Spécification de la machine tun-hosta.house.cpb

Host : tun-hosta.house.cpb

• IP :192.168.1.56
  • VIP : 10.10.10.1/24
• OS : RockyLinux
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Mise à jour de la machine

[root@tun-hosta ~]# dnf update -y

TimeDate

[root@tun-hosta ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-hosta ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hosta ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

Installation epel

[root@tun-hosta ~]# dnf install epel-release

Chargement Module GRE – CLI

[root@tun-hosta ~]# lsmod | grep ip_gre
[root@tun-hosta ~]# modprobe ip_gre
[root@tun-hosta ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-hosta ~]# echo ip_gre >> /etc/modules-load.d/tun.conf
[root@tun-hosta ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 19 juin 12:13 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création du Tunnel tun0

[root@tun-hosta ~]# ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255

Activation de la connexion tun0

[root@tun-hosta ~]# ip link set tun0 up

Création de l’adresse VIP

[root@tun-hosta ~]# ip addr add 10.10.10.1/24 dev tun0

Chargement Tun0 – On BOOT

[root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 172.16.185.140 local 192.168.1.56 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.1/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

Check de la connexion tun0

[root@tun-hosta ~]# nmcli connection

[root@tun-hosta ~]# ip a show tun0

Activer le Forward IPv4

[root@tun-hosta ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hosta ~]# sysctl -p

Activer/désactiver les rules Firewall GRE

[root@tun-hosta ~]# firewall-cmd --remove-service={dhcpv6-client,cockpit} –permanent
[root@tun-hosta ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hosta ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hosta ~]# firewall-cmd --reload

Installation de la machine tun-hostb.house.cpb – AlmaLinux8

Spécification de la machine tun-hostb.house.cpb

Host : tun-hostb.house.cpb

• IP :172.16.185.140
  • VIP : 10.10.10.2/24
• OS : AlmaLinux
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Mise à jour de la machine

[root@tun-hostb ~]# yum -y update

TimeDate

[root@tun-hostb ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-hostb ~]# echo "192.168.1.56 tun-hosta tun-hosta.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "172.16.185.140 tun-hostb tun-hostb.house.cpb" >> /etc/hosts

[root@tun-hostb ~]# echo "10.10.10.1 tunipsec-grea tunipsec-grea.house.cpb" >> /etc/hosts
[root@tun-hostb ~]# echo "10.10.10.2 tunipsec-greb tunipsec-greb.house.cpb" >> /etc/hosts

Chargement Module GRE – CLI

[root@tun-hostb ~]# lsmod | grep ip_gre
[root@tun-hostb ~]# modprobe ip_gre

Chargement Module GRE – On BOOT

[root@tun-hostb ~]# echo ip_gre >> /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création de l’interface tun0

[root@tun-hostb ~]# ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255

Activation de la connexion tun0

[root@tun-hostb ~]# ip link set tun0

Création de l’adresse VIP

[root@tun-hostb ~]# ip addr add 10.10.10.2/24 dev tun0

Chargement Tun0 – On BOOT

[root@tun-hosta ~]# echo "ip tunnel add tun0 mode gre remote 192.168.1.56 local 172.16.185.140 ttl 255" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip link set tun0 up" >> /etc/rc.local
[root@tun-hosta ~]# echo "ip addr add 10.10.10.2/24 dev tun0" >> /etc/rc.local
[root@tun-hosta ~]# chmod +x /etc/rc.local

Check de la connexion tun0

[root@tun-hostb ~]# ip a show tun0

[root@tun-hostb ~]# nmcli connection

Activer le Forward IPv4

[root@tun-hostb ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.send_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# echo "net.ipv4.conf.default.accept_redirects=0
" > /etc/sysctl.conf
[root@tun-hostb ~]# sysctl -p

Activer/désactiver les rules Firewall GRE

[root@tun-hostb ~]# firewall-cmd --remove-service=dhcpv6-client –permanent
[root@tun-hostb ~]# firewall-cmd --permanent --add-interface=tun0
[root@tun-hostb ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-hostb ~]# firewall-cmd --reload

Check des flux réseaux Public et Tunnel

Serveur tun-hosta

[root@tun-hosta ~]# ping -c 3 tunipsec-grea

[root@tun-hosta ~]# ping -c 3 tunipsec-greb

Serveur tun-hostb

[root@tun-hostb ~]# ping -c 3 tunipsec-grea

[root@tun-hostb ~]# ping -c 3 tunipsec-greb

Installation Ipsec sur le Tunnel tun0

Inventaire du réseau tun0/Machine

Host : tunipsec-grea.house.cpb

• IP tun0 : 10.10.10.1/24

Host : tunipsec-greb.house.cpb

• IP tun0 : 10.10.10.2/24

Ipsec – Machine tunipsec-grea.house.cpb

Désactiver « rp_filter »

[root@tun-hosta ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hosta ~]# sysctl --system

Installer libreswan

[root@tun-hosta ~]# yum install libreswan

Initialisation de la base NSS

[root@tun-hosta ~]# systemctl stop ipsec
[root@tun-hosta ~]# rm -f /etc/ipsec.d/*db
[root@tun-hosta ~]# ls -al /etc/ipsec.d/

[root@tun-hosta ~]# ipsec initnss
Initializing NSS database

[root@tun-hosta ~]# ls -al /etc/ipsec.d/

Ajouter les rules ipsec – firewall

[root@tun-hosta ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd –reload

Démarrer Ipsec

[root@tun-hosta ~]# systemctl enable ipsec --now

Génerer une clef RSA pour hosta

[root@tun-hosta ~]# ipsec newhostkey
Generated RSA key pair with CKAID e60a1b0aba69d1a0f7dfc055899db6597ef1996f was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f

[root@tun-hosta ~]# ipsec showhostkey --left --ckaid e60a1b0aba69d1a0f7dfc055899db6597ef1996f
 # rsakey AwEAAdnx8 leftrsasigkey=0sAwEAAdnx8WIZbGxrPh+bSDWuKhFLY0oNuFs68lfBrxCCH5UeeWrf53HFYBFKHvbUWQdu6CykibfB1SuJkvIojDhZbeKQg0MqMU/0jT29kncPOI+ar6DYIu0yXUnlIOYwqJQwFAWAXBPLA4b2JsePKZJFcjtlryRaItfWxdkDH39aO/WlSjLu/fMrHv9tDixH7kMfU/n5dSw3iCwix8I+PgXhdOTMRJEdcWnZEprDPlITmIB3gYN7x166V8DXLpFzAIFzD67wuReeq3z7V4podnfsLKtM+484SSpOjnLD9hs1DVP6V1N6SLPDgWjNXEaDjBXYfllrJzGl62If9+DiRHzA3XQn7XDXAxqzoDKpW4IBMVo6EHzK5Lj/GgC1qvJdBJLf7kG7PIZEv6LvbdmTm4JxSTCDtEM3DOk9wWwDdn5A2N3JbD5rwsxsGRa+dDadYS/KUxrYcKVOmh6UAFcP3AOuTaESaBy44PSWnG7jK/z8Lv4iyUxNAQQc9iMcuuSUZANpPvdX5ze3QXkr/ny7qw==

