Rézine/ ressources/ guides/ Utilisation des tunnels chiffrés OpenVPN

Généralités

La configuration du logiciel varie assez peu d'un système d'exploitation à un autre. Il est important de noter que Rézine propose deux instances d'OpenVPN :

  • une écoutant en UDP sur le port 1193
  • une écoutant en TCP sur le port par défaut du contenu HTTPS (443)

Pour des raisons de performances, il est préférable de passer par l'instance la plus classique (UDP - 1193). Néanmoins, sur des réseaux particulièrement « fermés » il peut être nécessaire de passer sur l'autre instance.

A noter qu'il existe également une instace écoutant en UDP sur le port 1194, mais celle-ci utilise des paramètres obsolètes et il n'est pas conseillé de l'utiliser.

  1. Généralités
  2. GNU/Linux-Graphique
  3. GNU/Linux - ligne de commande
  4. Windows
  5. Mac OSX
  6. IPhone
  7. Android
  8. Annexes

GNU/Linux-Graphique

Installation

L'installation pour des services graphiques dépend de votre distribution, du gestionnaire de réseau que vous utilisez. Le plus souvent, il sera probablement nécessaire d'installer un paquet supplémentaire tel que :

sudo apt-get install network-manager-openvpn-gnome

D'autres paquets tel que gadmin-openvpn-client peuvent répondre à votre besoin.

Configuration

Télécharger le fichier de configuration .ovpn depuis ambre : https://ambre.rezine.org/, en choissiant correctement le système d'exploitation et le protocole udp ou tcp.

Ouvrez ensuite votre gestionnaire de Réseau, cliquer sur ajouter un VPN (le "+" dans l'image ci dessous), puis importer le fichier.

Le champs Nom peut être rempli à votre guisse (par exemple VPN Rézine). Remplisser le nom d'utilisateur et le mot de passe par celui présent la page de votre VPN sur ambre, puis cliquer sur Ajouter.

Enfin, activez le VPN.

Si vous avez entrer votre login et mot de passe correctement, vous devriez maintenant avoir un VPN fonctionnel.

Utilisation

Pour vous connecter au VPN, il suffit de cliquer sur l'icône du NetworkManager et de sélectionner la connexion VPN !

Une fois connecté, un cadenas sera ajouté à l'icône de connexion.

GNU/Linux - ligne de commande

Installation

L'installation du programme OpenVPN se fait via le gestionnaire de paquets de votre distribution, typiquement pour Debian :

sudo apt-get install openvpn

Il faut également installer le paquet « resolvconf » pour permettre à OpenVPN de changer vos serveurs DNS pour ceux du VPN :

sudo apt-get install resolvconf

Il faut également télécharger le certificat de Rézine (SHA1 : f6297c3b8c63b16934810861f1742fc39aea0dc6). Ce certificat permet à votre logiciel de vérifier qu'il parle bien aux serveurs de Rézine.

Configuration

Il suffit ensuite de créer un fichier de configuration (nommé par exemple rezine.vpn) contenant typiquement les lignes suivantes (d'autre exemple en Annexe pour le protocole TCP sur le port 443) : 

client
dev tun
# Configuration UDP
proto udp
remote tun.rezine.org 1193
cipher AES-128-CBC
# Paramètres généraux
nobind
persist-key
persist-tun
#Gestion du DNS
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
auth-user-pass vpn-id.cnf
ca tunnel.rezine.org.pem
verb 3

Ce fichier de configuration considère que le fichier du certificat se trouve dans le même répertoire que votre fichier de configuration. Si ce n'est pas le cas, il faudra renseigner le chemin complet. De la même façon, il faut créer un fichier nommé vpn-id.cnf contenant votre login et votre mot de passe (disponible sur https://ambre.rezine.org) sur une ligne chacun :

vpn38
motdepasse

Utilisation

La connexion au VPN se fait ensuite simplement via la commande : 

sudo openvpn /home/user/rezine.vpn

Windows

Installation

Il faut télécharger la dernière version d'OpenVPN, disponible à l'adresse suivante

Windows-install-1.png

Il faut bien veiller à sélectionner tous les composants.

Windows-install-2.png

Configuration

Télécharger le fichier de configuration .ovpn depuis ambre : https://ambre.rezine.org/, en choissiant correctement le système d'exploitation et le protocole udp ou tcp.

Lancer le logiciel OpenVPN, et choisez d'importer un fichier. Selectionnez le fichier .ovpn télécharger, et remplissez votre identifiant et mot de passe, disponible sur https://ambre.rezine.org.

Utilisation

Il faut lancer l'utilitaire "OpenVPN GUI" avec les droits administrateurs, puis renseigner le nom d'utilisateur et mot de passe.

Un raccourci de cet utilitaire est placé sur le bureau lors de l'installation.

Windows-connexion1.png

Windows-connexion-2.png

Mac OSX

Installation

Le logiciel TunnelBlick est un logiciel libre qui permet la connexion à des services de VPN utilisant le logiciel OpenVPN. Il est disponible gratuitement sur https://tunnelblick.net/ Il s'installe sans difficulté.

Configuration

Lors du premier lancement, le logiciel vous propose de créer ou non un fichier d'exemple, dans notre cas cela ne sera pas nécessaire.

Pour mettre en place votre configuration il faut suivre les étapes suivantes.

