- Principe et généralités
- Résumé de ce que vous devez faire
- 1.1a - Installer OpenVPN sur un portable Windows
- 1.1b - Installer OpenVPN sur un portable Linux ou autre Unix
- 1.1c - Installer OpenVPN sur un portable MacOSX
- 1.2 - Activation de votre accès VPN sur la PLM
- Cas d'un site avec proxy obligatoire
- En cas de problème
- Note à l'attention des correspondants mathrice
Comment utiliser le réseau privé (VPN) pour s'échapper d'un réseau filtré en sortie.
Principe et généralités
Aujourd'hui, les usages nomades s'amplifient, par exemple des accès WIFI deviennent facilement disponibles. En revanche, l'accès internet qu'ils offrent sont souvent limités à la consultation web (protocoles HTTP et HTTPS). Souvent ils ne permettent ni l'envoi de courrier (via SMTPS), ni la relève de votre boîte aux lettres (via IMAPS/POPS), ni l'ouverture de session ssh.
Pour résoudre ce problème, sans pour autant compromettre la sécurité de l'infrastructure hôte, vous pouvez utiliser le VPN (basé ici sur le logiciel OpenVPN).
Le principe de base est équivalent à celui du tunnel SSH, sauf que dans le cas du VPN, vous avez juste à lancer une application sur votre poste client qui va se charger d'acheminer les trafics réseaux via le tunnel VPN (au lieu de SSH).
Actuellement, ce service vous permet, depuis un réseau filtré en sortie, quelque soit votre connectivité, de façon transparente :
- de relever le courrier de la PLM (POPS/IMAPS),
- d'envoyer du courrier vers n'importe quelle destination (SMTPS),
- de vous connecter à
ssh.math.cnrs.fr
- d'utiliser Matlab et Maple depuis un portable (pour les laboratoires participant à la mutalisation),
- de participer à une visio-conférence sur la plateforme IN2P3/CNRS RMS,
- de participer aux web-conférences de la PLM,
- d'accéder aux principales bases de données des revues électroniques (liste exhaustive)
- d'accéder à vos serveurs de laboratoire désignés au préalable par votre administrateur système (le point d'entrée SSH de votre laboratoire, le serveur POPS/IMAPS université, etc.), voir la note en bas de cette page.
La mise en oeuvre est un peu plus complexe que l'utilisation standard d'une application. C'est le prix à payer pour avoir la sécurité et l'accès aux services.
Résumé de ce que vous devez faire
- étape 1 - avant de partir en mission la première fois :
- étape 1.1 - installer le logiciel OpenVPN sur votre portable,
- étape 1.2 - activer une fois pour toute votre accès VPN sur la PLM
- étape 2 - à chaque fois que vous vous trouvez en mission sur un site restrictif :
- utiliser le VPN pour accéder à vos services habituels.
1.1a - Installer OpenVPN sur un portable Windows
-
installez le logiciel gratuit avec interface graphique openvpn).
-
copiez dans le dossier config de OpenVPN (en général C :\Program Files\OpenVPN\config) le contenu de l'archive que vous avez récupéré et en cliquant sur la petite icône dans la barre du bas (à côté de l'heure)
activez votre accès VPN
Pour exploiter openvpn pour un utilisateur sans privilèges : téléchargez l'outil windows Elevation.
Installez l'outils Elevation dans le meme repertoire que OpenVPN pour que ça soit plus simple et créez un fichier .cmd avec la ligne suivante :
runas /savecred /user:USERNAME "c:\Programs Files (x86)\OpenVPN\Bin\elevate.cmd openvpn-gui-1.0.3.exe"
Ensuite, c'est le fichier cmd à lancer et non plus openvpn.
1.1b - Installer OpenVPN sur un portable Linux ou autre Unix
Intégrer le VPN à NetworkManager (Ubuntu)
Pour mieux intégrer le vpn à l'environnement Gnome d'Ubuntu, vous pouvez exécuter les commandes suivantes :
- installez le paquet nécessaire :
sudo apt-get install network-manager-openvpn-gnome
- importer la configuration VPN :
nmcli connection import type openvpn file plm.ovpn
- exécuter les commandes suivantes pour apporter les modifications nécessaire au vpn en remplaçant "login_plm" par votre identifiant PLM/Mathrice :
nmcli connection modify openvpn connection.id plm
nmcli connection modify plm +vpn.data connection-type=password-tls
nmcli connection modify plm ipv4.never-default yes
nmcli connection modify plm +vpn.data username="login_plm"
Vous pouvez maintenant activer/désactiver le VPN depuis le panneau de commande (comme pour l'activation du Wifi et du Bluetooth)
Lancer manuellement le VPN
- installez openvpn suivant votre distribution GNU/Linux.
- entrez dans le dossier vpn-client après avoir dézippé le dossier, et exécutez en tant que root (ou par sudo selon la distribution Linux)
openvpn plm.conf
.
1.1c - Installer OpenVPN sur un portable MacOSX
- Installez Tunnelblick puis double-cliquez sur le fichier "plm.conf" présent dans le dossier vpn-client (issu de l'archive zip)
- Dans les Paramètres de Tunnelblick, veillez à ce que la case "Router tout le trafic IPv4 à travers le VPN" soit décochée !
1.2 - Activation de votre accès VPN sur la PLM
- Activez le service sur la tuile " Réseau privé virtuel ( VPN )" des services numériques de la PLM : https://services . math.cnrs.fr (en actionnant le bouton on/off)
Si vous ne pouvez pas demander un accès VPN, c'est que votre unité n'y est pas autorisée, contactez votre correspondant Mathrice.
- Après avoir demandé un accès, revenez sur cette page quelques minutes plus tard afin de récupérer votre paquet au format zip.
Cas d'un site avec proxy obligatoire
Si pour accéder au web vous devez utiliser un serveur proxy (par exemple dans Firefox ou internet explorer), il vous faudra sans doute indiquer le proxy dans le fichier plm.conf qui est fourni.
Il suffit pour cela de modifier la ligne http-proxy et d'y indiquer le nom du serveur proxy et le numéro de port (par ex : http-proxy proxy.univ-qqpart.fr 3128)
En cas de problème
Attention : vous ne pouvez ouvrir qu'un seul accès VPN à la fois. Si votre connexion n'arrête pas de se reconnecter, c'est qu'il doit exister une connexion à votre nom depuis un autre poste.
Note à l'attention des correspondants mathrice
Contacter support at math.cnrs.fr pour configurer vos routes VPN.