OpenVPN sur des réseaux distant
Fermé
scarabaeus
Messages postés
53
Date d'inscription
dimanche 27 mai 2007
Statut
Membre
Dernière intervention
2 octobre 2012
-
30 mai 2007 à 02:18
scarabaeus Messages postés 53 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 2 octobre 2012 - 30 mai 2007 à 10:29
scarabaeus Messages postés 53 Date d'inscription dimanche 27 mai 2007 Statut Membre Dernière intervention 2 octobre 2012 - 30 mai 2007 à 10:29
A voir également:
- OpenVPN sur des réseaux distant
- Paul a publié une annonce dans un groupe sur un réseau social. qui peut voir son annonce - Forum Réseau
- Sandra a décidé de mieux contrôler son image et sa présence sur différents réseaux sociaux. qu’est-il possible de faire sur ces réseaux ? - Forum Études / Formation High-Tech
- Julia s'est fait pirater son compte sur un réseau social. son mot de passe de 8 caractères était facile à deviner à partir des informations que tout le monde peut consulter en ligne sur son profil public. vous devez trouver son mot de passe pour découvrir qui veut devenir l'ami de julia. voici sa page de profil public et le lien pour accéder au réseau social. - Forum Windows
- Sandra ✓ - Forum Jeux vidéo
- Frédéric cherche à faire le buzz sur les réseaux sociaux. il a ajouté une image de manchots sur une image de plage. retrouvez l'image originale de la plage. que cachent les manchots ? - Forum Graphisme
3 réponses
le principal interet d'OpenVpn est de justement permettre une utilisation à travers internet de "tunnels sécurisés"
un bon dyndns permettra de plus de régler les problemes éventuels d'adresses IP "mobiles" (du style : monsite.ath.cx)
j'utilise de mon coté la solution depuis quelques temps afin de partager les ressources de plusieurs "lan" (imprimante,CS IP, et parfois disque), de sécuriser les transferts FTP ou de limiter les risques pouvant accompagner l'utilisation de produits comme "VNC".
Un simple ping permettra de connaitre l'etat de présence des machines du "super" reseau ainsi constitué, le paramétrage des routeurs étant de plus simplifié car il n'y a pas beaucoup de ports à configurer ! (1 seul pourra suffir si c'est la solution "proto TCP" en 1194 qui est retenue par exemple.)
un bon dyndns permettra de plus de régler les problemes éventuels d'adresses IP "mobiles" (du style : monsite.ath.cx)
j'utilise de mon coté la solution depuis quelques temps afin de partager les ressources de plusieurs "lan" (imprimante,CS IP, et parfois disque), de sécuriser les transferts FTP ou de limiter les risques pouvant accompagner l'utilisation de produits comme "VNC".
Un simple ping permettra de connaitre l'etat de présence des machines du "super" reseau ainsi constitué, le paramétrage des routeurs étant de plus simplifié car il n'y a pas beaucoup de ports à configurer ! (1 seul pourra suffir si c'est la solution "proto TCP" en 1194 qui est retenue par exemple.)
scarabaeus
Messages postés
53
Date d'inscription
dimanche 27 mai 2007
Statut
Membre
Dernière intervention
2 octobre 2012
2
30 mai 2007 à 09:03
30 mai 2007 à 09:03
lorsque je ping cela marche très bien mais aec dyndns ça ne marche pas.
scarabaeus
Messages postés
53
Date d'inscription
dimanche 27 mai 2007
Statut
Membre
Dernière intervention
2 octobre 2012
2
30 mai 2007 à 10:29
30 mai 2007 à 10:29
j'ai trouvé ceci pour dyndns, mais cela correspond que pour linux et pas windows et moi je vourai sous windows
Can OpenVPN handle the situation where both ends of the connection are dynamic?
Yes.
A prerequiste of this method is that you subscribe to a service such as dyndns.org that lets you conveniently point an internet domain name to a dynamic address (or you can do it yourself if you have control over a DNS server that exists on a machine having a static IP address).
The crux of this method is in the 'timeouts' section of the config file below, or more specifically the 'ping' and 'ping-restart' options. Basically, if for whatever reason, OpenVPN doesn't receive a ping from its peer during a 300 second period (as would happen if its peer changed addresses), it will restart. When it restarts, it will re-resolve myremote.mydomain.com to get the new IP address. This method assumes that you are using a dynamic DNS service that lets you immediately update your domain name with your current dynamic address.
Using this technique, OpenVPN will essentially "follow" a dynamic DNS address as it changes.
