VPN : Différence entre versions

De Ensiwiki
Aller à : navigation, rechercher
(utilité du VPN)
m (Le path a changé.)
 
(25 révisions intermédiaires par 9 utilisateurs non affichées)
Ligne 1 : Ligne 1 :
Cette page regroupe les instructions nécessaires à la configuration du client VPN utilisé pour accéder au réseau de l'Ensimag, que ce soit [[Se_connecter_en_Wifi|depuis votre portable à l'intérieur de l'établissement]] ou [[Se_connecter_au_VPN_depuis_chez_soi|de chez vous]].
+
Cette page regroupe les instructions nécessaires à la configuration du client VPN utilisé pour accéder au réseau de l'Ensimag, que ce soit [[Se_connecter_en_Wifi|depuis votre portable à l'intérieur de l'établissement]] ou [[Se_connecter_au_VPN_depuis_chez_soi|de chez vous]]. La documentation officielle du VPN Ensimag se trouve sur [http://intranet.ensimag.grenoble-inp.fr/informatique/wifi-vpn-et-acces-distant-vpn-709185.kjsp l'intranet de l'école].
  
Le VPN peut être utile dans plusieurs cas :
+
Le VPN peut être utile pour connecter votre machine au réseau de l'école et accéder à des services qui ne sont normalement disponibles qu'à l'école (par exemple les [[Accès distant aux machines virtuelles de l'Ensimag|machines virtuelles]]).
  
* En connexion wifi, depuis l'Ensimag ou un autre bâtiment du campus : le VPN évite de devoir passer par le portail captif.
+
{{Attention | Une fois connecté au VPN, '''TOUT''' votre trafic internet passe par la passerelle IMAG. Bien sûr, les horaires et IPs de chacun sont enregistrés : si vous faites des téléchargements illégaux chez vous, c'est vous qui en assumez les conséquences, mais l'école ne peut bien sûr pas vous laisser le faire en utilisant son réseau. D'une manière générale, évitez ce qui n'est pas scolaire ou parascolaire, surtout si cela génère beaucoup de trafic.}}
* Depuis l'extérieur de l'Ensimag, pour connecter votre machine au réseau de l'école et accéder à des services qui ne sont normalement disponibles qu'à l'école (par exemple les [[Accès distant aux machines virtuelles de l'Ensimag|machines virtuelles]]).
+
  
{{Attention | Une fois connecté au VPN, '''TOUT''' votre trafic internet passe par la passerelle IMAG. Bien sûr, les horaires et IPs de chacun sont enregistrés : si vous faites des téléchargements illégaux chez vous, c'est vous qui en assumez les risques, mais l'école ne peut bien sûr pas vous laisser le faire en utilisant son réseau. D'une manière générale, évitez ce qui n'est pas scolaire ou parascolaire, surtout si cela génère beaucoup de trafic.}}
+
== Installation du client VPN ==
  
== Conseil pratique ==
+
=== Client libre OpenConnect ===
 +
[https://www.infradead.org/openconnect/ OpenConnect] est un client VPN libre compatible avec Cisco AnyConnect.
  
La plupart des liens donnés ici pointent vers une partie spéciale de l'intranet qui est accessible en Wifi, même si vous n'avez rien configuré (ces pages sont le seul "bout" de l'internet auquel vous avez accès sans passer par le VPN). Théoriquement, vous pouvez vous en sortir !
+
Il est disponible sous Linux, [http://macappstore.org/openconnect/ OSX] et [https://github.com/openconnect/openconnect-gui/releases/latest Windows] et [https://play.google.com/store/apps/details?id=app.openconnect Android].
  
Toutefois, si vous avez accès à internet depuis chez vous, vous pouvez aller [[Se connecter au VPN depuis chez soi | configurer le VPN]]. Quand vous aurez le vpn, vous aurez déjà fait la plus grosse partie de l'installation wifi : il suffira de reprendre le tutoriel et de sauter les étapes que vous avez déjà faites.
+
* Sous Linux : installez <code>openconnect</code> depuis votre [[gestionnaire de paquets]].
 +
* Sous Mac (avec Homebrew) : installez également depuis le gestionnaire de paquets <code>brew install openconnect</code> .
  
