Mmmmm, j’angoissais \u00e0 l’id\u00e9e d’installer \u00e0 nouveau un serveur OpenVPN en urgence (psychose de la grippe A-H1N1-truc oblige, ‘faut que le p\u00e9kin lambda puisse bosser \u00e0 distance…). En effet, la g\u00e9n\u00e9ration des certificats, ce genre de trucs, \u00e7a m’\u00e9nerve, je ne me souviens jamais des lignes de commandes.
\nRenseignements pris, \u00e7a tombe bien, les choses ont d\u00fb \u00e9volu\u00e9 depuis… euh… la derni\u00e8re fois. Et le projet OpenVPN fournit un bel outil \u00ab\u00a0easy-rsa\u00a0\u00bb pour g\u00e9n\u00e9rer facilement les clefs serveurs, client, les inscrire dans la base de clefs autoris\u00e9es, les r\u00e9voquer etc.
\nCa rend OpenVPN installable et exploitable facilement en 10 minutes + le temps de faire un peu de firewalling propre \u00e0 votre configuration (et de prendre un caf\u00e9).<\/p>\n
Toujours \u00e0 mon habitude, j’essaye d’utiliser ce qu’a fait Debian pour moi. Point de compilation, de cr\u00e9ation de machin-bidule \u00e0 la main lorsque ce n’est pas une absolue n\u00e9cessit\u00e9.<\/p>\n
Pour le contexte, on va dire que le VPN va \u00eatre install\u00e9 sur une machine de type passerelle Internet-LAN. Pourquoi pas une Debian avec shorewall et 2 pattes : loc, net (et $FW of course). Je parlerai rapidement des modifications de firewall \u00e0 la fin. Vous pouvez trouver une introduction \u00e0 shorewall sur ma doc d’initiation \u00e0 Debian<\/a>.<\/p>\n Je vais d\u00e9velopper en 3 parties : Let’s go.<\/p>\n Ca devient presque rasoir, on commence direct dans le feu de l’action :<\/p>\n Tout descend par d\u00e9pendances, comme d’habitude. On va jouer avec les clefs crypt\u00e9es et les clefs publiques d’un outil donnant acc\u00e8s \u00e0 l’int\u00e9rieur de votre r\u00e9seau. Faites un peu attention aux permissions des fichiers.<\/p>\n Clef priv\u00e9e = permission limit\u00e9e au niveau de l’OS, root:root + chmod 600 Notez que le service openvpn sera lanc\u00e9 par root m\u00eame s’il tournera au nom d’un utilisateur \u00ab\u00a0openvpn\u00a0\u00bb.<\/em><\/p>\n Traditionnellement, les clefs priv\u00e9es ont un nom en .key, les certificats publics en .crt. En r\u00e9sum\u00e9, seules la clef publique de l’autorit\u00e9 de certification et la clef publique du serveur doivent \u00eatre publiques.<\/p>\n \u00ab\u00a0easy-rsa\u00a0\u00bb est un ensemble de scripts simplifiant votre vie pour g\u00e9rer les certificats. Que ce soient ceux du serveur pour cr\u00e9er sa configuration ou ceux de vos postes clients. Il y a un tout petit peu de param\u00e9trage \u00e0 faire sur easy-rsa. Notez : pour utiliser les scripts Easy-RSA, il faut \u00e0 chaque fois positionner les variables d’environnement du fichier .<\/p>\n Le r\u00e9pertoire o\u00f9 sont stock\u00e9es les clefs g\u00e9n\u00e9r\u00e9es (et d’autres choses, liste de certificats, certificats r\u00e9voqu\u00e9s etc) est le sous-r\u00e9pertoire Enfin, la premi\u00e8re fois uniquement (ou tant que vous testez), vous pouvez nettoyer ce r\u00e9pertoire via la commande Maintenant que vos \u00ab\u00a0variables\u00a0\u00bb sont pr\u00eates et charg\u00e9es dans votre session, on attaque. Vous obtenez le baratin standard de g\u00e9n\u00e9ration de clefs, lisez ce qui y est dit et renseignez le \u00ab\u00a0Common Name\u00a0\u00bb. Le reste doit descendre du fait du fichier \u00ab\u00a0vars\u00a0\u00bb charg\u00e9 au pr\u00e9alable. Pour \u00ab\u00a0Common Name\u00a0\u00bb, mettez le nom de votre serveur.