net:openvpn:index

Table des matières

Accès OpenVPN et SSH au réseau des utilisateurs
- Sas SSH
  - ProxyJump
    - Client SSH
    - Rsync, SCP, SFTP
  - Tunnel SSH
- OpenVPN

Accès OpenVPN et SSH au réseau des utilisateurs

Le réseau des machines des utilisateurs du bâtiment Sophie Germain est en adressage privé. C'est le réseau 172.23.32.0/20.
Pour pouvoir accéder à votre machine depuis l'extérieur, nous avons mis en place un service OpenVPN (voir par exemple le site http://en.wikipedia.org/wiki/OpenVPN pour une description (sommaire) de ce logiciel) et un sas SSH.

Revenez régulièrement mettre à jour le fichier de configuration

Sas SSH

Le sas SSH n'est là que pour rebondir vers le réseau interne, ce n'est ni un serveur de stockage, ni un serveur de travail. Face aux dérives passées concernant le premier point et l'utilisation comme espace de stockage tampon (sans nettoyage), les “home directory” sont quotidiennement vidés, à l'exception des fichiers ssh (id_*, authorized_keys, config).

Vous êtes encouragé à utiliser l'option ProxyJump de SSH (voir ci-dessous) qui s'occupe du rebond en une seule commande

ProxyJump

Client SSH

Les clients SSH moderne (>=7.3) offre la possibilité de faire un ProxyJump directement via l'option -J des clients ssh (fonctionne sous MacOS, Windows et Linux)

ssh -J username@sas.math.univ-paris-diderot.fr username@remote_server

Rsync, SCP, SFTP

Rsync :

rsync -a -e "ssh -J username@sas.math.univ-paris-diderot.fr" /path/to/local/file username@remote_server:/path/to/remote/file

SCP :

scp -o ProxyJump=username@sas.math.univ-paris-diderot.fr /path/to/local/file username@remote_server:/path/to/remote/file

SFTP :

sftp -o ProxyJump=username@sas.math.univ-paris-diderot.fr username@remote_server

Tunnel SSH

Les tunnels ssh permettent de rebondir sur le réseau local en créant un tunnel entre 2 machines.

2 étapes :

L'établissement du tunnel

ssh -N -L local_port:remote_server_addr:remote_server_port username@sas.math.univ-paris-diderot.fr

La connexion au serveur via localhost

Exemples :

Exemple pour une connexion ssh vers un serveur fictif (hostname : un-serveur.domain.tld)

ssh -N -L 22222:un-serveur.domain.tld:22 username@sas.math.univ-paris-diderot.fr
ssh -p 22222 username@localhost

Autre exemple pour une requete https vers www.google.fr

ssh -N -L8443:www.google.fr:443 username@sas.math.univ-paris-diderot.fr
curl -k https://localhost:8443

OpenVPN

Afin de bénéficier de ce service et ainsi accéder à votre machine de bureau depuis l'extérieur, il vous faudra installer un client OpenVPN sur la machine à partir de laquelle vous voulez atteindre votre machine de bureau, par exemple un portable ou un poste fixe à votre domicile.
Le client OpenVPN à installer va dépendre du système d'exploitation de la machine hôte (Une liste de clients se trouve sur le site indiqué ci-dessus):
- Pour le système Mac OS X, nous recommandons le logiciel (gratuit)Tunnelblick.
- Pour Linux Debian/Ubuntu, par exemple, c'est le paquet openvpn qu'il faut installer (il existe également des interfaces graphiques comme network-manager-openvpn et gadmin-openvpn-client).
- Pour windows le client openVPN fonctionne.
Enfin, après avoir installé votre client openvpn, il vous faudra le configurer. Cette configuration dépend bien évidemment du logiciel utilisé mais quel que soit ce dernier, vous aurez besoin des 2 fichiers suivants : Certificat de l'Autorité de Certification et Fichier de configuration du client.

L'authentification du client openvpn se fait via l'annuaire LDAP Sophie Germain. Il faut donc que vous soyez enregistré dans cet annuaire, ce qui est normalement le cas lorsque vous avez un compte dans votre entité/laboratoire (UFR, LPMA, LJLL, LIAFA, PPS, IREM,…). Pour l'IMJ (hors équipe de logique) votre compte doit être activé sur simple demande.