  • Créer un dossier qui portera le nom de votre configuration (typiquement "Rezine-UDP-1193")
  • Poser dans ce dossier le certificat de Rézine que vous trouverez ici
  • Écrire un fichier texte qui servira de configuration OpenVPN et lui donner l'extension .ovpn. Un exemple d'un tel fichier est décrit ci-dessous ou téléchargeable ici. (Attention aux éditeurs de texte de Mac qui ajoutent plein d'infos dans le texte (.rtf = rich text format). Il faut donc configurer l'éditeur de texte pour qu'il n'enregistre pas au format "rich text".)
  • Il faut ensuite renommer ce dossier pour lui donner l'extension .tblk. Une fois ceci fait, il suffit de cliquer sur le fichier ainsi créé et votre connexion sera disponible via l'icône de Tunnelblick.

Configurations à mettre dans le fichier .ovpn :

client
dev tun
proto udp
remote tun.rezine.org 1193
nobind
persist-key
persist-tun
cipher AES-128-CBC
auth-user-pass
ca tunnel.rezine.org.pem
verb 3

Avancé : mode TCP

Pour pouvoir bénéficier des deux types de configurations, il vous faudra réaliser l'opération à nouveau avec la configuration en TCP et le port 443 avec un nom de dossier du type "Rezine-TCP-443".

# Configuration alternative
client
dev tun
proto tcp
remote tun.rezine.org 443
comp-lzo
# Uniquement nécessaire pour OpenVPN ancien
#cipher BF-CBC
nobind
persist-key
persist-tun
auth-user-pass
ca tunnel.rezine.org.pem
verb 3

Utilisation

Une fois le VPN configuré, il suffit de le sélectionner en cliquant sur l'icône de Tunnelblick, puis de renseigner vos identifiants.

IPhone

Sous IPhone, la procédure est relativement similaire à celle pour MacOS. Il faut bien que le fichier de configuration ait comme extension .ovpn.

Vous pouvez utiliser l'application OpenVpn Connect pour IPhone. Installez-là sur votre Iphone.

Sur son ordinateur, créer un dossier avec un nom du type rezine_1193_iphone.

Téléchargez le fichier de configuration suivant : config-VPN-mac.ovpn et bien vérifier qu'il ait l'extension .ovpn. Comme pour MacOS, il n'y a pas de fichier contenant les identifiants. Ils vous seront demandé à la première connection et vous pourrez demander de les mémoriser.

Mettre dans le dossier créé précédemment ce fichier texte ainsi que le certificat d’identification Rezine que vous trouverez ici

Donner au dossier l’extension .ovpn

Envoyer par mail le fichier obtenu sur la messagerie mail de son iphone.

Sur son iphone, via son gestionnaire de mail, copier le fichier reçu dans l’application OpenVPN

L’application OpenVPN s’ouvre avec deux nouveaux profils. Il faut supprimer celui qui comporte un message d’erreur et valider le second qui porte le nom du fichier créé précédemment

Ensuite, il suffit de renseigner ses identifiants, il y a possibilité d’enregistrer son mot de passe

Pour se connecter, il suffit de lancer l’application OpenVPN, choisir son client VPN si on en a plusieurs et de se connecter. Dans OpenVPN, ça donne cela et on peut voir apparaitre l’icône VPN dans la barre d’info de l’Iphone. Pour se déconnecter, il suffit de retourner dans OpenVPN et de se déconnecter.

Android

Sous Android, vous pouvez utiliser l'application suivante : OpenVpn for Android.

Posez le fichier de configuration, renommé en VPN-Rezine.ovpn par exemple, sur l'appareil. Une fois l'application installée et démarrée, cliquez sur le dossier en bas à droite et cherchez le fichier de configuration. Il suffit ensuite de renseigner les identifiants.

Sinon, vous pouvez suivre ces copies d'écran pour vous aider dans la configuration :

Avancé : mode TCP

Pour le mode TCP, modifier les paramètres selon les captures suivantes :

Le reste est identique au mode UDP.

Annexes

Windows

Protocole UDP

Pour utiliser udp, le fichier de configuration serait le suivant :

client
dev tun
# Connexion préférentielle
proto udp
remote tun.rezine.org 1193
cipher AES-128-CBC
# Autre connexion, si nécessaire
#proto tcp
#remote tun.rezine.org 443
#comp-lzo
#cipher BF-CBC
# Paramètres généraux
route-method exe
nobind
persist-key
persist-tun
auth-user-pass
ca tunnel.rezine.org.pem
verb

Protocole TCP

Pour utiliser TCP, le fichier de configuration serait le suivant :

client
dev tun
# Connexion TCP
proto tcp
remote tun.rezine.org 443
comp-lzo
# Paramètres généraux
route-method exe
nobind
persist-key
persist-tun
auth-user-pass
ca tunnel.rezine.org.pem
verb 3 3

Linux

Protocole UDP

client
dev tun
# Configuration UDP
proto udp
remote tun.rezine.org 1193
cipher AES-128-CBC
# Paramètres généraux
nobind
persist-key
persist-tun
#Gestion du DNS
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
auth-user-pass vpn-id.cnf
ca tunnel.rezine.org.pem
verb 3

Protocole TCP

Pour utiliser le service en TCP si UDP est bloqué, voilà un exemple de configuration :

client
dev tun
# Configuration TCP
proto tcp
remote tun.rezine.org 443
comp-lzo
# Uniquement nécessaire pour OpenVPN ancien
#cipher BF-CBC
# Paramètres généraux
nobind
persist-key
persist-tun
#Gestion du DNS
script-security 2
up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
auth-user-pass vpn-id.cnf
ca tunnel.rezine.org.pem
verb 3