<\/strong><\/p>\n La clef Diffie-Hellman<\/a> est une clef permettant au client et au serveur de s’entendre sur une clef secr\u00e8te pour crypter la conversation. On la g\u00e9n\u00e8re comme suit, gr\u00e2ce aux script Easy-RSA :<\/p>\n Rien \u00e0 saisir, \u00e7a prend juste un peu de temps.<\/p>\n On continue, pour le dernier \u00e9l\u00e9ment du serveur : sa propre clef.<\/p>\n (trop cool les scripts Easy-RSA non ?) Rappel : lorsque plus tard, vous cr\u00e9erez un autre certificat pour un autre PC, pensez \u00e0 \u00ab\u00a0sourcer\u00a0\u00bb le fichier Je sugg\u00e8re un nom \u00e9loquent rappelant ou bien le PC, ou bien la personne. Tout pareil que le paragraphe du dessus, mais le script est Rien \u00e0 voir avec le \u00ab\u00a0 Si \u00e0 ce niveau l\u00e0 de la configuration on n’a pas besoin de r\u00e9voquer des certificats, \u00e7a deviendra obligatoire \u00e0 mesure que les utilisateurs arriveront, partiront et perdront leur PC portables. Evidemment que c’est du v\u00e9cu \ud83d\ude42 Il faut copier le fichier r\u00e9sultant, apr\u00e8s chaque r\u00e9vocation<\/strong> :<\/p>\n Ce fichier est lu d\u00e8s l’instant que vous avez mis en place l’option \u00ab\u00a0crl-verify\u00a0\u00bb dans votre fichier de conf serveur (voir plus haut). Vous pourrez consulter la liste des certificats r\u00e9voqu\u00e9s gr\u00e2ce \u00e0 la commande :<\/p>\n CRL = Certificate Revocation List<\/em><\/p>\n A ce niveau l\u00e0, on a g\u00e9n\u00e9r\u00e9 tout ce qu’il faut, mais le service ne tourne pas. On y retrouve les clefs de l’autorit\u00e9 de certification ( Ensuite, on va faire tourner le service sous un utilisateur\/groupe sans droit, c’est mieux c\u00f4t\u00e9 s\u00e9curit\u00e9.<\/p>\n Enfin, il faut cr\u00e9er le fichier de conf du serveur. Un exemple est donn\u00e9 dans le fichier Les 4 param\u00e8tres Ah, j’oubliais :<\/p>\n V\u00e9rifiez dans les logs que tout va bien. Et On a g\u00e9n\u00e9r\u00e9 un premier ensembles de clefs d’un poste client. Puis cr\u00e9ez un fichier de configuration client nomm\u00e9 Enfin, lancez le GUI d’OpenVPN situ\u00e9 dans le sous-r\u00e9pertoire Bon l\u00e0, c’est bien beau, vous atteignez votre serveur VPN depuis l’ext\u00e9rieur, et encore, si vous avez bien ouvert la porte d’entr\u00e9e vers le port UDP 1194 de votre serveur. En activant l’IP Forwarding \u00e0 la main et en d\u00e9finissant quelques routes entre votre r\u00e9seau VPN et votre LAN, vous obtiendrez vite fait un r\u00e9sultat. Mais c’est pas terrible je trouve.th\u00e8se, anti-th\u00e8se, foutaises, comme disait mon prof de philo au si\u00e8cle dernier <\/del>installation, param\u00e9trage du serveur, param\u00e9trage du client, firewalling. Ca fait 4 ? bien, au moins y’en a qui suivent.<\/p>\nInstallation de l’outil<\/h1>\n
aptitude install openvpn<\/pre>\n
\nJe n’ai pas pris de notes, mais je pense qu’\u00e0 ce niveau l\u00e0 d\u00e9j\u00e0, une interface r\u00e9seau \u00ab\u00a0tun0\u00a0\u00bb est cr\u00e9\u00e9e. Le futur sous-r\u00e9seau du VPN est 10.0.8.x. Le serveur n’est pas lanc\u00e9 car il n’a aucune conf. Ca veut dire \/etc\/openvpn\/<\/code> vide ou pas loin. Et c’est tant mieux.<\/p>\nParam\u00e9trage serveur<\/h1>\n
