- La téléphonie Internet libre basée sur Asterisk par Sylvain Thérien - http://www.tux89.com -

Installation de OpenVPN serveur sur le routeur DD-WRT

Le premier article de cette série de deux articles [1] présente la mise en place la portion serveur d’une solution RPV pour Asterisk.

OpenVPN est un logiciel libre RPV conçu par James Yonan. OpenVPN est un outil universel RPV offrant une très grande souplesse ainsi qu’une multitude d’options et il est offert sur une vaste gamme de plateformes. Si vous ne connaissez pas OpenVPN, vous voudrez sûrement consulter le site d’OpenVPN [2] pour plus d’information.

Votre serveur Asterisk étant fonctionnel, nous aurons besoin, afin de faire fonctionner la solution, d’installer et de configurer les 2 composants clés de notre solution, soit OpenVPN serveur sur un routeur DD-WRT. OpenVPN client sur le téléphone SNOM 820 sera présenté dans un article séparé. Il est à noter qu’OpenVPN serveur est aussi offert sous d’autres plateformes telles qu’OpenWRT, Microsoft Windows ou Linux dont CentOS, Debian, etc.. Cet article ne traitera que de la partie serveur RPV alors que le prochain article « Téléphone SNOM 820 en mode RPV [1] » traitera de la partie client RPV et sera disponible prochainement.

[3]

Installation d’OpenVPN serveur sur le routeur DD-WRT

Les caractéristiques de la configuration utilisée pour le RPV sont les suivantes :

Vous devez premièrement vous procurer un routeur supportant DD-WRT. Celui que j’utilise est le modèle WRT54G de Linksys, maintenant une division de Cisco. Comme mentionnés précédemment, ils sont accessibles à très bon prix sur eBay [4].

Tout d’abord, il faudra installer la version « mini » et ensuite installer la version complète RPV offrant le soutien OpenVPN de DD-WRT. Consultez l’article « Réseau personnel pour la téléphonie à 30 $ [5] » pour consulter la liste des fonctions et des plateformes supportées ou connaître les différentes fonctionnalités du routeur.

Pour la mise en place initiale du micro-logiciel DD-WRT sur un routeur Linksys modèle WRT54G, vous devez tout d’abord installer la version mini de DD-WRT. Pour la version 24, le fichier correspond à « dd-wrt.v24_mini_generic.bin ».

Pour vous procurer le bon fichier, référez-vous au site de téléchargement de DD-WRT que vous trouverez ici : http://www.dd-wrt.com/site/support/router-database [6]

[7]

Une fois le routeur redémarré avec cette nouvelle version, vous devez ensuite installer la version RPV de DD-WRT qui offre la fonctionnalité OpenVPN. Pour la version 24, le fichier correspond à « dd-wrt.v24_vpn_generic.bin ». Une fois le routeur redémarré avec la fonctionnalité OpenVPN, vous serez enfin prêt à passer à l’étape de la configuration du RPV proprement dit.

Note : Pour des instructions plus détaillées sur l’installation et la mise en place de clés publiques sous DD-WRT, voir ce lien : http://www.dd-wrt.com/wiki/index.php/OpenVPN [8]

Création des clés et des certificats pour OpenVPN

Le serveur OpenVPN sera configuré afin d’utiliser des certificats SSL pour l’authentification des clients. Cette méthode offre un meilleur niveau de sécurité que l’utilisation de clé statique et surtout, permet à plusieurs clients, c’est à dire dans ce cas-ci des téléphones, de se connecter au serveur simultanément.

Vous commencez par créer une paire contenant la clé et le certificat pour l’autorité de certification « CA » que vous mettez en place. Ensuite, pour le serveur et chacun des clients, vous devez créer une paire de clé privée et de certificat et signer les certificats en utilisant la clé privée de l’autorité de certification « CA ». Une fois terminé, vous devriez avoir les fichiers suivants à votre disposition :

ca.crt : Le certificat public du CA
ca.key : La clé privée du CA
dh{n}.pem : Fichier Diffie Hellman pour l’échange de clés {1024 ou 2048 bits}
server.crt : Le certificat public du serveur
server.key : La clé privée du serveur

De plus, pour chaque client, vous aurez une clé privée et un certificat public. Par exemple, si vous avez deux clients, vous devriez avoir les fichiers suivants à votre disposition :

client1.crt : Le certificat public du premier client
client1.key : La clé privée du premier client
client2.crt : Le certificat public du deuxième client
client2.key : La clé privée du deuxième client

Sous Linux, vous aurez besoin des 2 paquets suivants, « openssl » et « openvpn » afin de pouvoir mettre en place votre infrastructure de clés publiques. Vous pouvez utiliser votre serveur Asterisk pour cette tâche si vous n’avez pas déjà un autre serveur Linux de disponible. Pour faire l’installation d’Openssl et openvpn, vous pouvez utiliser la commande « yum » ou « apt-get » si vous êtes sous Debian.

