Voir les ordinateurs inactifs dans l’active directory

Sur un active directory ayant plusieurs années, il est courant que nombreux comptes d’ordinateurs ne soit plus utilisé mais reste présent. Il n’y a pas d’option d’affichage de date de derniere connexion dans la console « utilisateur et ordinateurs active directory » mais heureusement il existe une alternative en ligne de commande:

dsquery computer -inactive 52 | sort

=> vous sortira tout les comptes ordinateur ne s’étant pas connecté depuis 1 an (le chiffre indiquant le nombre de semaine d’inactivité).

idem pour les utilisateurs:

dsquery users -inactive 52 | sort

Windows 2012r2 hyper-v

L’édition hyper-v de Windows 2012R2 est gratuite. Seule les machines virtuelles Windows installées dessus nécessitent la licence correspondante. Mais si par exemple vous ne mettez que des Ubuntu, aucune licence n’est alors requise.

Il y’a cependant des contraintes (si vous ne pouvez remplir l’une d’elles, préférez Proxmox ou autres):

  • Elle nécessite cependant la possession d’un second serveur équipée d’une edition Standard de Windows 2012r2 pour pouvoir controler l’hyperviseur
  • de disposer d’un contrôleur de domaine pour que l’authentification entre le 2012 standard et le 2012 hyper-v se fasse correctement (le 2012 standard peut-etre le controleur de domaine).
  • il est en mode core exclusivement ce qui implique pas d’accès au gestionnaire de périphérique si la carte réseau n’est pas reconnue. extrêmement gênant en cas d’usage d’un matériel exotique.

Un fois installer, l’accroche au domaine se fait avec sconfig ou PowerShell.

Sur le 2012 standard il faut l’ajouter dans les serveurs à gérer . Il est alors pilotable depuis ce poste, vous aurez alors la possibilité de le gérer entièrement.

Teaming de carte réseau:
Si vous souhaiter créer un agrégat de carte réseau, il doit être fait avant la création du concentrateur virtuel. Si vous choisissez le teaming LACP, il est impératif que la configuration des ports du switch soit corrélée, c’est a dire également réglé en LACP sous peine de perte de dialogue avec le serveur.

Ensuite il faut créer le concentrateur virtuel. Pensez a activer SR-IOV (accélération matériel) si vous voulez pouvoir l’utiliser ensuite pour les machines virtuelles.

Et la dernière dans l’installation de de machines virtuelles.

attention aux migrations: les machines virtuelles créés sur un hyper-v 2008 ou 2008r2 ne fonctionneront pas sur un 2012r2. Dans ce cas, il faudra reprendre les vhd et recreer une vm avec, mais ceci aura pour effet de faire sauter vos activations de licences.

Monter un partage NFS d’un nas netgear sur Ubuntu

Si, par exemple pour sauvegarder vos données ou avoir un partage commun entre plusieurs machine
Ubuntu vous souhaitez partager un dossier sur un nas NETGEAR voici la méthode.

Un préambule a savoir:
Les nas netgear comporte un dossier parent dans lequel se trouve les partages que vous pouvez créer. Selon la version de Raidiator (nom du firmware) présente, ce dossier ne porte pas le même nom.

Sur la version 4.xxxx de RAIDiator celui-ci s’appelle « c ».
Sur la version 6.xxxx de RAIDiator celui-ci s’appelle « data »
dans cette exemple, on prendra la version 4. donc /c/ comme début de chemin. a remplacer donc par /data/ pour une version 6.

Méthode:
Sur le Nas:
– Il faudra activer le protocole NFS dans les services
– Creer le partage NFS

Sur la version 6, (au design palot pour suivre la mode Microsoft/Apple et comportant multiples bugs non existant dans la version 4):

La même chose sur la version 4:

Notez un point très important:

Pour avoir le droit de faire un CHMOD sur les dossiers, vous devrez Obligatoirement définir l’ip de l’ordinateur Ubuntu ayant l’autorisation d’acces racine (ROOT) sinon vous chercherez un moment pour comprendre pourquoi un CHMOD lancé en root depuis votre ubuntu échoue avec des problèmes de droits.
Sur Ubuntu:
– Il faudra installer NFS
– Creer un dossier pour recevoir le montage
– Puis monter le partage soit pour l’usage unique, soit pour qu’il se recrée à chaque démarrage.
 

sudo apt-get install nfs-common

cd /
sudo mkdir /monpointdemontage
sudo mount -o soft,intr,rsize=8192,wsize=812 ipdemonnas:/c/partagesurmonnas /monpointdemontage
pour l’auto-monter au démarrage:

sudo vi /etc/fstab

et ajouter la ligne

ipdemonnas:/c/monpartage /monpointdemontage nfs soft,intr,rsize=8192,wsize=8192

puis rebooter: sudo shutdown -r 0

après le reboot, voir le resultat avec la commande df -h

Sql server express (2008 ou 2012)

 
sqlIl est aisé d’installer sql server express, l’usage depuis le réseau d’une instance nécessite quelques astuces a connaitre.

