Création du certificat de l’autorité de certification racine (ca.crt). On s’assure ensuite que le fichier contenant la clef n’est lisible que par l’utilisateur root :
On s’assure que la clef n’est lisible que par root
1
chmod 0600 client1.key
Il faut répéter cette étape pour chacun des clients qui vont se connecter au serveur OpenVPN.
Options utilisées
“ Pour les paranoïaques, soyez attentif à l’omission ci-dessous de l’option -nodes dans la commande openssl. Cela entraînera que chaque clef privée sera chiffrée avec un mot de passe, ce qui rendra la clef sécurisée, même si quelqu’un pénètre dans votre serveur et qu’il vole les fichiers contenant les clef privées. Le mauvais côté de cette approche est qu’à chaque fois que vous lancez OpenVPN, vous devrez tapez le mot de passe. Pour plus d’informations, reportez-vous à l’option –askpass dans la page de man de openvpn. ”
# Config ecouteport1194prototcpdevtun0modeservertls-serverpersist-keypersist-tun# Certificats SSL/TLScaallca.crtcertvpn-server.crtkeyvpn-server.key# Chiffrement statiquedhdh1024.pemtls-authta.key# Configuration fournie aux clientsserver10.0.2.0255.255.255.0# Gestion de la connexion avec le clientkeepalive10120tun-mtu1300mssfixcipherBF-CBCmax-clients5client-to-client# Debug ?verb6status/var/log/openvpn-status-server.log
Problèmes courants
‘’Authenticate/Decrypt packet error: cipher final failed’‘ : Essayez de changer le cipher utilisé par le serveur. Exemple blowfish : ’‘cipher BF-CBC’’
‘’error=unable to get local issuer certificate’‘ : OpenVPN a besoin, pour vérifier la validité des vertificats SSL fournis, d’obtenir l’aboresence complète des certificats SSL. Pour cela, le fichier indiqué par l’option ’‘ca’‘ doit contenir le certificat du CA et des CA intermédiaires. ’‘cat ca.crt openvpn-ca.crt > allca.crt’’
‘’TLS Error: cannot locate HMAC’‘ : Si l’un des deux cotés de la connexion utilise l’option ’‘tls-auth’‘ alors que l’autre bout ne l’utilise pas.