Si vous désirez plutôt utiliser un système Microsoft Windows pour mettre en place votre infrastructure de clés publiques, consultez plutôt le lien suivant pour faire la création des clés et certificats : Networking/Virtual Private Network (VPN)/How To for windows [9]

Exécutez maintenant les commandes suivantes afin de générer les clés et les certificats. Obtenez premièrement le mode d’accès sur votre système ayant le plus de privilèges, c’est-à-dire l’utilisateur « root ».

sudo bash

N’oubliez pas qu’avant de poursuivre avec les étapes ci-dessous, vous devez avoir openvpn installé et fonctionnel sur votre serveur. Un petit test rapide consiste à vérifier si le répertoire /etc/openvpn existe sur votre système. Copiez le répertoire d’exemples puis déplacez-vous vers le dossier de script OpenVPN.

cp -R /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa/vars

Avant toute chose, vous devriez faire une copie de sauvegarde du script vars.

cp vars vars_original

Vous pouvez maintenant modifier certaines valeurs à défaut dans le script vars afin de gagner du temps lors de l’entrée des données. Les paramètres KEY_SIZE, KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG et KEY_EMAIL sont les variables à modifier selon vos besoins. Veuillez noter que si vous modifiez dans le futur la variable KEY_SIZE, vous devrez relancer le script « source ./vars ». Faites les changements avec la commande suivante ou l’éditeur de votre choix :

vi vars

J’ai modifié les variables avec les paramètres suivants :

Nom du Pays (code à 2 lettres) [CA] : CA
Nom de l’État ou la province (nom complet) [Québec] : Québec
Nom de la Localité (par exemple, ville) [Montréal] : Montréal
Nom de l’organisme (par exemple, entreprise) [Tux89] : Tux89
Nom de l’unité de l’organisation Nom (par exemple, l’article) [AccesVPN] : AccesVPN
Nom commun (par exemple, votre nom ou le nom de votre serveur) [TUX89CA] : TUX89CA
Adresse courriel [openvpn@tux89.com] : openvpn@tux89.com

Exécutez maintenant les commandes afin de générer les certificats. Premièrement, exportez les variables « vars » et le chemin d’accès à l’invite de commande.

cd ..
source ./vars

Nettoyez les anciennes clés stockées dans le répertoire des clés « /etc/openvpn/keys/ ».

./clean-all

Créez les fichiers ca.crt et ca.key pour l’autorité de certification.

./build-ca

On vous demandera d’entrer certains paramètres. Voici un exemple de ce que j’ai utilisé :

Nom du Pays (code à 2 lettres) [CA] : CA
Nom de l’État ou la province (nom complet) [Québec] : Québec
Nom de la Localité (par exemple, ville) [Montréal] : Montréal
Nom de l’organisme (par exemple, entreprise) [Tux89] : Tux89
Nom de l’unité de l’organisation Nom (par exemple, l’article) [AccesVPN] : AccesVPN
Nom commun (par exemple, votre nom ou le nom de votre serveur) [TUX89CA] : TUX89CA
Adresse courriel [openvpn@tux89.com] : openvpn@tux89.com

Créez les fichiers server.key et server.crt pour votre serveur.

./build-key-server

On vous demandera d’entrer certains paramètres. Voici un exemple de ce que j’ai utilisé :

Nom du Pays (code à 2 lettres) [CA] : CA
Nom de l’État ou la province (nom complet) [Québec] : Québec
Nom de la Localité (par exemple, ville) [Montréal] : Montréal
Nom de l’organisme (par exemple, entreprise) [Tux89] : Tux89
Nom de l’unité de l’organisation Nom (par exemple, l’article) [AccesVPN] : AccesVPN
Nom commun (par exemple, votre nom ou le nom de votre serveur) [TUX89CA] : DDWRT
Adresse courriel [openvpn@tux89.com] : openvpn@tux89.com

Créez les fichiers client1.key et client1.crt pour votre premier client.

