Contenu | Rechercher | Menus

Annonce

DVD, clés USB et t-shirts Ubuntu-fr disponibles sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 16/11/2022, à 08:28

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Je comprends ton installation. Je connais Laurux, c'est installé chez moi (même si je n'ai toujours pas basculé ma compta dessus, j'utilise toujours pour l'instant Ciel compta). Pour être précis, j'ai 2 postes et un serveur mySQL indépendant. Les 2 postes sont configurés pour travailler avec le serveur mySQL. Un des postes est sur le réseau local, le second est "distant". En fait, j'ai un tunnel VPN entre les 2 sites, par conséquent, le poste distant est configuré comme s'il était sur le réseau local. Comme le tunnel VPN était déjà en place, je ne m'étais jamais préoccupé de la liaison ssh.

L'intérêt du VPN est d'être sur le réseau local et donc d'accéder à toutes les ressources (disque réseau, imprimantes...), ce qui est mon premier besoin. De plus, ce qui est proposé ici est de faire un accès ssh par mot de passe, ce qui peut être catastrophique en terme de sécurité informatique si le mot de passe est faible. Par conséquent, dans la même situation que la tienne, je passerais de nouveau par un tunnel VPN.

Pour avoir quelque chose d'opérationnel rapidement, tu peux donc effectivement commencer par mettre en place un accès par ssh, puisque l'outil le permet. Pour ça il faut que openssh-server soit installé sur la machine qui héberge le serveur SQL (donc ton poste maître).

Sur le client 2 (celui qui sera distant), tu actives "Connexion MySQL par SSH" dans Base>Connexion nouvelle base. Dans Nom d'utilisateur connexion ssh, tu mets le login sur le poste maître, dans Adresse tunnel, tu mets (dans un premier temps) son adresse IP locale et dans Mot de passe ssh, tu mets le mot de passe correspondant au login. La configuration par défaut des 2 autres variables est censé être correcte.

Tu peux ensuite essayer pour voir si ça fonctionne en local.

L'étape d'après sera d'ouvrir le port 22 sur ta box, de rediriger vers le port 22 de ton serveur et de modifier l'adresse tunnel par celle de ta box (l'adresse externe).

/!\ : Le mot de passe doit être très robuste.

Hors ligne

#27 Le 16/11/2022, à 09:49

polinux

Re : Connexion distante d'un PC sur mon serveur

Voici le lien avec un visuel sur la fenêtre de connexion
Laurux

Hors ligne

#28 Le 16/11/2022, à 09:59

polinux

Re : Connexion distante d'un PC sur mon serveur

Super et merci pour cette info,
Je vais donc provisoirement passer pas ssh le temps de finir mon installation d’openvpn.
J’ai bien noté que ce n’était pas secure comme méthode.

Je vais continuer l’installation avec le tutoriel DigitalOcean.

Hors ligne

#29 Le 16/11/2022, à 13:04

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Peux tu donner le retour de

lsb_release -a

Hors ligne

#30 Le 16/11/2022, à 14:01

alex2423

Re : Connexion distante d'un PC sur mon serveur

polinux a écrit :

Super et merci pour cette info,
Je vais donc provisoirement passer pas ssh le temps de finir mon installation d’openvpn.
J’ai bien noté que ce n’était pas secure comme méthode.

Je vais continuer l’installation avec le tutoriel DigitalOcean.


Pour info, à ma connaissance, tu as 3 types de connexions te permettant de faire un tunnel sécurisé :
- le ssh => établir un tunnel en redirigeant local vers un port distant (ou plage)
- le vpn => établir un tunnel en redirigeant tout le traffic
- la ssl => établir un tunnel vers une url

Et via ces 3 moyens, il est possible de fonctionner par un système de clef public privé.
- pour ma part, j'ai un raspberry sous Débian chez mes parents. Je rentre un mot de passe pour protéger ma clef privé. Si on me vole mon mot de passe, on ne pourra pas se connecter sur mon serveur parce qu'il faut également que l'on me vole ma clef qui est sur mon poste. D'ailleurs, c'est le comportement par défaut de Débian. La connexion par mot de passe au serveur sshd n'est pas permise par défaut, uniquement clef privé/public
- et pour mon portail photo Piwigo que j'ai installé sur mon serveur Web (nginx), il n'est pas possible d'y accéder si le navigateur web n'a pas le certificat.

De mon point de vue, les tunnels SSH et SSL ne sont pas moins bien sécurisant que du VPN. Le VPN permet juste de rediriger tout le traffic, et ce n'est toujours le besoin.