Si vous rencontrez des difficultés, n'importe quel élève bien luné doit pouvoir vous passer le client VPN via une clef USB ou un autre média amovible.
+
Vous pourrez vous connecter en lançant <code>sudo openconnect vpn.grenet.fr</code> depuis un terminal.
  
== Installation & configuration du client VPN ==
+
==== Intégration à Network Manager ====
 +
Ce client est de base sans interface graphique, vous pouvez avoir l'intégration au système via le paquet <code>network-manager-openconnect-gnome</code>. Vous retrouverez alors les paramètres avec le reste des paramètres réseaux de votre environnement.
  
=== Codes d'accès ===
+
==== Intégration à votre .bashrc ====
 +
Pour se connecter au VPN très simplement depuis un terminal, il est possible d'ajouter les 2 fonctions suivantes à votre fichier ~/.bashrc.
 +
Pensez à remplacer "MY_USERNAME" par votre actuel identifiant de session Ensimag, webmail, etc...
  
Voici les codes d'accès nécessaires au tunnel VPN (Cisco IPSec) :
+
Puis, pour lancer le VPN, simplement lancer la commande <code>$ startvpn</code> dans un terminal et saisir votre mot de passe sudo, puis le mot de passe universitaire/ensimag.
  
Adresse IP de la passerelle (gateway en anglais) : 129.88.1.237
+
<syntaxhighlight lang="bash">
 +
function startvpn() {
 +
    USER=MY_USERNAME
 +
    AUTHGROUP="Etudiants de Grenoble INP"
 +
    HOST=vpn.grenet.fr
  
Nom utilisateur : votre identifiant ensimag
+
    sudo openconnect --background \
 +
                    --pid-file="${HOME}/.openconnect.pid" \
 +
                    --authgroup="${AUTHGROUP}" \
 +
                    --user=${USER} \
 +
                    ${HOST}
 +
}
  
Mot de passe : votre mot de passe Ensimag, initialement le même que votre mot de passe Grenoble-INP
+
function stopvpn() {
 +
    if [[ -f "$HOME/.openconnect.pid" ]]; then
 +
        sudo kill -2 $(cat "${HOME}/.openconnect.pid") && rm -f "${HOME}/.openconnect.pid"
 +
    else
 +
        echo "openconnect pid file does not exist !"
 +
    fi
 +
}
 +
</syntaxhighlight>
  
Nom du groupe :
+
Pour se déconnecter du VPN, une fois que vous n'en n'avait plus besoin, tapez <code>$ stopvpn</code> dans le terminal et saisissez le mot de passe sudo (Comme openvpn est obligatoirement lancé en super utilisateur, il faut également ces droits pour tuer ce processus).
* ensimag-etudiants pour les étudiants
+
* ensimag-permanents pour le personnel
+
  
Mot de passe du groupe (ou secret partagé) :
+
===== Bonus =====
* Pour des raisons évidentes de sécurité le mot de passe ne peut apparaître sur cette page publique, [https://intranet.ensimag.fr/intranet-ensimag/index.php/moyens-pedagogiques-3/environnements-numeriques-de-travail-ent/202-wifi-vpn-et-acces-distant-vpn allez donc le lire ici].
+
Si vous aussi avez un soupçon de fainéantise et ne voulez plus avoir à écrire le mot de passe sudo, vous pouvez ajouter cette ligne au fichier /etc/sudoers en tapant d'abord la commande <code>$ sudo visudo</code> puis en ajoutant ces 2 lignes vers la fin du fichier (si openconnect est installé ailleurs bien mettre le bon emplacement) :
  
{{Information|À certains endroits du campus, et dans certaines résidences étudiantes du CROUS, il vous est possible de vous connecter en Wifi et au VPN CROUS, qui utilisent la même technologie. Les informations de connexion sont à récupérer sur https://nomadisme.grenet.fr/ ; votre identifiant est le même qu'à l'Ensimag mais votre mot de passe est celui enregistré auprès du réseau général, initialement le même que votre mot de passe Ensimag (mais si vous avez changé ce dernier, ils ne concordent plus).}}
+
<syntaxhighlight lang="bash">
 +
# For vpn macros
 +
%admin ALL=(ALL) NOPASSWD: /usr/local/bin/openconnect, /bin/kill
 +
</syntaxhighlight>
  
