3,054
edits
Changes
From SME Server
Jump to navigationJump to search→Installation
=== Installation ===
=== Installation ===
<tabs container><tab name="Pour SME 10">
/!\ Nouveau cipher par défaut : AES-128-GCM et HMAC SHA56 ; si vous avez des problèmes, vérifier les options de configuration.
yum --enablerepo=smecontribs install smeserver-openvpn-bridge
</tab>
<tab name="Pour SME 9">
Vous devez activer le dépôt '''[[epel]]'''.
yum --enablerepo=smecontribs,epel install smeserver-openvpn-bridge
</tab>
<tab name="Pour SME 8">
yum --enablerepo=smecontribs install smeserver-openvpn-bridge
</tab>
</tabs>
Pour résumer la problématique, il y a 3 paquets à installer.
Pour résumer la problématique, il y a 3 paquets à installer.
* [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
* [[OpenVPN Bridge|smeserver-openvpn-bridge]] : le paquet qui installe le serveur OpenVPN.
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de mail interne, etc). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux SME Server ensemble (mais l’auteur de cette contribs géniale en a une autre dans ses cartons pour faire cela.)
Le serveur OpenVPN attribuera des IP de votre réseau local aux clients VPN, ils auront ainsi accès à toutes les ressources accessibles depuis votre réseau local (partages de fichier, intranet, services de courrier interne, etc.). C’est donc un service de type « site to client » qui ne vous permet pas de relier deux serveurs SME KOOZALI ensembles (mais l’auteur de cette contribution géniale en a une autre dans ses cartons pour faire cela.)
On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace.
On y va pour l’installer, ce n’est pas bien compliqué, un grand merci à [[User:VIP-ire|Daniel]] (de Firewall Services).…spéciale dédicace.
Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier.
Pour la plupart des installations les paramètres par défaut suffiront, mais vous pouvez quand même les vérifier.
Au besoin vous avez [[BridgeInterface|la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin.
Au besoin vous avez [[BridgeInterface|la page de l’auteur]] pour modifier cela, je dois reconnaître que je n’en ai pas eu besoin.
====Configurer les certificats====
{{Note box|type=Note : |si vous utilisez [[PHPki]] pour gérer les certificats, vous pouvez aller [[OpenVPN_Bridge#Using_PHPki_to_manage_the_certificates|ici]] pour plus de détails.
Si vous mettez à jour une installation précédente, vous pouvez aller [[OpenVPN_Bridge#Migrate_previous.2Fexisting_OpenVPN_Server_certificates|ici]].}}
Vous pouvez maintenant aller dans le gestionnaire du serveur, vous trouverez un nouveau menu OpenVPN-Bridge. Là, vous devrez d'abord cliquer sur le lien « configurer les certificats » et vous devrez saisir diverses informations obligatoires :
{{Note box|type=Note : |tous les certificats doivent être encodés [http://en.wikipedia.org/wiki/Privacy_Enhanced_Mail PEM].}}
*une URL où OpenVPN peut mettre à jour la CRL ; si vous utilisez PHPki sur le même serveur, vous pouvez laisser la valeur par défaut ;
{{Note box|type=Note : |si aucun fichier CRL valide (au format PEM) n'est trouvé à cette URL, vous recevrez un courriel toutes les heures dans la boîte aux lettres de l'administrateur.}}
*un certificat principal (utilisé pour vérifier les certificats des clients) ;
*le certificat du serveur (utilisé par les clients pour vérifier le serveur) ;
*la clé privée du serveur associée au certificat ;
*les paramètres Diffie-Helman (utilisés pour échanger la clé de session) ;
*une clé facultative générée par OpenVPN pour ajouter l'authentification TLS.
{{Note box|type=Note : |vous pouvez laisser ce champ vide si vous ne souhaitez pas utiliser l'authentification TLS supplémentaire.}}
Vous pouvez utiliser la contribution [[PHPki]] pour gérer cela facilement. [[PHPki]] n'a pas besoin d'être installé sur le même serveur. Vous pouvez également gérer votre PKI manuellement, ou avec votre propre outil PKI si vous en utilisez déjà un (par exemple, [http://tinyca.sm-zone.net/tinyCA]).
Une fois que vous avez entré toutes les informations requises, il vous suffit de soumettre le formulaire.
Vous devriez alors voir le message :
Statut des certificats Les certificats sont prêts
Avec « Les certificats sont prêts » en vert. Si ce n'est pas le cas, vous avez un problème avec la configuration des certificats.
==== PHPki ====
==== PHPki ====
sv u /service/httpd-pki
sv u /service/httpd-pki
==== Commande et monitoring d'openvpn ====
==== Commande et monitoring d'openvpn ====