Ipsec – Machine tunipsec-greb.house.cpb

Désactiver « rp_filter »

[root@tun-hostb ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@tun-hostb ~]# sysctl --system

Installer libreswan

[root@tun-hostb ~]# yum install libreswan

Initialisation de la base NSS

[root@tun-hostb ~]# systemctl stop ipsec
[root@tun-hostb ~]# rm -f /etc/ipsec.d/*db

[root@tun-hostb ~]# ipsec initnss
Initializing NSS database

[root@tun-hostb ~]# ls -al /etc/ipsec.d/

Ajouter les rules ipsec – firewall

[root@tun-hostb ~]# firewall-cmd --add-service=ipsec --permanent && firewall-cmd --reload

Démarrer Ipsec

[root@tun-hostb ~]# systemctl enable ipsec --now
[root@tun-hostb ~]# systemctl status ipsec

Génerer une clef RSA pour hostb

[root@tun-hostb ~]# ipsec newhostkey
Generated RSA key pair with CKAID 2f5cd8184f8878367711840329cd53904c8fc117 was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117

[root@tun-hostb ~]# ipsec showhostkey --left --ckaid 2f5cd8184f8878367711840329cd53904c8fc117
 # rsakey AwEAAengQ
leftrsasigkey=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

Création  Ipsec Host-to-Host

Inventaire des Hosts de l’infrastructure

Host : tunipsec-grea.house.cpb

• IP tun0 : 10.10.10.1/24
• RSA : 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

Host : tunipsec-greb.house.cpb

• IP tun0 : 10.10.10.2/24
• RSA : 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

Fichier de conf Ipsec sur hosta

[root@tun-hosta ~]# vi /etc/ipsec.d/host_to_host.conf

conn tunnelVPN
leftid=@west
left=10.10.10.1
leftrsasigkey=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
rightid=@east
right=10.10.10.2
rightrsasigkey=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
authby=rsasig
auto=start

Mise en place du Tunnel Ipsec hosta – l’encapsulation tun0

[root@tun-hosta ~]# systemctl restart ipsec
[root@tun-hosta ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

Fichier de conf Ipsec sur hostb

[root@tun-hosta ~]# scp /etc/ipsec.d/host_to_host.conf root@tun-hostb:/etc/ipsec.d/host_to_host.conf

[root@tun-hostb ~]# ls -al /etc/ipsec.d/host_to_host.conf
-rw-r--r--. 1 root root 1335 Jun 19 18:00 /etc/ipsec.d/host_to_host.conf

Mise en place du Tunnel Ipsec hostb – l’encapsulation tun0

[root@tun-hostb ~]# systemctl restart ipsec
[root@tun-hostb ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

Monter le tunnelVPN sur les deux machines

[root@tun-hostb ~]# ipsec auto --up tunnelVPN

[root@tun-hosta ~]# ipsec auto --up tunnelVPN

Check le tunnelVPN sur les deux machines

[root@tun-hosta ~]# ipsec verify

[root@tun-hostb ~]# ipsec verify

[root@tun-hosta ~]# journalctl -e

[root@tun-hostb ~]# journalctl -e

[root@tun-hosta ~]# ipsec show
10.10.10.1/32 <=> 10.10.10.2/32 using reqid 16389

[root@tun-hostb ~]# ipsec show
10.10.10.2/32 <=> 10.10.10.1/32 using reqid 16389

Ajouter des logs pour Ipsec (les deux machines)

[root@tun-hostx ~]# vi /etc/ipsec.conf
logfile=/var/log/pluto.log
[root@tun-hostx ~]# systemctl restart ipsec

[root@tun-hosta ~]# tail -30 /var/log/pluto.log

[root@tun-hostb ~]# tail -30 /var/log/pluto.log

Check flux réseau

[root@tun-hosta ~]# ping -c 3 tunipsec-grea

[root@tun-hosta ~]# ping -c 3 tunipsec-greb

[root@tun-hostb ~]# ping -c 3 tunipsec-grea
[root@tun-hostb ~]# ping -c 3 tunipsec-greb

Views: 8

L’article MODOP – Installation Tunnel GRE/Ipsec – Host to Host est apparu en premier sur CoffeeBreak Info.

Spécification de la machine tun-greA.house.cpb

Host : tun-greA.house.cpb

• IP :192.168.1.54
  • VIP : 100.100.0.1/24
• OS : RockyLinux
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Mise à jour de la machine

[root@tun-grea ~]# dnf update -y

TimeDate

[root@tun-grea ~]# timedatectl set-timezone "Europe/Paris"
[root@tun-grea ~]# timedatect

Ajouter les hosts (Si pas de DNS)

[root@tun-grea ~]# echo "192.168.1.54 tun-grea tun-grea.house.cpb" >> /etc/hosts
[root@tun-grea ~]# echo "192.168.1.55 tun-greb tun-greb.house.cpb" >> /etc/hosts

[root@tun-grea ~]# echo "100.100.0.1 tunnel-grea tunnel-grea.house.cpb" >> /etc/hosts
[root@tun-grea ~]# echo "100.100.0.2 tunnel-greb tunnel-greb.house.cpb" >> /etc/hosts

Installation epel

[root@vpn-sita ~]# dnf install epel-release

Chargement Module GRE – CLI

[root@tun-grea ~]# lsmod | grep ip_gre
[root@tun-grea ~]# modprobe ip_gre
[root@tun-grea ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-grea ~]# echo ip_gre >> /etc/modules-load.d/tun.conf

[root@tun-grea ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 30 mai 19:39 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création du Tunnel tun0

[root@tun-grea ~]# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 192.168.1.55 local 192.168.1.54
Connexion « tun0 » (80e7cefb-c070-4b9a-8ac0-200edd9090a6) ajoutée avec succès.