Rappel : permissions<\/h2>\n
\nClef publique = root:root + chmod 644
\nCe qui ne concerne que le service et son lancement = root:root + chmod 640\n<\/p><\/blockquote>\n
\nNotez bien les permissions de votre conf OpenVPN lorsqu’on l’aura mont\u00e9 <\/strong>et gardez \u00e7a \u00e0 l’esprit tout le long :<\/p>\nserveur:\/etc\/openvpn# ls -l\r\ntotal 40\r\n-rw-r--r-- 1 root root 1176 2009-09-14 14:46 ca.crt\r\n-rw------- 1 root root 245 2009-09-14 14:47 dh1024.pem\r\n-rw------- 1 root root 16 2009-09-23 08:23 ipp.txt\r\n-rw------- 1 root root 232 2009-09-23 08:32 openvpn-status.log\r\n-rw-r----- 1 root root 10560 2009-09-22 17:02 server.conf\r\n-rwxr-xr-x 1 root root 1352 2008-09-18 00:33 update-resolv-conf\r\n-rw-r--r-- 1 root root 3813 2009-09-14 14:46 vpnserveur.crt\r\n-rw------- 1 root root 887 2009-09-14 14:46 vpnserveur.key<\/pre>\n
Pr\u00e9sentation rapide de easy-rsa<\/h2>\n
\nVous savez aussi sans doute qu’il vous faudra g\u00e9rer votre base de certificats autoris\u00e9s (et surtout r\u00e9voqu\u00e9s). Lorsque le portable de votre coll\u00e8gue est oubli\u00e9 dans le train, il est int\u00e9ressant d’\u00eatre mis au courant dans la seconde pour r\u00e9voquer le certificat en question. Sinon c’est la porte d’entr\u00e9e dans l’entreprise, suivant le profil du voleur <\/del>type qui a trouv\u00e9 le portable.<\/em>
\nCet outil descend avec OpenVPN et l’ensemble des scripts se situe dans \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/<\/code>. Il y a une version 1.0. J’ai opt\u00e9 pour la 2.0. Je ne me suis pas trop document\u00e9 sur le sujet.<\/p>\n
\nJe recommande de dupliquer le fichier \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/vars<\/code> en \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/vars.maconf<\/code> et de travailler dedans.
\nJe vous montre un \u00ab\u00a0diff\u00a0\u00bb entre le fichier d’origine et le mien. C’est le minimum syndical \u00e0 renseigner :<\/p>\nserveur:\/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0# diff -h vars vars.maconf\r\n64,68c64,68\r\n< export KEY_COUNTRY=\"US\"\r\n< export KEY_PROVINCE=\"CA\"\r\n< export KEY_CITY=\"SanFrancisco\"\r\n< export KEY_ORG=\"Fort-Funston\"\r\n< export KEY_EMAIL=\"me@myhost.mydomain\"\r\n---\r\n> export KEY_COUNTRY=\"FR\"\r\n> export KEY_PROVINCE=\"France\"\r\n> export KEY_CITY=\"Petaouana\"\r\n> export KEY_ORG=\"MaBoite\"\r\n> export KEY_EMAIL=\"adminvpn@maboite.fr\"<\/pre>\n
vars.maconf<\/code>. Donc, \u00e0 chaque nouvelle session dans laquelle vous jouez avec les scripts easy-rsa, il faudra commencer par la commande suivante :<\/strong><\/p>\n. \/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0\/vars.maconf #sans oublier le point au d\u00e9but !!!<\/pre>\n
keys\/<\/code>. Inutile de pr\u00e9ciser (?) que ce r\u00e9pertoire doit \u00eatre archi-prot\u00e9g\u00e9 :<\/p>\nserveur:\/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0# ls -ld keys\r\ndrwx------ 2 root root 4096 2009-09-14 18:22 keys<\/pre>\n
.\/clean-all<\/code>.<\/p>\nCr\u00e9ation de l’autorit\u00e9 de certification<\/h2>\n
\nBien \u00e9videmment, cette manip n’est \u00e0 faire qu’une fois. Seule la manip de cr\u00e9ation de certificats pour vos clients (postes clients) sont \u00e0 faire X fois.
