[Tutoriel] Serveur VPN sous Mac OSX (gratuit et libre, bien sûr), Installation d'un serveur (et d'un client) VPN sous Mac OS X

[5thString]

Si tu as un compte free, tu n'as pas besoin de dyndns. Va sur le paramétrage de ton compte, sur free.fr, et trouve l'endroit pour demander une IP fixe et y associer un nom de domaine. Une fois que ta demande aura été prise en compte, tu n'auras plus qu'à utiliser ton nom de domaine (un truc du genre ton_nom.hd.free.fr, je pense).

[simji]

Parfait, merci beaucoup pour ta réponse.

[mrieutlse]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Ce message a été modifié par mrieutlse - 4 May 2010, 13:28.

[5thString]

A chaque jour son lot de questions...

Je n'ai plus de problèmes coté serveur; tunnelblick et viscosity se connectent très bien (comme en attestent les logs). Maintenant, la question, c'est comment diable accéder d'une machine cliente à la machine serveur via internet?!?
Les services de partage de fichiers et de partage d'écran sont bien activés sur le serveur (qui est également ma machine-cible).

Sous quelle IP dois-je tenter d'y accéder? Option-K et afp://Nom_de_mon_Serveur (comme je pourrais le faire en local) ne donne rien: la cible est inconnue. Pas plus que vnc://Nom_de_mon_serveur.
Faut-il utiliser afp://10.99.0.1 (qui semble être l'IP openvpn du serveur) et vnc://10.99.0.1?
[edit] Réponse: Oui! Il faut effectivement utiliser afp://10.99.0.1 et vnc://10.99.0.1.C'est bien cela qui bloquait!

Faut-il ouvrir également le port 1194 coté client?
[edit] Réponse: Non. J'ai honte d'avoir même simplement envisagé la question!!

Quid est de Bonjour? Puis-je faire en sorte que mes deux machines se voient via Bonjour par le réseau openvpn?

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

Ce message a été modifié par 5thString - 7 May 2010, 09:41.

[5thString]

Bon, juste une p'tite info complémentaire.

J'ai installé tuntap pour faire fonctionner OpenVPN, puis lorsque j'ai lancé Viscosity, le logiciel m'a dit que les drivers tuntap étant obsolètes, il pouvait les mettre à jour avec une version plus récente. Eh bien n'essayez pas!!! Il n'y a plus rien qui marche avec les "nouveaux drivers"!

J'ai donc simplement ré-installé tuntap, et zouuuuu, tout re-fonctionne comme avant.

[mrieutlse]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

En effet,je me pose la question également, mais ce serveur vpn est inclus dans mac os . C'est presque le même que celui de mac os x server mais sans interface graphique. Il est difficile de croire alors qu'il présente une quelconque faille de sécurité, d'autant qu'il utilise bien ipsec. Personnellement, j'utilise ce moyen de configurer un serveur vpn depuis longtemps, mais à des fins strictement personnelles, et je n'ai eu aucun problème. Ce n'est bien sûr pas une justification.
Une confirmation d'expert serait la bienvenue!

[5thString]

Personnellement, je peux vous proposer une méthide plus simple et assez rapide, avec une fonctionnalité incluse dans Mac OS:
http://pagesperso-orange.fr/macmouflon

Merci pour ce tuto! Cependant, quid est de la sécurité de L2TP par rapport à OpenVpn tel qu'il est configuré ici?
L'avantage, évidemment, est que le client L2TP est inclus dans les préférences réseau d'OSX...

En effet,je me pose la question également, mais ce serveur vpn est inclus dans mac os . C'est presque le même que celui de mac os x server mais sans interface graphique. Il est difficile de croire alors qu'il présente une quelconque faille de sécurité, d'autant qu'il utilise bien ipsec. Personnellement, j'utilise ce moyen de configurer un serveur vpn depuis longtemps, mais à des fins strictement personnelles, et je n'ai eu aucun problème. Ce n'est bien sûr pas une justification.
Une confirmation d'expert serait la bienvenue!

Le truc sur la sécurité, je l'ai lu quelquepart... mais je n'ai pas pu retrouver où .
Mais bon, je ne suis pas spécialiste.

J'aimerais tout-de-même en savoir plus sur les mérites respectifs de ces deux variantes de VPN.

Par contre, il faut bien voire que la solution de MacMouflon utilise un soft payant (je ne crois pas que la version Bêta dont il parle dans son tuto soit encore accessible). Et je ne sais pas si l'activation du serveur d'OS X client à la mimine, par le terminal, est très sexy pour un non initié. Il y a toujours cette méthode, notez.

[mrieutlse]

En fait, j'utilisais au début iVPN, et maintenant j'entre les infos manuellement dans com.apple.Remote..... Mais pour un non initié, il faut avouer que iVPN est plus aisé à manipuler, d'autant que la version gratuite est encore disponible sur macmouflon. De plus, avec les outils de développeurs apple, cette interface graphique n'est pas très dur à faire...
Enfin, le lien que vous avez donné me rassure quant à la sécurité de cette méthode, qui est en en fait la même que celle de macosxhints avec interface graphique.

Ce message a été modifié par mrieutlse - 11 May 2010, 17:21.

[5thString]

Au risque de faire un petit hors-sujet, j'ajouterais que j viens de tenter la solution MacMouflon.
Je n'ai pas eu de souci pour créer le serveur, mais impossible de configurer mon poste client!! Ou plutôt, impossible de me connecter une fois la configuration entrée dans les préférences système...

Avez-vous eu des problèmes de ce coté dont vous puissiez me faire part?

[edit] A titre indicatif, j'arrive à me connecter depuis mon client en local, mais pas via internet... Ca sent les ports pas ouverts, non? J'ai ouvert le 500 et le 4500, mais sur l'airport, on ne peut pas choisir l'ouverture en TCP ou UDP. Ne vient-ce pas de là?

