus qui recevra un message Forbidden sur le http:// )

D’une manière générale, on peut aussi rajouter n’importe quel dossier maison. Penser à attendre l’ajout du dossier dans la liste (quelques secondes) et le temps que la conf se fasse. Le dossier “Folder” partagé avec les périphériques iOS (Webdav) sera accessible à l’URL http://192.168.x.x/webdav/Folder

ATTENTION : les dossiers peuvent être sensibles à la casse (avec nautilus ils le sont. dav://prenom@10.0.0.6/webdav/PRENOM ne fonctionnera pas alors que dav://prenom@10.0.0.6/webdav/prenom oui. De même, si le dossier partagé est MAJ, alors dav://prenom@10.0.0.6/webdav/MAJ fonctionnera, contrairement à dav://prenom@10.0.0.6/webdav/maj )

Cet article voit la configuration d’un serveur OpenVPN en mode routé, sur base d’un Debian Squeeze.

Le dossier de travail sera /etc/openvpn/easyrsa, dans lequel nous stockerons les variables, et les outils d’administrationdu serveur (et le fichier de configuration client exemple)

• Les clés (à garder secrètes) et certificats nécessaires seront stockées dans /etc/openvpn/easyrsa/keys

• La conf du serveur sera stockée directement dans /etc/openvpn, ce qui permettra un démarrage automatique du serveur

On y va. Tout est à faire en root

aptitude install openvpn
cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easyrsa
cd /etc/openvpn/esayrsa

#On définit les variables dans le fichier vars. Notez l’ajout d’un $OPENVPN_CLIENTS , qui va servir pour les scripts de gestion des users.
nano ./vars

# Les 5 champs à la fin du fichier vars nous interessent. Remplir avec ce que l’on souhaite.

# on initilalise les variables
. ./vars

# on clean et crée le repertoire de clés
./clean-all

#on crée la clé et le certif de l’autorité de certification (dans le cas présent, même machine que le serveur)
./build-ca

# on crée la clé du serveur, qu’on appelle server par facilité
./build-key-server server
#on peut tout laisser par défaut, et il n’est pas obligatoire de mettre un mot de passe. Juste répondre y aux 2 dernières questions

# on génère le paramètres Diffie Hellman – crypto, pour comprendre voir sur la wiki, mais il faut le faire
./build-dh

# on récupère la conf d’exemple du server
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/
gunzip /etc/openvpn/server.conf.gz

#et on peut la modifier. Le plus important est de donner le chemin complet aux fichiers certificats et clés server et CA. On peut aussi modifier l’adresse réseau qui servira pour le vpn. Il vaut mieux laisser udp (perf vpn). On peut spécifier un fichier pour les logs. Par défaut avec les bons chemins, le server est fonctionnel. Exemple (simplifié) ici : Fichier server.conf
nano /etc/openvpn/server.conf

# Puis on peut démarrer le server :
openvpn /etc/openvpn/server.conf
# Si la séquence se finit sur “Initialization Sequence Completed”, c’est gagné !