ReLoad

Thierry Jaouen WikiBlog
"Rien à foutre d'être lu,
tant que je peux me relire."

User Tools

Site Tools


start


Client OpenVPN sur Freebox : les tests

Voici la conf pour au moins 2 fournisseurs de VPN.

ActiVPN

 :!: Tutorial avec des images ici: VPN sur Freebox - ActiVPN

Fichier de conf (pas grand chose a changer par rapport a l'original (version “netherland”)…) :

client
dev tun
proto tcp-client
resolv-retry 5
nobind
persist-key
persist-tun
#ca ca.crt                     <--- COMMENTAIRE ICI
ns-cert-type server
comp-lzo
verb 3
auth-user-pass
redirect-gateway def1
remote-random
remote vpn20.activpn.com 443
remote vpn21.activpn.com 443
remote vpn22.activpn.com 443
remote vpn23.activpn.com 443
remote vpn24.activpn.com 443
remote vpn25.activpn.com 443
remote vpn26.activpn.com 443
remote vpn27.activpn.com 443
remote vpn28.activpn.com 443
remote vpn29.activpn.com 443
# ------------------------------- CLE LA DESSOUS...
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxx a completer xxxxxxxxxxxxx
...
-----END CERTIFICATE-----
</ca>

Saisir son pseudo de compte (son email), et le passe associé a son compte. Voila.

vpntunnel.se

Mettre d'abord le nom d'utilisateur et le mot de passe qui va bien…

Exemple de fichier de configuration pour vpntunnel.com :

#client
tls-client
pull
dev tun0
dev-type tun
proto udp
#remote-random
#remote melissa.vpntunnel.se 10010
#remote melissa.vpntunnel.se 10020
remote melissa.vpntunnel.se 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
cipher BF-CBC   #Blowfish
comp-lzo
verb 3
keepalive 10 120
script-security 2
auth-user-pass
auth-retry interact
<ca>
-----BEGIN CERTIFICATE-----
  ... contenu du certificat ...
-----END CERTIFICATE-----
</ca>

OpenVPN Freebox: Tips

OpenVPN et "tls-remote"

Ça ne sert qu'a ne pas solliciter le mauvais serveur.
Cela peut être commenté… mais ne le faite pas :-)

OpenVPN et "chiffrement"

Si on change le chiffrement, il suffit de d'adapter la ligne suivante en conséquence:

cipher AES-128-CBC

ou

cipher AES-256-CBC

Génération des clefs

A chaque fois qu'on “telecharge” la conf d'un client, de nouvelles clefs sont générés…
Pas de panique, c'est dans les spec.

:!: Cela n'invalide pas les précédentes.

Flux TV

Marche pas ou très très mal. (il faudrait plus de 1 Mb/s montant pour avoir la TV)

Dans l'idée, pour router au travers de son VPN bridgé vers la freebox (en gateway) comme ça:

# route add -host 212.27.38.253 gw 192.168.1.254

où “192.168.1.254” est ma gateway … la freebox quoi.

tls-auth

On rajoutera “tls-auth” comme pour le reste entre ”<tls-auth>” et ”</tls-auth>” .

Exemple:

<tls-auth>
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxx
...
xxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>

Et si nécessaire, pour la “direction” :

key-direction 1

OpenVPN Freebox: la sécurité et l'infini...

Par défaut, la conf du client n'est pas toujours adaptée pour fonctionner 24h/24 …

Pour que ce soit le cas, avec une certaine sécurité, ajouter:

user nobody
group nogroup

Et surtout:

keepalive 10 120
resolv-retry infinite
persist-key
persist-tun

Voila.

OpenVPN Freebox et "auth-user-pass"

Si vous avez un fichier de conf contenant ça:

auth-user-pass
auth-retry interact

… et bien, il faut rentrer le “user” et le “pass” avec ses petits doigts…
C'est nul !

Pour éviter ça, il suffit de créer un fichier contenant sur la 1er ligne, le “user”, et sur la deuxième, le “pass”. Exemple:

# cd /etc/openvpn
# mkdir auth
# chmod 0600 auth
# cd auth

Y créer le fichier ”my-auth.txt” contenant:

user
pass

Dans le fichier de conf pour le client OpenVPN, commenté les 2 lignes vu plus haut et ajouter:

auth-user-pass /etc/openvpn/auth/my-auth.txt
auth-retry nointeract

Voila.

OpenVPN Freebox: TAP et redirect-gateway

Par défaut, le mode bridge ne permet pas de modifier la passerelle par défaut.

En clair: un simple ”redirect-gateway” ne suffira pas.

Pour mettre en placer la redirection par defaut, il faut jouer avec les routes.

Voici les ajouts apporter pour réaliser cela (avec la gateway par défaut en 192.168.1.254) :

Si besoin, ajouter une IP fixe (sinon, un serveur DHCP devrait faire le boulot…?)

ifconfig 192.168.1.123 255.255.255.0

Definir la route par defaut:

route-gateway 192.168.1.254

Et demander explicitement le changement de route par defaut:

redirect-gateway def1

Facultatif:

Si on a des petits problèmes a cause d'un réseau local (et d'entreprises) complexes, on peut spécifier une route vers les DNS locaux like this (Example):

route 192.168.230.0 255.255.255.0 192.168.240.1

(Notamment sous Windows…grrr)



start.txt · Last modified: 2012/03/25 22:48 by thierry