./build-key client1

On vous demandera d’entrer certains paramètres. Voici un exemple de ce que j’ai utilisé :

Nom du Pays (code à 2 lettres) [CA] : CA
Nom de l’État ou la province (nom complet) [Québec] : Québec
Nom de la Localité (par exemple, ville) [Montréal] : Montréal
Nom de l’organisme (par exemple, entreprise) [Tux89] : Tux89
Nom de l’unité de l’organisation Nom (par exemple, l’article) [AccesVPN] : AccesVPN
Nom commun (par exemple, votre nom ou le nom de votre serveur) [TUX89CA] : CLIENT1
Adresse courriel [openvpn@tux89.com] : openvpn@tux89.com

Faites de même pour le deuxième client et ainsi de suite si nécessaire.

./build-key client2

Créez le fichier dh1024.pem ou dh2048.pem, selon la taille de clé désirée. Il est à noter que si vous changez la valeur du paramètre KEY_SIZE, vous devrez refaire toutes les étapes ci-dessus en commençant par « source /.vars ».

./build-dh

À ce stade, vous avez créé les certificats et les clés dont vous aurez besoin sur le serveur et les clients. Vous les trouverez dans le répertoire des clés « /etc/openvpn/keys/ ». Assurez-vous de les garder dans un endroit à l’abri des regards.

Suivez ces instructions détaillées http://openvpn.net/howto.html [10] si vous avez besoin de plus d’information pour créer les certificats et les clés.

Configuration d’OpenVPN serveur sur le routeur DD-WRT

Depuis la version v.24 SP1 de DD-WRT, il est possible de configurer OpenVPN serveur et client en utilisant uniquement l’interface graphique Web. Ainsi, à l’opposé des versions précédentes, il n’est plus nécessaire d’utiliser un script afin d’émettre des commandes « shell » ou d’effectuer l’installation de certificats et de fichiers de configuration par la commande « echo ». Si vous désirez mettre en place un serveur OpenVPN sur DD-WRT et ses clients sur un ordinateur personnel ou sur un autre routeur DD-WRT en utilisant seulement l’interface graphique Web, simplement consultez cet excellent tutoriel en anglais :

http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24+ – The_Firewall_Script [11]

Puisque les choses peuvent être parfois différentes, j’ai choisi d’effectuer la configuration d’OpenVPN sous DD-WRT en utilisant la méthode manuelle, c’est à dire en utilisant un script afin d’émettre des commandes « shell » et d’effectuer l’installation de certificats et de fichiers de configuration par la commande « echo ». Pour accéder à l’interface et effectuer les changements, allez dans le menu « Administration – Commands » de votre routeur DD-WRT, descendez au bas de la section « Startup » et appuyez sur « Edit ».

[12]

Notez qu’il est possible que le contenu de la section « Satrtup » soit vide, par exemple si n’avez jamais effectué de configuration au préalable. Maintenant, entrez les commandes suivantes dans la fenêtre d’édition « Commands » qui se situe tout en haut de l’écran.

cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn
/tmp/myvpn –mktun –dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up
echo  »
# Tunnel options
# Set OpenVPN major mode mode server implements a
# multi-client server capability
mode server
# Setup the protocol (server). Protocol can be udp, tcp-client
# or tcp-server. The default protocol is udp when proto is not specified.
# For UDP operation, proto udp should be specified on both peers.
proto udp
#
# TCP/UDP port number
# The default of 1194 for OpenVPN and has been used since version
# 2.0-beta17. Previous versions used port 5000 as the default.
port 1194
#
# TUN/TAP virtual network device
# You must use either tun devices on both ends of the connection or
# tap devices on both ends. You cannot mix them, as they represent
# different underlying network layers. tun devices encapsulate IPv4
# or IPv6 (OSI Layer 3) while tap devices encapsulate Ethernet
# 802.3 (OSI Layer 2).
dev tap0
#
# Silence repeating messages
# Simplify the expression of –ping
#### keepalive expand to ####
# if mode server :
# ping 10
# ping-restart 120
# push « ping 10 »
# push « ping-restart 60 »
# else
# ping 10
# ping-restart 60
#######################
keepalive 10 120
#
# Become a daemon after all initialization. This option will cause
# all message and error output to be sent to the syslog file
# except for the output of shell scripts and ifconfig commands
# which will go to /dev/null unless otherwise redirected.
daemon
#
# Set log file verbosity.
# Level 3 is recommended if you want a good summary of what’s
# happening without being swamped by output.
# 0 — No output except fatal errors.
# 1 to 4 — Normal usage range.
# 5 — Output R and W characters to the console for each packet read
# and write uppercase is used for TCP/UDP packets and lowercase
# is used for TUN/TAP packets.
# 6 to 11 — Debug info range (see errlevel.h for additional
# information on debug levels).
verb 3
#
# Use fast LZO compression.
# Mode may be yes, no, or adaptive (default).
# In a server mode setup, it is possible to selectively turn
# compression on or off for individual clients. First, make sure the
# client-side config file enables selective compression by having at
# least one directive such as comp-lzo no. This will turn off compression
# by default, but allow a future directive push from the server to
# dynamically change the on/off/adaptive setting. Next in a
# client-config-dir file, specify the compression setting for the client,
# for example: The first line sets the comp-lzo setting for the server
# side of the link, the second sets the client side.
# comp-lzo yes
# push « comp-lzo yes »
#
comp-lzo
#
# Write operational status to file
status openvpn-status.log
#
# server-bridge gateway netmask pool-start-IP pool-end-IP
# set aside a IP range in the bridged subnet, denoted by pool-start-IP
# and pool-end-IP, for OpenVPN to allocate to connecting clients.
#### server-bridge expand to ####
# mode server
# tls-server
# ifconfig-pool 192.168.11.20 192.168.11.29 255.255.255.0
# push \ »route-gateway 192.168.11.1\ »
#############################
server-bridge 192.168.11.1 255.255.255.0 192.168.11.20 192.168.11.29
#
# Push a config file option back to the client for remote execution.
# The client must specify pull in its config file.
push \ »dhcp-option DNS 192.168.11.1\ »
#
# OpenVPN server mode options
# tells OpenVPN to internally route client-to-client traffic .Because
# the OpenVPN server mode handles multiple clients through a single
# tun or tap interface, it is effectively a router. Tells OpenVPN to
# internally route client-to-client traffic rather than pushing all
# client-originating traffic to the TUN/TAP interface.
client-to-client
#
# Allow multiple clients with the same common name. In the
# absence of this option, OpenVPN will disconnect a client instance
# upon connection of a new client having the same common name.
duplicate-cn
#
# SSL/TLS parms.
# It’s best to use a separate .crt/.key file pair for each client.
# A single ca file can be used for all clients.
# Enable TLS and assume server role during TLS handshake
tls-server
#
# Certificate authority (CA) file
ca ca.crt
#
# File containing Diffie Hellman parameters
dh dh1024.pem
#
# Server public signed certificate
cert server.crt
#
# Server private key
key server.key
#
# Disable encryptions (For debugging)
; cipher none
#
# Disable authentication (For debugging)
; auth none
#
 » > openvpn.conf
#
echo  »
—–BEGIN CERTIFICATE—–
… Copiez le contenu entre BEGIN CERTIFICATE et
END CERTIFICATE du fichier ca.crt ici …
—–END CERTIFICATE—–
 » > ca.crt
#
echo  »
—–BEGIN RSA PRIVATE KEY—–
… Copiez le contenu entre BEGIN RSA PRIVATE KEY et
END RSA PRIVATE KEY du fichier server.key ici …
—–END RSA PRIVATE KEY—–
 » > server.key
#
chmod 600 server.key
#
echo  »
—–BEGIN CERTIFICATE—–
… Copiez le contenu entre BEGIN CERTIFICATE et
END CERTIFICATE du fichier server.crt ici …
—–END CERTIFICATE—–
 » > server.crt
#
echo  »
—–BEGIN DH PARAMETERS—–
… Copiez le contenu entre BEGIN DH PARAMETERS et
END DH PARAMETERS du fichier dh1024.pem ici …
—–END DH PARAMETERS—–
 » > dh1024.pem
#
sleep 5
#
/tmp/myvpn –config openvpn.conf

Notez que vous devez copier le contenu approprié des certificats et des clés défini entre les sections BEGIN et END. Vous devrez le faire pour les éléments suivants :

Ainsi, pour le certificat public de l’autorité de certification, c’est-à-dire le fichier ca.crt que vous avez généré précédemment, prenez le contenu approprié situé entre les sections BEGIN et END et remplacez comme dans l’exemple ci dessous :

echo  »
—–BEGIN CERTIFICATE—–
Vomnndkhgtf2+Mufowcuuzdd4Yzejrsonrc9Yoowcj90Z6Jipenihqgi5Vqeonxy
Tzofixecuvthirfme63Qif8Deon3Yaogvwxajufg4V58Odh0Jmfpo9Cuoa4Nens7
5I68F8Ceebfwmsjinzzaeenh6Hih3Cifaity6To2Psuaez1Pwxe4Y2Bsdaxwjdgs