 

 

Le service sqlbrowser doit être démarré automatiquement et autorisé sur le pare-feu. Attention l’exécutable de ce service est 32 bits et se trouve dans le répertoire de la version 2005. (version 9.0)

Dans la propriété de l’instance souhaitée, le tcp-ip doit être activé. (a régler a l’outils de gestion des connexions)

le service sqlserver.exe correspondant à l’instance doit être autorisé dans le pare feu.

il est possible de raccrocher une table a une instance avec le sql management studio. Celui-ci ce trouve être proposer sur la même page de téléchargement que sql server 2012 express et fait pour l’instant 630 Mo.
Une autre méthode est de le faire en requête SQL avec Transact-sql en suivant cette méthode

Référence complémentaire:

http://www.windows8facile.fr/installer-sql-server-2008-r2-express/

Forcer un controleur de domaine a « monter » sysvol et netlogon

Parfois, lors d’une migration de serveur, si l’ancien contrôleur de domaine est un peu trop bancal, il se peut que la réplication de l’active directory vers le nouveau serveur échoue, le pire étant que parfois cela se produit sans que l’échec de migration soit réellement visible.

Cela se traduit par le fait que le nouveau contrôleur de domaine ne rentre pas dans ses fonctions en partageant le répertoire SYSVOL et NETLOGON, ce qui, si l’on n’a pas vu le problème avant de descendre l’ancien, mener au désastre de ne plus avoir aucun contrôleur de domaine actif.

La solution… genre kamikaze … Mais parfois pas trop le choix.

copier manuellement le répertoire SYSVOL de l’ancien serveur (ou d’un backup) sur le nouveau serveur
puis dans le registre sur la clef
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Mettre la valeur SysVolReady=1
puis rebooter => Le nouveau contrôleur de domaine devrais monter le sysvol et le netlogon.

Il convient alors de vérifier que si les 5 rôles FSMO ont bien été rapatriés ou pas. Et si tel n’est pas le cas, il faut les forcer a migrer avec ntdsutil.

Voir l’état d’une réplication DFS

Le système DFS de Microsoft est particulièrement puissant mais aussi beaucoup trop hermétique
En effet il n’existe pas de console permettant de visualiser clairement la file d’attente ni de voir la progression de la synchronisation entre les différents réplicats.
Heureusement une commande, dont la simplicité est égale à leurs habitudes, existe:

dfsrdiag backlog /ReceivingMember:(nom fqdn du serveur destination) /SendingMember:(nom fqdn du serveur source) /RGName:"(nom de la branche)" /RFName:"(nom du groupe de réplication)"

exemple:

dfsrdiag backlog /ReceivingMember:srv2.reseau.local /SendingMember:srv1.reseau.local /RGName:"reseau.local\partage\dossiers_communs" /RFName:"dossiers_communs"

pour voir l’état de réplication du répertoire dossiers_communs situé dans la racine partage

Creer un backup mx avec postfix et spamassassin

Le serveur de courriel utilisé est postfix

sudo apt-get install postfix

Ensuite on créer la base de données des destinations des site a relayer c’est a dire la liste de leur mx principal

sudo vi /etc/postfix/transport
### debut du fichier transport
toto.com smtp:mail.toto.com
titi.fr smtp:mx1.titi.fr
(et ainsi de suite avec tout les sites a relayer)
### fin du fichier transport

ensuite on converti le fichier text transport en hash comprehensible pas postfix:

cd /etc/postfix/
sudo postmap transport

=> ceci génère le fichier transport.db

Note importante: Si on rajoute des domaine a relayer par la suite, il ne faudra pas oublier de régénérer le fichier transport.db avec cette commande

sudo vi main.cf
### debut du fichier main.cf

# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

#Notre configuration commence ici
myhostname = mxbackup1.mondomaine.com
mydestination = $myhostname, monserveur.{mondomainelocal}, localhost.[mondomainelocal}, localhost
relayhost =

relay_recipient_maps =
relay_domains = $mydestination,
  toto.com,
  titi.fr

smtpd_recipient_restrictions = permit_sasl_authenticated,
  permit_mynetworks,
  permit_mx_backup,
  reject_non_fqdn_hostname,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unauth_destination,
  reject_unauth_pipelining,
  reject_invalid_hostname,
  reject_rbl_client zen.spamhaus.org
# helo required
smtpd_helo_required = yes
# disable vrfy command
disable_vrfy_command = yes
smtpd_data_restrictions =
  reject_unauth_pipelining,
  permit

