Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
net:openvpn:index [2023/05/29 13:09] rordinas [Accès OpenVPN et SSH au réseau des utilisateurs] |
net:openvpn:index [2023/06/20 00:58] (Version actuelle) rordinas [OpenVPN] |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| ===== Accès OpenVPN et SSH au réseau des utilisateurs ===== | ===== Accès OpenVPN et SSH au réseau des utilisateurs ===== | ||
| + | * Le réseau des machines des utilisateurs du bâtiment Sophie Germain est en adressage privé. C'est le réseau **172.23.32.0/20**. | ||
| + | * Pour pouvoir accéder à votre machine depuis l'extérieur, nous avons mis en place un service OpenVPN (voir par exemple le site [[http://en.wikipedia.org/wiki/OpenVPN]] pour une description (sommaire) de ce logiciel) et un sas SSH. | ||
| <note warning>Revenez régulièrement mettre à jour le fichier de configuration</note> | <note warning>Revenez régulièrement mettre à jour le fichier de configuration</note> | ||
| - | * Le réseau des machines des utilisateurs du bâtiment Sophie Germain est en adressage privé. C'est le réseau **172.23.32.0/20**. | + | ==== Sas SSH ==== |
| - | * Pour pouvoir accéder à votre machine depuis l'extérieur, nous avons mis en place un service OpenVPN (voir par exemple le site [[http://en.wikipedia.org/wiki/OpenVPN]] pour une description (sommaire) de ce logiciel) et un sas SSH. Pour utiliser le sas il suffit de se connecter à l'aide de la commande: | + | Le sas SSH n'est là que pour rebondir vers le réseau interne, ce n'est ni un serveur de stockage, ni un serveur de travail. Face aux dérives passées concernant le premier point et l'utilisation comme espace de stockage tampon (sans nettoyage), les "home directory" sont quotidiennement vidés, à l'exception des fichiers ssh (id_*, authorized_keys, config). |
| - | <code> | + | |
| - | ssh login@sas.math.univ-paris-diderot.fr | + | <note important>Vous êtes encouragé à utiliser l'option ProxyJump de SSH (voir [[net:openvpn:index#proxyjump|ci-dessous]]) qui s'occupe du rebond en une seule commande</note> |
| - | </code> | + | |
| + | === ProxyJump === | ||
| + | == Client SSH == | ||
| + | Les clients SSH moderne (>=7.3) offre la possibilité de faire un ProxyJump directement via l'option -J des clients ssh (fonctionne sous MacOS, Windows et Linux) | ||
| + | <code>ssh -J username@sas.math.univ-paris-diderot.fr username@remote_server</code> | ||
| + | |||
| + | == Rsync, SCP, SFTP == | ||
| + | *Rsync : <code>rsync -a -e "ssh -J username@sas.math.univ-paris-diderot.fr" /path/to/local/file username@remote_server:/path/to/remote/file </code> | ||
| + | *SCP : <code>scp -o ProxyJump=username@sas.math.univ-paris-diderot.fr /path/to/local/file username@remote_server:/path/to/remote/file</code> | ||
| + | *SFTP : <code>sftp -o ProxyJump=username@sas.math.univ-paris-diderot.fr username@remote_server</code> | ||
| + | |||
| + | === Tunnel SSH === | ||
| + | Les tunnels ssh permettent de rebondir sur le réseau local en créant un tunnel entre 2 machines. | ||
| + | |||
| + | 2 étapes : | ||
| + | - L'établissement du tunnel <code>ssh -N -L local_port:remote_server_addr:remote_server_port username@sas.math.univ-paris-diderot.fr</code> | ||
| + | - La connexion au serveur via localhost | ||
| + | - Exemples : | ||
| + | * Exemple pour une connexion ssh vers un serveur fictif (hostname : un-serveur.domain.tld)<code>ssh -N -L 22222:un-serveur.domain.tld:22 username@sas.math.univ-paris-diderot.fr | ||
| + | ssh -p 22222 username@localhost</code> | ||
| + | * Autre exemple pour une requete https vers www.google.fr<code>ssh -N -L8443:www.google.fr:443 username@sas.math.univ-paris-diderot.fr | ||
| + | curl -k https://localhost:8443</code> | ||
| + | |||
| + | ==== OpenVPN ==== | ||
| * Afin de bénéficier de ce service et ainsi accéder à votre machine de bureau depuis l'extérieur, il vous faudra installer un client OpenVPN sur la machine à partir de laquelle vous voulez atteindre votre machine de bureau, par exemple un portable ou un poste fixe à votre domicile. | * Afin de bénéficier de ce service et ainsi accéder à votre machine de bureau depuis l'extérieur, il vous faudra installer un client OpenVPN sur la machine à partir de laquelle vous voulez atteindre votre machine de bureau, par exemple un portable ou un poste fixe à votre domicile. | ||
| * Le client OpenVPN à installer va dépendre du système d'exploitation de la machine hôte (Une liste de clients se trouve sur le site indiqué ci-dessus): | * Le client OpenVPN à installer va dépendre du système d'exploitation de la machine hôte (Une liste de clients se trouve sur le site indiqué ci-dessus): | ||
| - | * Pour le système Mac OS X, nous recommandons le logiciel (gratuit)[[ http://code.google.com/p/tunnelblick | Tunnelblick]]. | + | * Pour le système Mac OS X, nous recommandons le logiciel (gratuit)[[https://tunnelblick.net/downloads.html|Tunnelblick]]. |
