Connexion au serveur d’accès avec Linux
Choix du logiciel client
La connexion au serveur d’accès OpenVPN depuis Linux nécessite un programme client. Celui-ci va capturer le trafic que vous souhaitez envoyer à travers le tunnel OpenVPN, le chiffrer et le transmettre au serveur OpenVPN. Et bien sûr, l’inverse, pour décrypter le trafic de retour.
Les paquets Linux discutés
| Serveur d’accès OpenVPN | openvpn-.as |
| OpenVPN 3 Client Linux | openvpn3 |
| OpenVPN open source | openvpn |
Client OpenVPN 3 Linux
Le projet OpenVPN 3 Linux est un nouveau client construit au-dessus de la bibliothèque centrale OpenVPN 3. Ce client est le programme officiel du client OpenVPN Linux. Vous pouvez trouver un aperçu des fonctionnalités, des questions fréquemment posées et des instructions sur l’installation du paquet openvpn3 sur notre site OpenVPN 3 pour Linux.
Après avoir suivi les instructions qui s’y trouvent pour installer le client, vous aurez besoin d’un profil de connexion. Il s’agit d’un fichier généré par votre installation du serveur d’accès OpenVPN pour votre compte utilisateur spécifique. Il contient les certificats et les paramètres de connexion requis. Allez à l’interface web du client de votre serveur d’accès (l’adresse principale, pas la partie /admin). Connectez-vous avec vos informations d’identification d’utilisateur. Une liste de fichiers à télécharger s’affiche. Choisissez le profil verrouillé par l’utilisateur ou le profil de connexion automatique, et vous recevrez un fichier client.ovpn. Enregistrez ce fichier sur votre système d’exploitation Linux.
Une fois que vous avez déplacé le fichier sur votre système Linux, vous pouvez l’importer.
openvpn3 config-import --config ${client.ovpn}
Vous pouvez démarrer une nouvelle session VPN:
openvpn3 session-start --config ${client.ovpn}
Vous pouvez gérer une session VPN en cours:
openvpn3 sessions-list
Et ainsi de suite. Plus de détails peuvent être trouvés ici : OpenVPN3Linux.
Programme CLI OpenVPN open source
Le programme client du projet open source peut également se connecter au serveur d’accès. Le paquet est disponible dans la plupart des distributions et est connu simplement comme openvpn. Il prend en charge l’option de connexion à plusieurs serveurs OpenVPN simultanément, et il est livré avec un composant de service qui peut lancer automatiquement et silencieusement tous les profils d’auto-login qu’il trouve dans le dossier /etc/openvpn, même avant qu’un utilisateur ne se soit connecté. Ce composant de service peut être configuré pour démarrer automatiquement au moment du démarrage avec les outils disponibles dans votre distribution Linux, s’ils sont pris en charge. Sur Ubuntu et Debian, lorsque vous installez le paquet openvpn, il est automatiquement configuré pour démarrer au moment du démarrage.
Pour installer le client OpenVPN sur Linux, il est possible dans de nombreux cas de simplement utiliser la version qui se trouve dans le dépôt de logiciels de la distribution Linux elle-même. Si vous rencontrez des problèmes de connectivité en utilisant un logiciel obsolète, cela peut être dû à un éventuel manque de prise en charge des versions TLS supérieures dans les anciennes versions d’OpenVPN. Suivez les instructions trouvées sur le wiki de la communauté open source openvpn si vous souhaitez installer le client OpenVPN sur votre système Linux.
Après l’installation, vous aurez besoin d’un profil de connexion. Il s’agit d’un fichier généré par votre installation du serveur d’accès OpenVPN pour votre compte utilisateur spécifique. Il contient les certificats et les paramètres de connexion requis. Allez à l’interface web du client de votre serveur d’accès (l’adresse principale, pas la partie /admin). Connectez-vous avec vos informations d’identification d’utilisateur. Vous verrez apparaître une liste de fichiers que vous pouvez télécharger. Choisissez le profil verrouillé par l’utilisateur ou le profil de connexion automatique, et vous recevrez un fichier client.ovpn. Enregistrez ce fichier quelque part dans votre système d’exploitation Linux. Le serveur d’accès OpenVPN prend en charge les profils verrouillés par le serveur, verrouillés par l’utilisateur et auto-login, mais le client de ligne de commande OpenVPN ne peut se connecter qu’avec les profils de connexion verrouillés par l’utilisateur ou auto-login.