La doc de Ubuntu explique bien comment créer une clef privé (que l'on peut protéger par un mot de passe appelé passphrase)
https://doc.ubuntu-fr.org/ssh#authentif … iqueprivee

Hors ligne

#31 Le 16/11/2022, à 14:11

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

@alex : je ne sais pas comment sécuriser le tunnel ssh initialisé par Laurux par une clé. Il ne demande qu'un mot de passe.

NicoApi73 a écrit :

[...] De plus, ce qui est proposé ici est de faire un accès ssh par mot de passe, ce qui peut être catastrophique en terme de sécurité informatique si le mot de passe est faible. [...]

C'est pour ça que je considère cette méthode comme moins sécurisée. Il est peut être possible de créer un tunnel ssh par clé et de mettre la pass-phrase comme mot de passe dans Laurux, mais je ne sais pas comment est géré le ssh dans l'application et si c'est documenté, je n'ai pas trouvé où c'était.

Hors ligne

#32 Le 16/11/2022, à 20:01

alex2423

Re : Connexion distante d'un PC sur mon serveur

NicoApi73 a écrit :

@alex : je ne sais pas comment sécuriser le tunnel ssh initialisé par Laurux par une clé. Il ne demande qu'un mot de passe.

NicoApi73 a écrit :

[...] De plus, ce qui est proposé ici est de faire un accès ssh par mot de passe, ce qui peut être catastrophique en terme de sécurité informatique si le mot de passe est faible. [...]

C'est pour ça que je considère cette méthode comme moins sécurisée. Il est peut être possible de créer un tunnel ssh par clé et de mettre la pass-phrase comme mot de passe dans Laurux, mais je ne sais pas comment est géré le ssh dans l'application et si c'est documenté, je n'ai pas trouvé où c'était.

Okay, je viens de voir la page de connexion :
https://www.laurux.fr/docs/Ecrans/Base.png

Il semblerait que la connexion distante est uniquement une connexion sur la base de donnée, je pensais qu'il y aurait une autre connexion. Quand on coche la case par SSH, le port socket connexion local est sur le port 3306. On pourrait alors se baser sur cette configuration pour créer un tunnel manuellement.

Pour rappel pour créer un tunnel manuellement :

ssh -L port_source:ip_prive_serveur_mysql:port_destination root@ip_public_box -p port_ouvert_box

ip_prive_serveur_mysql = correspond à l'ip privée de destination de ton tunnel.
- port_source:ip_prive_serveur_mysql:port_destination = on écoute sur le port "port_source" et on renvoie le flux sur le seveur ip_prive_serveur_mysql sur le port "port_desination"

- le bout du tunnel n'est pas forcément le serveur ssh, il est possible de rediriger le flux vers un autre serveur. c'est pourquoi on peut indiquer une ip. Si on souhaite établir un tunnel uniquement jusqu'au serveur ssh, on peut indiquer :
port_source:localhost:port_destination

Donc par exemple en cas concret pour Polinux, imaginons son réseau avec ses ip :
tunnel-ssh-Page-2-3.jpg

https://i.postimg.cc/rmx79dxH/tunnel-ssh-Page-2-3.jpg

On pourrait imaginer un truc dans le genre :

ssh -L 3306:192.168.1.10:3306 polinux@10.54.1.101 -p 2022

Explication :
- polinux@10.54.1.101 -p 2022 => on établit une connexion sur l'ip de la box sur le 2022. La box nous redirige vers le serveur 192.168.1.5 sur le port 22. Sur cette machine, un deamon ssh tourne en écoutant sur le port 22. On s'y connecte donc.
-L 3306:192.168.1.10:3306 => on établie un tunnel jusqu'à la machine 192.168.1.10. Les ports locaux et distant sont identique : 3306.


