Le contenu de cette page est potentiellement obsolète.
Le wiki sert d'archive et certaines pages ne représentent plus la vision actuelle du Parti Pirate. Pour connaître les positions des Pirates, aujourd'hui, vous pouvez consulter :
Et pour toute autre question, vous pouvez nous contacter et discuter avec nous :
contact@partipirate.org | @PartiPirate sur Twitter | Parti Pirate sur Facebook | Discourse (espace libre d'échanges et discussions) | Discord (espace d'échanges instantanés textuel et vocal)
Différences entre les versions de « HowToVPN »
Ligne 71 : | Ligne 71 : | ||
$ sudo apt-get -y install openvpn | $ sudo apt-get -y install openvpn | ||
Renommer le fichier .ovpn en .conf puis copier les fichiers .p12 et .conf dans /etc/openvpn/ et les rendre en accès restreint root | Renommer le fichier .ovpn en .conf puis copier les fichiers .p12 et .conf dans /etc/openvpn/ et les rendre en accès restreint root | ||
Ligne 83 : | Ligne 84 : | ||
La passphrase vous sera demandée à chaque connexion. Vous pouvez cependant la supprimer avec la manipulation suivante pour une connexion automatique au lancement de votre système. Elle consiste à recréer le fichier .p12 sans mot de passe (%protected%.p12 est le nom du fichier p12). Le paquet OpenSSL doit être présent, ce qui est normalement le cas la plupart du temps. | La passphrase vous sera demandée à chaque connexion. Vous pouvez cependant la supprimer avec la manipulation suivante pour une connexion automatique au lancement de votre système. Elle consiste à recréer le fichier .p12 sans mot de passe (%protected%.p12 est le nom du fichier p12). Le paquet OpenSSL doit être présent, ce qui est normalement le cas la plupart du temps. | ||
$ sudo cp /etc/openvpn/%protected%.p12 /etc/openvpn/%protected%.p12.bak | $ sudo cp /etc/openvpn/%protected%.p12 /etc/openvpn/%protected%.p12.bak | ||
$ sudo openssl pkcs12 -in /etc/openvpn/%protected%.p12 -nodes -out temp.pem | $ sudo openssl pkcs12 -in /etc/openvpn/%protected%.p12 -nodes -out temp.pem | ||
Pour la commande suivante, lorsque qu'OpenSSL demande un mot de passe, taper "entrée" en ne saisissant rien. | Pour la commande suivante, lorsque qu'OpenSSL demande un mot de passe, taper "entrée" en ne saisissant rien. | ||
Ligne 96 : | Ligne 97 : | ||
Éventuellement, vous devez ajouter l'adresse du serveur DNS dans votre configuration réseau : 172.16.20.2 | Éventuellement, vous devez ajouter l'adresse du serveur DNS dans votre configuration réseau : 172.16.20.2 | ||
Si vous utilisez bind, vous devez modifier dans /etc/bind/named.conf.options | Si vous utilisez bind, vous devez modifier dans /etc/bind/named.conf.options | ||
forward first; | forward first; |
Version du 18 août 2012 à 23:06
Présentation du service
En cours de rédaction
Les Réseaux Privé Virtuel
Dans les réseaux informatiques et les télécommunications, le réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel ». On parle de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes.
Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de « tunnellisation » (en anglais tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de VPN pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux « physiques » (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent accéder aux données en clair.
Le VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux.
Le VPN vise à apporter certains éléments essentiels dans la transmission de données : l'authentification (et donc l'identification) des interlocuteurs, la confidentialité des données (le chiffrement vise à les rendre inutilisables par quelqu'un d'autre que le destinataire).
(source : Wikipédia - Réseau privé virtuel)
Le réseau VPN du Parti Pirate
Les serveurs du Parti Pirate sont reliés entre eux dans un réseau interne. L'accès VPN vise donc à intégrer des utilisateurs nomades (dit roadwarrior) dans ce réseau interne. Cette intégration permet de fournir un premier niveau de gestion des accès au sein du réseau. Ensuite chaque service spécifie les privilèges de l'utilisateur.
Par exemple, l'utilisateur A a besoin d'un accès SSH (Secure SHell) sur le serveur B et un accès FTP (File Transfer Protocol) sur le serveur C.
- Dans un premier temps, un certificat OpenVPN est créé pour A afin de lui fournir un accès au réseau interne.
- Puis chaque serveur B et C définis un accès spécifique qui sera fournit à A
- A s’intègre dans le réseau interne puis utilise normalement les services de B et C
En outre, des applications spécifiques n'ayant pas de raisons d'être publiquement accessibles (gestion des adhérents par exemple) ne sont disponibles qu'au travers de ce réseau.
