Installation d OpenVPN

École des Ponts ParisTech DSI Installation d OpenVPN

INTRODUCTION... 3 INSTALLATION SOUS WINDOWS... 3 Préambule... 3 Installation du logiciel OpenVPN... 3 Utilisation... 11 INSTALLATION SOUS LINUX... 13 Installation... 13 Utilisation... 14 INSTALLATION SOUS MAC OS X... 14 Installation... 14 Utilisation... 15 UTILISER CHANGEPROXY SOUS INTERNET EXPLORER... 15 UTILISER FOXYPROXY SOUS FIREFOX... 16

Introduction Ce document vous présente la procédure à suivre pour vous permettre d accéder aux ressources de l École des Ponts Paristech depuis n importe quel accès Internet. Pour cela, il est nécessaire d installer sur votre ordinateur le logiciel OpenVPN. Afin d autoriser l accès au réseau, un certificat de sécurité et un mot de passe vous seront fournis en fonction de vos besoins. Installation sous Windows Préambule L installation d OpenVPN nécessite une élévation de privilège. Sous Windows Seven, il n est pas nécessaire de désactiver l UAC (User Account Control) sauf en cas de problème. En revanche, il est nécessaire de lancer l installation et l application en tant qu administrateur (clic droit «Exécuter en tant qu administrateur»). PS : Le système d UAC de Windows Vista peut empêcher le bon fonctionnement du logiciel. Il est nécessaire de désactiver cette fonction avant installation (nécessite un redémarrage). N oubliez pas de réactiver l UAC après l installation. Pour les utilisateurs sous Linux et MacOS, la procédure d installation du logiciel est indiquée en dernière partie de ce document. Installation du logiciel OpenVPN Copiez le répertoire «OpenVPN» sur le bureau. Ouvrez le dossier «OpenVPN» et déposez votre certificat YYY-xxxx.enpc.fr qui vous a été transmis.

Copiez ici votre certificat Faites un clic droit sur «OpenVPN-Setup.exe» puis cliquez sur «Exécuter en tant qu administrateur». Effectuez une installation par défaut.

Lorsque la fenêtre «Sécurité de Windows» apparaît, cliquez sur «Installer» pour installer le pilote TAP-Win32.

Pour vérifier si le script s est bien déroulé, allez dans le répertoire C:\Program Files\OpenVPN\Config sous 32 bits ou C:\Program Files(x86)\OpenVPN\Config sous 64 bits Le répertoire config doit contenir votre certificat YYY-xxxx.enpc.fr.p12 et un fichier enpc.ovpn dont le contenu est semblable au fichier «config.txt» contenu dans le dossier d installation sauf la ligne 83 qui affiche le nom de votre certificat YYY-xxxx.enpc.fr.p12 Une icône «OpenVPN GUI» apparaît sur le bureau. L installation du logiciel est terminée. Il reste à configurer la détection du serveur proxy de l École des Ponts dans votre navigateur. Pour cela, activez la détection automatique des paramètres de proxy de votre navigateur. Par exemple sous Internet Explorer : Cliquez sur l onglet «Connexions»

Cliquez sur le bouton «Paramètres réseau» Cochez la case «Détecter automatiquement les paramètres de connexion». En cas de problème de connexion avec la détection automatique du proxy, indiquez le serveur http «etuproxy.enpc.fr» sur le port «3128» Pour cela, décochez la détection automatique du proxy.

Cochez la case «Utiliser un serveur proxy» puis saisissez l adresse «etuproxy.enpc.fr» et le port «3128». Décochez la case «Ne pas utiliser de serveur proxy pour les adresses locales». NB : Il existe des extensions sous Firefox «FoxyProxy» et sous Google Chrome «switch proxy» qui permettent de gérer facilement les connexions à travers un serveur proxy (voir à la fin de ce document). Pour Internet Explorer, il existe un utilitaire «Changeproxy» qui permet d activer ou désactiver un proxy (voir à la fin de ce document). Attention! il faut décocher la détection automatique du proxy. Pensez à re-cocher cette option après l utilisation d OpenVPN si votre accès à Internet le nécessite.

