OpenVPN¶

Dans cet article

• Fonctionnalités de déploiement
• Démarrage après le déploiement d'OpenVPN
• Connexion au serveur et accès à la gestion
• Configuration des profils d'utilisateur
• Configuration de l'accès utilisateur
• Tutoriel vidéo pour configurer OpenVPN
• Commander un serveur avec OpenVPN via l'API

Fonctionnalités de déploiement¶

Démarrage après le déploiement d'OpenVPN¶

Après le paiement de la commande à l'adresse e‑mail indiquée lors de l'inscription, une notification de disponibilité du serveur sera envoyée à cette adresse. Elle comprendra l'adresse IP du VPS ainsi que les identifiants de connexion. Les clients de notre société gèrent l'équipement via le panneau de contrôle et l'API – Invapi.

Les données d'authentification peuvent être trouvées dans l'onglet Info >> Tags du panneau de gestion du serveur ou dans l'e‑mail envoyé:

• Login and Password for server administration : reçus par e‑mail après le déploiement du serveur. Ils correspondent au mot de passe root sur le serveur.

Connexion au serveur et accès à la gestion¶

1. Connectez-vous au serveur via SSH:

   ssh root@<server_IP>
   

2. Les fichiers de configuration principaux pour OpenVPN se trouvent dans le répertoire /etc/openvpn/:

   ls -la /etc/openvpn/
   

3. Sur le serveur, il existe également un script pour configurer les clients:

   ls -la /root/openvpn-conf.sh
   

   

4. Vous pouvez vérifier l'état du serveur OpenVPN avec la commande suivante:

   systemctl status openvpn@server
   

Configuration des profils d'utilisateur¶

1. Sur votre serveur, il existe déjà un fichier de configuration utilisateur prêt à l'emploi (client_hk.ovpn) dans le répertoire /root/:

   ls /root/
   client_hk.ovpn  openvpn-conf.sh
   

   Vous pouvez utiliser le fichier client_hk.ovpn existant ou en créer un nouveau à l'aide du script.

2. Copiez le fichier de configuration souhaité sur votre appareil local avec SCP:

   scp root@<server_IP>:/root/client_hk.ovpn /path/on/local/computer/
   

Création d'un nouvel utilisateur¶

1. Connectez-vous au serveur via SSH:

   ssh root@<server_IP>
   

2. Exécutez le script de configuration OpenVPN:

   /root/openvpn-conf.sh
   

3. Dans le menu qui apparaît, vous verrez les options suivantes:

   Welcome to OpenVPN-install!
   The git repository is available at: https://github.com/angristan/openvpn-install
   It looks like OpenVPN is already installed.
   What do you want to do?
      1) Add a new user
      2) Revoke existing user
      3) Remove OpenVPN
      4) Exit
   Select an option [1-4]:
   

4. Choisissez l'option 1 pour ajouter un nouvel utilisateur:

   Select an option [1-4]: 1
   

5. Entrez le nom du client, en suivant les exigences de format:

   Tell me a name for the client.
   The name must consist of alphanumeric characters. It may also include an underscore or a dash.
   Client name: UserName
   

   Information

   Le nom d'utilisateur doit contenir uniquement des lettres, des chiffres, des underscores ou des tirets.

6. Choisissez une méthode pour protéger le fichier de configuration:

   Do you want to protect the configuration file with a password?
   (e.g., encrypt the private key with a password)
      1) Add a passwordless client
      2) Use a password for the client
   Select an option [1-2]:
   

   • Option 1: Crée un fichier sans mot de passe (une option plus simple pour les utilisateurs);
   • Option 2: Nécessite d'entrer un mot de passe pour protéger la clé (sécurité renforcée).

7. Si vous avez choisi la protection avec un mot de passe (option 2), vous serez invité à entrer le mot de passe du client ci‑dessous:

   ⚠️ You will be asked for the client password below ⚠️
   * Using SSL: openssl OpenSSL 3.0.2 15 Mar 2022
   * Using Easy-RSA configuration: /etc/openvpn/easy-rsa/vars
   
   Enter PEM pass phrase:
   Verifying - Enter PEM pass phrase:
   

8. Après avoir terminé toutes les étapes avec succès, vous verrez un message concernant la création d'un nouvel utilisateur:

   Client UserName added.
   The configuration file has been written to /root/UserName.ovpn.
   Download the .ovpn file and import it in your OpenVPN client.
   

9. Le fichier de configuration .ovpn sera créé dans le répertoire /root/ avec le nom d'utilisateur:

   ls -la /root/*.ovpn
   

Révocation d'accès utilisateur¶

1. Exécutez le script d'installation OpenVPN:

   /root/openvpn-conf.sh
   

2. Choisissez l'option 2 pour révoquer un utilisateur existant:

   Select an option [1-4]: 2
   

3. Sélectionnez un utilisateur dans la liste pour révoquer:

   Select the client to revoke:
   1) User1
   2) User2
   ...
   Client: 1
   

4. Confirmez la révocation :

   Confirm revoke for User1? [y/n]: y
   

5. Après une révocation réussie, vous verrez un message :

   Certificate for client User1 revoked!
   

