Accès VPN au LPSC

---

VPN

Depuis le 5 mars 2012 le service informatique préconise l'utilisation d'OpenVPN. Les documentations de l'ancien VPN cisco sont disponibles pour mémoire aux paragraphes 2 et 3

---

1 –Installation d'un client openVPN

La connexion au serveur VPN du LPSC va vous permettre d'accéder à tous les services réseaux du LPSC.

NB: La résolution des noms de machines étant configurée par votre FAI, vous devrez utiliser des noms complets (en ajoutant le domaine "in2p3.fr"). Ainsi pour se connecter à lpscintranet, il vous faudra saisir l'URL: lpscintranet.in2p3.fr

1 - 1 - Sous Linux

• Installer openvpn
  • avec les distributions Mageia ou Mandriva

    urpmi openvpn 
    

  • avec les distributions Fedora SL, CentOS, Oracle,...

    yum install openvpn
    

  • avec les distributions Debian

    apt-get install openvpn
    

• Télécharger le fichier de configuration et décompresser le dans /etc/openvpn

  cd /etc/openvpn
  wget https://lpsc.in2p3.fr/trac/faq/attachment/wiki/AccesVpn/config.zip
  unzip config.zip
  rm -f config.zip
  

• démarrer le service openvpn et saisissez vos identifiants de connection du LPSC (identificant et mot de passe de messagerie)

  service openvpn start
  

1 - 2 - Sous MacOSX

• Le client recommandé pour MacOSX est Tunnelblick. Il est téléchargeable sur le site ​http://tunnelblick.googlecode.com dans la section Download. L'installation est classique.
• Après un premier démarrage, le répertoire ~/Library/openvpn/ est créé dans votre homedirectory. Une icone en forme de porte apparait dans la barre du haut.
• Arrêter Tunnelblick.
• Télécharger le ficher ZIP de configuration: https://lpsc.in2p3.fr/trac/faq/attachment/wiki/AccesVpn/config.zip
• Extraire les fichiers contenus dans l'archive dans ~/Library/openvpn/ (seulement les fichiers, sans créer de dossier config). Eventuellement, effacer le fichier LPSC-VPN.conf
• Exécuter Tunnelblick à nouveau et choisissez de vous connectez à "LPSC-VPN".

• Entrer ensuite vos identifiants de connection du LPSC (identificant et mot de passe de messagerie)

1 - 3 - Sous Ms Windows

• Télécharger et installer le logiciel openvpn-client disponible à l'adresse: ​http://swupdate.openvpn.net/downloads/openvpn-client.msi
• Sélectionner "Import Profile" et puis "Local file"

• Télécharger le fichier de configuration: https://lpsc.in2p3.fr/trac/faq/attachment/wiki/AccesVpn/config.zip
• Décompresser le, et faites glisser les fichiers dans openvpn
• Sauvegarder le profil, et connecter vous en utilisant vos identifiants de connection du LPSC (identificant et mot de passe de messagerie)

1 - 4 - Autres

Il existe également un certain nombre de clients pour mobiles (GuizmOVPN pour iPhone jailbreaké, client openvpn pour Android...)

---

2 - Utilisation du WEB-VPN

Ouvrir un navigateur WEB, entrer L'URL

​http://lpscvpn.in2p3.fr

Une page d'accueil s'ouvre alors, demandant un login et un password.

Taper votre login et le mot de passe associé correspondant à votre compte Windows Active Directory. Pour accéder à l’intranet il suffit d’entrer l’URL du serveur web correspondant dans la boite de dialogue « Enter Web Access URL » comme indiqué ci-dessous.

Attention l'adresse du serveur VPN est lpscvpn.in2p3.fr 193.48.83.126.

De la même façon il est possible de se connecter à tous les intranets du laboratoire.

