Différences

Ci-dessous, les différences entre deux révisions de la page.

--- openwrt_openvpn [2017/12/21 11:03] – jean-kiki
+++ openwrt_openvpn [2022/01/21 15:01] (Version actuelle) – jean-kiki
@@ Ligne 1: / Ligne 1: @@
 cette page a pour but de présenter l'installation d'openvpn sur un système openwrt (sur un routeur notamment) afin d'utiliser le vpn de faimaison chez soi...
-créé par jkiwi le 30 mars 2017 en cour de rédaction...
 ) brancher le routeur nouvellement acquis et allez sur la page d'admin (192.168.1.1 généralement)
@@ Ligne 11: / Ligne 10: @@
 ) se connecter en ssh au routeur : ssh root@ip_local_du_routeur
-) intégrer dans /etc/openvpn ce fichier avec vos infos de VPN :
+) dans /etc/openvpn/ créer un fichier appelé « faimaison.ovpn » (en utilisant nano) et coller la conf ci-dessous :
 <code>
 # ########################################################################### #
@@ Ligne 50: / Ligne 49: @@
 #persist-tun
-## MTU du lien (?)
+## MTU du lien (cas particulier d'un point d'accès avec un routeur 4g où la valeur '1380' fonctionne mieux)
 link-mtu 1541
+#link-mtu 1380
 ## Verbosité des logs
@@ Ligne 68: / Ligne 68: @@
 auth-user-pass /etc/openvpn/passFMA
-## compat winproute
+## compatibilité windows
 route-method exe
@@ Ligne 118: / Ligne 118: @@
 </code>
-pour modifier les dns et ne pas prendre ceux de la box :
+) puis créer un fichier « passFMA » également dans /etc/openvpn/ contenant vos identifiants et mot de passe VPN fourni par FAImaison. Exemple :
-attention de prendre des dns ouverts car sinon si le vpn se relance il ne pourra pas résoudre les noms de domaine si dns fermé et on se coupe les pattes sur la branche on est assise.
+<code>
+pseudo
+mot-de-passe
+</code>
+) pour modifier les DNS et ne pas prendre ceux de la box :
+[attention de prendre des DNS ouverts car sinon si le VPN se relance il ne pourra pas résoudre les noms de domaine si le DNS est fermé et on se coupe les pattes sur la branche sur laquelle on est assise].
+<code>
 uci set network.wan.peerdns='0'
-uci del network.wan.dns
+uci delete network.wan.dns
 uci add_list network.wan.dns='80.67.169.40'
@@ Ligne 130: / Ligne 137: @@
 uci commit
+</code>
 https://diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver
-Du coup quelques petits éléments complémentaires. Je vous écris
+fin de conf et historique extrait d'échange email :
-de Trévoux (coucou !), et ce depuis un VPN faimaison sur un
-OpenWRT, par dessus une box RED-SFR ADSL (donc exactemment le
+) Alors que ça avait bien roulé dans mon setup similaire (VPN pour une salle de formation, qui a tourné pendant trois mois), j'ai eu quelques petites déconvenues :
-même setup que toi jkiwi !). Alors que ça avait bien roulé dans
-mon setup similaire (VPN pour une salle de formation, qui a
-tourné pendant trois mois), j'ai eu quelques petites déconvenues
-:
 - si le tunnel crashait, il ne remontait pas tout seul (probablement dû au changement d'IP de SFR ?)
@@ Ligne 145: / Ligne 148: @@
 Du coup j'ai amélioré un peu la chose :
-*/etc/rc.local*
 Au lieu de la ligne dans /etc/rc.local, j'utilise un service
-propre. Pour utiliser le service openvpn (/etc/init.d/openwrt)
+propre. Pour utiliser le service openvpn (/etc/init.d/openwrt) :
-) Commenter la ligne qu'on avait ajoutée dans /etc/rc.local 2)
 Effectuer les commandes suivantes :
+<code>
 uci set openvpn.fma_client=openvpn
 uci set openvpn.fma_client.enabled='1'
-uci set openvpn.fma_client.config='/etc/openvpn/fma-client.ovpn'
+uci set openvpn.fma_client.config='/etc/openvpn/faimaison.ovpn'
 uci commit
+</code>
 (le nom fma_client est arbitraire et peut être changé pour ce que
-vous voulez, le fichier /etc/openvpn/fma-client.ovpn est à
+vous voulez, le fichier /etc/openvpn/faimaison.ovpn est à
 remplacer par le bon chemin de fichier de conf openvpn).
+<code>
 /etc/init.d/openvpn enable
+</code>
 Un reboot plus tard, ça fonctionnait
+) De retour dans l'interface LuCI d'openwrt :
+Dans Network/Interfaces éditer "lan" et changer l'adresse ip local (par exemple 192.168.2.1). Ainsi si vous branchez votre routeur à une box (avec généralement une ip local 192.168.1.1) les 2 n'entreront pas en conflit (sinon ça tourne en rond).
+) Dans l'onglet /Network/Interfaces/ cliquer sur « New Interface »
+"name" : wanvpn
+"Protocol of the new interface" : unmanaged
+Dans "Cover the folowing interface" entrez la valeur "tun0"
+cliquez sur "submit". Une fois créé allez dans l'onglet "firewall settings" cliquez sur "unspecified -or- create:" et rentrer la valeur "wanvpn" puis appuyez sur entrée.
+) Dans l'onglet /Network/Firewall/General Settings/Zones
+wanvpn doit être à input : reject ; outpout : accept ; forward : reject
+cocher masquerading
+cocher mssclamping
+si vous "éditer" wanvpn vérifier que "lan" est bien coché dans : Allow forward from source zones: lan
+si vous "éditer" lan : décocher "wan" dans le Zones de "lan" et dans Allow forward to destination zones: wanvpn
+---
+[déjà intégré dans les étapes ci-dessus]
 *Des logs !*
@@ Ligne 212: / Ligne 241: @@
 … La doc sur le wiki opewrt n'étant pas top pour ce cas d'utilisation je trouve.
+---