Utilisation Avant de lancer OpenVPN, vérifiez l accès à Internet de votre ordinateur et modifiez le serveur proxy de votre navigateur. Sous Windows XP, vous pouvez exécuter OpenVPN à l aide du raccourcis sur le bureau ou un clic droit sur l icône OpenVPN dans le «tray» (voir ci-dessous). Sous Windows Vista ou Seven, il est nécessaire de lancer l application «En tant qu administrateur». Pour exécuter OpenVPN avec les droits administrateur, faites un clic droit sur le raccourcis sur le bureau d OpenVPN et cliquez sur «Exécuter en tant qu administrateur» (Lire note plus bas). Une icône apparaît dans le «tray».

Faites un clic droit sur l icône d OpenVPN et cliquez sur «Connect». Si le Par-Feu Windows est activé la fenêtre suivante doit apparaître Autorisez l accès. Pour la configuration réseau de Windows Seven, définissez l accès «Réseau de bureau».

Entrez votre mot de passe. La couleur de l icône OpenVPN dans le «tray» devient verte. Lancez votre navigateur. Vous avez maintenant accès aux ressources de l École des Ponts Paristech liées à votre certificat de sécurité. En cas de problème, vous pouvez vérifier le fichier log généré lors du processus de connexion en faisant un clic droit sur l icône d OpenVPN dans le «tray» et en cliquant sur «View Log». Sous Windows Seven, il est possible de configurer définitivement le lancement d openvpn en tant qu administrateur. Pour cela, faites un clic droit sur le raccourcis «OpenVPN GUI» sur le bureau et cliquez sur «Propriétés» Dans l onglet «Compatibilité» cochez la case «Exécuter ce programme en tant qu administrateur». Installation sous Linux Installation Installez le logiciel OpenVPN version >= 2.1 (http://openvpn.net/index.php/opensource/downloads.html). Les paquets d'une distribution GNU/Linux récente doivent faire l'affaire. Il convient néanmoins de s'assurer d'utiliser une version >= 2.0 du logiciel et d'avoir intégré les mises à jour de sécurité éventuelles. Copiez le fichier de configuration OpenVPN «enpc.config» placé dans le dossier d installation dans le répertoire /etc/openvpn (ne pas l'installer sous l'extension.conf: dans ce cas le VPN serait automatiquement lancé au boot de la machine).

Utilisation Installez les scripts «up_script.sh» et «down_script.sh» dans le répertoire /etc/openvpn (ne pas oublier de les rendre executables: sudo chmod +x /etc/openvpn/up_script.sh /etc/openvpn/down_script.sh). Ces scripts on pour but de mettre à jour le fichier /etc/resolv.conf (résolution DNS: pointer sur les serveurs de l'école lorsque le VPN est activé, remettre la configuration utilisateur initiale lorsque l'on ferme le VPN) Installez votre certificat YYY-xxxx.enpc.fr.p12 dans le dossier /etc/openvpn. Soit on l'installe sous le nom certificat.enpc.p12 et le fichier de configuration enpc.config est OK, soit il faut adapter le fichier de configuration au nom exact du certificat. Pour activer le VPN l'utilisateur peut lancer la commande: sudo openvpn --config /etc/openvpn/enpc.config (ne pas oublier de saisir le mot de passe associé au certificat). rq: une interface clickodrome est également disponible ici : http://gopenvpn.sourceforge.net/ Si l'utilisateur désire modifier le mot de passe associé au certificat il peut utiliser les commandes suivantes (attention aux privileges nécessaires: utilisation de sudo par exemple): cd /tmp openssl pkcs12 -nokeys -in /etc/openvpn/certificat.enpc.p12 -cacerts -out cacert openssl pkcs12 -nokeys -in /etc/openvpn/certificat.enpc.p12 -clcerts -out clcert openssl pkcs12 -nocerts -nodes -in /etc/openvpn/certificat.enpc.p12 - out key openssl pkcs12 -export -inkey key -in clcert -certfile cacert -out /etc/openvpn/certificat.enpc.p12 /bin/rm -f cacert clcert key Installation sous Mac OS X Installation Pour les utilisateurs sous Mac OS, vous pouvez installer le logiciel Tunnelblick sous license libre (GNU GPL v2) contenu dans le répertoire d installation. L École des Ponts Paristech ne supporte pas MacOS. Nous vous signalons simplement la procédure d installation indiquée sur le site de Tunnelblick (http://code.google.com/p/tunnelblick/) Ouvrez à l aide de TextEdit le fichier de configuration enpc.ovpn placé dans le dossier d installation puis modifier à la ligne 5 «votre.certificat.enpc.p12» par le nom de votre certificat Après l installation de Tunnelblick (http://code.google.com/p/tunnelblick/wiki/cinstall), sans configuration, vous devez copier votre certificat et le fichier enpc.ovpn que vous avez modifié dans le répertoire suivant : ~/Library/Application Support/Tunnelblick/Configurations/ Une autre méthode d installation est possible depuis la version 3.1 de Tunnelblick