\nL’autorit\u00e9 de certification est \u00ab\u00a0un nom et des clefs\u00a0\u00bb signant vos certificats. Un exemple connu est Verisign. Ici, on va signer nous-m\u00eame. Sur un serveur web, \u00e7a ferait des warnings de certificats bidouilleux, ici on s’en fout.<\/p>\n.\/build-ca<\/pre>\n
Cr\u00e9ation de la clef Diffie-Hellman<\/h2>\n
\nSi je me souviens bien, les clefs publiques\/priv\u00e9es servent \u00e0 l’initialisation de la communication, mais, \u00e9tant lourdes en calculs, on opte pour un cryptage plus simple pour le reste de la communication. C’est la clef DH. En gros hein. Et pardon aux puristes. Ou dites moi si je me trompe compl\u00e8tement.<\/p>\n.\/build-dh<\/pre>\n
G\u00e9n\u00e9ration du certificat serveur<\/h2>\n
.\/build-key-server mon_serveur.fr<\/pre>\n
\nCa sort aussi le baratin standard de g\u00e9n\u00e9ration de clefs. Vous devrez pr\u00e9ciser le \u00ab\u00a0Common Name\u00a0\u00bb, \u00e9ventuellement un mot de passe (je ne l’ai pas fait, je suppose qu’il demanderait du coup un mot de passe au lancement du service openvpn ; \u00e7a peut \u00eatre contraignant lors de reboot).
\nPar d\u00e9faut, votre certificat sera valable 10 ans.
\nCa termine par l’inscription du certificat dans la \u00ab\u00a0base\u00a0\u00bb :<\/p>\n1 out of 1 certificate requests certified, commit? [y\/n]y\r\nWrite out database with 1 new entries\r\nData Base Updated<\/pre>\n
Cr\u00e9ation des certificats d’un client<\/h2>\n
vars.maconf<\/code>.
\nLe script de g\u00e9n\u00e9ration se lance comme suit :<\/p>\n.\/build-key pc123<\/pre>\n
\nL\u00e0 non plus, rien de sorcier : le \u00ab\u00a0Common Name\u00a0\u00bb sera le nom du PC et vous \u00ab\u00a0committez\u00a0\u00bb le certificat.<\/p>\nCr\u00e9ation des certificats d’un client avec mot de passe<\/h2>\n
.\/build-key-pass pc123<\/code>
\nIl faudra alors renseigner le mot de passe l\u00e0 :<\/p>\nEnter PEM pass phrase:\r\nVerifying - Enter PEM pass phrase:<\/pre>\n
Challenge password<\/code>\u00a0\u00bb demand\u00e9 plus tard.<\/p>\nLa r\u00e9vocation de certificats<\/h2>\n
\nLa commande Easy-RSA est :<\/p>\n.\/revoke-full pc123<\/pre>\n
cp keys\/crl.pem \/etc\/openvpn\/<\/pre>\n
\nNotez aussi qu’il est relu \u00e0 chaque tentative de connexion. Pas besoin de recharger OpenVPN apr\u00e8s une r\u00e9vocation. Juste de recopier le fichier \u00e0 jour.<\/strong> Si vous pensez faire un lien symbolique, attention aux permissions (c’est l’utilisateur openvpn qui fait tourner openvpn). Je n’ai pas test\u00e9 la solution par lien symbolique.<\/p>\nopenssl crl -in \/chemin\/vers\/keys\/crl.pem -text<\/pre>\n
Lancement du service<\/h2>\n