Et sur Laurux :
- on ne coche pas sur la case Laurux, on ne coche pas sur la case pour avoir un tunnel
- on indique localhost parce que le client ssh est sur la même machine que le client Laurux
- on laisse par défaut le numéro de port parce que le port d'écoute de notre tunnel est le 3306

Et une fois que l'on a validé la connexion par mot de passe, on peut mettre en place l'authentification par clef :

On génère la clef (idéalement avec un passphrase :
ssh-keygen -t ed25519 -C "poste_distant_laurux"

On l'envoie sur le serveur :
ssh-copy-id -i ~/.ssh/id_ed25519.pub polinux@10.54.1.101 -p 2022

Et ensuite on peux tester la connexion si on nous demande notre passprase. Si c'est le cas buingo :
ssh polinux@10.54.1.101 -p 2022

On alors désactiver la connexion par mot de passe en fouillant dans le fichier de conf du serveur ssh
https://doc.ubuntu-fr.org/ssh#authentif … iqueprivee

Dernière modification par alex2423 (Le 16/11/2022, à 20:48)

Hors ligne

#33 Le 16/11/2022, à 22:49

polinux

Re : Connexion distante d'un PC sur mon serveur

Bonsoir,

Pour ApiNico73 voici le retour demandé :

facon-piscine@facon-piscine:~$ lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 20.04.5 LTS
Release:	20.04
Codename:	focal
facon-piscine@facon-piscine:~$ 

Merci Alex2423 pour ces infos détaillées
J'ai commencé à regarder ça mais trop fatigué avec le chantier je ne tiens pas devant l'écran.

pour info sur le forum laurux où j'ai posé la question la réponse est d'utiliser X2go.
je vous livre l'info brute je ne connais pas c'est un logiciel de contrôle de bureau à distance.

Hors ligne

#34 Le 16/11/2022, à 23:14

alex2423

Re : Connexion distante d'un PC sur mon serveur

Oui x2go est un logiciel de contrôle à distance qui a la particularité d'ouvrir une session distante (et non pas se connecter sur la session courante du serveur).

Hors ligne

#35 Le 17/11/2022, à 08:25

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Bonjour,

J'ai regardé en détail la génération des clés. A partir de la 20.04, c'est easy-rsa 3 qui est utilisé. La sécurité a été améliorée, la génération des clés est maintenant plus complexe avec la signature par un serveur. J'ai mis à jour certains de mes posts précédents qui n'étaient par conséquent plus à jour.

Serveur ne veut pas dire machine physique différente. Il est possible de le faire avec des répertoires différents sur la même machine ou avec des machines virtuelles.

Si ton besoin se limite à accéder à un seul serveur (MySQL), la solution décrite au #32 est suffisante à condition :
- authentification par clé
- désactivation de l'authentification par mot de passe sur la machine
- éventuellement une protection supplémentaire avec fail2ban pour limiter la charge d'une attaque par la force brute

Si ton besoin est d'accéder à d'autres services de ton réseau (par exemple la/les imprimantes, un disque réseau...), une solution par VPN est appropriée. Elle n'est pas si difficile à mettre en œuvre, la génération des clés nécessite la signature de celles-ci, donc un peu plus d'opérations que précédemment.

Hors ligne

#36 Le 17/11/2022, à 22:04

polinux

Re : Connexion distante d'un PC sur mon serveur

Je commence à y voir un peu plus clair,
J'ai 2 besoins ma connexion à mysql pour Laurux et pouvoir accéder à mes dossiers et fichier dans le dossier personnel.
si la solution #32 le permet alors c'est tout bon sinon je suis parti pour finir le VPN.

Hors ligne

#37 Le 18/11/2022, à 20:14

polinux

Re : Connexion distante d'un PC sur mon serveur

Comme je vais avoir besoin d'accèder à mon serveur MySQL et aussi à mon dossier personnel
je vais donc continuer la mise en place du VPN avec le tuto https://www.digitalocean.com/community/ … u-20-04-fr
Petite question, quand je fais cette commande :

ssh root@your_server_ip

comment trouver l'IP du serveur ? est ce celle du PC ?

Hors ligne

#38 Le 18/11/2022, à 21:00

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Bonsoir,

ok, je devrais avoir du temps demain matin (peut être même l'après midi) pour te filer un coup de main. Ne te précipite pas.

Le tuto en question utilise des pré-requis, en particulier celui là : https://www.digitalocean.com/community/ … untu-20-04 (qui est en anglais) C'est un peu différent de ce que j'ai mis en place, car ici on est en easy-rsa 3 (qui vient avec la 20.04) et je suis en easy-rsa 2 (qui vient avec la 18.04)

La bonne manière de procéder est d'avoir une machine pour la mise en place et la signature du certificat (Autorité de Certification), ton serveur OpenVPN qui va demander une clé privé et un certificat serveur à l'Autorité de Certification, ton/tes clients qui vont demander une paire de clés et un certificat client.