Créez un dossier «enpc» dans lequel vous créez un autre dossier «Contents» dans lequel vous créez un dossier «Resources» et copiez à l intérieur de «Resources» votre certificat et le fichier «enpc.ovpn». Renommez le dossier «enpc» en «enpc.tblk». Cliquez sur le fichier «enpc.tblk» pour installer la configuration. Utilisation Vous pouvez lancer Tunnelblick après avoir modifié le proxy de votre navigateur comme indiqué précédemment. Faites un clic sur l icône Tunnelblick dans le «tray» et lancez la configuration enpc Depuis la version Mac OS 10.7, le dossier Library est invisible. Pour y accéder, vous avez le choix entre : «Finder» puis dans la barre des menus «Aller», maintenir la touche Alt appuyée fera apparaître le dossier Bibliothèque (ou Library) Ou Faire la combinaison de touche Shift+ Pomme+g qui lance la fenêtre «Aller au dossier» puis tapez la commande ~/Library/Application Support/Tunnelblick/Configurations/ Utiliser Changeproxy sous Internet Explorer Désactivez la détection automatique du proxy comme indiqué ci-dessus. Fermez le navigateur «Internet Explorer» (le changement de proxy n est pas dynamique). Deux serveurs proxy peuvent être utilisés.

Tapez l adresse «etuproxy.enpc.fr :3128» et cliquez sur «Set» Cliquez sur le bouton «Proxy Disabled» pour activer le proxy. Vous pouvez démarrer Internet Explorer et naviguer à travers le proxy. Fermez Internet Explorer et cliquez sur le bouton «Proxy Enabled» pour retirer le proxy. Utiliser FoxyProxy sous Firefox Pour utiliser l extension «FoxyProxy» de Firefox rendez-vous sur la page https://addons.mozilla.org/en-us/firefox/addon/foxyproxy-standard/ Installez le plugin dans firefox. Si l icône du renard ci-dessous n apparaît pas Allez dans le menu Outils et cliquez sur FoxyProxy Standard

Cliquez sur «Ajouter un nouveau proxy». Cochez Configuration manuelle du proxy et indiquez l adresse etuproxy.enpc.fr et le port 3128 Cliquez sur OK pour valider. Cliquez sur OK et fermez la fenêtre FoxyProxy Pour activer le proxy : Clic droit sur l icône FoxyProxy ou clic sur menu outils/foxyproxy Standard

Cliquez sur «Utiliser le proxy etuproxy.enpc.fr :3128 pour toutes les URL» Contrairement à Proxychange, le changement de proxy est dynamique. Vous n avez pas besoin de redémarrer Firefox.