Ainsi, ce système présente les avantages suivants:
- Les données de l'utilisateur nomade à destination du réseau interne sont chiffrées via le VPN.
- Les applications n'ayant pas besoin d'un accès public ne sont disponibles qu'au travers du VPN
- Si un accès d'un utilisateur à un service est compromis, le problème reste limité tant que le certificat VPN de l'utilisateur n'est pas compromis.
- Si un certificat VPN d'un utilisateur est compromis, sa révocation permet de bloquer ses accès aux différents services sur le réseau interne et donc de limiter les effets de ce problème de sécurité.
- Si le certificat VPN d'un utilisateur est révoqué, il ne dispose plus d'aucun accès aux services du réseau. Toutefois, chaque service doit révoquer l'accès de cet utilisateur.
En revanche, cela nécessite d'installer un logiciel sur le système de l'utilisateur.
OpenVPN
OpenVPN est un logiciel libre permettant de créer un réseau privé virtuel. Il fournit :
- Un serveur VPN mature et stable
- Un logiciel client disponible sur de multiple plateforme (Solaris, *BSD, GNU/Linux, Mac OS X, Windows 2000, XP, Vista et 7)
Vous et OpenVPN
Vous aurez besoin d'un accès VPN pour :
- le site de votre section locale afin d'y effectuer des transferts de fichiers via FTP
- l'utilisation d'applications spécifiques n'ayant pas vocation à être publique pour des raisons de sécurité.
- l'administration d'un service sur un des serveurs si cela nécessite un compte système (user Shell avec commande limité sudo) ou si une éventuelle interface de gestion est indépendante du service.
- l'administration d'un ou plusieurs serveurs
L'impact sur votre machine est faible :
- cela revient à ajouter une nouvelle carte réseau (virtuelle) et de vous connecter au réseau interne
- le trafic n'étant pas à destination du réseau interne ne passe pas par le VPN, autrement dit les données de vos activités en ligne habituelles ne passent pas par ce réseau.
Pour éviter toute confusion, les adresses utilisées sont sous la forme partipirate.ppo. Par exemple :
- Le site de développement de la section Aquitaine http://aquitaine-beta.partipirate.ppo
- Un service de gestion du serveur Caravelle https://caravelle.partipirate.ppo:8080
Guides d'installation et d'utilisation
Pour Windows 7
Pour Windows XP
Pour Linux Ubuntu
A partir d'un shell
Installer le paquet OpenVPN
$ sudo apt-get -y install openvpn
Renommer le fichier .ovpn en .conf puis copier les fichiers .p12 et .conf dans /etc/openvpn/ et les rendre en accès restreint root
$ sudo chown root:root /etc/openvpn/*.conf $ sudo chown root:root /etc/openvpn/*.p12 $ sudo chmod 0600 /etc/openvpn/*.conf $ sudo chmod 0600 /etc/openvpn/*.p12
Tester la connexion
$ sudo service openvpn restart
La passphrase vous sera demandée à chaque connexion. Vous pouvez cependant la supprimer avec la manipulation suivante pour une connexion automatique au lancement de votre système. Elle consiste à recréer le fichier .p12 sans mot de passe (%protected%.p12 est le nom du fichier p12). Le paquet OpenSSL doit être présent, ce qui est normalement le cas la plupart du temps.
$ sudo cp /etc/openvpn/%protected%.p12 /etc/openvpn/%protected%.p12.bak $ sudo openssl pkcs12 -in /etc/openvpn/%protected%.p12 -nodes -out temp.pem
Pour la commande suivante, lorsque qu'OpenSSL demande un mot de passe, taper "entrée" en ne saisissant rien.
$ sudo openssl pkcs12 -export -in temp.pem -out /etc/openvpn/%protected%.p12 $ sudo rm -f temp.pem
Éventuellement, vous devez ajouter l'adresse du serveur DNS dans votre configuration réseau : 172.16.20.2
Si vous utilisez bind, vous devez modifier dans /etc/bind/named.conf.options
forward first; forwarders { 172.16.20.2; }; dnssec-validation no;
Pour MAC OS X
FAQ
Comment obtenir un accès VPN ?
L'équipe technique distribue les accès sur besoin ou demande identifiés. Envoyez un email sur la ML EkTek en motivant votre demande. Il n'est pas utile pour un site internet que 10 personnes disposent d'un tel accès mails il serait plus souhaitable qu'une personne en charge de la gestion technique du site en dispose