Table des matières
Ceci est une ancienne révision du document !
Setup VPN chez FAImaison
Historique
Début septembre : ouverture de la version bêta
Fin septembre
- IP fixe (utilisable pour la brique internet)
- Config “terminée” et nettoyée
- Monitoring
Matériel et logiciels utilisés
- Machine virtuelle “Bonnets Rouges” sur l’infrastructure de FAImaison
- 1 vCPU
- 512 Mo RAM
- OpenVPN - Site officiel : documentation
- CA généré par easy-rsa - Github
- Ansible - Site officiel
- iBGP (Internal Border Gateway Protocol) - Wikipedia BGP
Schéma
Choix techniques
Mécanismes d’authentification
- Certificat utilisateur
- Certificat utilisateur et utilisateur/mot de passe
- Utilisateur/mot de passe → ce qui a été choisi
- Simple
- Pas d’expiration
- COIN + LDAP
Backend d'authentification
- pam
Infrastructure réseau
- Tunnel : tun. On peut choisir un tunnel Ethernet (dev tap) ou IP (dev tun).
- Topology subnet. Il existe 3 possibilités : subnet, net30, p2p → Topology
- Un /26 (soit 62 IPv4)
- une IP fixe par utilisateur
# Choix du tunnel --dev tun # Choix de la topologie --topology subnet
Comment faire pour l'utiliser ?
- Demandez la création de votre VPN à bureau@ (si vous avez déjà une référence REF-VPN-XXX, adressez-vous directement à adminsys@),
- Un adminsys vous donnera :
- un fichier user/mot de passe,
- le certificat ca.crt,
- le fichier de config fma_client.ovpn,
- Choisissez le prix libre que vous souhaitez payer.
La page dédiée Configuration du client VPN sous Debian pourra vous être utile ! Pour ceux qui sont sous Windows, on as aussi pensé à vous : Configuration du client VPN sous Windows.
Procédure de création d'un abonnement VPN
- Le ou la membre envoie une demande de souscription au service VPN par mail à bureau@faimaison.net.
- Le bureau vérifie que le ou la membre est à jour de cotisation.
- Le bureau ajoute un abonnement VPN au membre dans COIN.
- Le bureau transmet la demande à adminsys en indiquant la référence de l'abonnement (REF-VPN-<numéro>) ainsi que le mail du ou de la membre.
- L'adminsys qui s'occupe de la création du service suit la documentation ci-dessous.
Gestion du VPN (adminsys)
Créer un nouvel utilisateur
La création des utilisateurs du VPN est scriptée, via https://git.faimaison.net/faimaison-adminsys/vpn_account
Ce script est exécutable par root sur bonnetsrouges par la commande vpn-account.
Il faut avoir comme information la référence de l'abonnement VPN sous la forme “REF-VPN-<numero>”.
La procédure de création :
$ sudo -s # vpn-account -u REF-VPN-<numero>
Voir vpn-account -h pour plus d'informations.
La liste des IP encore disponibles est noté dans /etc/fma_vpn/available_ips. Le script vpn-account récupère la première IP disponible dans ce fichier, puis à l'exécution, la retire de la liste.
Les informations à envoyer :
Une fois l'abonnement créé, il faut communiquer à l'utilisateur son identifiant (référence d'abonnement), son mot de passe, son adresse IP et le fichier .cube généré.
Supprimer un utilisateur
De la même manière, il faut utiliser la commande vpn-account avec l'option -r (remove).
Changer le mot de passe
Pour changer le mot de passe d'un abonné, utilisez l'option -p comme dans l'exemple suivant :
# vpn-account -u REF-VPN-XXX -p
Communiquez ensuite le nouveau mot de passe à l'abonné de manière sécurisée.