On 08/04/2011 10:50, cam.lafit@azerttyu.net wrote:
Bonjour à tous
Comme vous pouvez le voir j'ai essayé de faire un objet de mail assez explicite malgré tout :)
Je me demande comment faire 2 choses que je retrouve dans le service hamachi : 1/ pouvoir créer des grappes de clients vpn indépendantes 2/ fournir au client simplement l'ensemble des certificats/paramétres et cacher l'ensemble des étapes intermédiaires.
Pour le 1/ mon besoin est de pouvoir affecter un client vpn à une groupe et de restreindre sa visibilité à son groupe. Après recherches j'ai bien l'impression qu'il y a des possibilités mais je ne trouve pas de documentation pertinente (WITFM?).
Il te faut openvpn pour affecter un réseau à tes clients/groupes http://openvpn.net/index.php/open-source/documentation/howto.html#policy Ensuite avec ton parefeu tu filtres les accès entre tes réseaux.
Pour le 2/ l'idée serait : j'installe mon client vpn et via une méthode quelconque je récupère l'ensemble des clefs et certificats à installer de façon transparente.
Perso j'utilise webmin qui me génère ma conf et mes certificats. Pour ton install automatique, le plus simple est d'utiliser openvpn portable, je l'ai testé rapidement, mais à la fin tu as un dossier avec un openvpn.exe et un dossier de conf avec conf+certificat, du-coup c'est facile à déployer, en plus il te crée le TAP lorsque tu lances le exe(qu'il te propose de desinstaller ou garder à la fermeture du programme). Ca te permet par exemple de simplement donner à tes utilisateurs une clef USB/un rar et il y a tout pour lancer le VPN.
Une autre solution est de faire un bout de script qui utilise les sources du client openvpn. Tu changes le paramétrage de l'installeur pour qu'au moment de l'installe il te mette ta conf et certificat dans le bon répertoire. J'ai pas testé mais il y a déjà les sources du script d'install NSIS (null soft) ca doit être assez simple à modifier. ./monscript.sh client1 Cela te génère un beau openvpn.exe, qui installe openvpn, la conf, et tes certifs.
En espérant avoir été clair (pas gagné je ne suis qu'au second café :)
Km _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/