Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
sysadmin:openvpn_client [2015/01/14 12:51] james typo |
sysadmin:openvpn_client [2015/07/24 20:49] james ajout restart service apres connexion |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>VPN OpenVPN easy_rsa nouveau client certficat openSSL}} | + | {{tag>VPN OpenVPN easy_rsa nouveau client certficat openSSL push-reset override ccd client_config_dir}} |
| ====== Ajouter un nouveau client à notre serveur OpenVPN ====== | ====== Ajouter un nouveau client à notre serveur OpenVPN ====== | ||
| Ligne 137: | Ligne 137: | ||
| <code># service openvpn restart</code> | <code># service openvpn restart</code> | ||
| Vous pouvez vérifier les logs coté client et serveur (dans /var/log/syslog) pour découvrir pourquoi si jamais la connexion échoue | Vous pouvez vérifier les logs coté client et serveur (dans /var/log/syslog) pour découvrir pourquoi si jamais la connexion échoue | ||
| + | |||
| + | ===== Un peu plus loin ===== | ||
| + | |||
| + | ==== Utiliser le ccd pour passer moins de paramètres a certains clients ==== | ||
| + | On peut utiliser le fichier ccd de chaque client pour lui ajouter des paramètres donnés par le serveur, mais on peut aussi dire au serveur de ne lui en donner que quelques-uns. | ||
| + | Par exemple si sur un des clients vous ne voulez pas qu'il ait la route vers un sous réseau interne définie dans la conf générale de votre serveur. | ||
| + | |||
| + | Il faut pour cela utiliser **push-reset** dans le fichier ccd qui flush ce qui va être envoyé du serveur vers ce client spécifique. | ||
| + | Cete directive fait néanmoins un peu trop le ménage et il faut donc lui redonner la route vers le sous réseau du serveur openvpn lui meme (ici 192.168.3.0/24), comme par exemple dans l'exemple suivant :<code> | ||
| + | $ cat ccd/monClient | ||
| + | push-reset | ||
| + | push "route 192.168.3.0 255.255.255.0" | ||
| + | ifconfig-push 192.168.3.201 192.168.3.202 | ||
| + | </code> | ||
| + | |||
| + | ==== Relancer des services apres la connexion du client openvpn ==== | ||
| + | |||
| + | Il peut être utile de (re)lancer un script et/ou des services une fois le client connecté, par exemple un service qui doit se binder sur l'ip VPN (monitoring nagios, munin, backup, ....) | ||
| + | |||
| + | Pour se faire: | ||
| + | * ajouter du contenu dans le fichier client.conf :<code> | ||
| + | # cat << EOF >> /etc/openvpn/client.conf | ||
| + | # on ajoute un script de restart pour nrpe et munin-node | ||
| + | script-security 2 | ||
| + | # run /etc/openvpn/up.sh when the connection is set up | ||
| + | up /etc/openvpn/up.sh | ||
| + | EOF | ||
| + | </code> | ||
| + | * créer notre script et le remplir, par exemple :<code> | ||
| + | # cat << EOF > /etc/openvpn/up.sh | ||
| + | #!/bin/bash | ||
| + | # | ||
| + | # restart services so they can bind to VPN ip address | ||
| + | # | ||
| + | |||
| + | service munin-node restart | ||
| + | service nagios-nrpe-server restart | ||
| + | EOF | ||
| + | </code> | ||
| + | * rendre ce script exécutable :<code># chmod +x /etc/openvpn/up.sh</code> | ||
| + | * Il ne reste plus qu'a relancer le client openvpn et attendre que la connexion s'établisse avant de regarder le resultat :<code> | ||
| + | # service openvpn restart</code> | ||
| + | |||
| + | <note>Il va sans dire qu'il ne faut pas donner les droits de modifier ce script a n'importe qui étant donné qu'il sera lancé en root ;-)</note> | ||
| ===== Références ===== | ===== Références ===== | ||
| * http://openvpn.net/index.php/open-source/documentation/howto.html#policy | * http://openvpn.net/index.php/open-source/documentation/howto.html#policy | ||
| + | * https://community.openvpn.net/openvpn/ticket/29 | ||
