VPN : Différence entre versions

De Ensiwiki
Aller à : navigation, rechercher
(Intégration à votre .bashrc)
(À Verimag {{Ancre|verimag}})
 
Ligne 96 : Ligne 96 :
  
 
=== À Verimag {{Ancre|verimag}} ===
 
=== À Verimag {{Ancre|verimag}} ===
 +
 +
(Cette méthode ne semple plus fonctionner depuis n années...)
  
 
Depuis les machines fixes du laboratoire Verimag, le VPN est disponible avec les commandes :
 
Depuis les machines fixes du laboratoire Verimag, le VPN est disponible avec les commandes :

Version actuelle en date du 23 mars 2020 à 16:39

Cette page regroupe les instructions nécessaires à la configuration du client VPN utilisé pour accéder au réseau de l'Ensimag, que ce soit depuis votre portable à l'intérieur de l'établissement ou de chez vous. La documentation officielle du VPN Ensimag se trouve sur l'intranet de l'école.

Le VPN peut être utile pour connecter votre machine au réseau de l'école et accéder à des services qui ne sont normalement disponibles qu'à l'école (par exemple les machines virtuelles).

AttentionUne fois connecté au VPN, TOUT votre trafic internet passe par la passerelle IMAG. Bien sûr, les horaires et IPs de chacun sont enregistrés : si vous faites des téléchargements illégaux chez vous, c'est vous qui en assumez les conséquences, mais l'école ne peut bien sûr pas vous laisser le faire en utilisant son réseau. D'une manière générale, évitez ce qui n'est pas scolaire ou parascolaire, surtout si cela génère beaucoup de trafic.


Installation du client VPN

Client libre OpenConnect

OpenConnect est un client VPN libre compatible avec Cisco AnyConnect.

Il est disponible sous Linux, OSX et Windows et Android.

  • Sous Linux : installez openconnect depuis votre gestionnaire de paquets.
  • Sous Mac (avec Homebrew) : installez également depuis le gestionnaire de paquets brew install openconnect .

Vous pourrez vous connecter en lançant sudo openconnect vpn.grenet.fr depuis un terminal.

Intégration à Network Manager

Ce client est de base sans interface graphique, vous pouvez avoir l'intégration au système via le paquet network-manager-openconnect-gnome. Vous retrouverez alors les paramètres avec le reste des paramètres réseaux de votre environnement.

Intégration à votre .bashrc

Pour se connecter au VPN très simplement depuis un terminal, il est possible d'ajouter les 2 fonctions suivantes à votre fichier ~/.bashrc. Pensez à remplacer "MY_USERNAME" par votre actuel identifiant de session Ensimag, webmail, etc...

Puis, pour lancer le VPN, simplement lancer la commande $ startvpn dans un terminal et saisir votre mot de passe sudo, puis le mot de passe universitaire/ensimag.

function startvpn() {
    USER=MY_USERNAME
    AUTHGROUP="Etudiants de Grenoble INP"
    HOST=vpn.grenet.fr

    sudo openconnect --background \
                    --pid-file="${HOME}/.openconnect.pid" \
                    --authgroup=${AUTHGROUP} \
                    --user=${USER} \
                    ${HOST}
}

function stopvpn() {
    if [[ -f "$HOME/.openconnect.pid" ]]; then
        sudo kill -2 $(cat "${HOME}/.openconnect.pid") && rm -f "${HOME}/.openconnect.pid"
    else
        echo "openconnect pid file does not exist !"
    fi
}

Pour se déconnecter du VPN, une fois que vous n'en n'avait plus besoin, tapez $ stopvpn dans le terminal et saisissez le mot de passe sudo (Comme openvpn est obligatoirement lancé en super utilisateur, il faut également ces droits pour tuer ce processus).

Bonus

Si vous aussi avez un soupçon de fainéantise et ne voulez plus avoir à écrire le mot de passe sudo, vous pouvez ajouter cette ligne au fichier /etc/sudoers en tapant d'abord la commande $ sudo visudo puis en ajoutant ces 2 lignes vers la fin du fichier (si openconnect est installé ailleurs bien mettre le bon emplacement) :

# For vpn macros
%admin ALL=(ALL) NOPASSWD: /usr/local/bin/openconnect, /bin/kill

On sauvegarde tout ça ! :wq + ⏎ Et plus qu'à tester dans un terminal avec les macros créées précédemment si cela demande toujours le mot de passe sudo.

Client propriétaire Cisco AnyConnect

C'est la solution préconisée par Cisco, mais elle a un double incovénient : elle est propriétaire et mal intégrée au système.

Ce client est disponible sur Android, iOS, Windows Phone et Linux, OSX et Windows.

Documentation imagée proposée par les Bug Busters

Désinstallation sous Linux

Vous avez installé AnyConnect par dépit, mais en bidouillant un peu vous avez fini par faire marcher le client VPN natif de votre installation Linux... Pourquoi diable alors garder ce client si peu intégré à votre système, et qui plus est est maintenant redondant? Étant donné qu'il n'a pas été installé avec votre gestionnaire de paquet, inutile de dégainer apt ou yum.

Le coupable se cache dans /opt/cisco/. Il suffit de lancer :

$ sudo bash /opt/cisco/vpn/uninstall.sh


Shimo

Shimo est un client VPN auparavant open source devenu propriétaire et payant pour Mac OSX sensé être compatible avec Cisco AnyConnect mais bien mieux intégré au système. La version 1.0.7 (dernière sous licence libre) ne sert en fait qu'à mieux intégrer le client Cisco au système, tandis que les versions 2 et ultérieures sont indépendantes.

Configuration du client

Voici les codes d'accès nécessaires au tunnel VPN :

Adresse de la passerelle (gateway en anglais) : vpn.grenet.fr

Nom utilisateur : votre identifiant ensimag

Mot de passe : votre mot de passe universitaire

Nom du groupe : Etudiants de Grenoble INP ou Personnels de Grenoble INP

Cas particuliers (VPN installé pour vous dans les laboratoires, ...)

À Verimag

(Cette méthode ne semple plus fonctionner depuis n années...)

Depuis les machines fixes du laboratoire Verimag, le VPN est disponible avec les commandes :

  • ensimag-connect : se connecter au VPN
  • ensimag-disconnect : se déconnecter du VPN
  • ensimag-clean : permet de « nettoyer » la configuration réseau : quand on reste connecté trop longtemps (environ 24h) au VPN, un timeout tue le démon vpnc et casse complètement la connexion réseau. Lancer ensimag-clean permet de revenir dans un état cohérent.

Chacune de ces commande va vous demander votre mot de passe Verimag (pour avoir le droit d'utiliser sudo), et ensimag-connect vous demandera ensuite votre login et mot de passe Ensimag.

Références

Si vous n'avez toujours pas internet, n'hésitez pas à aller voir sur l'intranet.