Téléchargement des utilitaires
Tout d'abord, voici ma configuration :
- Ipcop version 1.14.15 (ip : 192.168.1.1 / 255.255.255.0)
- client 1 : Windows Vista Ultimate
Pour les clients windows j'ai récupéré openVPN pour windows avec une interface graphique (openVPN GUI).
Voilà, bon si vous avez récupéré les logiciels nécessaires, commençons l'installation de ZERINA sur ipcop.
Installation de ZERINA
Une fois le fichier tar.gz téléchargé, il faut l'envoyer sur IpCOP, vous pouvez le faire soit via winSCP (si vous êtes sous Windows) soit via scp si vous êtes sur un environnement Linux.Etant donné que je suis sous Linux, je ne détaillerais ici que la méthode SCP, je vous invite à regarder l'animation Flash de ZERINA pour l'installation via winSCP .
Activation de SSH sur IpCop
Dans les deux cas, vous devez avoir activer l'accés SSH sur votre IpCop : Il suffit d'aller sur l'interface d'administration d'ipcop, puis d'aller dans le menu Système / Accés SSH :
Puis vous cochez la case : Accès SSH, voici une capture de ma config :
Ceci etant fait, continuons ...
Installation via SCP :
J'ai d'abord crée un dossier sur mon ipCop afin d'y "ranger" les add-ons que j'ai prévu d'installé, le dossier est /home/addons (mais ce n'est pas une obligation).Pour la copie proprement dite, j'ai lancé une fenetre de terminal, je me suis placé dans le dossier où j'ai téléchargé le tar.gz de ZERINA, puis j'ai simplement saisi la commande SCP :
#scp ./ZERINA.*.tar.gz root@192.168.1.1:/home/addins/ -P 222
Un mot de passe vous sera demandé, tapez le ...
Une fois la copie effectuée, ouvrez une session SSH sur ipcop, décompressez ZERINA, et lancez l'install de ZERINA
#~$ ssh root@192.168.1.1 -p 222
root@192.168.1.1's password:
Last login: Sun Jun 10 11:44:10 2007 from 192.168.1.5
root@ipcop:~ # cd /home/addons
root@ipcop:~ # ls -la
drwxr-xr-x 2 root root 4096 2007-06-10 12:12 .
drwxr-xr-x 3 root root 4096 2007-06-10 12:11 ..
-rw-r--r-- 1 root root 349254 2007-06-10 12:10 ZERINA-0.9.4i-Installer.tar.gz
root@ipcop:~ #tar zxvf ZERINA-0.9.4i-Installer.tar.gz
patch.tar.gz
_GPL
install
uninstall
_README
library.addons
updatefiles
root@ipcop:/home/remi/zerina # ./install
Welcome to the OpenVPN for IPCop (ZERINA 0.9.4i) Installer!
The Installer will perform the following steps :
1. Looking for older versions of ZERINA
2. Checking for valid IPCop-version
3. Backing up files for easy uninstall
4. Installing new files
5. Adding entrys to existing files
Starting installation process:
1. Looking for older versions of ZERINA .
2. Checking for valid IPCop-version .
OK!
openvpn.tar.gz
ZERINA-0.9.4e_Libs_Modules.tar.gz
langs/
langs/bz.zerina
langs/da.zerina
langs/de.zerina
langs/en.zerina
langs/es.zerina
langs/fr.zerina
langs/sv.zerina
misc/
misc/header
misc/header.old
misc/logdat.diff
misc/rc.firewall.local.start
misc/rc.firewall.local.stop
misc/rc.local
misc/rc.local.zerina
misc/status
OK!
3. Backing up files for easy uninstall ..OK!
4. Installing new files ....OK!
..OK!
5. Adding entrys .......Cannot read ENABLED
ZERINA Installer finished
* You can now access OpenVPN via the IPCop web gui.
* WARNING: This package is NOT an official IPCop addon. It hasn't been
approved or reviewed by the IPCop development team. It comes with NO
warranty or guarantee, so use it at your own risk.
* WARNING: You have to create your own certificates for OpenVPN!