Ton serveur devrait être ta machine sur laquelle tu as ta base de données MySQL (ce n'est pas obligé que ce soit cette machine, et j'ai même tendance à répartir les responsabilités, néanmoins ce sera plus simple car tu n'auras que cette machine qui sera allumée en permanence). Ton client sera la machine qui se connectera de manière distante à ton serveur.

Ton Autorité de Certification peut être :
- une machine distincte
- une machine virtuelle
- et je pense que tu peux techniquement le faire à partir de la machine qui te sert de serveur ou celle qui te sert de client. Ca pose des problèmes de sécurité informatique que je pense être très limités dans ton cas. (Je vais demander un avis)

En suivant le tuto en français, tu vas bloquer à l'étape 4 car ton CA (Autorité de Certification) ne sera pas en place. Laisse moi le temps de voir qu'est ce qui est le plus simple pour toi et qui est suffisamment sécurisé.

Question : connais tu VirtualBox ou VMWare ?

Hors ligne

#39 Le 18/11/2022, à 22:00

Nuliel

Re : Connexion distante d'un PC sur mon serveur

Salut,
Alors accéder à un serveur sql via ssh c'est une possibilité (au final le serveur ssh sert de rebond) dont la sécurité est celle de ssh (avec une authentification par clé et sans mdp c'est impec), en vrai ce serait possible de faire aussi du partage de fichiers avec sshfs.
Pour le vpn, oui le CA est idéalement sur une autre machine, mais dans le cas de polinux, vu qu'il devrait pas y avoir masse changements (pas de pc à ajouter ou retirer), pour moi le CA peut être mis hors ligne (sur une clé usb, ...). À noter que le CA c'est le truc auquel on fait confiance, donc c'est un service sensible.
wireguard et x2go j'ai jamais testé, donc je vais pas me prononcer dessus.

Dernière modification par Nuliel (Le 18/11/2022, à 22:01)


[ poster un retour de commande ] [ poster une photo ]
Mon nouveau blog: nuliel.fr
accessoires pour enfants fait main: https://www.petillanne.fr/

Hors ligne

#40 Le 18/11/2022, à 22:18

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Dans ce cas, seuls les fichiers peuvent être mis sur la clé, je veux dire par là, si on suis la méthode proposé par Digital Ocean :
-  créer 3 répertoires sur la clé : un pour le CA, un pour le serveur et un pour le client
- faire des liens dynamiques comme dans l'étape 2 du CA et les étapes 1 et 6 du serveur
- générer et transférer les fichiers entre les répertoires (sans avoir à changer de machine)
- Puis transférer les clés et certificats en fonction des besoins
- retirer et ranger la clé.

@Nuliel : Est-ce suffisamment sécurisé?

Hors ligne

#41 Le 18/11/2022, à 22:57

Nuliel

Re : Connexion distante d'un PC sur mon serveur

Oui, pour moi c'est suffisamment sécurisé.


[ poster un retour de commande ] [ poster une photo ]
Mon nouveau blog: nuliel.fr
accessoires pour enfants fait main: https://www.petillanne.fr/

Hors ligne

#42 Le 18/11/2022, à 23:31

polinux

Re : Connexion distante d'un PC sur mon serveur

Ok je mets en stand by pour l'instant,
Je ne sais pas si c'était la bonne solution mais j'ai créé un autre utilisateur donc une autre session non root sur le pc qui me sert de serveur
et j'avais commencé à monter mon serveur CA.
Pour info j'étais sur le tuto suivant : https://www.digitalocean.com/community/ … untu-20-04
et je suis à l'étape "Step 5 — Enabling External Access for Your Regular User"

Hors ligne

#43 Le 19/11/2022, à 11:24

polinux

Re : Connexion distante d'un PC sur mon serveur

Bonjour,
alors je pense qu'il faut reprendre au #21 du tutoriel suivant : https://www.digitalocean.com/community/ … u-20-04-fr
C'est le moment où il faut mettre en place le CA.

Hors ligne

#44 Le 19/11/2022, à 11:25

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

Salut

Je suis entrain de te préparer l'ensemble des commandes

EDIT : sais tu formater une clé USB en ext4?
Sinon, sais tu utiliser VirtualBox?