# Delais au dela duquel on envoi un message de retard de distribution
delay_warning_time = 4h
# will it be a permanent error or temporary
unknown_local_recipient_reject_code = 450
# Duree de retention maxi
maximal_queue_lifetime = 15d
# Temps entre les essais quans la connexion vers le mx primaire echoue
minimal_backoff_time = 1000s
maximal_backoff_time = 8000s
# Temps maxi entre le helo et l'envoi par l'expediteur
smtp_helo_timeout = 60s
# nombre de destinataires maxi
smtpd_recipient_limit = 25
# how many error before back off.
smtpd_soft_error_limit = 3
# how many max errors before blocking it.
smtpd_hard_error_limit = 12

# fichier contenant les destinations des sites relayes.
transport_maps = hash:/etc/postfix/transport

# fin du fichier main.cf

ce fichier fait réference a un fichier mailname dans le dossier etc. Celui-ci doit contenir le nom du smtp de votre hebergeur:

sudo vi /etc/mailname

puis tapez le nom de votre serveur smtp sortant, par exemple:

smtp.free.fr

(si vous êtes chez free)
puis enregistrez le fichier.

Si tout a fonctionné, le lancement du service postfix

sudo service postfix start

devrait reussir.

A ce stade, cela fonctionne, mais il se trouve que les spammeurs sont des petits malins et savent qu’il est plus facile de s’infiltrer par le backup que par le serveur principal souvent mieux défendu.

Donc il convient d’armer le backup MX d’un antispam

installation de spamassassin:

sudo apt-get install -qq spamassassin spamc

Ensuite on créer un groupe spécialement pour spamassassin:

sudo groupadd -g 5001 spamd
sudo useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd
sudo mkdir /var/lib/spamassassin
sudo chown spamd:spamd /var/lib/spamassassin

ensuite on configure spam assassin pour taguer SPAM les mails dont le score est supérieur à 5

sudo vi /etc/spamassassin/local.cf
### debut du fichier local.cf
rewrite_header Subject [***** SPAM _SCORE_ *****]
required_score 5.0
# to be able to use _SCORE_ we need report_safe set to 0
# If this option is set to 0, incoming spam is only
# modified by adding some \"X-Spam-\" headers and no
# changes will be made to the body.
report_safe 0

# Enable the Bayes system
use_bayes 1
use_bayes_rules 1
# Enable Bayes auto-learning
bayes_auto_learn 1

# Enable or disable network checks
skip_rbl_checks 0
use_razor2 0
use_pyzor 0
# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
# Only a small subset of options are listed below
#
###########################################################################

# Add *****SPAM***** to the Subject header of spam e-mails
#
# rewrite_header Subject *****SPAM*****

# Save spam messages as a message/rfc822 MIME attachment instead of
# modifying the original message (0: off, 2: use text/plain instead)
#
# report_safe 1

# Set which networks or hosts are considered 'trusted' by your mail
# server (i.e. not spammers)
#
# trusted_networks 212.17.35.

# Set file-locking method (flock is not safe over NFS, but is faster)
#
# lock_method flock

# Set the threshold at which a message is considered spam (default: 5.0)
#
# required_score 5.0

# Use Bayesian classifier (default: 1)
#
# use_bayes 1

# Bayesian classifier auto-learning (default: 1)
#
# bayes_auto_learn 1

# Set headers which may provide inappropriate cues to the Bayesian
# classifier
#
# bayes_ignore_header X-Bogosity
# bayes_ignore_header X-Spam-Flag
# bayes_ignore_header X-Spam-Status

# Some shortcircuiting, if the plugin is enabled
#
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
#
# default: strongly-whitelisted mails are *really* whitelisted now, if the
# shortcircuiting plugin is active, causing early exit to save CPU load.
# Uncomment to turn this on
#
# shortcircuit USER_IN_WHITELIST on
# shortcircuit USER_IN_DEF_WHITELIST on
# shortcircuit USER_IN_ALL_SPAM_TO on
# shortcircuit SUBJECT_IN_WHITELIST on

# the opposite; blacklisted mails can also save CPU
#
# shortcircuit USER_IN_BLACKLIST on
# shortcircuit USER_IN_BLACKLIST_TO on
# shortcircuit SUBJECT_IN_BLACKLIST on