Aogaraqc51Y4Masf75Ob/Dv3Sicmivpxk4Ffsl4Ejewq5Uizwdq26Su0Exznu5Gy
Gz8Wdqyjkozihvcnaqebbqadgy0Amigjaogbalexmnzn7Zq97Mpdn+Amj9Ocbbyf
Afjnxyyl8Lzserwizgmpwrrvv9Jvuwwy3Vbiirtw8Tymejikqwdgzgqrjqidaqab
—–END CERTIFICATE—–
 » > ca.crt

Pour sauvegarder les changements, appuyez sur « Save Startup » situé tout au bas de la page.

[13]

Explications de la configuration d’OpenVPN serveur sur le routeur DD-WRT

Voici maintenant quelques explications sur la configuration serveur RPV que nous venons de créer.

Lorsqu’une directive débute par « ; », elle n’est pas mise en vigueur dans la configuration. De plus, le caractère « # » indique un commentaire peut importe où il se trouve, ainsi tout ce qui suit le caractère « # » ne pourra être considéré pour une directive.

Les deux commandes suivantes servent à rendre disponible Openvpn sur le répertoire temporaire /tmp sur le routeur DD-WRT.

cd /tmp
ln -s /usr/sbin/openvpn /tmp/myvpn

Les trois commandes suivantes servent à configurer l’interface réseau en mode Bridge, c’est à dire en la définissant en mode TAP0.

/tmp/myvpn –mktun –dev tap0
brctl addif br0 tap0
ifconfig tap0 0.0.0.0 promisc up

La directive « mode server » met le mode principal du RPV en un mode serveur multi clients.

La directive « proto udp » spécifie que nous utilisons des paquets UDP dans l’échange avec les clients. On doit utiliser le même paramètre sur le client que celui indiqué ici. Le protocole peut être « udp » ou « tcp-server » sur le serveur et « udp » ou « tcp-client » sur le client. Le protocole est UDP par défaut lorsque la directive « proto » n’est pas spécifiée.

La directive « port 1194 » indique le port de communication du serveur. La valeur par défaut 1194 pour OpenVPN est utilisée depuis la version 2.0-beta17. Les versions précédentes utilisaient le port 5000 par défaut.

La directive « dev tap » doit être identique à ce réglage sur le client. Sur la plupart des systèmes, le RPV ne fonctionnera qu’à la condition d’effectuer les bons réglages sur le pare-feu pour l’interface TUN ou TAP. Le paramètre « tun » encapsule les paquets IPv4 ou IPv6 à la couche OSI niveau 3 tandis que le paramètre « tap » effectue une passerelle Ethernet avec encapsulation Ethernet 802.3 au niveau 2 OSI.

La directive « keepalive 10 120 » permet l’envoi de messages silencieux répétitif permettant de garder la communication. Équivalent à « ping 10 », « ping-restart 120 », « push « ping 10 » » et « push « ping-restart 60 » ».

La directive « daemon » permet au serveur de fonctionner en mode arrière-plan après l’initialisation. Le terme daemon est bien connu dans le langage du monde Unix. Cette option entraînera toutes les sorties de messages et d’erreurs à être envoyés dans le fichier syslog sauf pour la sortie de scripts shell et les commandes ifconfig qui iront vers /dev/null sauf si redirigé vers un autre endroit.

La directive « verb 3 » spécifie le niveau de verbosité du journal à la console. Le niveau 3 est recommandé si vous voulez un bon résumé de ce qui se passe sans être submergé. Les niveaux possibles sont les suivants :

La directive « comp-lzo » permet d’activer la compression sur le lien RPV. Cette directive doit être également activée dans la configuration du client. Le mode de cette directive peut être « yes », « no », ou par défaut « adaptive ». Dans une installation en mode serveur, il est possible de manière sélective d’activer ou de désactiver la compression pour les clients individuellement. D’abord, assurez-vous que du côté client le fichier de configuration permet la compression sélective en ayant au moins une directive telle que « comp-lzo no ». Cela désactivera la compression par défaut, mais permettra une poussée future de directive dynamiquement à partir du serveur. Pour changer la directive sur le client, spécifiez le paramètre de compression pour le client. Par exemple, la première directive définit la compression pour le serveur « comp-lzo yes » et la seconde définit la compression pour le côté client « push « comp-lzo yes » ».