---

3 –Client Windows pour un plein accès VPN

3 - 1 - Installation du client Windows VPN Cisco

L’installation du client Windows nécessite l’installation d’un logiciel client VPN sur votre ordinateur.
Cette installation peut être effectuée par téléchargement de l’application à partir de l’intranet du LPSC. Pour cela il faut utiliser les instructions du paragraphe 1 de cette notice afin d’accéder à l’URL : ​http://lpscintranet.in2p3.fr/presentoir-windows/documents/VPN/InstallShield.zip
Pour Windows Vista accèder à l'URL : ​http://lpscintranet.in2p3.fr/presentoir-windows/documents/VPN/vista/vpnclient-win-msi-5.0.04.0300-k9.exe
En cas de problème (sous Vista en particulier) voir les avertissements et prérequis à l'URL :
​http://www.cisco.com/web/software/282364316/23105/vpnclient-windows-5.0.04.0300.txt

Attention l'adresse du serveur VPN est lpscvpn.in2p3.fr 193.48.83.126

Décompresser le ZIP correspondant et exécuter le programme Setup.exe qu’il contient.

L'installation se lance et peut nécessiter un redémarrage du système.

Vérification des réglages d'accessibilité : Aller dans le menu démarrer --> Cisco Systems VPN Client, et faire une copie du client VPN sur le bureau de votre ordinateur. Lancer le client VPN et régler comme indiqué les propriétés d’ouverture de session Windows.

Attention l'adresse du serveur VPN est lpscvpn.in2p3.fr 193.48.83.126.

3 - 2 - Création d’une nouvelle connexion VPN

Il faut ensuite créer une nouvelle entrée de connexion en utilisant le bouton “nouveau”, et on arrive sur une fenêtre où plusieurs champs sont à renseigner :

• Nom de la connexion (LPSC VPN)
  
• Description (connexion au LPSC)
  
• Adresse IP ou nom de l'hôte, c'est-à-dire du serveur VPN (193.48.83.126 ou lpscvpn.in2p3.fr)
  
• la méthode d'authentification pour la création du tunnel (groupe d'authentification)
  
• le nom du groupe lpscvpn et son mot de passe qui vous a été donné par mail.
  

Voir figure ci-après Attention l'adresse du serveur VPN est lpscvpn.in2p3.fr 193.48.83.126

Dans l'onglet transport, Activer le tunneling transparent en IPSEC sur TCP
Eventuellement autoriser l'accès au réseau local (pour l'accès aux ressources locales si vous avez plusieurs machines sur votre réseau).
Enregistrer

3 - 3 - Connexion VPN au LPSC

Lancer le client VPN CISCO.

Sélectionner la connexion « LPSC VPN » et cliquer sur “connecter”

S'ouvre alors un prompt demandant la saisie du nom d'utilisateur et de son mot de passe (dans notre cas, il s'agit d'un compte Active Directory)

---

4 - Configuration d’un client LINUX

Pour un fonctionnement optimal il est conseillé de télécharger la dernière version du logiciel depuis le site de Cisco.

Une fois l'archive téléchargée :

# tar -xvzf /chemin/vpnclientxxxx 

# cd ./vpnclient 
#./vpn_install 
Cisco Systems VPN Client Version 3.7.2 (Rel) Linux Installer 
Copyright (C) 1998-2001 Cisco Systems, Inc. All Rights Reserved. 
 
By installing this product you agree that you have read the 
license.txt file (The VPN Client license) and will comply with 
its terms. 
 
 
Directory where binaries will be installed [/usr/local/bin] 
 
Automatically start the VPN service at boot time [yes] 
 
In order to build the VPN kernel module, you must have the 
kernel headers for the version of the kernel you are running. 
 
For RedHat 6.x users these files are installed in /usr/src/linux by default 
For RedHat 7.x users these files are installed in /usr/src/linux-2.4 by default 
For Suse 7.3 users these files are installed in /usr/src/linux-2.4.10.SuSE by default 
 
Directory containing linux kernel source code [/lib/modules/2.4.18-19.7.x/build] 
 
* Binaries will be installed in "/usr/local/bin". 
* Modules will be installed in "/lib/modules/2.4.18-19.7.x/CiscoVPN". 
* The VPN service will be started AUTOMATICALLY at boot time. 
* Kernel source from "/lib/modules/2.4.18-19.7.x/build" will be used to build the module. 
 