Nous supposons que vous allez démarrer la connexion soit par la ligne de commande en tant qu’utilisateur root, soit via le démon de service. Si vous voulez que les utilisateurs non privilégiés puissent établir une connexion, jetez un coup d’œil au wiki de la communauté pour plus d’informations sur la façon de mettre en œuvre cela. Ici, nous allons nous concentrer sur la mise en œuvre la plus simple ; exécuter la connexion en tant qu’utilisateur root directement, ou via le démon de service.
Démarrer manuellement une connexion avec un profil d’auto-login:
openvpn --config client.ovpn
Démarrer manuellement une connexion avec un profil verrouillé par l’utilisateur:
openvpn --config client.ovpn --auth-user-pass
Si vous utilisez Google Authenticator ou une autre authentification à facteur supplémentaire, ajoutez le paramètre auth-retry:
openvpn --config client.ovpn --auth-user-pass --auth-retry interact
Pour démarrer une connexion auto-login via le démon de service, placez client.ovpn dans /etc/openvpn/ et renommez le fichier. Il doit se terminer par .conf comme extension de fichier. Assurez-vous que le démon de service est activé pour fonctionner après un redémarrage, puis redémarrez simplement le système. Le profil de type auto-login sera récupéré automatiquement et la connexion démarrera d’elle-même. Vous pouvez vérifier cela en vérifiant la sortie de la commande ifconfig ; vous devriez voir un adaptateur réseau tun0 dans la liste.
Une fonctionnalité majeure qui manque avec le client de ligne de commande est la possibilité de mettre en œuvre automatiquement les serveurs DNS qui sont poussés par le serveur VPN. C’est possible, mais cela nécessite d’installer un programme de gestion DNS tel que resolvconf ou openresolv, et cela peut ou non entrer en conflit avec le logiciel de gestion de réseau existant dans votre OS. L’idée est toutefois d’utiliser un script qui s’exécute lorsque la connexion est établie et lorsqu’elle est interrompue, et qui utilise resolvconf ou openresolv pour mettre en œuvre les serveurs DNS à votre place. La raison pour laquelle ce client n’est pas capable de le gérer complètement par lui-même est principalement due au fait que dans un système d’exploitation comme Windows, Macintosh, Android ou iOS, il existe déjà une méthode unique établie pour gérer le DNS. Il est donc facile pour nous de créer un logiciel client pour ces systèmes d’exploitation qui savent déjà comment gérer le DNS. Mais Linux est disponible dans de nombreuses variantes et supporte également différents programmes et méthodes d’implémentation des serveurs DNS, et il était donc raisonnable de ne pas intégrer le support DNS dans le programme OpenVPN et de fournir, si possible, un script qui gère l’implémentation du DNS. Un tel script pourrait même être écrit par vous-même pour effectuer toutes les tâches nécessaires à la mise en œuvre des serveurs DNS dans votre situation unique.
Heureusement sur Ubuntu et Debian, par exemple, il y a le script /etc/openvpn/update-resolv-conf qui est livré avec le paquet openvpn qui gère la mise en œuvre du DNS pour ces systèmes d’exploitation. Il vous suffit d’activer l’utilisation de ceux-ci en suivant les instructions :
Ouvrir votre fichier client.ovpn dans un éditeur de texte :
nano client.ovpn
Tout en bas, ajoutez simplement ces lignes :
script-security 2up /etc/openvpn/update-resolv-confdown /etc/openvpn/update-resolv-conf
La première ligne active l’utilisation de scripts externes pour gérer les tâches d’implémentation du DNS. Les lignes up et down sont là pour mettre en œuvre les serveurs DNS poussés par le serveur VPN lorsque la connexion monte, et après pour le défaire, lorsque la connexion descend.
Programme de gestion de réseau Ubuntu
Il y a aussi la possibilité de se connecter par l’interface graphique en utilisant l’extension openvpn pour le plugin du gestionnaire de réseau Gnome. Mais ceci est actuellement un peu délicat à mettre en place. Il y a par exemple l’hypothèse incorrecte que tous les VPN seront en mesure de rediriger le trafic Internet, et les anciennes versions pourraient ne pas comprendre le format de fichier .ovpn, vous obligeant à diviser le certificat intégré dans un fichier séparé. Et vous devrez probablement creuser dans les options pour vous assurer qu’une route de trafic Internet par défaut passant par le serveur VPN n’est pas toujours activée par défaut, en particulier pour les serveurs où vous ne donnez accès qu’à certaines ressources internes, et non à l’ensemble de l’Internet. Cependant, l’avantage d’utiliser le composant GUI est que vous pouvez démarrer/arrêter la connexion depuis l’environnement de bureau sur Linux.