Méthode facile de passer de Openvpn-Access Server à Community Edition?
J'ai récemment installé le serveur OpenVpn-Access sur un vps et c'est génial. Cependant, maintenant que je l'ai lancé, je souhaite passer à l'édition Community car je ne souhaite pas acheter de licences et je pense que la société C.E. fera tout ce qui est en mon pouvoir. Je me demandais si quelqu'un savait s'il existait un moyen simple de passer de AS à CE et de conserver mes paramètres de configuration actuels sans avoir à réinstaller l'intégralité et à régénérer les clés et les certificats? Toute aide serait grandement appréciée.
C'est une vieille question, mais j'aimerais y répondre au cas où quelqu'un d'autre essaie de faire la même chose. Pour passer d'OpenVPN-AS à l'édition de communauté et conserver la même configuration, il faut référencer les fichiers server.crt, server.key, dh.pem et ca.crt utilisés sur le serveur d'accès dans la nouvelle édition de communauté server.conf fichier. Depuis par défaut, A.S. utilise l'authentification pam pour une double authentification, le nouveau serveur C.E. doit également être configuré de cette manière. Ces lignes doivent être ajoutées au server.conf:
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn
Ensuite, le fichier /etc/pam.d/openvpn doit être créé, avec les lignes suivantes:
auth sufficient /lib/security/pam_radius_auth.so debug
account sufficient /lib/security/pam_radius_auth.so
Toute autre option définie dans le fichier A.S. La configuration générée doit également être référencée dans le fichier server.conf (comme le numéro de port, proto, com-lzo, cipher, etc.). Étant donné que je ne pouvais pas savoir où et comment ces fichiers sont stockés lors de l'utilisation du serveur d'accès, j'ai choisi de désinstaller simplement openvpn-as et de recommencer.
En conclusion, j'ai décidé de reconstruire la configuration à partir de zéro parce que c'était plus facile et qu'il était également logique d'apprendre à déployer moi-même correctement un serveur openvpn à édition communautaire. J'ai choisi de ne pas utiliser l'authentification PAM, mais plutôt d'utiliser easyrsa3 pour configurer les certificats du serveur et du client, en utilisant un ordinateur distinct en tant qu'autorité de certification pour une sécurité renforcée. J'ai également utilisé l'option tls auth (incorporant une 'ta.key', en tant que pare-feu HMAC pour empêcher les attaques par déni de service).
Mon conseil aux personnes souhaitant passer du serveur d'accès à l'édition Community Edition est de commencer à partir de zéro, désinstaller A.S. et installez le paquet openvpn, générez de nouveaux certificats et clés et, plus important encore, utilisez un ordinateur séparé pour signer les demandes de certificat.