Here is the config file example:
remote myremote.mydomain.com
dev tun
ifconfig 10.1.0.2 10.1.0.1
up ./up-script # optional
# crypto config
replay-persist replay-persist-file # optional (1.4.0 or above)
# TLS config (or omit TLS security by using a pre-shared key
# such as 'secret static.key').
tls-client
ca key/my-ca.crt
cert key/my-cert.crt
key key/my-key.key
tls-auth key/my-tls-password # optional
# timeouts
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-key
# compression (optional)
comp-lzo
# UID (optional)
user nobody
group nobody
# verbosity (optional)
verb 4
On the other end of the connection, you would duplicate the above config file but change 'remote' appropriately, and swap the ifconfig addresses.
If you are using TLS security, then also change 'tls-client' to 'tls-server', add a 'dh' file for the diffie-hellman file, and change 'cert' and 'key' to match your appropriate local cert and key.
This setup requires that each machine have a dynamic DNS name which is updated automatically when DHCP causes an address change. Such an automatic update can be accomplished by using a tool such as ddclient.
ddclient should be called by your /etc/dhcpc/dhcpcd-eth0.exe file (replace "eth0" in the filename with the appropriate network device name):
/usr/sbin/ddclient -daemon=0 -syslog -use=ip -ip=$1
Here is a sample /etc/ddclient.conf file:
######################################################################
##
## TODO: change mylogin, mypassword, myremote.mydomain.com
##
######################################################################
login=mylogin # default login
password=mypassword # default password
#mx=mx.for.your.host # default MX
#backupmx=yes|no # host is primary MX?
#wildcard=yes|no # add wildcard CNAME?
##
##
## dyndns.org custom addresses
##
## (supports variables: wildcard,mx,backupmx)
##
custom=yes \
server=members.dyndns.org, \
protocol=dyndns2 \
myremote.mydomain.com
Can OpenVPN handle the situation where both ends of the connection are dynamic?
Yes.
A prerequiste of this method is that you subscribe to a service such as dyndns.org that lets you conveniently point an internet domain name to a dynamic address (or you can do it yourself if you have control over a DNS server that exists on a machine having a static IP address).
The crux of this method is in the 'timeouts' section of the config file below, or more specifically the 'ping' and 'ping-restart' options. Basically, if for whatever reason, OpenVPN doesn't receive a ping from its peer during a 300 second period (as would happen if its peer changed addresses), it will restart. When it restarts, it will re-resolve myremote.mydomain.com to get the new IP address. This method assumes that you are using a dynamic DNS service that lets you immediately update your domain name with your current dynamic address.
Using this technique, OpenVPN will essentially "follow" a dynamic DNS address as it changes.
Here is the config file example:
remote myremote.mydomain.com
dev tun
ifconfig 10.1.0.2 10.1.0.1
up ./up-script # optional
# crypto config
replay-persist replay-persist-file # optional (1.4.0 or above)
# TLS config (or omit TLS security by using a pre-shared key
# such as 'secret static.key').
tls-client
ca key/my-ca.crt
cert key/my-cert.crt
key key/my-key.key
tls-auth key/my-tls-password # optional
# timeouts
ping 15
ping-restart 300 # 5 minutes
resolv-retry 300 # 5 minutes
persist-tun
persist-key
# compression (optional)
comp-lzo
# UID (optional)
user nobody
group nobody
# verbosity (optional)
verb 4
On the other end of the connection, you would duplicate the above config file but change 'remote' appropriately, and swap the ifconfig addresses.
If you are using TLS security, then also change 'tls-client' to 'tls-server', add a 'dh' file for the diffie-hellman file, and change 'cert' and 'key' to match your appropriate local cert and key.
This setup requires that each machine have a dynamic DNS name which is updated automatically when DHCP causes an address change. Such an automatic update can be accomplished by using a tool such as ddclient.
ddclient should be called by your /etc/dhcpc/dhcpcd-eth0.exe file (replace "eth0" in the filename with the appropriate network device name):
/usr/sbin/ddclient -daemon=0 -syslog -use=ip -ip=$1
Here is a sample /etc/ddclient.conf file:
######################################################################
##
## TODO: change mylogin, mypassword, myremote.mydomain.com
##
######################################################################
login=mylogin # default login
password=mypassword # default password
#mx=mx.for.your.host # default MX
#backupmx=yes|no # host is primary MX?
#wildcard=yes|no # add wildcard CNAME?
##
##
## dyndns.org custom addresses
##
## (supports variables: wildcard,mx,backupmx)
##
custom=yes \
server=members.dyndns.org, \
protocol=dyndns2 \
myremote.mydomain.com