jeudi 11 septembre 2014

Client VPN

Petit pense-bête à propos des connexions clientes aux serveurs VPN... Ce sont des modes de connexion que je n'ai pas l'habitude d'utiliser, si je dois changer d'adresse IP j'utilise plutôt le port forwarding à travers un tunnel SSH.

Placer les certificats aux bons endroits

Si j'utilise NetworkManager dans ma session utilisateur normale, placer les certificats dans le répertoire .cert/ juste pour ne pas se faire bloquer par SELinux. En effet pour que NM puisse les lire il leur faut, ainsi qu'au répertoire parent, un contexte SELinux particulier: home_cert_t. Ce contexte est attribué par défaut au répertoire /home/$USER/.cert/ automatiquement dès sa création.

Si j'utilise le service OpenVPN configuré en mode client, placer les certificats dans le répertoire /etc/openvpn/keys/ juste pour pas mélanger avec les fichiers de config. Penser surtout à ajouter "keys/" dans le fichier de configuration pour spécifier les noms des certificats, sinon OpenVPN ne les trouvera pas. Il utlise d'ailleurs /etc/openvpn/ comme racine pour rechercher les fichiers indiqués.

Lorsque des routes ne sont pas correctement indiquées par le serveur VPN

Cela peut arriver, en l'occurence mon serveur VPN n'indique pas toutes les routes nécessaires pour la connexion. Il est plus facile de les ajouter manuellement dans la conf de OpenVPN que de NM.

La commande manuelle :

ip route add 192.168.1.0/24 via <adresse_de_linterface_tun0>

Le fichier /etc/openvpn/MaConnexion.conf :

route 192.168.1.0 255.255.255.0

Notez que pour le prefix /24 on indique l'adresse de broadcast 255.255.255.0, et que pour le prefix /16 on indiquerait l'adresse 255.255.0.0. Enfin, pas besoin de préciser l'interface de cette route dans le fichier de conf puisqu'au tout début du fichier est indiqué l'interface tun.

Exemple de fichier de configuration pour OpenVPN en mode client

Il existe un squelette presque prêt à l'emploi qu'il suffit de copier dans /etc/openvpn/.

  • /usr/share/doc/openvpn/sample/sample-config-files/client.conf

Les seules modifications requises sont les noms des certificats et l'ajout éventuel de routes...

Créer un service systemd par connexion VPN

Contrairement à ce qui est indiqué dans le wiki fedoraproject, créer le lien dans le répertoire de config /etc/ au lieu de /lib/ :

# ln /lib/systemd/system/openvpn@.service /etc/systemd/system/openvpn@MaConnexion.service

Puis démarrer le service :

# systemctl start openvpn@MaConnexion.service

That's all

mardi 29 juillet 2014

Mon livre des rôles

Pour configurer ou reconfigurer rapidement un poste sur Fedora, il existe quelques programmes appartenant à la catégorie des Managers de configuration. Dans cette catégorie on retrouve Cfengine, Puppet, Chef et Ansible. Chacun ayant des spécificités, je me suis orienté vers Ansible qui m'offrait le  […]

Lire la suite

jeudi 24 juillet 2014

Installation à risque: serveur Bitcoin

bitcoin-half.png

Je suis devenu complice. Complice de contribuer à l'établissement d'une nouvelle monnaie. Non, pire que ça, complice d'instaurer un nouveau système financier. Aussi révolutionnaire qu'a l'air cette intrigue, c'est pourtant exactement le point de vue du monde de la finance sur le dossier Bitcoin.  […]

Lire la suite

mercredi 28 mai 2014

Changement de MTA

Sur toutes mes machines les nombreux emails envoyés par le démon Cron doivent être relayés par un Mail Transport Agent (MTA). J'utilise pour cela Postfix que j'ai l'habitude de déployer. Sur une installation minimale de Fedora, il n'y a pas vraiment changement de MTA puisqu'il y en a aucun installé  […]

Lire la suite

mardi 29 avril 2014

Xnee 3.18

Rpm_logo.png

Nouvel épisode de la chronique d'empaqueteur pour le Projet Fedora. Au programme, grosse session packaging qui sera étalée dans plusieurs posts. On commence avec Xnee qui a un ticket bugzilla ouvert. Ce ticket a été ouvert automatiquement par le script de surveillance des nouvelles versions  […]

Lire la suite

mardi 8 avril 2014

Et l'impensable arriva

heartbleed.png

Grosse faille de sécurité découverte dans OpenSSL cette nuit Cette nuit le service de sécurité de Google a révélé l'existance d'une vulnérabilité au sein de la bibliothèque OpenSSL. L'exploitation de cette faille permet entre autre de récupérer la clé privée de chiffrement du serveur, ce qui a pour  […]

Lire la suite

mardi 25 mars 2014

Mutt et les signatures PGP d'Enigmail

mutt.png

Une petite remarque sur la configuration par défaut de Mutt. Je ne sais pas si vous recevez beaucoup de mails en provenance de Thunderbird, mais lorsque le mail est signé par PGP, dans Mutt il n'est pas considéré comme un email signé. Du coup Mutt n'invoque pas automatiquement la commande de  […]

Lire la suite

samedi 15 mars 2014

Adhésion à l'April

- page 1 de 6