\nLe contenu de votre sous-r\u00e9pertoire keys ressemble \u00e0 \u00e7a :<\/p>\nserveur:\/usr\/share\/doc\/openvpn\/examples\/easy-rsa\/2.0# ls -l keys\/\r\ntotal 80\r\n-rw-r--r-- 1 root root 3813 2009-09-14 14:06 01.pem\r\n-rw-r--r-- 1 root root 3698 2009-09-14 14:29 02.pem\r\n-rw-r--r-- 1 root root 1176 2009-09-14 14:03 ca.crt\r\n-rw------- 1 root root 887 2009-09-14 14:03 ca.key\r\n-rw-r--r-- 1 root root 3698 2009-09-14 14:29 client_test.crt\r\n-rw-r--r-- 1 root root 668 2009-09-14 14:29 client_test.csr\r\n-rw------- 1 root root 887 2009-09-14 14:29 client_test.key\r\n-rw-r--r-- 1 root root 245 2009-09-14 14:32 dh1024.pem\r\n-rw-r--r-- 1 root root 205 2009-09-14 14:29 index.txt\r\n-rw-r--r-- 1 root root 20 2009-09-14 14:29 index.txt.attr\r\n-rw-r--r-- 1 root root 21 2009-09-14 14:06 index.txt.attr.old\r\n-rw-r--r-- 1 root root 101 2009-09-14 14:06 index.txt.old\r\n-rw-r--r-- 1 root root 3 2009-09-14 14:29 serial\r\n-rw-r--r-- 1 root root 3 2009-09-14 14:06 serial.old\r\n-rw-r--r-- 1 root root 3813 2009-09-14 14:06 vpnserveur.crt\r\n-rw-r--r-- 1 root root 664 2009-09-14 14:05 vpnserveur.csr\r\n-rw------- 1 root root 887 2009-09-14 14:05 vpnserveur.key<\/pre>\n
ca*<\/code>), le certificat serveur (vpnserveur.crt<\/code> et vpnserveur.key<\/code>) et un futur poste client (client*.[crt|key]<\/code>). Les fichiers .csr sont les demandes de signatures, \u00e9tape interm\u00e9diaire de la cr\u00e9ation des certificats, masqu\u00e9e par l’enrobage de commandes d’Easy-RSA. Inutile par la suite<\/em>
\nIl faut recopier (avec les bonnes permissions !!!<\/strong>) les fichiers suivants :<\/p>\ncp -p dh1024.pem vpnser*crt vpnser*key ca* \/etc\/openvpn<\/pre>\n
groupadd openvpn\r\nuseradd -d \/dev\/null -g openvpn -s \/bin\/false openvpn<\/pre>\n
\/usr\/share\/doc\/openvpn\/examples\/sample-config-files\/server.conf.gz<\/code>. Une fois d\u00e9zipp\u00e9 et mis dans \/etc\/openvpn<\/code>, on l’adapte.
\nVoici son contenu, sans les commentaires :<\/p>\nserveur:\/etc\/openvpn# egrep -v \"^$|^#|^;\" server.conf\r\nport 1194\r\nproto udp\r\ndev tun\r\nca ca.crt\r\ncert vpnserveur.crt\r\nkey vpnserveur.key # This file should be kept secret\r\ndh dh1024.pem\r\nserver 10.8.0.0 255.255.255.0\r\nifconfig-pool-persist ipp.txt\r\npush \"route 192.168.X.0 255.255.255.0\"\r\npush \"dhcp-option DNS 192.168.X.Y\"\r\npush \"dhcp-option DOMAIN maboite.net\"\r\npush \"dhcp-option WINS 192.168.X.Y\"\r\nkeepalive 10 120\r\ncomp-lzo\r\nuser openvpn\r\ngroup openvpn\r\npersist-key\r\npersist-tun\r\nstatus openvpn-status.log\r\nverb 3\r\n;crl-verify crl.pem # j'ai trich\u00e9, j'ai ajout\u00e9 le \";\" il n'aurait pas d\u00fb sortir vu la commande egrep pass\u00e9e. Voir ci-dessous.<\/pre>\n
push route<\/code> et push dhcp-option<\/code> sont \u00e0 adapter. Ce sont eux qui feront ajouter \u00e0 votre PC client les r\u00e8gles de routages et DNS, domaine (et optionnellement WINS) \u00e0 utiliser. Sinon, point de r\u00e9solution de nom, point de routage depuis votre PC, tant\u00f4t vers sa connexion web, tant\u00f4t vers le VPN.