Création de l’adresse VIP

[root@tun-grea ~]# nmcli connection modify tun0 ipv4.addresses '100.100.0.1/24'

Configuration IPV4 sur tun0

[root@tun-grea ~]# nmcli connection modify tun0 ipv4.method manual

Configuration static route sur tun0

[root@tun-grea ~]# nmcli connection modify tun0 +ipv4.routes "192.168.1.0/24 100.100.0.2"

Activation de la connexion tun0

[root@tun-grea ~]# nmcli connection up tun0
Connexion activée (chemin D-Bus actif /org/freedesktop/NetworkManager/ActiveConnection/11)

Check de la connexion tun0

[root@tun-grea ~]# nmcli connection

[root@tun-grea ~]# ip a show tun0

Activer le Forward IPv4

[root@tun-grea ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-grea ~]# sysctl -p
net.ipv4.ip_forward = 1

Activer les rules Firewall GRE

[root@tun-grea ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-grea ~]# firewall-cmd --remove-service={dhcpv6-client,cockpit} --permanent
[root@tun-grea ~]# firewall-cmd --reload
[root@tun-grea ~]# iptables -L

Installation de la machine tun-greB.house.cpb – Centos7

Spécification de la machine tun-greB.house.cpb

Host : tun-greB.house.cpb

• IP :192.168.1.55
  • VIP : 100.100.0.2/24
• OS : Centos7
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Mise à jour de la machine

[root@tun-greb ~]# yum -y update

TimeDate

[root@tun-greb ~]# timedatectl set-timezone "Europe/Paris"

Ajouter les hosts (Si pas de DNS)

[root@tun-greb ~]# echo "192.168.1.54 tun-grea tun-grea.house.cpb" >> /etc/hosts
[root@tun-greb ~]# echo "192.168.1.55 tun-greb tun-greb.house.cpb" >> /etc/hosts

[root@tun-greb ~]# echo "100.100.0.1 tunnel-grea tunnel-grea.house.cpb" >> /etc/hosts
[root@tun-greb ~]# echo "100.100.0.2 tunnel-greb tunnel-greb.house.cpb" >> /etc/hosts

Désactiver l’IPv6 (non nécessaire)

[root@tun-greb ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.all.autoconf = 0" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@tun-greb ~]# echo "net.ipv6.conf.default.autoconf = 0" >> /etc/sysctl.conf

[root@tun-greb ~]# sysctl -p
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.default.autoconf = 0

[root@tun-greb ~]# ip a

Chargement Module GRE – CLI

[root@tun-greb ~]# lsmod | grep ip_gre
[root@tun-greb ~]# modprobe ip_gre
[root@tun-grea ~]# lsmod | grep ip_gre

Chargement Module GRE – On BOOT

[root@tun-greb ~]# echo ip_gre >> /etc/modules-load.d/tun.conf
[root@tun-greb ~]# ls -al /etc/modules-load.d/tun.conf
-rw-r--r--. 1 root root 7 18 juin 18:19 /etc/modules-load.d/tun.conf

Configuration Réseau Tunnel GRE

Création de l’interface tun0

[root@tun-greb ~]# nmcli connection add type ip-tunnel ip-tunnel.mode ipip con-name tun0 ifname tun0 remote 192.168.1.54 local 192.168.1.55
Connexion « tun0 » (163dbe74-79b7-4ba9-90f6-6e0d4fec4271) ajoutée avec succès.

Création de l’adresse VIP

[root@tun-greb ~]# nmcli connection modify tun0 ipv4.addresses '100.100.0.2/24'

Configuration IPV4 sur tun0

[root@tun-greb ~]# nmcli connection modify tun0 ipv4.method manual

Configuration static route sur tun0

[root@tun-greb ~]# nmcli connection modify tun0 +ipv4.routes "192.168.1.0/24 100.100.0.1"

Activation de la connexion tun0

[root@tun-greb ~]# nmcli connection up tun0
Connexion activée (chemin D-Bus actif : /org/freedesktop/NetworkManager/ActiveConnection/6)

Check de la connexion tun0

[root@tun-greb ~]# ip a show tun0

[root@tun-greb ~]# nmcli connection

Activer le Forward IPv4

[root@tun-greb ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf
[root@tun-greb ~]# sysctl -p
net.ipv4.ip_forward = 1

Activer les rules Firewall GRE

[root@tun-greb ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT
[root@tun-greb ~]# firewall-cmd --remove-service=dhcpv6-client --permanent
[root@tun-greb ~]# firewall-cmd --reload

[root@tun-greb ~]# iptables -L |grep gre
ACCEPT gre -- anywhere anywhere

Check des flux réseaux Public et Tunnel

Serveur tun-grea

[root@tun-grea ~]# ping -c 3 tunnel-grea

[root@tun-grea ~]# ping -c 3 tunnel-greb

Serveur tun-greb

[root@tun-greb ~]# ping -c 3 tunnel-grea

[root@tun-greb ~]# ping -c 3 tunnel-greb

[root@tun-greb ~]# ssh -l root tunnel-grea

Views: 3

L’article MODOP – Installation Tunnel GRE Host to Host est apparu en premier sur CoffeeBreak Info.

Host : vpn-ipsec-left.house.cpb

• IP :192.168.1.56
• OS : RockyLinux
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Spécification de la machine vpn-ipsec-right.house.cpb

Host : vpn-ipsec-right.house.cpb

• IP :172.32.185.31
• OS : RockyLinux
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Machine vpn-ipsec-left.house.cpb – Site A

Host : vpn-ipsec-left.house.cpb

• vSwitch : vmbr0
  • IP :192.168.1.56
• OS : RockyLinux 8.4
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Update de la machine

[root@vpn-ipsec-left ~]# dnf -y update

TimeDate

[root@vpn-ipsec-left ~]# timedatectl set-timezone "Europe/Paris"
[root@vpn-ipsec-left ~]# timedatectl

Ajout des hosts machines (si pas de DNS)

[root@vpn-ipsec-left ~]# echo "192.168.1.56 vpn-ipsec-left vpn-ipsec-left.house.cpb" >> /etc/hosts
[root@vpn-ipsec-left ~]# echo "172.32.185.31 vpn-ipsec-right vpn-ipsec-right.house.cpb" >> /etc/hosts

Désactiver « rp_filter » de Libreswan

[root@vpn-ipsec-left ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@vpn-ipsec-left ~]# sysctl --system

Installation package

[root@vpn-ipsec-left ~]# yum install libreswan

Initialiser la base nss

[root@vpn-ipsec-left ~]# systemctl stop ipsec
[root@vpn-ipsec-left ~]# rm -f /etc/ipsec.d/*db
[root@vpn-ipsec-left ~]# ls -al /etc/ipsec.d/

