====== VPN inter-site avec un Linksys WRT54G ======
La contrib smeserver-openvpn-s2s permet de créer des liens sécurisés entre plusieurs sites équipés de serveurs SME, mais il est également possible d'avoir un des deux site sous un autre système. Ce how-to explique comment créer un lien avec un linksys WRT54GL. Dans cet exemple, un serveur SME sera configuré en tant que serveur OpenVPN, et le WRT sera client.
===== Flasher le WRT avec OpenWRT =====
La première étape est de flasher le linksys avec un firmware OpenWRT (testé avec la version Kamikaze, car la version Backfire ne fonctionne pas à cause d'un manque de mémoire sur le WRT). Ce firmware peut se trouver ici: [[http://downloads.openwrt.org/kamikaze/8.09.2/brcm-2.4/openwrt-wrt54g-squashfs.bin|http://downloads.openwrt.org/kamikaze/8.09.2/brcm-2.4/openwrt-wrt54g-squashfs.bin]]
Le flash peut se faire depuis l'interface web du linksys. Sinon, on peut également le faire via par tftp. Il suffit de s'assurer que le WRT soit connecté à votre réseau local, et que votre poste ait une IP dans la plage 192.168.1.X. Ensuite, il suffit de lancer la comamnde tftp comme ceci:
tftp 192.168.1.1
> binary
> trace
> put openwrt-wrt54g-squashfs.bin
Puis de démarrer rapidement le WRT, qui devrait alors télécharger le firmware.
===== Configuration du WRT =====
Maintenant que le firmware est en place, vous pouvez accéder à l'interface web de configuration sur [[http://192.168.1.1|http://192.168.1.1]] ou en ligne de commande, via telnet
==== boot_wait ====
La première chose à faire est d'activer le boot_wait. Cette option permet de récupérer un WRT s'il est méchamment planté, via un flash du firmware par tftp, comme expliqué juste au dessus. Pour cela, loguez-vous en ligne de commande sur l'appareil (telnet 192.168.1.1), puis lancez les commandes:
nvram set boot_wait=on
nvram commit
==== installer openvpn ====
Pour installer openvpn, deux solutions:
* Par l'interface web, mettre la liste des paquets à jour, puis installer le paquet openvpn
* En ligne de commande:
opkg update
opkg install openvpn
Il est aussi conseillé d'installer le client ntp (si le WRT n'est pas à l'heure, il pourrait voir certains certificats comme expirés, ou pas encore valides)
==== configurer openvpn ====
la configuration d'OpenVPN se fait comme sur n'importe quel Linux, on crée un dossier openvpn dans /etc:
mkdir -p /etc/openvpn
Puis, on place dans ce répertoire les fichiers suivants:
* cacert.pem (le certificat autoritaire)
* cert.pem (le certificat qui sera utilisé par le WRT, à générer avec PHPki par exemple)
* key.pem (la clef secrète associé au certificat, cette clef ne **doit pas** être protégée par mot de passe
* takey.pem (optionnelle, à n'utiliser que si vous en avez mis une à l'autre bout du tunnel
* myvpn.conf (le fichier de configuration, un exemple est fournit ci-dessous)
remote 12.13.14.15
port 1198
nobind
proto udp
dev tun
persist-key
persist-tun
tls-client
ca /etc/openvpn/cacert.pem
cert /etc/openvpn/cert.pem
key /etc/openvpn/key.pem
tls-auth /etc/openvpn/takey.pem 1
ns-cert-type server
tls-remote vpn_smeserver
route 192.168.137.0 255.255.255.0
ifconfig 10.2.0.8 10.2.0.7
ping 10
ping-restart 20
mtu-test
passtos
comp-lzo adaptive
Il faut aussi autoriser le trafic à passer dans le VPN:
echo "/usr/sbin/iptables -I FORWARD -i tun+ -j ACCEPT">> /etc/firewall.user
echo "/usr/sbin/iptables -I FORWARD -o tun+ -j ACCEPT" >> /etc/firewall.user
==== Configurer le VPN pour un démarrage automatique ====
Pour que le VPN se lance automatiquement au démarrage du WRT, il faut éditer le fichier **/etc/config/openvpn** et activer le service avec configuration personnalisée (vers le début du fichier:
package openvpn
#################################################
# Sample to include a custom config file. #
#################################################
config openvpn custom_config
# Set to 1 to enable this instance:
option enable 1
# Include OpenVPN configuration
option config /etc/openvpn/myvpn.conf
[...]
Puis, activez le lancement automatique au démarrage:
/etc/init.d/openvpn enable
==== Configurer le service DHCP pour que les clients utilisent le serveur SME comme DNS ====
Vous voudrez probablement que les clients DHCP du WRT (filaire ou wifi) utilisent le serveur SME comme serveur DNS (si c'est pas le cas, vous pouvez sauter cette partie). Cette configuration peut se faire via l'interface web.
Dans la partie Administration → Network → DHCP il faut rajouter **DHCP-Options** et y mettre comme valeur quelque chose comme ça:
6,192.168.137.254,8.8.8.8
Dans cet exemple:
* 6 est le numéro de l'option DHCP qui indique au clients le serveur DNS à utiliser
* 192.168.137.254 est l'IP interne de votre serveur SME
* 8.8.8.8 est un serveur DNS publique (là, c'est celui de google, mais vous pouvez le remplacer par le DNS du FAI). On le mets en 2° choix pour que les clients du WRT puissent quand même accéder au net si le lien VPN tombe.
Il faut aussi configurer le nom du domaine pour la recherche. Ceci se configure dans la section Administration → Services → DNSmasq (options Local Server et Local Domain, remplacez lan par votre nom de domaine)
Voilà, le reste est à configurer selon vos envies, mais le VPN devrait être fonctionnel
==== Configurer DHCP pour que le serveur WINS soit le serveur SME ====
Dans ce type de configuration, les clients derrière le WRT se retrouvent sur un Lan séparé. Pour qu'il puissent trouver leur contrôleur de domaine, le broadcast ne fonctionnera pas, il faut donc leur configurer le serveur SME comme serveur WINS. Ce paramétrage peut se faire via le DHCP du WRT
44,192.168.137.254
Dans cet exemple :
* 44 est le numéro de l'option DHCP qui indique au client le serveur WINS (NetBIOS) à utiliser
* 192.168.137.254 est l'adresse IP du serveur SME