#376 Le 03/12/2022, à 18:30
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Et merci à celles et ceux qui ont relu et aidé ou corrigé mes coquilles
Hors ligne
#377 Le 03/12/2022, à 18:31
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
En tout cas j'admire ton implication et celle des autres pour nous aider, alors que de partout on entend que la société est de plus en plus individualiste
cette communauté informatique permet de prouver le contraire et cela fait du bien.
Dernière modification par polinux (Le 03/12/2022, à 18:33)
Hors ligne
#378 Le 03/12/2022, à 21:42
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Si tu dois rajouter un autre client, il faut créer configuration, clés et certificats pour lui, et c'est très facile.
Tu prends la clé qui t'a servi pour générer clés et certificats.
A ne faire qu'une seule fois (pour récupérer le fichier de conf pour tous les futurs clients :
Sur ton client actuel (celui qu'on vient de mettre en fonction), tu mets la clé USB et tu copies le fichier de conf qui va te servir de base (à ne faire qu'une fois pour tous les clients, on va le mettre sur la clé) :
cp /etc/openvpn/client/client1.conf /media/facon3/server/facon-piscine/client-configs/keys/
cp /etc/openvpn/client/client1.conf /media/facon3/server/facon-piscine/client-configs/keys/clientref.conf
A faire pour chaque nouveau client (adapter les noms client2, client3...)
Tu mets la clé maintenant sur ton serveur.
Puis, tu passes les commandes suivantes :
cd /media/facon-piscine/server/facon-piscine/server/
./easyrsa gen-req client2 nopass
cp pki/private/client2.key /media/facon-piscine/server/facon-piscine/client-configs/keys/
cd /media/facon-piscine/server/facon-piscine/CA/
./easyrsa import-req ../server/pki/reqs/client2.req client2
./easyrsa sign-req client client2
cp pki/issued/client2.crt /media/facon-piscine/server/facon-piscine/client-configs/keys/
On va copier et mettre à jour le fichier de conf pour le second client :
cp /media/facon-piscine/server/facon-piscine/client-configs/keys/clientref.conf /media/facon-piscine/server/facon-piscine/client-configs/keys/client2.conf
sed -i "s/client1/client2/g" /media/facon-piscine/server/facon-piscine/client-configs/keys/client2.conf
Sur le nouveau client, tu installes openvpn :
sudo apt install openvpn
Si nécessaire :
sudo apt install network-manager-openvpn network-manager-openvpn-gnome
Ensuite tu prends ta clé et tu copies la config, clés et certificats sur cette nouvelle machine :
sudo cp /media/$USER/server/facon-piscine/client-configs/keys/client2.conf /etc/openvpn/client
sudo cp /media/$USER/server/facon-piscine/client-configs/keys/client2.key /etc/openvpn/client
sudo cp /media/$USER/server/facon-piscine/client-configs/keys/client2.crt /etc/openvpn/client
sudo cp /media/$USER/server/facon-piscine/client-configs/keys/ta.key /etc/openvpn/client
sudo cp /media/$USER/server/facon-piscine/client-configs/keys/ca.crt /etc/openvpn/client
Tu n'as plus qu'à créer la connexion (étapes 2 et 3 du post #365)
Tu peux le faire pour autant de clients que tu veux, il te suffit de remplacer client2 (ci-dessus) par le suivant (client3, client4....)
Dernière modification par NicoApi73 (Le 03/12/2022, à 21:43)
Hors ligne
#379 Le 05/12/2022, à 22:08
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Ok super c'est intéressant car je pourrai le faire sur mon deuxième pc local et avoir la possibilité de partir avec.
Par contre j'ai donné le pc à ma fille qui va faire des tests de chez elle donc il faudra attendre qu'elle revienne au bureau
Hors ligne
#380 Le 05/12/2022, à 22:28
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Tant que tu n'as pas fait la manip pour ta fille, ne pas avoir en même temps ton client actuel et celui de ta fille (les 2 ont les mêmes certificats et clés et openvpn devrait rejeter le second qui se connectera).
Les certificats sont valables 3 ans. Il faudra les regénérer à ce moment là. J'ai trouvé l'option pour les rallonger, je mettrai ce qu'il faut ici. (En travaillant avec toi, j'ai vu des choses que je pouvais amélioré chez moi et c'est comme ça que j'ai vu la limite de 3 ans )
Hors ligne
#381 Le 06/12/2022, à 08:52
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Bonjour,
Pour renouveler un certificat (par exemple, ici le certificat de client1) :
Mettre ta clé (sur ton serveur)
cd /media/facon-piscine/server/facon-piscine/CA/
./easyrsa renew client1
cp pki/issued/client1.crt ../client-configs/keys
Le nouveau certificat se trouve sur la clé ici : /media/$USER/server/facon-piscine/client-configs/keys/client1.crt, à copier dans le répertoire du client qui va bien (ici, nous les avons mis dans /etc/openvpn/client)
Remplacer 1 par le chiffre qui va bien.
/!\ : Un nouveau certificat peut être émis 30 jours avant l'expiration du précédent, pas avant.
Si tu veux changer la durée de validité des certificats (pour les prochains qui seront émis), il faut ajouter une ligne dans le fichier vars dans CA (avant de générer de nouveau certificats ) :
cd /media/$USER/server/facon-piscine/CA
nano vars
Ajouter à la fin (pour une durée de validité de 36525 jours, à modifier à convenance) :
set_var EASYRSA_CERT_EXPIRE 36525
CTRL + o - Entrée - CTRL + x
Hors ligne
#382 Le 08/12/2022, à 21:38
- NicoApi73
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Bonsoir,
Ce post est à titre d'information, sur un point technique que je ne comprenais pas et que je viens de résoudre. Tu n'as pas besoin de modifier ta configuration.
Lors de nos essais, même avec le tunnel VPN actif, canyousseme donnait toujours l'adresse du smartphone et non pas celle de la box. J'avais constaté la même chose chez moi. En fait, la raison est l'IPv6... Telle que la configuration est faite, le client envoie tout l'IPv4 par le tunnel, mais pas l'IPv6 !
Côté serveur nous avons mis cette option :
push "redirect-gateway def1 bypass-dhcp
Celle-ci demande aux clients de rediriger tout le trafic dans le tunnel. Mais les flags ne concernent que l'IPv4. Pour s'assurer que le trafic IPv6, passe dans le tunnel, il faut ajouter le flag ipv6. Donc pour passer tout le trafic (IPv4 et IPv6), il faut mettre l'option suivante à la place :
push "redirect-gateway def1 bypass-dhcp ipv6"
L'utilisation d'un client comme network-manager-openvpn ou OpenVPN Connect sous Android doivent soit envoyer également l'IPv6 par le tunnel par défaut, soit bloque l'IPv6. Par contre le client openvpn (lancé en ligne de commande avec le fichier de configuration en argument) permet de faire ce que l'on veut, à condition de choisir la bonne configuration...
Dernière modification par NicoApi73 (Le 08/12/2022, à 21:40)
Hors ligne
#383 Le 18/12/2022, à 16:11
- polinux
Re : Connexion distante d'un PC sur mon serveur [RESOLU]
Merci pour cette précision qui pourra certainement être utile pour ceux qui suivront ce fil.
Je suis ravi que cela t'ai permis de comprendre ce détail
Bonnes fêtes de fin d'année
Hors ligne