[root@vpn-ipsec-left ~]# ipsec initnss
Initializing NSS database

[root@vpn-ipsec-left ~]# ls -al /etc/ipsec.d/

Ajouter les règles Firewall

[root@vpn-ipsec-left ~]# firewall-cmd --add-service=ipsec --permanent
[root@vpn-ipsec-left ~]# firewall-cmd --remove-service={cockpit,dhcpv6-client} --permanent
[root@vpn-ipsec-left ~]# firewall-cmd --reload

Démarrer le service

[root@vpn-ipsec-left ~]# systemctl enable ipsec --now
[root@vpn-ipsec-left ~]# systemctl status ipsec

Générer une cléf RSA

[root@vpn-ipsec-left ~]# ipsec newhostkey
Generated RSA key pair with CKAID f2f80cb679336256ac8c159b119464430d5bc7f9 was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid f2f80cb679336256ac8c159b119464430d5bc7f9

[root@vpn-ipsec-left ~]# ipsec showhostkey --left --ckaid f2f80cb679336256ac8c159b119464430d5bc7f9

 # rsakey AwEAAb9Rf
leftrsasigkey=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

Création fichier Machine left ⬄ Machine right

[root@vpn-ipsec-left ~]# vi /etc/ipsec.d/host_to_host.conf

conn tunnelVPN
 leftid=@west
 left=192.168.1.56
Leftrsasigkey=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
 rightid=@east
 right=172.32.185.31
rightrsasigkey=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
 authby=rsasig

• En bleu : Clef site public A (left)
• En orange : Clef site public B (right)

Mise en place du Tunnel

[root@vpn-ipsec-left ~]# systemctl restart ipsec
[root@vpn-ipsec-left ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

LANCER La commande add tunelVPN sur les deux machines avant de lancer le UP
Quand le add tunnelVPN est lancé sur les deux machines.

[root@vpn-ipsec-left ~]# ipsec auto --up tunnelVPN

[root@vpn-ipsec-left ~]# ipsec verify

Machine vpn-ipsec-right.house.cpb – Site B

Host : vpn-ipsec-right.house.cpb

• vSwitch : vmbr2
  • IP :172.32.185.31
• OS : RockyLinux 8.4
• vCPU : 2
• DD : 8Go
• Ram : 2Go

Update de la machine

[root@vpn-ipsec-right ~]# dnf -y update

TimeDate

[root@vpn-ipsec-right ~]# timedatectl set-timezone "Europe/Paris" 

Ajout des hosts machine (si pas de DNS)

[root@vpn-ipsec-right ~]# echo "192.168.1.56 vpn-ipsec-left vpn-ipsec-left.house.cpb" >> /etc/hosts
[root@vpn-ipsec-right ~]# echo "172.32.185.31 vpn-ipsec-right vpn-ipsec-right.house.cpb" >> /etc/hosts

Installation package

[root@vpn-ipsec-right ~]# yum install libreswan

Initialiser la base nss

[root@vpn-ipsec-right ~]# systemctl stop ipsec
[root@vpn-ipsec-right ~]# rm -f /etc/ipsec.d/*db
[root@vpn-ipsec-right ~]# ls -al /etc/ipsec.d/

[root@vpn-ipsec-right ~]# ipsec initnss
Initializing NSS database

Ajouter les règles Firewall

[root@vpn-ipsec-right ~]# firewall-cmd --add-service=ipsec --permanent
[root@vpn-ipsec-right ~]# firewall-cmd --remove-service={cockpit,dhcpv6-client} --permanent
[root@vpn-ipsec-right ~]# firewall-cmd --reload

Désactiver « rp_filter » de Libreswan

[root@vpn-ipsec-right ~]# echo "net.ipv4.conf.all.rp_filter = 0" >> /etc/sysctl.d/50-libreswan.conf
[root@vpn-ipsec-right ~]# sysctl --system

Démarrer le service

[root@vpn-ipsec-right ~]# systemctl enable ipsec --now
[root@vpn-ipsec-right ~]# systemctl status ipsec

Générer une cléf RSA

[root@vpn-ipsec-right ~]# ipsec newhostkey
Generated RSA key pair with CKAID 957f4e4b42de1ec6a61af4e58796747e5dc264b3 was stored in the NSS database
The public key can be displayed using: ipsec showhostkey --left --ckaid 957f4e4b42de1ec6a61af4e58796747e5dc264b3

[root@vpn-ipsec-right ~]# ipsec showhostkey --right --ckaid 957f4e4b42de1ec6a61af4e58796747e5dc264b3

 # rsakey AwEAAdptc

rightrsasigkey=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

Récupération de la Conf Client left (certificats left et right)

[root@vpn-ipsec-left ~]# scp /etc/ipsec.d/host_to_host.conf root@vpn-ipsec-right:/etc/ipsec.d/host_to_host.conf

[root@vpn-ipsec-right ~]# ls -al /etc/ipsec.d/host_to_host.conf
-rw-r--r--. 1 root root 1353 May 22 14:50 /etc/ipsec.d/host_to_host.conf

Mise en place Tunnel entre les Hosts

[root@vpn-ipsec-right ~]# systemctl restart ipsec
[root@vpn-ipsec-right ~]# ipsec auto --add tunnelVPN
002 "tunnelVPN": added IKEv2 connection

[root@vpn-ipsec-right ~]# ipsec auto --up tunnelVPN

[root@vpn-ipsec-right ~]# ipsec verify

Check le Tunnel entre les Hosts (2 machines)

Sur vpn-ipsec-right

[root@vpn-ipsec-right ~]# journalctl –xe

Sur vpn-ipsec-left

[root@vpn-ipsec-left ~]# ipsec show
192.168.1.56/32 <=> 172.32.185.31/32 using reqid 16389

[root@vpn-ipsec-right ~]# ipsec show
172.32.185.31/32 <=> 192.168.1.56/32 using reqid 16389

[root@vpn-ipsec-left ~]# ipsec look

Le tunnel VPN est bien étable entre les deux clients 192.168.1.56 vers 172.32.185.31

Ajoutons les logs(2 machines)

Editer le fichier /etc/ipsec.conf

[root@vpn-ipsec-xxx~]# vi /etc/ipsec.conf
config setup
 # If logfile= is unset, syslog is used to send log messages too.
 # Note that on busy VPN servers, the amount of logging can trigger
 # syslogd (or journald) to rate limit messages.
 logfile=/var/log/pluto.log

