naos 2019/05/04 19:05

Installer le VPN d'un F.A.I associatif sur un serveur

testé sur Debian Stretch 9.9

Contexte: Sur un serveur auto-hébergé qui a l'IPv6 désactivé et des services mail, web et DNS.

Abonnez-vous au VPN d'un F.A.I associatif, demandez une IP fixe et la modification du PTR pour qu'il pointe vers votre domaine MX.

Si vous utilisez Portsentry

Editez le fichier /etc/portsentry/portsentry.ignore

# vim /etc/portsentry/portsentry.ignore	

Ajoutez ces lignes:

[::1]/128
[fe80::]/10

Ignorez le port 1194, au cas où openvpn est arrêté en éditant le fichier /etc/portsentry/portsentry.conf

# vim /etc/portsentry/portsentry.conf

Redémarrez portsentry:

# /etc/init.d/portsentry restart
# /etc/init.d/portsentry status

Si vous avez désactivé l'IPv6

Editez le fichier /etc/sysctl.conf

# vim /etc/sysctl.conf

Assurez-vous d'avoir ces lignes:

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0

Appliquez la nouvelle configuration:

# sysctl -p

Configurez le Pare-feu IPv6

Si vous avez un serveur DNS local

Editez le fichier /etc/hosts

# vim /etc/hosts

Assurez-vous d'avoir ces lignes:

::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Editez le fichier /etc/resolv.conf

# vim /etc/resolv.conf

Assurez-vous d'avoir cette ligne

nameserver ::1

Editez le fichier /etc/bind/named.conf.options

# vim /etc/bind/named.conf.options

Assurez-vous d'avoir ces lignes

        listen-on-v6 { any; };
    allow-recursion { ::1; 127.0.0.1; };

Editez votre zone DNS pour ajouter les enregistrements AAAA ainsi que l'IPv6 dans le SPF et incrémenter le numéro de série.

vim /etc/bind/DOMAINE.TLD/db.DOMAINE.TLD

Signez votre zone si vous utilisez DNSSEC

# cd /etc/bind/DOMAINE.TLD/
# dnssec-signzone -e20190603000000 -t -g -k KDOMAINE.TLD.ksk.key -o DOMAINE.TLD db.DOMAINE.TLD KDOMAINE.TLD.zsk.key

Modifiez le unit de Bind9 pour supprimer -4 dans “ExecStart”

# vim /lib/systemd/system/bind9.service

Appliquez les modifications

# systemctl daemon-reload
# systemctl restart bind9
# systemctl status bind9

Si vous avez un serveur de messagerie

Editez le fichier /etc/hosts

# vim /etc/hosts

Assurez-vous d'avoir ces lignes

::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes VOTREMX.DOMAINE.TLD
ff02::2 ip6-allrouters VOTREMX.DOMAINE.TLD

Editez le fichier /etc/default/spamassassin

# vim /etc/default/spamassassin

Supprimez –ipv4only

Redémarrez Spamassassin

# /etc/init.d/spamassassin restart
# /etc/init.d/spamassassin status

Editez le fichier /etc/postfix/main.cf

# vim /etc/postfix/main.cf

Ajoutez [::1]/128, [XXXX:XXXX:X:XX::]/64 dans “mynetworks”

Assurez-vous d'avoir all dans “inet_protocols”

Editez le fichier /etc/postfix/master.cf

# vim /etc/postfix/master.cf

Remplacez 127.0.0.1 par localhost

:%s/127.0.0.1/localhost/g

Dans le bloc lié à la configuration d'Amavis ajoutez ,[::1]/128 à la suite de -o mynetworks=127.0.0.0/8

Dans le bloc lié à la configuration de Spamassassin ajoutez -4 après spamc

Commentez les relais /etc/postfix/transport

# vim /etc/postfix/transport
# postmap /etc/postfix/transport

Rechargez la configuration Postfix pour appliquer la modification des relais et utiliser l'adresse IPv6

# /etc/init.d/postfix restart
# /etc/init.d/postfix status

Installez et configurez OpenVPN

Installez le paquet openvpn

# apt-get install openvpn

Enregistrez vos identifiants de connexions dans un fichier

# vim /etc/openvpn/client/identifiants.txt

Chaque élément sur une ligne différente

Protégez le fichier

# chown root: /etc/openvpn/client/identifiants.txt
# chmod 0600 /etc/openvpn/client/identifiants.txt

Créez le fichier de configuration du VPN

# vim /etc/openvpn/client/aqn.ovpn

Voici le contenu: https://atelier.aquilenet.fr/attachments/download/335/aqn.ovpn n'oubliez pas d'ajouter /etc/openvpn/client/aqn.ovpn après auth-user-pass et de créer des blocs supplémentaires correspondant à vos ports ouverts publiquement

Changez votre Gluerecord

Depuis l'interface d'administration de votre Registrar, ajoutez les nouvelles IPv4 et IPv6 dans le gluerecord.

Démarrez le VPN

Personnellement j'utilise screen, mais vous faites comme vous le souhaitez.

screen -S vpn
openvpn /etc/openvpn/client/aqn.ovpn

Testez

Testez la “propagation” DNS avec un serveur DNS spécifique

$ dig AAAA @8.8.8.8 DOMAINE.TLD

Testez la réponse ICMPv6

$ ping6 -c4 google.com

Testez le flux IPv6

# tcpdump -i tun0 -ne ip6

Testez la navigation avec IPv6

$ lynx http://www.myipv6.org/

Affichez les processus en cours d’exécution par interface

# netstat -tunape |grep ESTABLISHED |sort -nk3 |less

Affichez les connexions en cours sur l'interface tun0

# iptraf-ng -i tun0

Affichez les statistiques du trafic réseau

# bmon

Sources de l'article

  • installer_vpn_serveur_fai_associatif.txt
  • Dernière modification: 2019/05/08 14:29
  • par naos