* For Updates/Information/etc try: www.zerina.de
* howto : http://www.zerina.de/?q=documantation
* For support try: www.openvpn-forum.de
root@192.168.1.1's password:
Last login: Sun Jun 10 11:44:10 2007 from 192.168.1.5
root@ipcop:~ # cd /home/addons
root@ipcop:~ # ls -la
drwxr-xr-x 2 root root 4096 2007-06-10 12:12 .
drwxr-xr-x 3 root root 4096 2007-06-10 12:11 ..
-rw-r--r-- 1 root root 349254 2007-06-10 12:10 ZERINA-0.9.4i-Installer.tar.gz
root@ipcop:~ #tar zxvf ZERINA-0.9.4i-Installer.tar.gz
patch.tar.gz
_GPL
install
uninstall
_README
library.addons
updatefiles
root@ipcop:/home/remi/zerina # ./install
Welcome to the OpenVPN for IPCop (ZERINA 0.9.4i) Installer!
The Installer will perform the following steps :
1. Looking for older versions of ZERINA
2. Checking for valid IPCop-version
3. Backing up files for easy uninstall
4. Installing new files
5. Adding entrys to existing files
Starting installation process:
1. Looking for older versions of ZERINA .
2. Checking for valid IPCop-version .
OK!
openvpn.tar.gz
ZERINA-0.9.4e_Libs_Modules.tar.gz
langs/
langs/bz.zerina
langs/da.zerina
langs/de.zerina
langs/en.zerina
langs/es.zerina
langs/fr.zerina
langs/sv.zerina
misc/
misc/header
misc/header.old
misc/logdat.diff
misc/rc.firewall.local.start
misc/rc.firewall.local.stop
misc/rc.local
misc/rc.local.zerina
misc/status
OK!
3. Backing up files for easy uninstall ..OK!
4. Installing new files ....OK!
..OK!
5. Adding entrys .......Cannot read ENABLED
ZERINA Installer finished
* You can now access OpenVPN via the IPCop web gui.
* WARNING: This package is NOT an official IPCop addon. It hasn't been
approved or reviewed by the IPCop development team. It comes with NO
warranty or guarantee, so use it at your own risk.
* WARNING: You have to create your own certificates for OpenVPN!
* For Updates/Information/etc try: www.zerina.de
* howto : http://www.zerina.de/?q=documantation
* For support try: www.openvpn-forum.de
Voilà, ZERINA est installé, maintenant vous devriez avoir un menu OpenVPN dans L'interface graphique de ipCop :
Ceci étant fait, voyons maintenant la configuration du VPN sur le serveur.
Configuration du serveur VPN
Maintenant il faut aller dans le module open VPN : RPVs / OpenVPN
Génération des certificats racine
La première chose à faire est de générer le certicat racine, pour cela dans la section 'Autorités de certification:', il faut cliquez sur le bouton 'Générer le certificat racine' Un formulaire s'ouvre, renseignez les champs de formulaire selon votre environnement, avec au moins :Nom de l'organisation : Votre nom ou le nom de votre société par exemple.
Nom d'hote (ou adresse IP) : l'adresse IP de votre ipCop (interface RED), ou nom d'hôte complet (chezmoi.domaine.com).
Pays : Votre pays ...
Enfin enregistrez en cliquant sur le bouton 'Générer le certificat', vous devriez avoir quelque chose comme ceci :
Paramètres du Serveur :
Dans cette même page il faut, dans la section "Paramètres Généraux", remplir les champs de formulaires, puis cliquez sur enregistrer.
Ensuite, allez faire un tour dans les paramètres avancés pour voir s'il n'y en a pas qui vous intéressent ...
Enregistrez les.
Toujours sur la page openVPN, cliquez sur le bouton : 'Start OpnVPN Server' :
Le serveur est donc maintenant fonctionnel, il ne reste plus qu'à configurer les clients ...Création des certificats client
Pour chacun des postes clients qui aura le droit de se connecter au serveur VPN, il va falloir créer un certificat, je ne détaillerais que pour un client (la démarche étant la même pour chaque poste client ...)Dans la zone : Client status and control, cliquez sur le bouton Ajouter, un formulaire s'ouvre :
Choisissez le typê de connexiopn (RoadWarrior), puis cliquez sur ajouter, le formulaire suivant s'ouvre :
Renseignez les données selon votre environnement, et cliquez sur enregistrer.
Répétez les deux dernières étapes pour tous vos clients ...