# if you have taken the time to correctly specify your "trusted_networks",
# this is another good way to save CPU
#
# shortcircuit ALL_TRUSTED on

# and a well-trained bayes DB can save running rules, too
#
# shortcircuit BAYES_99 spam
# shortcircuit BAYES_00 ham

endif # Mail::SpamAssassin::Plugin::Shortcircuit

### fin du fichier local.cf

Petite subtilitée: le service (daemon) de spamassassin est desactivé par défaut
donc

sudo vi /etc/default/spamassassin
et changer ENABLED=0 en ENABLE=1

puis

sudo service spamassassin start

pour mettre a jour spamassassin la commande est

sa-update

suivi du redémarrage du service:

service spamassassin restart

ce qui donne

sudo sa-update && sudo service spamassassin restart

ceci peut etre automatiser dans un tache quotidienne cron:
sudo crontab -e
ajouter la ligne
0 4 * * * sa-update && service spamassassin restart

pour le mettre a jour toute les nuit a 4h du matin.

une fois spamassassin installé, il faut l’interconnecter dans postfix
Ceci est fait dans le master.cf, le second fichier de configuration de posfix

sudo vi /etc/postfix/master.cf
### debut du fichier master.cf
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
  -o smtpd_helo_restrictions=reject_unknown_hostname,permit
  -o content_filter=spamassassin
#smtp inet n - - - 1 postscreen
#smtpd pass - - - - - smtpd
#dnsblog unix - - - - 0 dnsblog
#tlsproxy unix - - - - 0 tlsproxy
#submission inet n - - - - smtpd
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - - - - smtpd
# -o syslog_name=postfix/smtps
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}
spamassassin unix - n n - - pipe
  user=spamd argv=/usr/bin/spamc -f -e
  /usr/sbin/sendmail -oi -f ${sender} ${recipient}

### fin du fichier master.cf

pour voir la file d’attente:

mailq

pour forcer la tentative d’envoi de la file d’attente:

postqueue -f

resoumettre la file d’attente (quand des messages n’arrivent pas a partir):

postsuper -r ALL

Réferences:

http://www.system-linux.eu/index.php?post/2009/01/15/Serveur-de-Backup-MX-sous-Postfix

http://www.howtoforge.com/postfix_backup_mx

http://www.debianadmin.com/how-to-filter-spam-with-spamassassin-and-postfix-in-debian.html

OpenVPN sur Ubuntu

Openvpn_logoL’installation d’OpenVPN présente un certain niveau de difficulté et il y’a des choses a bien garder a l’esprit.
En premier lieu, les étapes a réaliser:

1) Installer OpenVPN
2) Installer Webmin et le module de controle de OpenVPN
3) Creer l’autorité de certification
4) Creer les deux certificats (serveur et client)
5) Creer la connexion VPN partie serveur
6) Creer la connexion VPN partie cliente
7) Récuperer l’export de la partie cliente et sur l’ordinateur client dans le dossier correspondant
8) La connexion est opérationnelle.

En second lieu, le fait que l’on aura 3 réseaux: le réseau local du serveur VPN, le sous réseau de connexion, et le réseau local du client. Aucun des 3 ne doit être identiques sinon aucun routage n’est possible.
Dans cet exemple:
– le réseau local sera 192.168.10.0/24 au sein duquel, le serveur vpn sera en 192.168.10.5 sur sa carte eth0,
– le réseau de connexion 10.10.10.0/24. le réseau local du client est inconnu mais devra OBLIGATOIREMENT être différents de ces deux la.

1) Installer OpenVPN:

sudo apt-get install openvpn

Le VPN aura une interface réseau séparé (tun0) de l’interface de base (eth0) donc pour que les clients connecté puis accéder au réseau local il y aura 2 choses a effectuer:

  • S’assurer que le serveur VPN achemine les paquets entre le réseau de connexion et le réseau local en activant routage de paquets:
sudo vi /etc/sysctl.conf

décommenter la ligne
net.ipv4.ip_forward=1
puis sauvegarder et sortir.

  • Pour que les appareils du réseau local puisse répondent aux client connectés, il est nécessaire qu’ils puisse acheminer cette réponse. Les appareils ne connaissent qu’une adresse de sortie: la passerelle par défaut, donc pour des raisons pratique, c’est sur celle ci qu’il sera souhaitable d’ajouter la route vers les clients vpn pointant sur le serveur VPN.

Dans notre exemple, la route sera du style:

route add 10.10.10.0 mask 255.255.255.0 192.168.10.5

=>   où 192.168.10.5 est l’ip lan du serveur vpn et 10.10.10.0/24 le sous réseau de connexion vpn.