Restart ipsec – vpn-ipsec-left

[root@vpn-ipsec-left ~]# systemctl restart ipsec
[root@vpn-ipsec-left ~]# ipsec auto --add tunnelVPN

Restart ipsec – vpn-ipsec-right

[root@vpn-ipsec-right ~]# systemctl restart ipsec
[root@vpn-ipsec-right ~]# ipsec auto --add tunnelVPN

Restart tunnelVPN – vpn-ipsec-left et vpn-ipsec-right

[root@vpn-ipsec-left ~]# ipsec auto --up tunnelVPN
[root@vpn-ipsec-right ~]# ipsec auto --up tunnelVP

Check le log pluto

Check – vpn-ipsec-left

[root@vpn-ipsec-left ~]# tail -30 /var/log/pluto.log

Check – vpn-ipsec-right

[oot@vpn-ipsec-right ~]# tail -30 /var/log/pluto.log

Ajoutons VPN start Automatique (2 machines)

[root@vpn-ipsec-right ~]# echo "  auto=start" >> /etc/ipsec.d/host_to_host.conf
[root@vpn-ipsec-left ~]# echo "  auto=start" >> /etc/ipsec.d/host_to_host.conf

[root@vpn-ipsec-left ~]# cat /etc/ipsec.d/host_to_host.conf

[root@vpn-ipsec-left ~]# ipsec stop && ipsec start
[root@vpn-ipsec-left ~]# ipsec status

[root@vpn-ipsec-right ~]# ipsec stop && ipsec start
[root@vpn-ipsec-right ~]# ipsec status

[root@vpn-ipsec-left ~]# ping -c 3 vpn-ipsec-right

[root@vpn-ipsec-right ~]# ping -c 3 vpn-ipsec-left

[root@vpn-ipsec-right ~]# ipsec showstates

Check Transaction SSL entre vpn-ipsec-right => vpn-ipsec-left

Installation tcpflow sur vpn-ipsec-left

[root@vpn-ipsec-left ~]#dnf install wget
[root@vpn-ipsec-left ~]#dnf install https://forensics.cert.org/cert-forensics-tools-release-el8.rpm
[root@vpn-ipsec-left ~]#dnf install epel-release
[root@vpn-ipsec-left ~]#dnf --enablerepo=forensics install tcpflow

Lancement une écoute sur port 22 sur vpn-ipsec-left

[root@vpn-ipsec-left ~]# tcpflow -c -p -i any dst port 22 >> ecoute.txt |tail -f ecoute.txt

Lancement d’un copie de fichier – vpn-ipsec-right => vpn-ipsec-left

[root@vpn-ipsec-right chris]# touch titi.txt
[root@vpn-ipsec-right chris]# scp titi.txt root@192.168.1.56:/home/chris/toto.txt

[root@vpn-ipsec-left ~]# cat ecoute.txt

Views: 3

L’article MODOP installation VPN IPsec – Host to Host est apparu en premier sur CoffeeBreak Info.

• IP: 172.32.185.40
• Subnet : 172.32.185.0/24
• vSwitch : vmbr2
• Disque : 50Go (Système)
• RAM :8Go
• vCPU : 4
• OS : Windows10

1°) Installer le Client WireGuard

• https://download.wireguard.com/windows-client/

Télécharger la version MSI souhaitée et lancée.

« Exécuter »

« Oui »

WireGuard se lance.

2°) Configurer WireGuard Client

« Ajouter le tunnel » et « Ajouter un tunnel vide »

Pour Rappel des données Serveur

• IP serveur : 172.16.185.40
• Public Key Serveur : H9JrgVaNJh9wmB25K4wlQlG/fVii1um+mhkGApPJXUs=
• Private Key Serveur : 8DLZHyjeS2HHozkYpeaZJM64oGOwYDcbU/i+E1FjQ0Y=

« Enregistrer »

3°) Ajout cléf Public du client sur le serveur WireGuard

• Récupérer la Clef Public du client01 : IPfz1pVoJZLZf2dsRtsr08RhoGj3JCDsdacwXsUnels=
• Adresse du Client sur le VPN : 100.10.0.3

[root@wireguard-server wireguard]# wg set wg0 peer IPfz1pVoJZLZf2dsRtsr08RhoGj3JCDsdacwXsUnels= allowed-ips 100.10.0.3

Démarrer la connexion VPN avec le server « Activer »

La connexion est désormais activée et connectée au serveur wireguard-server

4°) Check WireGuard client

Ouvrir un terminal CMD

C:\Users\admin> ipconfig /all

Check Client => Server wireguard via le VPN

Connexion SFTP du client => Server wireguard via le VPN

« Oui »

La connexion VPN est bien ouverte et active.

Views: 2

L’article MODOP – Ajout Client Win10 sur Serveur WireGuard Linux est apparu en premier sur CoffeeBreak Info.

Host : wireguard-server.house.cpb

• IP: 172.16.185.40
• Subnet : 172.16.185.0/24
• vSwitch : vmbr1
• Disque : 8Go (Système)
• RAM :2Go
• vCPU : 2
• OS : RockyLinux 8

Host : wireguard-client01.house.cpb

• IP: 10.10.0.40
• Subnet : 10.10.0.0/24
• vSwitch : vmbr4
• Disque : 8Go (Système)
• RAM :2Go
• vCPU : 2
• OS : RockyLinux 8

Les deux machines doivent être joignable mutuellement.

Check wireguard-server (172.16.185.40) => wireguard-client01(10.10.0.40)

[root@wireguard-server ~]# echo "10.10.0.40 wireguard-client01" >> /etc/hosts
[root@wireguard-server ~]# ping -c 3 wireguard-client01

wireguard-client01(10.10.0.40) => Check wireguard-server (172.16.185.40)

[root@wireguard-client01 ~]# echo "172.16.185.40 wireguard-server" >> /etc/hosts
[root@wireguard-client01 ~]# ping -c 3 wireguard-server

Installation Serveur VPN WireGuard – RockyLinux

1°) Mise à jour

[root@wireguard-server ~]# dnf -y update

2°) Désactivation IPv6 (Option)

[root@open-serveurvpn ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.all.autoconf = 0" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.default.autoconf = 0" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# sysctl -p

3°) Installation des dépendances

[root@wireguard-server ~]# dnf install epel-release
[root@wireguard-server ~]# yum install elrepo-release