Dernière modification par NicoApi73 (Le 19/11/2022, à 11:26)

Hors ligne

#45 Le 19/11/2022, à 11:34

polinux

Re : Connexion distante d'un PC sur mon serveur

Je peux faire ça avec Gparted

Hors ligne

#46 Le 19/11/2022, à 11:37

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

/!\ Ce post a été remis en forme pour plus de clarté. La configuration du serveur est au #48, celle du client au #53

Générations des clés et certificats

Pré-requis avoir installé openVPN et easy-rsa 3 sur la machine qui fera office de serveur et openVPN sur la machine qui fera office de client. La machine faisant office de serveur doit être en version 20.04 (pour que ce soit easy-rsa 3 qui vienne)

sudo apt install openvpn easy-rsa

Formater une clé USB en ext4 et se placer à la racine de la clé (quelque chose comme /media/$USER/xxxxxxx)

Création de la structure de répertoire :

mkdir -p server-configs/keys
mkdir -p client-configs/keys
mkdir server
mkdir CA

Etape 1 Mise en place de l'Autorité de Certification

EDIT : la commande openssl rand -writerand pki/.rnd a été ajouté après ./easyrsa init-pki car une erreur d'absence de fichier .rnd était générée lors de la génération des clé/certification... (erreur présente avec easy-rsa 3.0.6-1)

ln -s /usr/share/easy-rsa/* CA/
cd CA/
./easyrsa init-pki
openssl rand -writerand pki/.rnd
nano vars

Copier ceci dans le fichier :

set_var EASYRSA_REQ_COUNTRY    "FR"
set_var EASYRSA_REQ_PROVINCE   "Mon departement"
set_var EASYRSA_REQ_CITY       "Ma ville"
set_var EASYRSA_REQ_ORG        "Mon entreprise"
set_var EASYRSA_REQ_EMAIL      "mon.adresse@email.fr"
set_var EASYRSA_REQ_OU         "Community"
set_var EASYRSA_ALGO           "ec"
set_var EASYRSA_DIGEST         "sha512"

Modifier à convenance les 5 premières lignes

Sauvegarder : CTRL+o - Entrée
Sortir : CTRL+x

./easyrsa build-ca nopass
cd ..

Etape 2 : Création de l'infrastructure PKI Serveur

ln -s /usr/share/easy-rsa/* server/
cd server/
nano vars

Copier ceci dans le fichier

set_var EASYRSA_ALGO "ec"
set_var EASYRSA_DIGEST "sha512"

Sauvegarder : CTRL+o - Entrée
Sortir : CTRL+x

./easyrsa init-pki
openssl rand -writerand pki/.rnd
./easyrsa gen-req server nopass
sudo cp pki/private/server.key ../server-configs/keys
cd ../CA/
./easyrsa import-req ../server/pki/reqs/server.req server
./easyrsa sign-req server server
sudo cp pki/issued/server.crt ../server-configs/keys
sudo cp pki/ca.crt ../server-configs/keys
cd ../server
openvpn --genkey --secret ta.key
sudo cp ta.key ../server-configs/keys
sudo cp ta.key ../client-configs/keys

Etape 3 : Création de l'infrastructure PKI client

cd ../server
./easyrsa gen-req client1 nopass
cp pki/private/client1.key ../client-configs/keys/
cd ../CA
./easyrsa import-req ../server/pki/reqs/client1.req client1
./easyrsa sign-req client client1
cp pki/issued/client1.crt ../client-configs/keys/
cp pki/ca.crt ../client-configs/keys/

Dernière modification par NicoApi73 (Le 29/11/2022, à 15:22)

Hors ligne

#47 Le 19/11/2022, à 11:41

polinux

Re : Connexion distante d'un PC sur mon serveur

J'ai formaté un clé en ext4 elle fait 8 go
et je ne connais pas virtual box hmm

Hors ligne

#48 Le 19/11/2022, à 11:43

NicoApi73

Re : Connexion distante d'un PC sur mon serveur

/!\ Ce post a été remis en forme pour plus de clarté. La configuration du client au #53

Configuration du serveur

Basé sur https://www.digitalocean.com/community/ … u-20-04-fr. S'y référer pour les commentaires.


Première étape : récupérer le template du fichier de conf et le mettre dans le répertoire de conf du serveur :

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz /etc/openvpn/server/
sudo gunzip /etc/openvpn/server/server.conf.gz

Seconde étape : modifier le fichier de conf

sudo nano /etc/openvpn/server/server.conf

Pour chacun des points ci-dessous, il faut trouver la première ligne (sans le wink, la commenter en ajoutant le ; et rajouter la seconde.