Is the above correct [y] 
 
Making module 
Create module directory "/lib/modules/2.4.18-19.7.x/CiscoVPN". 
Copying module to directory "/lib/modules/2.4.18-19.7.x/CiscoVPN". 
Creating start/stop script "/etc/init.d/vpnclient_init". 
Enabling start/stop script for run level 3,4 and 5. 
Creating VPN configuration file "/etc/CiscoSystemsVPNClient/vpnclient.ini". 
 
Installing license.txt (VPN Client license) in "/etc/CiscoSystemsVPNClient/": 
 
Installing bundled user profiles in "/etc/CiscoSystemsVPNClient/Profiles/": 
* New Profiles     : sample 
 
Copying binaries to directory "/usr/local/bin". 
 
Setting permissions. 
/usr/local/bin/cvpnd (setuid root) 
/etc/CiscoSystemsVPNClient (world writeable) 
/etc/CiscoSystemsVPNClient/Profiles (world writeable) 
/etc/CiscoSystemsVPNClient/Certificates (world writeable) 
* You may wish to change these permissions to restrict access to root. 
 
* You must run "/etc/init.d/vpnclient_init start" before using the client. 
* This script will be run AUTOMATICALLY every time you reboot your computer. 

Il faut maintenant charger le module dans le noyau (par la suite, cela se fera automatiquement lors du démarrage du système) :

# /etc/init.d/vpnclient_init start  
Starting /opt/cisco-vpnclient/bin/vpnclient: Done 

Le client vpn est alors installé et chargé dans le noyau. Il faut maintenantcréer un profile de connexion. Pour cela il suffit de créer, à l'aide d'un éditeur de texte, un fichier au format pcf. Voici un exemple :

[main] 
Description=Profile lpscvpn  
Host=193.48.83.126 
AuthType=1 
Groupname=lpscvpn 
GroupPwd=*****  // fournir ici le password de groupe qui vous a été donné dans le mail 
       // accompagnant la documentation. 
Username=gomes 
SaveUserPassword=0 
EnableLocalLan=1 
TunnelingMode=0 
EnableBackup=0 

Ceci est suffisant pour notre exemple. Il faut maintenant l'enregistrer dans le répertoire /etc/CiscoSystemVPNClient/Profiles/ sous le nom de lpscvpn.pcf. On peut maintenant ouvrir le tunnel IPSEC :

# vpnclient connect lpscvpn  (lpscvpn étant le profile choisi pour la connexion) 
 Cisco Systems VPN Client Version 3.7.2 (Rel) 
Copyright (C) 1998-2005 Cisco Systems, Inc. All Rights Reserved. 
Client Type(s): Linux 
Running on: Linux 2.6.9-22.0.2.EL #1 Tue Jan 17 09:54:00 CST 2006 i686 
Config file directory: /etc/opt/cisco-vpnclient 
 
Initializing the VPN connection. 
Contacting the gateway at 193.48.83.126 
User Authentication for lpscvpn... 
 
Enter Username and Password. 
Username [gomes]: 
Password [ ]: 
 
Authenticating user. 
Negotiating security policies. 
Securing communication channel 
 
Your VPN connection is secure. 
 
VPN tunnel information. 
Client address: 134.158.47.250 
Server address: 193.48.83.126 
Encryption: 168-bit 3-DES 
Authentication: HMAC-MD5 
IP compression: None 
NAT passthrough is active on port UDP 10000 
Local LAN access is enabled 

Le tunnel est établi.

Remerciements

Cette documentation a été écrite dans sa version initiale par Claudio Gomez, stage AFPA 2006 au LPSC