=== Installation quasi-automatique sous Debian, Ubuntu, Ensilinux, ... ===
+
On sauvegarde tout ça ! <code>:wq + ⏎</code> Et plus qu'à tester dans un terminal avec les macros créées précédemment si cela demande toujours le mot de passe sudo.
Un script a été créé pour résoudre rapidement le problème du VPN. Attention, il faut être sous l'environnement Gnome pour que tout marche correctement. Il faut également une connection internet en état de marche (mais sans VPN). Le script se trouve ici [[Fichier:AutoConfigureVPN.tar.gz‎]].
+
  
Utilisation :
+
=== Client propriétaire Cisco AnyConnect ===
* Decompressez l'archive et placez-vous dans le dossier <code>autoConfigureVPN</code>.
+
C'est la solution préconisée par Cisco, mais elle a un double incovénient : elle est propriétaire et mal intégrée au système.
* Si vous êtes étudiant lancez <code>installVPNEtudiant</code>, <code>installVPNPermanent</code> si vous êtes permanent.
+
* Laissez-vous guider !
+
  
=== Sous la plupart des distributions linux (et autres Unices) ===
+
Ce client est disponible sur [https://play.google.com/store/apps/details?id=com.cisco.anyconnect.vpn.android.avf Android], [https://itunes.apple.com/us/app/cisco-anyconnect/id1135064690 iOS], [https://www.microsoft.com/fr-fr/store/p/anyconnect/9wzdncrdj8lh Windows Phone] et [https://vpn.grenet.fr Linux, OSX et Windows].
  
L'école fournit [https://intranet.ensimag.fr/intranet-joomla/index.php?option=com_content&task=view&id=162&Itemid=134 un client Linux et les informations d'installation]. Toutefois, ce client est peu commode. Si vous pouvez accéder à internet (chez vous, ou via un club) il sera probablement plus facile de faire confiance au paquet préconisé par votre distribution préférée.
+
[http://intranet.ensimag.grenoble-inp.fr/medias/fichier/installation-vpn-ensimag-documentation-bugbusters_1524642459954-pdf?ID_FICHE=419847&INLINE=FALSE Documentation imagée proposée par les Bug Busters]
  
==== Network Manager ====
+
==== Désinstallation sous Linux ====
  
Sous les bureaux majeurs (Gnome, KDE), il existe un plugin à NetworkManager (l'icone dans la system tray qui vous permet de vous connecter) qui prend en charge le VPN. Installez le paquet network-manager-vpnc (le nom peut un peu changer selon les distributions). L'interface est intuitive, utilisez simplement les identifiants fournis plus haut.
+
Vous avez installé AnyConnect par dépit, mais en bidouillant un peu vous avez fini par faire marcher le client VPN natif de votre installation Linux... Pourquoi diable alors garder ce client si peu intégré à votre système, et qui plus est est maintenant redondant? Étant donné qu'il n'a pas été installé avec votre gestionnaire de paquet, inutile de dégainer apt ou yum.
  
Autre driver libre qui fonctionne : le paquet network-manager-openconnect-gnome
+
Le coupable se cache dans  <code>/opt/cisco/</code>. Il suffit de lancer :
 +
$ sudo bash /opt/cisco/anyconnect/bin/vpn_uninstall.sh
  
[[Image:Nm-vpn.png]]
+
=== Shimo ===
 +
[[Shimo]] est un client VPN auparavant open source devenu propriétaire et payant pour Mac OSX sensé être compatible avec Cisco AnyConnect mais bien mieux intégré au système.
 +
La version 1.0.7 (dernière sous licence libre) ne sert en fait qu'à mieux intégrer le client Cisco au système, tandis que les versions 2 et ultérieures sont indépendantes.
  