4°) Installation WireGuard VPN

[root@wireguard-server ~]# dnf search wireguard

[root@wireguard-server ~]# dnf -y install wireguard-tools kmod-wireguard

5°) Création des clefs Public/Privée pour le  Server

[root@wireguard-server ~]# cd /etc/wireguard/
[root@wireguard-server wireguard]# wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

[root@wireguard-server wireguard]# cat publickey
H9JrgVaNJh9wmB25K4wlQlG/fVii1um+mhkGApPJXUs=

[root@wireguard-server wireguard]# cat privatekey
8DLZHyjeS2HHozkYpeaZJM64oGOwYDcbU/i+E1FjQ0Y=

6°) Création/Configuration du server VPN

[root@wireguard-server wireguard]# vi wg0.conf

[Interface]
Address = 100.10.0.1/24
SaveConfig = true
ListenPort = 51820
PrivateKey = 8DLZHyjeS2HHozkYpeaZJM64oGOwYDcbU/i+E1FjQ0Y=
PostUp = firewall-cmd --zone=public --add-port 51820/udp && firewall-cmd --zone=public --add-masquerade
PostDown = firewall-cmd --zone=public --remove-port 51820/udp && firewall-cmd --zone=public --remove-masquerade

[root@wireguard-server wireguard]# chmod 600 /etc/wireguard/{privatekey,wg0.conf}

[root@wireguard-server wireguard]# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
[root@wireguard-server wireguard]# sysctl –p

7°) Démarrage du server VPN

[root@wireguard-server wireguard]# wg-quick up wg0

[root@wireguard-server wireguard]# ip addr

Le VPN est monté sur la Carte Virtuelle wg0 et le Subnet 100.10.0.0/24

8°) Démarrage du service  » boot machine » 

[root@wireguard-server wireguard]# systemctl enable wg-quick@wg0
[root@wireguard-server wireguard]# wg-quick down wg0
[root@wireguard-server wireguard]# systemctl start wg-quick@wg0
[root@wireguard-server wireguard]# systemctl status wg-quick@wg0

[root@wireguard-server wireguard]# wg show wg0

[root@wireguard-server wireguard]# ip a show wg0

Côté Firewall

[root@wireguard-server wireguard]# firewall-cmd --list-all

Installation Client Linux VPN WireGuard – RockyLinux

1°) Mise à jour

[root@wireguard-client01 ~]# dnf -y update

2°) Désactivation IPv6 (Option)

[root@wireguard-client01 ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@wireguard-client01 ~]# echo "net.ipv6.conf.all.autoconf = 0" >> /etc/sysctl.conf
[root@wireguard-client01 ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@wireguard-client01 ~]# echo "net.ipv6.conf.default.autoconf = 0" >> /etc/sysctl.conf
[root@wireguard-client01 ~]# sysctl -p

3°) Installation des dépendances

[root@wireguard-client01 ~]# dnf install epel-release elrepo-release

4°) Installation WireGuard VPN

[root@wireguard-client01 ~]# dnf install kmod-wireguard wireguard-tools –y

5°) Création des certificats Client01

[root@wireguard-client01 ~]# cd /etc/wireguard/
[root@wireguard-client01 wireguard]# wg genkey | tee /etc/wireguard/privatekey | wg pubkey | tee /etc/wireguard/publickey

[root@wireguard-client01 wireguard]# cat /etc/wireguard/privatekey
gLHwqTDBJtw2wYfCdqvBthcmpDsDqtCC+FKeKOZaaVo=

[root@wireguard-client01 wireguard]# cat /etc/wireguard/publickey
bXbsDi3C2PThp8Eq8dmPtmiwNteEhexjyq4NHAtg/0U=

6°) Création/Configuration du client01 VPN

[root@wireguard-client01 wireguard]# vi wg0.conf

[Interface]
#Clef Privée du client
PrivateKey = gLHwqTDBJtw2wYfCdqvBthcmpDsDqtCC+FKeKOZaaVo=
#Adresse du client sur le VPN
Address = 100.10.0.2/24

[Peer]
#Clef Public du serveur
PublicKey = H9JrgVaNJh9wmB25K4wlQlG/fVii1um+mhkGApPJXUs=
#Adresse et port du Serveur WireGuard
Endpoint = wireguard-server:51820
AllowedIPs = 0.0.0.0/0

7°) Ajout Clef Public du client01 sur le serveur WireGuard

• Clef Public du client01 : bXbsDi3C2PThp8Eq8dmPtmiwNteEhexjyq4NHAtg/0U=
• Adresse du Client sur le VPN : 100.10.0.2

[root@wireguard-server wireguard]# wg set wg0 peer bXbsDi3C2PThp8Eq8dmPtmiwNteEhexjyq4NHAtg/0U= allowed-ips 100.10.0.2

8°) Démarrage du client VPN

[root@wireguard-client01 wireguard]# wg-quick up wg0

[root@wireguard-client01 wireguard]# ip addr

Le VPN (Client01) est monté sur la Carte Virtuelle wg0 et le Subnet 100.10.0.0/24

9°) Démarrage du service « boot machine »

[root@wireguard-client01 wireguard]# systemctl enable wg-quick@wg0
[root@wireguard-client01 wireguard]# wg-quick down wg0
[root@wireguard-client01 wireguard]# systemctl start wg-quick@wg0
[root@wireguard-client01 wireguard]# systemctl status wg-quick@wg0

[root@wireguard-client01 wireguard]# wg show wg0

[root@wireguard-client01 wireguard]# ip a show wg0

10°) Check connexion

Check de wireguard-client01 => wireguard-server via réseau VPN

[root@wireguard-client01 wireguard]# ping -c 3 100.10.0.1

Check de wireguard-server => wireguard-client01 via réseau VPN

[root@wireguard-server log]# ping -c 3 100.10.0.2

Connexion SSH du client01 sur le Serveur

[root@wireguard-client01 wireguard]# ssh -l root 100.10.0.1

On se connecte bien sur la machine serveur à partir de notre client via le réseau VPN.

Views: 3

L’article MODOP – Installation WireGuard VPN est apparu en premier sur CoffeeBreak Info.

Host : open-client02.house.cpb

• IP: 172.32.185.30
• Subnet : 172.32.185.0/24
• vSwitch : vmbr2
• Disque : 50Go (Système)
• RAM :8Go
• vCPU : 4
• OS : Windows10

Les deux machines doivent être joignable mutuellement.