Dans la zone : , maintenant vous avez quelque chose comme ceci :
Voilà votre serveur est maintenant prêt à recevoir des connexions ...
Configuration des postes Clients :
Maintenant que le serveur est prét, on va configurer les postes clients.
Avant de commencer il faut transmettre aux poste clients leur certificat, vous les trouverez sur la page OpenVPN d'ipcop, sur chaque ligne de client vous avez un bouton :
, en cliquant dessus vous téléchargerez le fichier de configuration d'openVPN et le certificat dans un fichier ".zip" , transmettez ce fichier zip aux utilisateurs ...Configurons maintenant nos clients ...
Windows Vista
Il faut commencer par téléchager openVPN pour windows et une interface graphique pour openVPN, j'utilise personnellement la version 2.0.9 de openVPN et la version 1.0.3 de openvpn-gui.L'installation des logiciels étant trés simple, je n'en parlerais pas, j'ai choisi à chaque fois toutes les options par défaut.
Une fois openVPN et son interface graphique installés sur votre poste client, vous trouverez une icone dans la barre des tâches :
En cliquant avec le bouton droit sur cet icône, vous obtiendrez ceci :
Il n'y a pas grand chose, je vous l'accorde, mais en fait il faut d'abord "installer" les paramètres de connexion au VPN, pour cela, rien de plus simple, décompressez le fichier zip (précedemment récupéré sur ipcop) dans le dossier config de openVPN (chez moi : c:\programmes\openVPN\config\), une fois les fichiers copiés, refaite un clic-droit sur l'icône openVPN, et vous obtiendrez ceci :
Cliquez sur "Connect" ... La fenetre suivante s'ouvre :
Saisissez votre mot de passe, puis validez.
La connexion se lance ...
Une fois la connexion établie, l'icône de la barre des tâches vire au vert
, et vous notifie de la connexion ... 
Personnellement, j'ai eu un petit problème, en effet lors de la connexion une commande n'est pas passée, l'ajout de la route à mon réseau distant :
(en jaune dans l'image)
Et du coup le ping de mon reseau local ne fonctionnait pas, j'ai donc, dans une fenetre d'invite de commande simplement tapé la ligne :
route ADD 192.168.1.0 MASK 255.255.255.0 10.225.74.5
(copier coller de la commande qui n'a pas fonctionné)
La route étant ajoutée, on teste avec un joli PING sur une adresse IP de mon réseau local
COOL ça fonctionne !!!
Voilà vous pouvez maintenant accéder à votre réseau interne d'où que vous soyez ... il suffit simplement d'avoir une connexion Internet.
Conclusion
Reste a faire le tuto pour XP et pour Linux.
Bon Vpn à tous
Mimiz
Commentaires
Bonjour,
Merci pour votre tuto.
Avez-vous trouvé une solution durable pour ce problème de route non créée avec vista ?
Cordialement,
Bertrand
OpenVPN 2.1 rc4 solutionne ce problème.
Cordialement
Bertrand
Rémi, je te kiffe grave trop un tueur à gages
Merci pour toutes ces infos !
je mets à jour dés que je teste ...
Mon Ipcop se trouve derriere ma freebox.
Dans quel(s) paramètre(s) de l'add-on intervient l'adresse IP public donné par le FAI ?
Certicat system ? Nom d'hôte ipcop ? Option dans OpenVPN ?
Car dans OpenVPN grâce au .Zip il suffit juste de renseigner le mot de passe.
Merci.
Bonjour Superbe Tuto, mais j'essai de me connectere depuis et je recois ceci TCP : connect to 192.168.1.2:1194 failed, will try again in 5 seconds
depuis l'extérieur j'ai autorisé le VPN sur mon routeur et côté IPCOp je suis allé dans le Menu Firewall,Accès Externe et j'ai indiqué l'adresse Ip de mon IPCOP ainsi que le port 1194. Mais ca ne marche^pas Merci pour suite SVP
Superbe ! J'utilisais déjà du VPN avec Zywall et un client genre TheGreenBow. Plein de bugs.... et pas si facile à mettre en oeuvre. Avec ce tutoriel et OpenVPN, en 3 mouvements une belle connexion VPN est réalisée.
J'utilise IPCOP 1.4.21 avec Zerina 0.9.5b. Pour l'installation de Zerina il suffit de supprimer le checking de la version IPCOP dans le fichier "install". Fonctionne à merveille.