[[Image:Nm-vpn-add.png]]
+
== Configuration du client ==
  
[[Image:Nm-vpn-param.png]]
+
Voici les codes d'accès nécessaires au tunnel VPN :
  
{{Attention | L'adresse IP de la passerelle est 129.88.1.237 et non 10.6.6.6 comme indiqué sur l'image précédente.}}
+
Adresse de la passerelle (gateway en anglais) : vpn.grenet.fr
  
Une fois tout ceci réalisé, une entrée de plus apparait dans le menu de l'applet réseau, il faudra la sélectionner après s'être connecté à un réseau internet opérationnel (wifi-campus par exemple).
+
Nom utilisateur : votre identifiant ensimag
  
[[Image:Nm-vpn-connect.png]]
+
Mot de passe : votre mot de passe universitaire
  
==== Ligne de commande ====
+
Nom du groupe : Etudiants de Grenoble INP ou Personnels de Grenoble INP
  
Les commandes ci-dessous sont données avec sudo pour les effectuer en tant que super-utilisateur ; vous pouvez bien évidemment vous logger en tant que root ou changer d'utilisateur avec su, pour obtenir le même effet.
+
{{Information|À certains endroits du campus, et dans certaines résidences étudiantes du CROUS, il vous est possible de vous connecter en Wifi et au VPN CROUS, qui utilisent la même technologie. Les informations de connexion sont à récupérer sur https://nomadisme.grenet.fr/ ; votre identifiant est le même qu'à l'Ensimag mais votre mot de passe est celui enregistré auprès du réseau général, initialement le même que votre mot de passe Ensimag (mais si vous avez changé ce dernier, ils ne concordent plus).}}
 
+
Sous Ensilinux, *Ubuntu, et autres debianoïdes, installez vpnc avec
+
  $ sudo apt-get install vpnc
+
Pour les autres, il faudra remplacer par la commande spécifique à votre système.
+
 
+
Il faut ensuite aller éditer le fichier de configuration de vpnc, qui se trouve généralement dans /etc/vpnc. Par exemple :
+
  $ sudo nano /etc/vpnc/default.conf
+
 
+
Corrigez le fichier par défaut jusqu'à ce qu'il ressemble à ça :
+
 
+
  IPSec gateway #IP de la passerelle, p. ex. 129.88.1.237#
+
  IPSec ID #Nom du groupe, p. ex. ensimag-etudiants#
+
  IPSec secret #Le mot de passe du groupe#
+
 
+
  Xauth username #Votre login UNIX#
+
  Xauth password #Votre mot de passe UNIX# 
+
 
+
Si vous avez récupéré un fichier PCF (fichier de configuration pour le client VPN officiel de Cisco), vous pouvez obtenir un fichier de configuration pour vpnc équivalent avec la commande pcf2vpnc.
+
 
+
Attention toutefois : vos identifiants UNIX apparaîtront en clair dans ce fichier. Si vous n'êtes pas sur un ordinateur que vous maîtrisez complètement (i.e. si vous n'êtes pas le SEUL root sur cette machine) il est plus prudent de ne pas mettre la dernière ligne. La contrepartie est que votre mot de passe UNIX sera demandé à chaque connexion.
+
 
+
Lancer la connexion par :
+
  $ sudo vpnc-connect
+
Ou, selon votre installation (toutes n'ont pas de commande vpnc-connect) :
+
  $ sudo vpnc default
+
('default' est le nom du fichier de configuration privé du suffixe .conf ; vous pourriez en vouloir plusieurs, pour plusieurs configurations)
+
 
+
Arrêter la connexion par :
+
  $ sudo vpnc-disconnect
+
 
+
Vous pouvez automatiser cette procédure avec {{...}}
+
 
+
Il est possible que votre client vpn se déconnecte de manière intempestive. Ceci est éventuellement dû au fait que le script utilisé par vpnc lors de son démarrage n'est pas très à jour. Vous pouvez récupérer une version de développement de ce script [http://git.infradead.org/users/dwmw2/vpnc-scripts.git ici].
+
 
