Service de VPN

VPN

vendredi 8 juillet 2011, par Philippe Depouilly

Comment utiliser le réseau privé (VPN) pour s’échapper d’un réseau filtré en sortie.

 Principe et généralités

Aujourd’hui, les usages nomades s’amplifient, par exemple des accès WIFI deviennent facilement disponibles. En revanche, l’accès internet qu’ils offrent sont souvent limités à la consultation web (protocoles HTTP et HTTPS). Souvent ils ne permettent ni l’envoi de courrier (via SMTPS), ni la relève de votre boîte aux lettres (via IMAPS/POPS), ni l’ouverture de session ssh.

Pour résoudre ce problème, sans pour autant compromettre la sécurité de l’infrastructure hôte, vous pouvez utiliser le VPN (basé ici sur le logiciel OpenVPN).

Le principe de base est équivalent à celui du tunnel SSH, sauf que dans le cas du VPN, vous avez juste à lancer une application sur votre poste client qui va se charger d’acheminer les trafics réseaux via le tunnel VPN (au lieu de SSH).

Actuellement, ce service vous permet, depuis un réseau filtré en sortie, quelque soit votre connectivité, de façon transparente :

  • de relever le courrier de la PLM (POPS/IMAPS),
  • d’envoyer du courrier vers n’importe quelle destination (SMTPS),
  • de vous connecter à ssh.math.cnrs.fr,
  • d’utiliser Matlab et Maple depuis un portable (pour les laboratoires participant à la mutalisation),
  • de participer à une visio-conférence sur la plateforme IN2P3/CNRS RMS,
  • de participer aux web-conférences de la PLM,
  • d’accéder aux principales bases de données des revues électroniques (liste exhaustive)
  • d’accéder à vos serveurs de laboratoire désignés au préalable par votre administrateur système (le point d’entrée SSH de votre laboratoire, le serveur POPS/IMAPS université, etc.), voir la note en bas de cette page.


La mise en oeuvre est un peu plus complexe que l’utilisation standard d’une application. C’est le prix à payer pour avoir la sécurité et l’accès aux services.

 Résumé de ce que vous devez faire

  • étape 1 - avant de partir en mission la première fois :
    • étape 1.1 - installer le logiciel OpenVPN sur votre portable,
    • étape 1.2 - activer une fois pour toute votre accès VPN sur la PLM
  • étape 2 - à chaque fois que vous vous trouvez en mission sur un site restrictif :
    • utiliser le VPN pour accéder à vos services habituels.

 1.1a - Installer OpenVPN sur un portable Windows

  • copiez dans le dossier config de OpenVPN (en général C :\Program Files\OpenVPN\config) le contenu de l’archive que vous avez récupéré et en cliquant sur la petite icône dans la barre du bas (à côté de l’heure) activez votre accès VPN
Pour exploiter openvpn pour un utilisateur sans privilèges : téléchargez l’outil windows Elevation.

Installez l’outils Elevation dans le meme repertoire que OpenVPN pour que ça soit plus simple et créez un fichier .cmd avec la ligne suivante :

runas /savecred /user:USERNAME "c:\Programs Files (x86)\OpenVPN\Bin\elevate.cmd openvpn-gui-1.0.3.exe"

Ensuite, c’est le fichier cmd à lancer et non plus openvpn.

 1.1b - Installer OpenVPN sur un portable Linux ou autre Unix

  • installez openvpn suivant votre distribution GNU/Linux.
  • entrez dans le dossier vpn-client après avoir dézippé le dossier, et exécutez en tant que root (ou par sudo selon la distribution Linux) openvpn plm.conf .

 1.1c - Installer OpenVPN sur un portable MacOSX

  • installez Tunnelblick et copiez l’intégralité du contenu du dossier vpn-client (issu de l’archive zip) dans le dossier Bibliothèque/Application Support/Tunnelblick/Configurations (ou Library/Application Support/Tunnelblick/Configurations))
  • lancez Tunnelblick

 1.2 - Activation de votre accès VPN sur la PLM

  • Connectez-vous sur le webmail et accédez à la rubrique VPN
Si vous ne pouvez pas demander un accès VPN, c’est que votre unité n’y est pas autorisée, contactez votre correspondant Mathrice.
  • Après avoir demandé un accès, revenez sur cette page quelques minutes plus tard afin de récupérer votre paquet au format zip.

 Cas d’un site avec proxy obligatoire

Si pour accéder au web vous devez utiliser un serveur proxy (par exemple dans Firefox ou internet explorer), il vous faudra sans doute indiquer le proxy dans le fichier plm.conf qui est fourni.

Il suffit pour cela de modifier la ligne http-proxy et d’y indiquer le nom du serveur proxy et le numéro de port (par ex : http-proxy proxy.univ-qqpart.fr 3128)

 En cas de problème

Attention : vous ne pouvez ouvrir qu’un seul accès VPN à la fois. Si votre connexion n’arrête pas de se reconnecter, c’est qu’il doit exister une connexion à votre nom depuis un autre poste.

 Note à l’attention des correspondants mathrice

Afin que les utilisateurs PLM de votre unité puissent utiliser le VPN, vous devez avant tout activer le service VPN pour votre unité et choisir une liste d’adresses IP sur lesquelles vos utilisateurs pourront rebondir (serveur SSH, IMAPS/POPS, etc.).

SPIP | | Plan du site | Suivre la vie du site RSS 2.0
Habillage visuel © digitalnature sous Licence GPL