Table des matières
Ceci est une ancienne révision du document !
Setup VPN chez FAImaison
Historique
Début septembre : ouverture de la version bêta
Fin septembre
- IP fixe (utilisable pour la brique internet)
- Config “terminée” et nettoyée
- Monitoring
Matériel et logiciels utilisés
- Machine virtuelle “Bonnets Rouges” sur l’infrastructure de FAImaison
- 1 vCPU
- 512 Mo RAM
- OpenVPN - Site officiel : documentation
- CA généré par easy-rsa - Github
- Ansible - Site officiel
- iBGP (Internal Border Gateway Protocol) - Wikipedia BGP
Schéma
Choix techniques
Mécanismes d’authentification
- Certificat utilisateur
- Certificat utilisateur et utilisateur/mot de passe
- Utilisateur/mot de passe → ce qui a été choisi
- Simple
- Pas d’expiration
- COIN + LDAP
Backend d'authentification
- pam
Infrastructure réseau
- Tunnel : tun. On peut choisir un tunnel Ethernet (dev tap) ou IP (dev tun).
- Topology subnet. Il existe 3 possibilités : subnet, net30, p2p → Topology
- Un /26 (soit 62 IPv4)
- une IP fixe par utilisateur
# Choix du tunnel --dev tun # Choix de la topologie --topology subnet
Comment faire pour l'utiliser ?
- Demander sur adminsys@ et bureau@
- Un adminsys vous donne un user/mot de passe
- ca.crt
- config-client.ovpn
- Choisir le prix libre que vous souhaitez payer
La page dédiée Configuration du client VPN sous Debian pourra vous être utile !
Créer un nouvel utilisateur
La création des utilisateurs du VPN est scriptée, via https://git.faimaison.net/faimaison-adminsys/vpn_account
Ce script est exécutable par root
sur bonnetsrouges par la commande vpn-account
.
Il faut avoir comme information la référence de l'abonnement VPN sous la forme “REF-VPN-<numero>”.
La procédure de création :
$ sudo -s # vpn-account -u REF-VPN-<numero>
Voir vpn-account -h
pour plus d'informations.
La liste des IP encore disponibles est noté dans /etc/fma_vpn/available_ips
. Le script vpn-account
récupère la première IP disponible dans ce fichier, puis à l'exécution, la retire de la liste.
Les information à envoyer :
Une fois l'abonnement créé, il faut communiquer à l'utilisateur son identifiant (référence d'abonnement), son mot de passe, son adresse IP et le fichier .cube généré.
Supprimer un utilisateur
De la même manière, il faut utiliser la commande vpn-account
avec l'option -r
(remove).