Ce message a été modifié par 5thString - 13 May 2010, 14:55.

[mrieutlse]

Bonjour,
En effet, du côté du serveur, il faut rediriger les ports UDP 500, 4500 ET 1701, vers l'ordinateur qui sert le vpn. En revanche, je ne sais pas comment faire avec une borne airport. Mais il me semble que les bornes airport sont situées après le routeur fourni par le fournisseur d'accès, non? Dans ce cas, il doit falloir rediriger les ports 2 fois.

Ce message a été modifié par mrieutlse - 14 May 2010, 12:08.

[floran]

Bonjour !

Merci pour ce tuto !

Petit problème lors de l'installation de openvpn avec la commande :

Code

./configure --disable-lzo && make && sudo make-install

voici la dernière ligne du log du terminal : sudo: make-install: command not found

Le problème vient-il du fait que le xcode a été installé à partir du DVD de snowleopard et non à partir du site de developper Apple ?

[osnola]

Bonjour !

....

Code

./configure --disable-lzo && make && sudo make-install

voici la dernière ligne du log du terminal : sudo: make-install: command not found

Bonjour,
sans avoir jamais installé OpenVpn, tu devrais essayer

Code

sudo make install

cela devrait bien mieux marcher :-)

[floran]

merci, j'essaye ça tout de suite !

Édit. : problème résolu

Ce message a été modifié par floran - 22 Jun 2010, 13:38.

[zygoat]

Hello les amis,

Je me permets de solliciter votre aide car je ne vois pas d'ou vient mon problème.

J'ai scrupuleusement suivi le tutoriel pour l'installation du serveur vpn. J'ai bien choisi une clé à 2048 et j'ai bien tapé "make install" et pas "make-install".

Cepedant l'installation du serveur ne se fait pas correctement car lorsque je tape : "ps aux | grep openvpn"
J'obtiens : "Serveur 1723 0,0 0,0 2425700 260 s000 R+ 5:01 0:00.00 grep openvpn"

J'ai vu que 2 confrères (Kara et 5thString) ont eu le même message mais je n'ai pas réussi à comprendre comment ils ont fait pour s'en tirer.

Qqn a-t-il une idée ?

Merci pour votre aide

Paul
(MacMini Server 10.6.4 + LiveBox Sagem)

[zygoat]

Hello again

Petits compléments d'information :

J'ai également eu un pbm sur le fichier org.openvpn.plist. Message d'erreur du type : "launchctl: Dubious ownership on file (skipping): org.openvpn.plist"

J'ai donc modifié les droits en tappant : "sudo chmod 644 /Library/LaunchDaemon/org.openvpn.plist"
et obtenu ceci : "rw-r--r-- 1 root vpn 754 Apr 13 09:24 /Library/LaunchDaemons/org.openvpn.plist"

Ensuite g voulu vérifier les droits des fichiers contenus dans etc/openvpn/easy-rsa/2.0/keys et j'ai obtenu ça :

-rw-r--r-- 1 root staff 5295 16 nov 16:07 01.pem
-rw----rw-+ 1 root staff 1606 16 nov 16:00 ca.crt
-rw----rw-+ 1 root staff 1675 16 nov 16:00 ca.key
-rw-r--r-- 1 root staff 424 16 nov 16:10 dh2048.pem
-rw-r--r-- 1 root staff 113 16 nov 16:07 index.txt
-rw-r--r-- 1 root staff 21 16 nov 16:07 index.txt.attr
-rw----rw-+ 1 root staff 0 16 nov 15:59 index.txt.old
-rw-r--r-- 1 root staff 3 16 nov 16:07 serial
-rw----rw-+ 1 root staff 3 16 nov 15:59 serial.old
-rw-r--r-- 1 root staff 5295 16 nov 16:07 server.crt
-rw-r--r-- 1 root staff 1041 16 nov 16:06 server.csr
-rw------- 1 root staff 1679 16 nov 16:06 server.key


Constat 1 : j'ai root à la place de vpn
Constat 2 : j'ai staff à la place de vpn

à quoi correspond ce staff ??

Je continue mes recherches. Si une âme charitable passe par là...

[floran]

Quelques problèmes…

tout va bien jusqu'à

Code

man openvpn

par contre

Code

ps aux | grep openvpn

me donne :

flo 580 0,0 0,0 2435116 524 s000 S+ 4:11 0:00.00 grep openvpn

j'ai testé :

Code

root# launchctl load /Library/LaunchDaemon/org.openvpn.plist
root# launchctl start org.openvpn

et aussi :

Code

root# chmod 644 /Library/LaunchDaemon/org.openvpn.plist

et aussi

Code

root# ifconfig tun

mais :

ifconfig: interface tun does not exist

alors j'ai installé tunnelblick, mais là je suis un peu perdu… voici mon fichier de config :

Code

port 1194
proto udp
dev tun

ca ca.crt
cert server.crt
key server.key  
dh dh1024.pem

server 10.8.0.0 255.255.255.0

--script-security 3 system

keepalive 10 120

user vpn
group vpn

persist-key
persist-tun

status openvpn-status.log
log popenvpn.log

verb 2

et voici le log :

Code

Sat Jan 29 16:34:04 2011 OpenVPN 2.1.1 i386-apple-darwin10.6.0 [SSL] built on Jan 28 2011
Sat Jan 29 16:34:04 2011 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sat Jan 29 16:34:04 2011 NOTE: --script-security method='system' is deprecated due to the fact that passed parameters will be subject to shell expansion
Sat Jan 29 16:34:04 2011 Cannot open dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file
Sat Jan 29 16:34:04 2011 Exiting

à l'aiiiiiiiiiiiide !

merci