\nSuivant la configuration de votre passerelle, le simple ajout de ces push<\/code> ne sera pas suffisant pour permettre \u00e0 vos postes client VPN de rebondir de votre passerelle vers le LAN. Voir plus bas le chapitre d\u00e9di\u00e9.
\nEnfin, le param\u00e8tre \u00ab\u00a0crl-verify\u00a0\u00bb prendra son importance avec les r\u00e9vocations de certificats (voir plus bas).Pour l’instant, il est en commentaire car j’ai not\u00e9 que OpenVPN plantait (volontairement ?) lorsqu’on lui dit de tenir compte d’une liste de r\u00e9vocation et que cette liste n’existe pas, ou est un fichier vide. Ce sera donc \u00e0 activer plus tard, apr\u00e8s votre premi\u00e8re r\u00e9vocation.<\/strong><\/p>\n\/etc\/init.d\/openvpn start<\/pre>\n
ifconfig<\/code> qui doit avoir affect\u00e9 une IP \u00e0 tun0, probablement 10.8.0.1.<\/p>\nParam\u00e9trage client (poste Windows dans mon cas)<\/h1>\n
\nDans le cas d’un PC sous Windows (cas \u00e0 mon avis le plus courant lorsqu’il s’agit de fourni des portables d’appoint \u00e0 des utilisateurs distants), installez OpenVPN avec le GUI<\/a>.
\nInjectez (par un moyen s\u00fbr, \u00e9viter d’envoyer la clef crypt\u00e9e par mail \u00e0 votre destinataire) les fichiers suivants dans le r\u00e9pertoire C:\\Program Files\\OpenVPN\\config<\/code> :<\/p>\nca.crt # et pas le .key !!!\r\nclient_test.key\r\nclient_test.crt<\/pre>\n
nimportequoi.ovpn<\/code> dans le m\u00eame sous-r\u00e9pertoire config<\/code>. Il contiendra la conf suivante, si on oublie les commentaires :<\/p>\nclient\r\ndev tun\r\nproto udp\r\nremote votre.serveur.vpn.votresociete.fr 1194\r\nresolv-retry infinite\r\nnobind\r\npersist-key\r\npersist-tun\r\nca ca.crt\r\ncert client_test.crt\r\nkey client_test.key\r\ncomp-lzo\r\nverb 3<\/pre>\n
bin\/<\/code> d’OpenVPN, bouton droit dans le \u00ab\u00a0system tray\u00a0\u00bb sur l’ic\u00f4ne qui vient d’apparaitre, menu \u00ab\u00a0Connect\u00a0\u00bb et lisez ce qui passe pour commencer \u00e0 d\u00e9bugger s’il y a un hic niveau r\u00e9seau entre le PC portable et le serveur VPN. Attention \u00e0 vos r\u00e8gles de firewalling en vigueur, que vous testiez de l’ext\u00e9rieur ou de l’int\u00e9rieur (ce qui semble un peu stupide), vous pourriez ne pas \u00eatre en mesure d’atteindre le service, d’o\u00f9 le chapitre ci-dessous.<\/p>\nConsid\u00e9rations de firewalling<\/h1>\n
\nMais pour l’instant, point de rebond vers le LAN. Et heureusement que \u00e7a ne marche pas par d\u00e9faut.<\/p>\nM\u00e9thode gore pour tester vite fait<\/h2>\n
\nActivation de l’IP Forwarding comme un cochon :<\/p>\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward<\/pre>\n