La connexion par openvpn permet aussi d'accéder aux revues en ligne (Jstor, Le Monde, …) en bénéficiant des abonnements « Université Paris 7 - Denis Diderot ».

Installation sous Mac OS X

Mac OS X télécharger la version stable.

Puis dans tous les cas:

Télécharger les fichiers sg.ovpn et ca.crt.

Attention: sous safari ces fichiers sont renommés lors du téléchargement. Il faut supprimer l'extension txt rajoutée par le navigateur.

Double cliquer sur tunnelblick.dmg
Suivez les instructions puis répondez “j'ai des fichiers de configuration openvpn”
Lancer la connexion (fournir le login et le mot de passe du mail).

Pour utiliser cette connexion pour les revues il faut rajouter la ligne:

redirect-gateway def1

dans le fichier sg.ovpn.

Récemment les fichiers de configuration ont été mis à jour pour palier les problèmes de la version 2.4 de tunnelblick

Installation sous linux (ligne de commande)

Installer openvpn.
Télécharger les fichiers sg.ovpn et ca.crt dans le même répertoire, par exemple /etc/openvpn.
Lancer (en tant qu'utilisateur root ou avec sudo) :
openvpn --config /etc/openvpn/sg.ovpn.
Fournir le login (pas l'adresse email complète) et le mot de passe du mail.

La commande /sbin/ifconfig fait apparaître une nouvelle entrée (tun…). La commande netstat -rn (ou /netstat -ra) permet de vérifier quelles sont les routes ajoutées. La route par défaut n'est pas modifiée. Les machines du réseau privé sont accessibles par leur IP ou CNAME (alias).

Pour modifier la route par défaut
openvpn --config /etc/openvpn/sg.ovpn --redirect-gateway
(attention, toutes les connexions sont alors redirigées via sas.math.univ-paris-diderot.fr, la passerelle du bâtiment Sophie Germain ! Si vous utilisez cette option, mieux vaut interrompre la connexion openvpn dès que vous ne l'utilisez plus).

Pour en savoir plus man openvpn.

Installation avec networkmanager sous debian/ubuntu (gnome ou xfce)

Au préalable installer les packages network-manager, network-manager-openvpn et network-manager-openvpn-gnome.
S'assurer que la connexion est bien gérée par network-manager. Si nécessaire commenter les lignes afférentes à l'interface utilisée dans le fichier /etc/network/interfaces, et redémarrer (ou démarrer) network-manager. Une icône apparait dans la barre de menu.
Télécharger les fichiers sg.ovpn et ca.crt (sous des noms éventuellement plus explicites).
Dans le menu de network-manager choisir Configure vpn puis Import, et importer le fichier sg.ovpn.
Configuration : sélectionner l'onglet vpn
- certificat d'autorité, le fichier : ca.crt
- Authentification (le login et le mot de passe sont ceux du mail, il s'agit bien du login, pas de l'adresse email complète) :
  - Type : password
  - User name : <login>
  - Password : * * * * * * (saved ou ask always)

La connexion nouvellement configurée apparait dans le menu de network-manager. Quand la connexion est établie, un cadenas s'ajoute à l'icône de network-manager, l'info-bulle affiche que la connexion est active, /sbin/ifconfig fait apparaître une nouvelle interface (tunnel).

Sur les configurations testées à ce jour la route par défaut est modifiée : toutes les connexions distantes passent par la passerelle sas.math.univ-paris-diderot.fr (vérification par netstat -rn ou netstat -ra). Mieux vaut donc déconnecter le vpn dès qu'il n'est pas nécessaire de l'utiliser.

Installation sous windows

Installation avec openVPN

Exécutez l'installer en mode administrateur
Télécharger les fichiers sg.ovpn et ca.crt
Déplacez les fichiers sg.ovpn et ca.crt dans le répertoire C:\Program Files\OpenVPN\config
Lancer la connexion (fournir le login et le mot de passe du mail).