Transfert du fichier de configuration à l'utilisateur¶

1. Copiez le fichier .ovpn depuis le serveur vers votre ordinateur local:

    scp root@<server_IP>:/root/UserName.ovpn /path/on/local/computer/
   

2. Transférez le fichier de configuration à l'utilisateur via un canal de communication sécurisé.

Gestion des certificats utilisateurs¶

Affichage des certificats existants

Pour afficher la liste de tous les certificats utilisateurs délivrés, exécutez:

cd /etc/openvpn/easy-rsa/pki/issued/
ls -la

total 20
drwx------ 2 root root 4096 Apr  4 09:33 .
drwx------ 8 root root 4096 Apr  4 09:33 ..
-rw------- 1 root root 2512 Apr  4 09:33 Testuser.crt
-rw------- 1 root root 2518 Apr  3 14:21 client_hk.crt
-rw------- 1 root root 2705 Apr  3 14:21 server_jGWMj7JIGkP69so7.crt

Chaque fichier avec l'extension .crt représente un certificat utilisateur, et le nom du fichier correspond au nom d'utilisateur.

Révocation d'un certificat d'utilisateur

Si vous avez besoin de révoquer l'accès d'un utilisateur (par exemple, lorsqu'un employé est licencié ou qu'une clé est compromise), suivez ces étapes:

1. Accédez au répertoire Easy‑RSA:

   cd /etc/openvpn/easy-rsa/
   

2. Exécutez la commande de révocation du certificat, en spécifiant le nom d'utilisateur exact:

   ./easyrsa revoke UserName
   

   Important: Le nom d'utilisateur doit correspondre exactement au nom de fichier du certificat sans l'extension .crt et est sensible à la casse.

   Par exemple, pour révoquer le certificat de l'utilisateur Testuser:

   ./easyrsa revoke Testuser
   

3. Après avoir révoqué avec succès le certificat, générez une liste mise à jour des certificats révoqués (CRL):

   ./easyrsa gen-crl
   

Vous verrez un message indiquant la création d'un CRL mis à jour:

Notice
------
An updated CRL has been created.
CRL file: /etc/openvpn/easy-rsa/pki/crl.pem

Mise à jour de la liste des certificats révoqués sur le serveur

Pour appliquer les certificats révoqués, mettez à jour la CRL sur le serveur :

1. Copiez la CRL mise à jour dans le répertoire OpenVPN :

   cp /etc/openvpn/easy-rsa/pki/crl.pem /etc/openvpn/
   

2. Redémarrez le service OpenVPN pour appliquer les modifications :

   systemctl restart openvpn@server
   

Après avoir terminé ces étapes, un utilisateur disposant d'un certificat révoqué ne pourra plus se connecter au serveur VPN, même s'il possède un fichier de configuration .ovpn valide.

Configuration de l'accès utilisateur¶

Installation d'OpenVPN¶

1. Rendez-vous sur le site officiel OpenVPN;
2. Téléchargez la dernière version de la Community Edition d'OpenVPN pour Windows;
3. Exécutez l'installateur et suivez les instructions de l'assistant d'installation;
4. Pendant l'installation, assurez-vous que tous les composants par défaut sont sélectionnés, y compris les pilotes TAP.

Informations détaillées sur l'installation sous Windows peuvent être trouvées dans le guide officiel

Obtention du fichier de configuration¶

Pour copier le fichier de configuration OpenVPN directement depuis le serveur, utilisez la commande SCP :

scp root@SERVER_IP:/root/client_hk.ovpn C:\\OpenVPN

Où :

• SERVER_IP - adresse IP de votre serveur VPN
• /root/client_hk.ovpn - chemin vers le fichier de configuration sur le serveur
• C:\\OpenVPN - répertoire local sur votre ordinateur où le fichier sera copié

Après avoir exécuté la commande, vous serez invité à entrer le mot de passe du compte root du serveur.

Après avoir copié avec succès, vous verrez des informations sur la complétion du processus et la taille du fichier transféré :

Importation et utilisation de la configuration¶

1. Copiez le fichier .ovpn obtenu vers C:\\Program Files\\OpenVPN\\config

2. Lancez l'interface OpenVPN GUI — le programme démarre automatiquement dans la barre d'état système au démarrage de Windows (icône dans le coin inférieur droit de l'écran)

3. Cliquez avec le bouton droit sur l'icône OpenVPN dans la barre d'état système

4. Dans le menu contextuel, sélectionnez Import pour ajouter votre configuration :

   

5. Si votre profil a déjà été importé ou copié dans le répertoire de configuration, vous le verrez dans le menu. Sélectionnez Connect et le nom de votre profil

6. Entrez login et Mot de passe si nécessaire, lors de l'utilisation de l'authentification ou si le fichier de configuration est password-protected

7. Après une connexion réussie, vous verrez une notification de confirmation :

L'icône OpenVPN dans la barre d'état système changera également de couleur en vert.

Pour vérifier la connexion, visitez whoer.net ou whatismyip.com

Si vous avez besoin de configurer OpenVPN sur d'autres systèmes d'exploitation, utilisez les instructions officielles du développeur :

• macOS : OpenVPN Connect Installation Guide for macOS
• iOS : iOS Installation Guide
• Linux : Connecting to OpenVPN Access Server with Linux
• Android : Guide to Using OpenVPN on Android

Tutoriel vidéo pour configurer OpenVPN¶

Commander un serveur avec OpenVPN via l'API¶

Pour installer ce logiciel en utilisant l'API, suivez les instructions suivantes.

Une partie du contenu de cette page a été créée ou traduite à l'aide de l'IA.