La directive « status openvpn-status.log » indique où écrire les statuts opérationnels.

La directive « server-bridge 192.168.11.1 255.255.255.0 192.168.11.20 192.168.11.29 » indique la passerelle du client vers le serveur ainsi que le masque réseau. De plus, elle indique la plage d’adresse IP à mettre de côté dans le sous-réseau, désigné par une adresse de début et de fin qui seront alloués aux clients qui se connectent. Cette directive se traduit par « mode server », « tls-server », « ifconfig-pool 192.168.11.20 192.168.11.29 255.255.255.0 » et « push \ »route-gateway 192.168.11.1\ » ».

La directive « push \ « dhcp-option DNS 192.168.11.1 \ » » pousse l’option DNS vers le client pour l’exécution à distance. Le client doit préciser la directive « pull » dans son fichier de configuration afin de pouvoir récupérer cette directive serveur.

La directive « client-to-client » indique au serveur de router à l’interne le trafic entre les clients RPV plutôt que de pousser tout le trafic en provenance des clients RPV vers l’interface TUN/TAP.

La directive « duplicate-cn » autorise les clients multiples avec le même nom commun. En l’absence de cette option, OpenVPN déconnectera un client par exemple lors de la connexion d’un nouveau client ayant le même nom.

La directive « tls-server » active TLS et assume le rôle de serveur durant la négociation TLS. Avec cette méthode, il est préférable d’utiliser un certificat public et une clé privée séparée pour chaque client.

La directive « ca ca.crt » indique le certificat de l’autorité de certification (CA).

La directive « cert server.crt » indique le certificat public du serveur.

La directive « key server.key » indique la clé privée du serveur.

La directive « dh1024.pem dh » indique le fichier contenant les paramètres Diffie Hellman.

La directive « cipher none » désactive le cryptage, ce qui a été pratique dans mon cas pour diagnostiquer les problèmes. Notez que cette directive n’est pas active car elle est précédée par un « ; ».

La directive « auth none » désactive l’authentification, ce qui a été pratique dans mon cas pour diagnostiquer les problèmes. Notez que cette directive n’est pas active car elle est précédée par un « ; ».

Configuration des règles de pare-feu sur le routeur DD-WRT

Maintenant que nous avons terminé avec les explications de la configuration RPV du serveur, il faut configurer les règles du pare-feu afin que la passerelle RPV puisse communiquer adéquatement avec notre réseau local. Ajouter les deux règles suivantes en appuyant sur « Edit » dans la section RPV tout au bas de l’écran. La première directive permet d’accepter le trafic sur l’interface tap0, soit l’interface en mode Bridge de notre routeur. La deuxième permet d’accepter le trafic UDP sur le port 1194, soit l’interface RPV de notre routeur qui servira à établir la connexion RPV initiale. Pour sauvegarder les changements, appuyez sur « Save Firewall ».

# permets les connections pour le RPV
iptables -A INPUT -i tap0 -j ACCEPT
iptables -I INPUT -p udp –dport 1194 -j ACCEPT

[14]

Nous avons terminé les changements concernant la portion serveur. Assurez-vous de redémarrer maintenant le routeur DD-WRT. Si vous possédez un deuxième routeur fonctionnant sous DD-WRT, alors configurez-le comme client RPV, avec la paire de clés client afin de vérifier votre configuration. Le lien suivant décrit la façon de faire :

http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B#Client_Configuration_-_DD-WRT [15]

Vous pouvez aussi utiliser le logiciel OpenVPN client sous Microsoft Windows [16] ou encore Tunnelblick sous Mac OSX [17] afin de vérifier votre configuration. Si vous validez avec les clients PC et MAC, alors utilisez comme base la configuration RPV client décrite dans la section « Configuration du profile OpenVPN client pour le téléphone SNOM 820 » de l’article « OpenVPN client sur le téléphone SNOM 820 [18] » qui sera disponible bientôt et dans lequel je présenterai  la configuration du client RPV requise pour le téléphone SNOM 820.

Références :

http://www.dd-wrt.com/wiki/index.php/Tutorials [19] http://www.dd-wrt.com/wiki/index.php/Installation/fr [20] http://www.dd-wrt.com/wiki/index.php/OpenVPN [8] http://openvpn.net/index.php/open-source/documentation/howto.html [21] http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B [22]

Guide d’aide (Manuel) pour OpenVPN

http://openvpn.net/index.php/open-source/documentation/manuals/69-openvpn-20.html [23] pixelstats trackingpixel