Vraiment bravo pour ce tutoriel; un novice sera configurer open vpn
seulement si vous avez des probléme de routage injecter votre route dans le fichier conf qui suit:
/var/ipcop/ovpn/server.conf
push "route réseau souhaitée mask"
et enfin restart.
asta la vista baby
Bonjour, j'ai installer Zerina (version 09.3) sur un ipcop en version 1.4.21, j'ai bien modifié le checking de la version dans le fichier install cependant, le serveur open vpn ne démarre pas, il est rester sur "arrêté".
Vous avez eu ce soucis ? Merci d'avance.
Salut,
Non je n'ai jamais eu le probleme dont tu parles. désolé de ne pas pouvoir t'aider
mimiz
le Tuto Marche bien bien ca me sert souvent de référence seulement que là je fouille pour configurer un client VPN sous Linux avec IPCop
Merci
Merci encore pour votre topic, cela marche avec ipcop 1.4.21 et zerina 0.9.5b sans aucun probleme, il suffit de faire add route en administrateur ( clique droit sur command ms-ds puis executer en tant qu'administrateur )
par contre si quelqu'un sait comment connecter 2 reseau ensemble grace a cette solution ça m'interesse.
Petit schema :
3 ordis ---- IPCOP ---- internet ---- IPCOP ou windows serveur ---- 10 ordis
Grace à ce vpn je voudrais voir les ordinateurs comme si il était connecter sur le même réseau
Merci d'avance
Merci pour le topic
Testé sous Ipcop 1.4.21 sans probleme
ps: mise a part qu'il ma fallu éditer le fichier Install de Zerina 0.9.5.b afin de passer le test de version ipcoop (rien de bien méchant)
MIMI, je vous remercie pour cet excellent travail.
Suis en cours de réalisation d'une notice décrivant tout (screenshot à l'appui) depuis l'installation d'IPCOP jusqu'à l'exploitation de la connexion à partir d'un client Windows XP SP3. Mes remerciements vous sont adressés dans cette notice.
J'ai besoin d'une info complémentaire.
Ma config: IPCOP 1.4.21 ZERINA0.9.5b
réseau rouge 192.168.0.1
réseau vert 192.168.1.1
7 stations XP SP3 domaine DHCP et un serveur Winows 2003 server R2 102.168.1.10, 1 imprimante réseau 192.168.1.15
Tout est OK côté vert.
J'ai créé client sur portable Windows XP SP3 domaine.
Ping 192.168.1.10 100% OK
Mais comment accéder aux dossiers sur 192.168.1.10?
Je vous remercie de consacrer un peu de temps pour la réponse.
bonjour,
j'ai installé et configuré zerina 0.9.5b sur ipcop 1.4.21.
La connexion vpn s'établit sans pb ni erreur ...
Toutefois impossible de pinguer mes machines qui se trouvent derrière saur la patte green de ipcop ...
J'arrive à me connecter qd même en https.
J'arrive aussi à pinguer mes machines en ssh en accès externe et aussi apres connexion vpn établie avec putty ...
avez vous une idée...
Pour répondre au N°9, si le VPN est "arreté" c'est peut-etre parce que l'IPCOP n'a pas son autorité de certificate...
C'est à ajouter au sommet de la page OpenVPN de l'interface web !
Pour le 15 est-ce un poste client VISTA ?
Pour avoir un routage effectif sur vos LANs d'IPCOP, vous devez rajouter :
route-method exe
route-delay 2
à la fin de votre fichier "www-TO-IPCOP.ovpn".
De plus, faut désactiver le controle UAC pour VISTA !
rien a dire toujours le meilleur du web!
Bonsoir !
Tout va bien pour moi, sauf un petit détail...
Il y a une machine que je n'arrive pas à pinger depuis mon client, mais je peux le faire depuis mon ipcop (connecté en SSH).
Pour tous les autres postes, je ne rencontre aucun problème...
Le poste en question possède l'adresse 192.168.1.1 ... Serait-ce la seule non pingable ???
Là, je sèche !
En tout cas, merci beaucoup pour ce tuto et les commentaires très utiles...
oui... merci pour la remarque :))))
Bonjour.