Il existe un cas d’exception: Free qui considère que leur usagers sont trop basiques pour avoir besoin de route statique donc, contrairement au livebox, sfr box et autres petits routeurs meme de premier prix, la Freebox n’intègre aucune route statique. Pour les malheureux freenautes, dont je fais parti, soit on transforme le serveur VPN en routeur pour en faire la passerelle par défaut du réseau, soit il faudra alors définir la route statique en persistant dans tous les appareil nécessitant un dialogue avec les clients VPN.

2) Installer webmin

(voir tuto webmin)

Installer le module openvpn en spécifiant le liens de téléchargement dans l’interface de webmin
L’adresse est:
http://www.openit.it/downloads/OpenVPNadmin/openvpn-2.6.wbm.gz

OPENVPN-1-install-module-webmin-openvpnDans Webmin =>Configuration de Webmin =>Module Webmin
recharger le modules => le module OpenVPN+CA est présent

OPENVPN-2-Apres-install-module-webmin-openvpn

3) Créer l’autorité de certification:

Remplir le formulaire puis valider.

IMPORTANT: contrairement a cette capture d’écran State doit contenir LE CODE du pays c’est a dire FR sinon cela provoque un message d’erreur.

OPENVPN-3-creation-autorite-certificationLa création dure un certain temps puis se termine:

OPENVPN-5-creation-autorite-termine

Ensuite cliquer sur Retourner a OpenVPN Administration

4) Créer les deux certificats (serveur et client):

Cliquer sur Certification authority list puis sur la droite de la ligne de votre autorité de certification sur list

D’abord le certificat serveur:

OPENVPN-7-creation-certificat-serveurPuis cliquer sur Sauvegarder
Ensuite le certificat client

OPENVPN-8-creation-certificat-client

Puis cliquer sur Sauvegarder

Normalement on doit a ce moment avoir 2 certificats avec le statut « active »:OPENVPN-9-resultat-creation-certificats

Cliquez sur « Retourner à OpenVPN Administration ».

5) Creer la connexion VPN partie serveur:

Sur l’écran OpenVPN Administration cliquez sur le bouton « VPN list » puis sur le bouton « New VPN server »

Creer la connexion Vpn en définissant
– le certificat sur le certificat serveur créé juste avant,
– L’interface désigner dans « Network Device for Bridge » est celle qui correspond a votre Lan. Dans cet exemple, c’est eth0
– la plage ip distribué hors du réseau lan du serveur vpn, par exemple 10.10.10.0/24
– l’algorithme d’authentification « Encrypt packets with cipher algorithm (option cipher) » doit être sur AES 256 CBC256 sinon ne fonctionne pas
– Le changement du port d’écoute peut être une bonne idée pour améliorer la sécurité.

OPENVPN-b-creation-vpn-server-definition-dhcpet en paramètres envoyés (a changer selon vos paramètres LAN):

push « route 192.168.10.0 255.255.255.0 »
push « dhcp-option DNS 192.168.10.3 »

Pour permettre le routage et la résolution DNS du réseau local derrière le serveur VPN.

et éventuellement: push « redirect-gateway » pour rediriger tout le trafic sur le VPN

OPENVPN-c-creation-vpn-server-definition-options-dhcppuis sauvegarder

Puis, très important, cliquer sur START pour l’activer.

6) Créer la connexion VPN partie cliente:

Cliquer sur Client List

Puis cliquer sur New VPN Client

OPENVPN-d-creation-vpn-client-1
Choisir le certificat client
Puis saisir l’ip externe (l’ip publique ou l’alias internet) de votre serveur VPN.
Note: Celle ci devra être statique ou aliassé avec un DNS dynamique.

OPENVPN-e-creation-vpn-client-1
puis Sauvegarder
Ensuite cliquer sur Export  pour récupérer le package de configuration pour l’ordinateur client a désarchiver puis copier dans le répertoire conf de celui-ci.

7) Vérification:

  • Avant de lancer la connexion un « sudo service openvpn restart » pour s’assurer de l’application des paramètres
  • S’assurer que dans le routeur (ou box) le port spécifié (ici 1194 udp) est ouvert vers l’ip du serveur VPN (ici 192.168.10.5)
  • Faire un ifconfig pour voir si l’interface tun0 est bien crée dans la liste des interfaces du serveur Ubuntu.

Il ne reste plus qu’a se connecter avec l’ordinateur client.

8) Références:

http://doc.ubuntu-fr.org/openvpn