[Linux] Installation d’Openvpn V1

Installation d’Openvpn

Version de l’OS: Centos 6.8 (minimal version)
Version d’Openvpn: 2.1.4

Pré-requis
Voir l’article Préparation d’une machine Centos 6.x

Version feignant, j’utilise le scrypt de Nyr disponible sur https://github.com/Nyr/openvpn-install

$ sudo wget https://git.io/vpn -O openvpn-install.sh && sudo bash openvpn-install.sh

Renseigner le champ IP adress par l’IP Public
le port par défaut est 1194 (UDP) ou 443 (TCP)
Ensuite on le choix entre ces propres dns, ceux de Google, Opendns …
le script va générer le premier certificat client, choisir le nom
et c’est parti, il faut patienter 15min.

Fichier de conf server.conf

$ sudo vim /etc/openvpn/server.conf

port 1194
proto udp
dev tun0
sndbuf 0
rcvbuf 0
ca ca.crt
cert server.crt
key server.key
dh dh.pem
topology subnet
server 192.168.30.0 255.255.255.0 <-- ma plage d'IP distante
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.3.101"
push "route 192.168.30.0 255.255.255.0" <-- ma route distante
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

Fichier de conf iptables

$ sudo vim /etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Tue Mar 22 12:07:57 2016
*nat
:POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.30.0/24 -j MASQUERADE
COMMIT
# Generated by iptables-save v1.4.7 on Tue Mar 22 12:07:57 2016
# Interdire toutes connexions entrantes et sortantes
*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT DROP

#Forward dans les 2 sens
-A FORWARD -i tun0 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o tun0 -j ACCEPT

# Ne pas casser les connexions etablies
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

# Autoriser ping
-A INPUT -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

# Autoriser HTTP/HTTPS
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A OUTPUT -p tcp --dport 80 -j ACCEPT
-A OUTPUT -p tcp --dport 443 -j ACCEPT

# Autoriser DNS
-A INPUT -p tcp --dport 53 -j ACCEPT
-A INPUT -p udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp --dport 53 -j ACCEPT

# Autoriser port de connexions pour les outils interne
-A INPUT -p tcp  -s 192.168.3.0/24 --dport 2223 -j ACCEPT
-A INPUT -p tcp  -s 192.168.30.0/24 --dport 3389 -j ACCEPT
-A INPUT -p tcp  -s 192.168.30.0/24 --dport 8006 -j ACCEPT
-A INPUT -p tcp  -s 192.168.30.0/24 --dport 10000 -j ACCEPT
-A INPUT -p tcp  -s 192.168.30.0/24 --dport 2223 -j ACCEPT

# Autoriser Openvpn
-I INPUT -p udp --dport 1194 -j ACCEPT

COMMIT

EDIT: 29/04/2016 – Intégration OpenVPN Access Server

$ cd ~
$ wget http://swupdate.openvpn.org/as/openvpn-as-2.0.10-CentOS5.9.x86_64.rpm
$ sudo rpm -ivh openvpn-as-2.0.10-CentOS5.9.x86_64.rpm

a la fin de l’installation changer le mot de passe du compte openvpn

$ sudo passwd openvpn

puis se connecter a l’interface avec le port 943 par défaut
https://ipserveuropenvpn_ou_fqdn:943