Je viens d'installer ipcop 1.4.20 avec zerna 0.9.5b
tout marche correctement
ma config est la suivant:
modem/routeur adsl......192.168.2.3...ipcop....10.10.10.10.......reseau local avec serveur dc dhcp windows 2008
j'ai installer openvpn gui sur les clients distants xp et 7 integral.
j'arrive a pinguer l'interface verte sans probleme mais je n'arrive pas à accèder au serveur d'adresse 10.10.10.100.
voici mon fichier de log
Sat Jun 26 15:26:06 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Sat Jun 26 15:26:06 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Sat Jun 26 15:26:10 2010 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1400)
Sat Jun 26 15:26:10 2010 Control Channel MTU parms [ L:1441 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Jun 26 15:26:10 2010 Data Channel MTU parms [ L:1441 D:1441 EF:41 EB:4 ET:0 EL:0 ]
Sat Jun 26 15:26:10 2010 Local Options hash (VER=V4): '57657c3f'
Sat Jun 26 15:26:10 2010 Expected Remote Options hash (VER=V4): '778eeec5'
Sat Jun 26 15:26:10 2010 UDPv4 link local (bound): [undef]:1194
Sat Jun 26 15:26:10 2010 UDPv4 link remote: 192.168.2.3:1194
Sat Jun 26 15:26:10 2010 TLS: Initial packet from 192.168.2.3:1194, sid=b8cf89ec fdd82607
Sat Jun 26 15:26:10 2010 VERIFY OK: depth=1, /C=CI/O=camag/CN=camag_CA
Sat Jun 26 15:26:10 2010 VERIFY OK: nsCertType=SERVER
Sat Jun 26 15:26:10 2010 VERIFY OK: depth=0, /C=CI/O=camag/CN=192.168.2.3
Sat Jun 26 15:26:10 2010 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 26 15:26:10 2010 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 26 15:26:10 2010 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 26 15:26:10 2010 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 26 15:26:10 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sat Jun 26 15:26:10 2010 [192.168.2.3] Peer Connection Initiated with 192.168.2.3:1194
Sat Jun 26 15:26:12 2010 SENT CONTROL [192.168.2.3]: 'PUSH_REQUEST' (status=1)
Sat Jun 26 15:26:12 2010 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.0.0.0,redirect-gateway,route 10.93.161.1,ifconfig 10.93.161.6 10.93.161.5'
Sat Jun 26 15:26:12 2010 OPTIONS IMPORT: --ifconfig/up options modified
Sat Jun 26 15:26:12 2010 OPTIONS IMPORT: route options modified
Sat Jun 26 15:26:12 2010 TAP-WIN32 device [Connexion au réseau local 2] opened: \\.\Global\{5DE136DA-0686-4000-8A71-08778081D0C7}.tap
Sat Jun 26 15:26:12 2010 TAP-Win32 Driver Version 8.4
Sat Jun 26 15:26:12 2010 TAP-Win32 MTU=1500
Sat Jun 26 15:26:12 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.93.161.6/255.255.255.252 on interface {5DE136DA-0686-4000-8A71-08778081D0C7} [DHCP-serv: 10.93.161.5, lease-time: 31536000]
Sat Jun 26 15:26:12 2010 Successful ARP Flush on interface [19] {5DE136DA-0686-4000-8A71-08778081D0C7}
Sat Jun 26 15:26:14 2010 TEST ROUTES: 3/3 succeeded len=2 ret=1 a=0 u/d=up
Sat Jun 26 15:26:14 2010 route ADD 192.168.2.3 MASK 255.255.255.255 192.168.2.1
OK!
Sat Jun 26 15:26:14 2010 route DELETE 0.0.0.0 MASK 0.0.0.0 192.168.2.1
OK!
Sat Jun 26 15:26:14 2010 route ADD 0.0.0.0 MASK 0.0.0.0 10.93.161.5
OK!
Sat Jun 26 15:26:14 2010 route ADD 10.0.0.0 MASK 255.0.0.0 10.93.161.5
OK!
Sat Jun 26 15:26:14 2010 route ADD 10.93.161.1 MASK 255.255.255.255 10.93.161.5
OK!
Sat Jun 26 15:26:14 2010 Initialization Sequence Completed
Apparemment tout fonctionne correctement mais impossible de voir mon reseau local
Besoin d'aide svp
Merci