;tls-auth ta.key 0 # This file is secret
tls-crypt ta.key
;verb 3
verb 4
;dh dh2048.pem
dh none
;cipher AES-256-CBC
cipher AES-256-GCM

Rajouter juste en dessous :

auth SHA256

Ensuite :
Décommenter (retirer le ; ) :

user nobody
group nogroup

Pour pouvoir logger dans un fichier, décommenter (retirer le ; ) également pour la ligne

log-append  /var/log/openvpn/openvpn.log

Pour pousser tout le trafic des clients dans le tunnel, touver

;push "redirect-gateway def1 bypass-dhcp"

et la décommenter (supprimer le ; ) :

push "redirect-gateway def1 bypass-dhcp"

Optionnel, pour pouvoir voir le réseau côté serveur VPN, trouver :

;push "route 192.168.10.0 255.255.255.0"

décommenter (retirer le ; ), et mettre le réseau du serveur avec le masque de sous-réseau (ici 192.168.0.0, masque de sous réseau 255.255.255.0)

push "route 192.168.0.0 255.255.255.0"

Choisir un protocole (tcp ou udp) et laisser le port sur 1194 (ou en choisir un autre)

proto tcp
port 1194

Sauvegarder et quitter :
CTRL + o - Entrée - CTRL + x

Il est hautement préférable de mettre en place une rotation des logs suite à cette commande. Ca peut se faire par une tâche cron ou l'utilisation de log-rotate. Sans ça, les logs vont se remplir sans jamais être vidés.
Exemple de rotation hebdomadaire pour vider les logs, à copier en fin de fichier dans une tâche cron périodique :

# Rotation log openvpn
0 2 * * 1 echo | sudo tee /var/log/openvpn/openvpn.log

(Ne jamais effacer le fichier /var/log/openvpn/openvpn.log avec la commande rm car le système de log serait planté)


Troisième étape : configurer le serveur (la machine) en mode routeur

sudo nano /etc/sysctl.conf

Ajouter à la fin du fichier :

net.ipv4.ip_forward = 1

Sauvegarder : CTRL+o - Entrée
Sortir : CTRL+x

sudo sysctl -p

Trouver l'interface utilisée par défaut :

ip route | grep default

Le nom de l'interface est juste après dev
Et ajouter une règle au pare-feu pour gérer le trafic arrivant par le tunnel VPN, en remplaçant enp5s0 par le nom trouvé ci-dessus :

sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o enp5s0 -j MASQUERADE

Méthode de sauvegarde de la règle (sinon elle est effacée au redémarrage de la machine) :

sudo apt install iptables-persistent

et répondre par yes (pour la prise en compte de la règle qu'on vient de mettre en place)

/!\ : Digital Ocean propose l'utilisation de UFW. L'activation du pare-feu va fermer les ports. Il est donc important d'ouvrir ceux qui sont utilisés. C'est ce qu'il s'est passé ici, avec une recherche de cause qui a pris un peu de temps... Si c'est uniquement le port VPN (ici le 1194) qui est exposé, il n'est pas nécessaire d'activer le pare-feu (uniquement la règle IPTABLES proposées ci-dessus est nécessaire). Parc contre, si le serveur est mis dans la DMZ avec tous les ports redirigés vers cette machine, il faut mettre en place les règles en conséquent...


Quatrième étape : copie des clés et certificats
Mettre la clé sur laquelle se trouvent les clés et certificats. Aller à la racine et mettre les fichiers serveur dans le répertoire de configuration :

sudo cp server-configs/keys/* /etc/openvpn/server

Cinquième étape : démarrage du serveur

sudo systemctl -f enable openvpn-server@server.service
sudo systemctl start openvpn-server@server.service
sudo systemctl status openvpn-server@server.service 

Vérifier le bon démarrage avec cette dernière commande, regarder dans les logs le cas échéant :

sudo cat /var/log/openvpn/openvpn.log

Dernière modification par NicoApi73 (Hier à 21:05)

Hors ligne

#49 Le 19/11/2022, à 11:44

polinux

Re : Connexion distante d'un PC sur mon serveur

Je vais suivre la doc suivante je pense https://doc.ubuntu-fr.org/virtualbox

Hors ligne

#50 Le 19/11/2022, à 12:06

polinux

Re : Connexion distante d'un PC sur mon serveur

alors je suis allé à la racine de la clé et j'ai fais :

facon-piscine@facon-piscine:/media/facon-piscine/server$ mkdir CA
mkdir: impossible de créer le répertoire «CA»: Permission non accordée
facon-piscine@facon-piscine:/media/facon-piscine/server$ 

fallait il que je mette sudo ?

Hors ligne