Check open-serveurvpn (172.16.185.30) => open-client02(172.32.185.30)

[root@open-servervpn pki]# echo "172.32.185.30 open-client02" >> /etc/hosts
[root@open-servervpn pki]# ping -c 3 open-client02

Check open-client02 (172.32.185.30) => open-serveurvpn (172.16.185.30)

C:\Users\admin> ping open-servervpn

1°) Génération des certificats pour le client02 sur le Serveur OpenVPN

[root@open-servervpn ~]# cd /etc/openvpn

Création des certificats du Client

[root@open-servervpn openvpn]# ./easyrsa gen-req open-client02 nopass

Signature du certificat du Client avec les RootCA

[root@open-servervpn openvpn]# ./easyrsa sign-req client open-client02 nopass

Inventaire du certificat du Client

[root@open-servervpn openvpn]# ls -al /etc/openvpn/pki/{issued,private} |grep client02

Préparation pour le transfert

[root@open-servervpn openvpn]# mkdir win10
[root@open-servervpn openvpn]# cp pki/ca.crt win10
[root@open-servervpn openvpn]# cp pki/private/open-client02.key win10
[root@open-servervpn openvpn]# cp pki/issued/open-client02.crt win10
[root@open-servervpn openvpn]# ls -al win10

2°) Installation du Client OpenVPN sur Windows10

• https://openvpn.net/community-downloads/

Choisir le client souhaité, pour ma part la version 64Bits et lancer celui-ci

« Exécuter »

« Install Now »

« Oui »

Laisser l’installation se dérouler

« Close »

3°) Récupérer les certificats Client

Lancer le client WinSCP

Remplir les données de votre serveur OpenVPN et « connexion »

« Oui »

Copier vos certificats du serveur Linux vers c:\tmp\*.*

Déplacer vos certificats de c:\tmp\*.* vers c:\Programmes\OpenVPN\Config

4°) Configuration du Client OpenVPN

Sur votre Serveur Linux, éviter de faire cela via le fichier « sample-client » pour des raisons de pré-formatage de caractère.

[root@open-servervpn server]# cd /etc/openvpn/client

[root@open-servervpn client]# vi client.ovpn

client
dev tun
proto udp
remote open-servervpn
port 1194
ca ca.crt
cert open-client02.crt
key open-client02.key
verb 5
remote-cert-tls server
auth-nocache
cipher AES-256-CGM

Sauvegarder et transférer à votre client sur la ressource c:\Programmes\OpenVPN\Config\*

5°) Lancement du Client « Mode Test – Console »

Clique droit de souris « Start OpenVPN on this config file »

« Autoriser l’accès »
Le terminal du fond, trace les interactions avec votre serveur de VPN

6°) Check de connexion

Côté logs Serveur

Côté Client
Dans un terminal Wndows

C:\Users\admin> ipconfig /all

Open-client02 => open-servervpn via réseau VPN 10.8.0.0/24

C:\Users\admin> ping 10.8.0.1

Open-client02 => open-client01 via réseau VPN 10.8.0.0/24

C:\Users\admin> ping 10.8.0.2

7°) Lancement du Client « Mode GUI »

Ajouter le fichier à OpenVPN-GUI

Clic droit sur le fichier et « import into OpenVPN-Gui »

Lancer votre Client OpenVPN

Se rendre en bas à droite et clic droit sur l’icône

« Connecter »

Le client va se connecter au serveur VPN

L’icône OpenVPN passe au vert.

Vous êtes à présent connecté en VPN.

Views: 18

L’article MODOP – Ajout Client Windows sur Serveur OpenVPN Linux est apparu en premier sur CoffeeBreak Info.

Inventaire des Machines

Host : open-serveurVPN.house.cpb

• IP: 172.16.185.30
• Subnet : 172.16.185.0/24
• vSwitch : vmbr1
• Disque : 8Go (Système)
• RAM :2Go
• vCPU : 2
• OS : RockyLinux 8

Host : open-client01.house.cpb

• IP: 10.10.0.30
• Subnet : 10.10.0.0/24
• vSwitch : vmbr4
• Disque : 8Go (Système)
• RAM :2Go
• vCPU : 2
• OS : RockyLinux 8

Le Pool de machine VPN

Les deux machines doivent être joignable mutuellement.

Check open-serveurvpn (172.16.185.30) => open-client01(10.10.0.30)

[root@open-servervpn pki]# echo "10.10.0.30 open-client01" >> /etc/hosts
[root@open-servervpn pki]# ping -c 3 open-client01

Check open-client01(10.10.0.30) => open-serveurvpn (172.16.185.30)

[root@open-client01 ~]# echo "172.16.185.30 open-servervpn" >> /etc/hosts
[root@open-client01 ~]# ping -c 3 open-servervpn

Installation Serveur VPN – RockyLinux

1°) Mise à jour

[root@open-serveurvpn ~]# dnf -y update

2°) Désactivation IPv6 (Option)

[root@open-serveurvpn ~]# ip addr

[root@open-serveurvpn ~]# echo "net.ipv6.conf.all.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.all.autoconf = 0" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.default.disable_ipv6 = 1" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# echo "net.ipv6.conf.default.autoconf = 0" >> /etc/sysctl.conf
[root@open-serveurvpn ~]# sysctl -p

[root@open-serveurvpn ~]# ip addr

3°) Installation EPEL

[root@open-serveurvpn ~]# dnf install -y epel-release

4°) Installation OpenVPN et Paquets de création PKI

[root@open-serveurvpn ~]# dnf install -y openvpn easy-rsa

5°) Préparation de notre PKI

[root@open-serveurvpn ~]# cd /usr/share/easy-rsa/3.0.8
[root@open-serveurvpn 3.0.8]# ls -al

[root@open-serveurvpn 3.0.8]# cp -r * /etc/openvpn/.
[root@open-serveurvpn 3.0.8]# cd /etc/openvpn/

[root@open-serveurvpn ]# vi vars

set_var EASYRSA "$PWD"
set_var EASYRSA_PKI "$EASYRSA/pki"
set_var EASYRSA_DN "cn_only"
set_var EASYRSA_REQ_COUNTRY "FR"
set_var EASYRSA_REQ_PROVINCE "PARIS"
set_var EASYRSA_REQ_CITY "Fontenay ss Bois"
set_var EASYRSA_REQ_ORG "House Corp"
set_var EASYRSA_REQ_EMAIL "chris@house.cpb"
set_var EASYRSA_REQ_OU "House Corp EASY CA"
set_var EASYRSA_KEY_SIZE 4096
set_var EASYRSA_ALGO rsa
set_var EASYRSA_CA_EXPIRE 3650
set_var EASYRSA_CERT_EXPIRE 3650
set_var EASYRSA_NS_SUPPORT "no"
set_var EASYRSA_NS_COMMENT "House Corp CERTIFICATE AUTHORITY"
set_var EASYRSA_EXT_DIR "$EASYRSA/x509-types"
set_var EASYRSA_SSL_CONF "$EASYRSA/openssl-easyrsa.cnf"
set_var EASYRSA_DIGEST "sha256"