+
==== Mode graphique gnome-vpnc (gvpnc) ====
+
 
+
gnome-vpnc téléchargeable ici : http://code.google.com/p/gvpnc/downloads/list
+
* Décompresser et installer le dossier gvpnc par exemple dans /usr/local/sbin
+
* Effectuer les correctifs suivants :
+
** gvpnc.py : enlever les caracteres "copyright" à la ligne 5 et à la ligne 55 ( et remplacer par "(C)" par exemple)
+
** gvpnc : corriger le chemin d'accès à gvpnc.py ($PWD à remplacer par le chemin complet). Exemple :
+
#!/bin/bash
+
#
+
# this is probably broke below -- you'll need to do a 'cd' first to where the python file is located
+
#
+
# FIX ME
+
#
+
'''cd /usr/local/sbin/gvpnc'''
+
gksudo "/usr/bin/python /usr/local/sbin/gvpnc/gvpnc.py"
+
 
+
* Créer /etc/vpnc/gvpnc.conf : Voyez l'exemple de default.conf ci-dessus.
+
 
+
Lancer ensuite le programme qui permet de se connecter ou déconnecter en mode vpn :
+
  sudo /usr/local/sbin/gvpnc
+
 
+
=== Sous Windows XP ===
+
 
+
Documentation pour le client « AnyConnect » (utilisation depuis le navigateur, simple en théorie mais ne marche pas toujours) : https://intranet.ensimag.fr/intranet-ensimag/index.php/moyens-pedagogiques-3/environnements-numeriques-de-travail-ent/202-wifi-vpn-et-acces-distant-vpn
+
 
+
Documentation complète pour le client VPN Cisco en bas de cette page : https://intranet.ensimag.fr/intranet-ensimag/index.php/component/content/article/23-moyens-pedagogiques/wifi-vpn/163-vpn-windows
+
 
+
Le client VPN fourni par Cisco est disponible ici :
+
[https://intranet.ensimag.fr/intranet-joomla/files/vpn/client-vpn-windows-5-0-01-0600.exe Client VPN Cisco]
+
Un fichier de configuration tout prêt est disponible ici :
+
[https://intranet.ensimag.fr/intranet-joomla/files/vpn/VPN-IMAG-PUB-ETUDIANTS.pcf VPN-IMAG-PUB-ETUDIANTS.pcf]
+
 
+
Téléchargez les 2 fichiers, installez le client puis redémarrez. Une fois revenu sur le bureau, lancez le Client VPN Cisco, et cliquez sur le gros bouton importer. Sélectionnez ensuite le fichier de configuration que vous aviez téléchargé. Validez, et tout devrait fonctionner.
+
 
+
{{...}}
+
 
+
'''Aide se connecter automatiquement (sans login/mot de passe) :''' Une fois les fichiers de configuration importés, on peut forcer la connection automatique (oui, le bouton sauvegarder mon mot de passe ne marche pas tout le temps ...). Pour cela, il faut éditer les fichiers de configuration .pcf qui se trouve dans le répertoire ''..\Cisco Systems\VPN Client\Profiles''.
+
  Username=login_imag
+
  SaveUserPassword=1
+
  UserPassword=password_imag
+
Puis passez votre fichier en lecture seule (clic droit > propriétés > attributs : 'lecture seule').
+
 
+
Variante pour eviter de stocker son mot de passe en clair :
+
  Username=login_imag
+
  SaveUserPassword=1
+
  enc_UserPassword=password_imag_encrypté
+
 
+
Pour obtenir votre mot de passe encrypté, une astuce consiste a remplir UserPassword=password_imag dans le fichier profile. Puis il faut commencer une connexion et l'annuler immédiatement, en ayant vérifié que le fichier profil n'était pas en lecture seule. Si tout se passe bien, le password en clair sera remplace par le password encrypté. Il faut alors remettre le fichier en lecture seule.
+
 
+
=== Sous Mac OS X ===
+
 
+
Pour Mac OS X, l'[https://intranet.ensimag.fr/intranet-joomla/index.php?option=com_content&task=view&id=165&Itemid=134 intranet] préconise le client VPN Cisco, mais le client [[Shimo]] est plus simple et mieux intégré.
+
 
+
L'[[VPN_Snow_Leopard|installation sous Mac OS X depuis "Snow Leopard" (10.6)]] ne nécessite plus de logiciel tiers. Un page explique la [[VPN_Snow_Leopard|configuration pas à pas]].
+
 
