====== Raspberry Pi : un serveur VPN avec PPTP ====== D'après [[http://wellsb.com/post/29412820494/raspberry-pi-vpn-server]] Tout peut se faire : * par SSH * ou par VNC * ou avec un clavier, une souris et un écran branchés sur le RasPi. Un RasPi peut servir de serveur VPN pour tunneliser internet en voyage. Cela permet, par exemple, de naviguer en sécurité à partir d'un réseau wi-fi public. Ou encore, avec la complicité d'un ami en France qui accepte de prêter son internet de temps en temps. Lui demander de brancher le Raspi sur son réseau. Cela fournit une adresse IP française pour utiliser tous les services français tout en étant à l'étranger. ===== Configuration du serveur VPN (RasPi) ===== D'abord, il faut une distribution qui ait le support MPPE. Pour le tester, taper : sudo modprobe ppp-compress-18 Si cela fonctionne sans erreur, le noyau convient. Maintenant, installer le package du serveur PPTP avec la commande suivante : sudo apt-get install pptpd Ensuite, éditer le fichier /etc/pptpd.conf en lançant dans un terminal la commande : sudo nano /etc/pptpd.conf A la fin du fichier, ajouter (ou décommenter si elles existent déjà) les lignes suivantes : localip 192.168.0.1 remoteip 192.168.1.234-238,192.168.1.245 Bien remplacer avec les informations correctes. * LocalIP = adresse IP interne du RasPi * remote IP = plage d'adresses IP qui seront fournies aux clients. Maintenant, éditer le fichier /etc/ppp/pptpd-options : sudo nano /etc/ppp/pptpd-options Ajouter les directives suivantes à la fin du fichier : ms-dns 192.168.1.1 nobsdcomp noipx mtu 1490 mru 1490 L'adresse IP utilisée pour la directive ms-dns est le serveur DNS pour le réseau local auquel le client va se connecter (très probablement l'adresse IP du routeur). Ensuite, éditez le fichier /etc/ppp/chap-secrets. Il contient les informations d'identification pour se connecter au serveur VPN. sudo nano /etc/ppp/chap-secrets Y ajouter les identifiants sous la forme ci-dessous : usernameTab*TabpasswordTab* Un mot de passe solide est recommandé pour une authentification forte Redémarrer le démon PPTP en exécutant la commande suivante : sudo service pptpd restart Maintenant, activer la redirection pour pouvoir accéder au réseau domestique de l'extérieur. Modifier le fichier sysctl : sudo nano /etc/sysctl.conf Trouver la ligne net.ipv4.ip_forward=1 et la décommenter (ou changer = 0 en = 1) pour activer le transfert. Maintenant, exécuter la commande suivante pour appliquer les modifications : sudo sysctl -p Le serveur est prêt. Configurons maintenant le routeur. ===== Configuration du routeur ===== Il faut rediriger le port TCP 1723 sur le routeur vers l'adresse IP du RasPi. Pendant qu'on y est, on peut donner une adresse IP statique pour le RasPi dans les paramètres DHCP du routeur. Ainsi, l'adresse IP locale du RasPi ne change pas. ===== DNS dynamique (RasPi) ===== Pour se connecter au RasPi, nous allons mettre en place un DNS dynamique sur notre RasPi -> nous pourrons nous référer à notre serveur VPN par nom d'hôte. Tout d'abord, s'inscrire sur le site [[http://www.dnsdynamic.org/]]. Valider l'adresse e-mail, et ajouter un domaine. Enregistrer le nouveau nom de domaine avec l'adresse IP qui s'affiche par défaut. Nous utiliserons la notation [domaine].Dnsdynamic.com pour le nom de domaine -> il suffit de la remplacer par le nom de domaine que vous avez sélectionné. De retour sur le RasPi ouvrir un terminal et taper sudo apt-get install ddclient Un dialogue d'installation apparaît. Lorsqu'on leur demande de choisir un fournisseur de service DNS dynamique, choisissez «Autre». Il faut demander le nom du fournisseur de services. Entrez "www.dnsdynamic.org" Sur l'écran suivant, sélectionnez l'option "dyndns2« protocole. Maintenant, entrez le nom d'utilisateur (adresse email) et mot de passe que vous avez utilisée lors de votre inscription à dnsdynamic.org Il , maintenant, se demande quelle interface réseau à utiliser. Si vous utilisez le port Ethernet de votre Pi, entrez "eth0". Si vous avez installé un adaptateur usb interface wifi, vous pouvez entrer "wlan0" Ensuite, entrez le nom de domaine de votre inscription: ". [Domaine] dnsdynamic.com" Maintenant, attendez que l'installation soit terminée. Si vous êtes derrière un routeur, ddclient de manière incorrecte associer votre adresse IP interne de votre domaine DNS dynamique. Vous pouvez le vérifier en allant à dnsdynamic.org, connectez-vous, cliquez sur gérer et modifier votre nom de domaine existant. Nous allons corriger cela. Modifier ddclient.conf : sudo nano /etc/ddclient.conf Trouvez la ligne "use=if, if=eth0" et la commenter (ajouter un # devant). Ajoutez la ligne "use=web, web=checkip.dyndns.org Sauvegardez et quittez Redémarrer ddclient : sudo service ddclient restart Maintenant, quand vous allez à dnsdynamic.org et aller pour gérer et modifier votre nom de domaine existant, vous devriez voir votre adresse IP publique, maintenant. Nous avons fini côté serveur. Maintenant, nous allons configurer nos clients. ===== Installation du client Windows 7 ===== Dans le Centre Réseau et partage, mettre en place une nouvelle connexion. Connectez-vous à lieu de travail Utiliser ma connexion Internet (VPN) Adresse Internet : [Domaine].dnsdynamic.com Nom destination : "Raspberry Pi" (ou le nom que vous voulez pour votre serveur VPN) Entrez Nom d'utilisateur et Mot de passe (à partir de chap-secrets sur le RasPi !) Si la connexion échoue, configurer cette connexion de toute façon et passer à la prochaine Retour à l'étape Centre Réseau et partage, cliquez sur Modifier les paramètres de l'adaptateur Trouver égard, nous venons de créer, clic droit, Propriétés onglet Sécurité: Définir le type de "PPTP" onglet Avancé : Cliquez IP4V, cliquez sur Propriétés Dans la nouvelle fenêtre, cliquez sur Avancé Ici vous avez deux options: Si vous souhaitez accéder à des ressources ou des services sur votre réseau domestique, mais qui souhaitent se connecter à Internet sur votre connexion existante , puis décochez la case "Utiliser la passerelle par défaut pour le réseau distant". Ceci permettra d'établir un split-tunnel de liaison. Si vous souhaitez passer tout le trafic à travers le VPN, laissez la case cochée. La navigation peut être plus lente, mais votre trafic s'affiche à partir de votre adresse IP à la maison. Ok . Vous devriez maintenant être en mesure de se connecter