| * Pour Linux Debian/Ubuntu, par exemple, c'est le paquet **openvpn** qu'il faut installer (il existe également des interfaces graphiques comme **network-manager-openvpn** et **gadmin-openvpn-client**). | * Pour Linux Debian/Ubuntu, par exemple, c'est le paquet **openvpn** qu'il faut installer (il existe également des interfaces graphiques comme **network-manager-openvpn** et **gadmin-openvpn-client**). | ||
| - | * Pour windows le client [[https://openvpn.net/index.php?option=com_content&id=357|openVPN]] fonctionne. | + | * Pour windows le client [[https://openvpn.net/community-downloads/|openVPN]] fonctionne. |
| * Enfin, après avoir installé votre client openvpn, il vous faudra le configurer. Cette configuration dépend bien évidemment du logiciel utilisé mais quel que soit ce dernier, vous aurez besoin des 2 fichiers suivants : {{:net:openvpn:ca.crt|Certificat de l'Autorité de Certification}} et {{:net:openvpn:sg.ovpn|Fichier de configuration du client}}. | * Enfin, après avoir installé votre client openvpn, il vous faudra le configurer. Cette configuration dépend bien évidemment du logiciel utilisé mais quel que soit ce dernier, vous aurez besoin des 2 fichiers suivants : {{:net:openvpn:ca.crt|Certificat de l'Autorité de Certification}} et {{:net:openvpn:sg.ovpn|Fichier de configuration du client}}. | ||
| <callout type="warning"> | <callout type="warning"> | ||
| Ligne 19: | Ligne 44: | ||
| </callout> | </callout> | ||
| La connexion par openvpn permet aussi d'accéder aux revues en ligne ([[http://www.jstor.org/|Jstor]], [[http://abonnes.lemonde.fr/web/monde_pdf/0,33-0,1-0,0.html|Le Monde]], ...) en bénéficiant des abonnements « Université Paris 7 - Denis Diderot ». | La connexion par openvpn permet aussi d'accéder aux revues en ligne ([[http://www.jstor.org/|Jstor]], [[http://abonnes.lemonde.fr/web/monde_pdf/0,33-0,1-0,0.html|Le Monde]], ...) en bénéficiant des abonnements « Université Paris 7 - Denis Diderot ». | ||
| - | ==== Installation sous Mac OS X ==== | + | === Installation sous Mac OS X === |
| * Mac OS X [[https://tunnelblick.net/downloads.html|télécharger la version stable]]. | * Mac OS X [[https://tunnelblick.net/downloads.html|télécharger la version stable]]. | ||
| Ligne 42: | Ligne 67: | ||
| - | ==== Installation sous linux (ligne de commande) === | + | === Installation sous linux (ligne de commande) === |
| * Installer ''openvpn''. | * Installer ''openvpn''. | ||
| * Télécharger les fichiers {{:net:openvpn:sg.ovpn}} et {{:net:openvpn:ca.crt}} dans le même répertoire, par exemple ''/etc/openvpn''. | * Télécharger les fichiers {{:net:openvpn:sg.ovpn}} et {{:net:openvpn:ca.crt}} dans le même répertoire, par exemple ''/etc/openvpn''. | ||
| Ligne 54: | Ligne 79: | ||
| Pour en savoir plus ''man openvpn''. | Pour en savoir plus ''man openvpn''. | ||
| - | ==== Installation avec networkmanager sous debian/ubuntu (gnome ou xfce) ==== | + | === Installation avec networkmanager sous debian/ubuntu (gnome ou xfce) === |
| * Au préalable installer les packages network-manager, network-manager-openvpn et network-manager-openvpn-gnome. | * Au préalable installer les packages network-manager, network-manager-openvpn et network-manager-openvpn-gnome. | ||
| * S'assurer que la connexion est bien gérée par network-manager. Si nécessaire commenter les lignes afférentes à l'interface utilisée dans le fichier /etc/network/interfaces, et redémarrer (ou démarrer) network-manager. Une icône apparait dans la barre de menu. | * S'assurer que la connexion est bien gérée par network-manager. Si nécessaire commenter les lignes afférentes à l'interface utilisée dans le fichier /etc/network/interfaces, et redémarrer (ou démarrer) network-manager. Une icône apparait dans la barre de menu. | ||
| Ligne 68: | Ligne 93: | ||
| Sur les configurations testées à ce jour la route par défaut est modifiée : toutes les connexions distantes passent par la passerelle ''sas.math.univ-paris-diderot.fr'' (vérification par ''netstat -rn'' ou ''netstat -ra''). Mieux vaut donc déconnecter le vpn dès qu'il n'est pas nécessaire de l'utiliser. | Sur les configurations testées à ce jour la route par défaut est modifiée : toutes les connexions distantes passent par la passerelle ''sas.math.univ-paris-diderot.fr'' (vérification par ''netstat -rn'' ou ''netstat -ra''). Mieux vaut donc déconnecter le vpn dès qu'il n'est pas nécessaire de l'utiliser. | ||
| - | ==== Installation sous windows ==== | + | === Installation sous windows === |
| - | Installation avec [[https://swupdate.openvpn.org/community/releases/OpenVPN-2.5.1-I601-amd64.msi|openVPN]] | + | Installation avec [[https://openvpn.net/community-downloads/|openVPN]] |
| * Exécutez l'installer en mode administrateur | * Exécutez l'installer en mode administrateur | ||
| * Télécharger les fichiers {{:net:openvpn:sg.ovpn}} et {{:net:openvpn:ca.crt}} | * Télécharger les fichiers {{:net:openvpn:sg.ovpn}} et {{:net:openvpn:ca.crt}} | ||