[root@open-serveurvpn ]# chmod +x vars

7°) Initialisation des PKI

[root@open-serveurvpn ]# ./easyrsa init-pki

[root@open-serveurvpn ]# ls /etc/openvpn/vars
/etc/openvpn/vars

[root@open-serveurvpn ]# ls /etc/openvpn/pki
private reqs

8°) Création des certificats root CA

[root@open-serveurvpn ]# ./easyrsa build-ca nopass

[root@open-serveurvpn ]# ls /etc/openvpn/pki/ca.crt
/etc/openvpn/pki/ca.crt

9°) Création des certificats du Server

[root@open-serveurvpn ]#./easyrsa gen-req open-serveurvpn nopass

[root@open-serveurvpn ]# ls -al /etc/openvpn/pki/{reqs,private}

Signature de la clef serveur avec le certificat CA

[root@open-serveurvpn ]#./easyrsa sign-req server open-serveurvpn nopass

[root@open-serveurvpn ]# ls -a /etc/openvpn/pki/issued/open-serveurvpn.crt
/etc/openvpn/pki/issued/open-serveurvpn.crt

10°) Création des certificats du Client

[root@open-servervpn openvpn]# ./easyrsa gen-req open-client01 nopass

[root@open-servervpn openvpn]# ./easyrsa sign-req client open-client01 nopass

[root@open-servervpn openvpn]# ls -al /etc/openvpn/pki/{issued,private}

11°) Création du certificat « Diffie hellman »

[root@open-servervpn openvpn]# ./easyrsa gen-dh

….. Après quelques minutes

Inventaire des PKI

[root@open-servervpn openvpn]# ls -al pki/{ca.crt,dh.pem,issued,private}

12°) Création fichier de conf OpenVPN server

[root@open-servervpn openvpn]# cd /etc/openvpn/server
[root@open-servervpn server]# cp /usr/share/doc/openvpn/sample/sample-config-files/server.conf .

[root@open-servervpn server]# vi server.conf

Ligne 78

ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/open-serveurvpn.crt
key /etc/openvpn/pki/private/open-serveurvpn.key

Ligne 85

dh /etc/openvpn/pki/dh.pem

Ligne 92

;topology subnet
topology subnet

Ligne 102

server 10.8.0.0 255.255.255.0

Il est fortement conseillé de changer le Subnet VIP pour les échanges sur le VPN.

Dans notre MODOP nous allons laisser la conf d’orgine.

Ligne 193

push "redirect-gateway def1 bypass-dhcp"

Ligne 202

;push ;"dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 8.8.8.8"
;push "dhcp-option DNS 208.67.220.220"
push "dhcp-option DNS 8.8.4.4"

Ligne 247

#tls-auth ta.key 0 # This file is secret

Ligne 277

user nobody
group nobody

Sauvegarder le fichier et sortir.

13°) Configure partie réseau

Activer le forward « ipv4 »

[root@open-servervpn server]# echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
[root@open-servervpn server]# sysctl -p

Régles Firewall

[root@open-servervpn server]# firewall-cmd --set-default-zone=trusted
[root@open-servervpn server]# firewall-cmd --add-masquerade --permanent
[root@open-servervpn server]# firewall-cmd --add-service=openvpn --permanent
[root@open-servervpn server]# firewall-cmd --reload

[root@open-servervpn server]# firewall-cmd --list-all

14°) Lancement OpenVPN serveur

Désactivation SELinux

[root@open-servervpn server]# getenforce
Enforcing 

[root@open-servervpn server]# setenforce 0

[root@open-servervpn server]# vi /etc/sysconfig/selinux
SELINUX=disabled

Test de la config

[root@open-servervpn server]# openvpn --config server.conf

« CTR+C pour sortir »

Lancement du service

[root@open-servervpn server]# systemctl enable openvpn-server@server --now
[root@open-servervpn server]# systemctl status openvpn-server@server

Vérification du Tunnel

[root@open-servervpn server]# ip addr

Installation OpenVPN Client RHEL 8

1°) Installation EPEL

[root@open-client01 ~]# dnf install -y epel-release

2°) Installation OpenVPN

[root@open-client01 ~]# dnf install -y openvpn

3°) Copie des certificats publics sur le client

Sur le serveur

Cléf Public Autorité

[root@open-servervpn ~]# cd /etc/openvpn/pki
[root@open-servervpn pki]# scp ca.crt root@open-client01:/etc/openvpn/client/ca.crt

Cléf Public Client

[root@open-servervpn pki]# cd issued/
[root@open-servervpn issued]# scp open-client01.crt root@open-client01:/etc/openvpn/client/open-client01.crt

Cléf Privée Client

[root@open-servervpn issued]# cd ../private/
[root@open-servervpn private]# scp open-client01.key root@open-client01:/etc/openvpn/client/open-client01.key

Sur le Client

[root@open-client01 ~]# cd /etc/openvpn/client
[root@open-client01 client]# ls -al

4°) Configurer openvpn Client

[root@open-client01 client]# vi client.conf

client
dev tun
proto udp
remote open-servervpn
port 1194
ca ca.crt
cert open-client01.crt
key open-client01.key
verb 5
remote-cert-tls server
auth-nocache
cipher AES-256-CBC

5°) Lancement OpenVPN client « open-client01 »

Test de la config

[root@open-client01 client]# openvpn --config client.conf

Lancement du service

[root@open-client01 client]# systemctl enable openvpn-client@client --now
[root@open-client01 client]# systemctl status openvpn-client@client

[root@open-client01 client]# ip addr

Côté log serveur

6°) Contrôle du Tunnel VPN

Check du client open-client01 =>  open-servervpn via  le réseau OpenVPN

[root@open-servervpn private]# ping -c 3 10.8.0.2

Check du server open-servervpn => copen-client01  via le réseau OpenVPN

[root@open-client01 client]# ping -c 3 10.8.0.1

Connexion du client open-client01 sur le serveur via le réseau OpenVPN

[root@open-client01 client]# ssh root@10.8.0.1

Views: 18

L’article MODOP – Installation OpenVPN (Easy-RSA3) – Client/serveur est apparu en premier sur CoffeeBreak Info.