+
=== Sous iPhone ===
+
 
+
Le client VPN est pré-installé sur l'iPhone, et il existe deux moyens de le configurer.
+
 
+
 
+
'''Configuration automatique par profils'''
+
 
+
Un fichier de configuration, appelé "Profil", installable directement depuis l'iPhone. Ce fichier sera bientôt déposé sur l'intranet.
+
 
+
 
+
'''Configuration manuelle'''
+
 
+
Pour pouvoir l'activer et le configurer, connectez vous en WiFi à internet ou dans les locaux de l'Ensimag puis depuis le menu, allez dans Réglages,
+
Général, Réseau, VPN et faites "Ajouter une configuration...".
+
 
+
Sélectionnez ensuite IPSec.
+
 
+
Mettez la description que vous voulez dans Description pour définir le nom de la configuration.
+
 
+
Dans le champ Serveur rentrez en fonction de votre emplacement l'adresse de l'hôte : 129.88.1.237.
+
 
+
Dans le champ Compte et Mot de Passe rentrez votre login et votre mot de passe utilisés pour les TX.
+
 
+
Rentrez ensuite le nom du groupe et le mot de passe du groupe correspondants à votre statut et disponibles [https://intranet.ensimag.fr/intranet-joomla/index.php?option=com_content&task=view&id=202&Itemid=134 ici].
+
 
+
Faites enfin Enregistrer puis activez le VPN.
+
 
+
=== Sur un téléphone portable Nokia tournant sous Symbian s60v3/s60v5 ===
+
 
+
Tout d'abord, il faut installer le client vpn sur votre portable s'il y n'est pas déjà. Vous pouvez le trouver [http://www.businesssoftware.nokia.com/mobile_vpn_downloads.php ici]. Pour installer la politique VPN sur votre portable, il existe deux méthodes, une simple et une moins simple. Malheureusement, la plus simple qui est d'utiliser le logiciel de création de VPN développé par Nokia ne fonctionne pas (enfin, je n'ai pas réussi à générer une politique fonctionnant avec le VPN de l'Ensimag). Vous pouvez essayer et poster la solution ici (le logiciel est sur la même page que le VPN).Donc on va être obligé de passer par la méthode moins simple. Le principe est de créer notre propre .sis qui va installer la politique sur l'appareil.
+
 
+
Pour commencer faut créer trois fichiers:
+
 
+
VPN-policy.pol:
+
 
+
  SECURITY_FILE_VERSION: 3
+
  [INFO]
+
  VPN-Policy for Nokia Mobile VPN Client v3.0.
+
  [POLICY]
+
  sa ipsec_1 = {
+
  esp
+
  encrypt_alg 3
+
  max_encrypt_bits 256
+
  auth_alg 2
+
  identity_remote 0.0.0.0/0
+
  src_specific
+
  hard_lifetime_bytes 0
+
  hard_lifetime_addtime 3600
+
  hard_lifetime_usetime 3600
+
  soft_lifetime_bytes 0
+
  soft_lifetime_addtime 3600
+
  soft_lifetime_usetime 3600
+
  }
+
 
+
  remote 0.0.0.0 0.0.0.0 = { ipsec_1(XX.XX.XX.XX) }
+
  inbound = { }
+
  outbound = { }
+
 
+
  [IKE]
+
  ADDR: XX.XX.XX.XX 255.255.255.255
+
  MODE: Aggressive
+
  SEND_NOTIFICATION: TRUE
+
  ID_TYPE: 11
+
  FQDN: Groupe
+
  GROUP_DESCRIPTION_II: MODP_1024
+
  USE_COMMIT: FALSE
+
  IPSEC_EXPIRE: FALSE
+
  SEND_CERT: FALSE
+
  INITIAL_CONTACT: FALSE
+
  RESPONDER_LIFETIME: TRUE
+
  REPLAY_STATUS: TRUE
+
  USE_INTERNAL_ADDR: FALSE
+
  USE_NAT_PROBE: FALSE
+
  ESP_UDP_PORT: 0
+
  NAT_KEEPALIVE: 60
+
  USE_XAUTH: TRUE
+
  USE_MODE_CFG: TRUE
+
  REKEYING_THRESHOLD: 90
+
  PROPOSALS: 1
+
  ENC_ALG: 3DES-CBC
+
  AUTH_METHOD: PRE-SHARED
+
  HASH_ALG: MD5
+
  GROUP_DESCRIPTION: MODP_1024
+
  GROUP_TYPE: DEFAULT
+
  LIFETIME_KBYTES: 0
+
  LIFETIME_SECONDS: 28800
+
  PRF: NONE
+
  PRESHARED_KEYS:
+
  FORMAT: STRING_FORMAT
+
  KEY: 3 PWS
+
 
+
Dans ce fichier, il faut modifier les deux ip XX.XX.XX.XX avec les ip du VPN utilisé. Il faut aussi modifier Groupe à droite de FQDN par le nom du groupe utilisé et finalement modifier PWS à droite de key par le mot de passe non encrypté et changer 3 par le nombre de caractères du mot de passe.
+
 
+
VPN-policy.pkg
+
  #{"VPN-Policy"},(0x1000597E), 1, 0, 0, TYPE=SA
+
  %{"pip-EN"}
+
  :"pip"
+
  "VPN-policy-preshared-Cisco.pol"-"C:\System\Data\Security\Install\VPN-polic­y-preshared-Cisco.pol"
+
  "VPN-policy-preshared-Cisco.pin"-"C:\System\Data\Security\Install\VPN-polic­y-preshared-Cisco.pin",
+
  FM, "application/x-ipsec-policy-info"
+
  (0x1000597E), 1, 0, 0, {"VPN Policy Installer"}
+
  [0x101F7961], 0, 0, 0, {"S60ProductID"}
+
 
+
Dans ce fichier vous pouvez changer le [https://developer.symbian.com/wiki/display/pub/Device+vs+Product,+Platform,+HAL+information product ID] pour ne pas obtenir l'avertissement : ce programme n'est pas compatible avec votre téléphone.
+
 
+
VPN-policy.pin
+
  
  [POLICYNAME]
+
== Cas particuliers (VPN installé pour vous dans les laboratoires, ...) ==
  VPN-Policy
+
  [POLICYDESCRIPTION]
+
  VPN-Policy for Nokia Mobile VPN Client v3.0.  
+
  [POLICYVERSION]
+
  1.1
+
  [ISSUERNAME]
+
  Do not edit
+
  [CONTACTINFO]
+
  Do not edit
+
  
Vous mettez ces trois fichiers dans le même répertoire, vous compilez VPN-policy.pkg avec makesis.exe. Ce programme se trouve dans le sdk de [https://developer.symbian.com/main/tools_and_sdks/sdks/s60/ symbian].
+
=== À Verimag {{Ancre|verimag}} ===
  
Pour l'installer sur votre portable, il faut finalement signer le fichier .sis sur [https://www.symbiansigned.com/app/page/public/openSignedOnline.do symbian signed].
+
(Cette méthode ne semple plus fonctionner depuis n années...)
  
=== Sous Android ===
+
Depuis les machines fixes du laboratoire Verimag, le VPN est disponible avec les commandes :
  
Il y a déjà un app de Cisco pour Android, qui s'appele Samsung AnyConnect (disponible au Google Play: https://play.google.com/store/apps/details?id=com.cisco.anyconnect.vpn.android.samsung).
+
* <code>ensimag-connect</code> : se connecter au VPN
 +
* <code>ensimag-disconnect</code> : se déconnecter du VPN
 +
* <code>ensimag-clean</code> : permet de « nettoyer » la configuration réseau : quand on reste connecté trop longtemps (environ 24h) au VPN, un timeout tue le démon vpnc et casse complètement la connexion réseau. Lancer <code>ensimag-clean</code> permet de revenir dans un état cohérent.
  
=== Shrew : solution libre alternative pour Windows ET Linux ===
+
Chacune de ces commande va vous demander votre mot de passe Verimag (pour avoir le droit d'utiliser sudo), et <code>ensimag-connect</code> vous demandera ensuite votre login et mot de passe Ensimag.
Il existe une alternative libre au client proposé par Cisco, le lien de téléchargement est disponible depuis leur site internet : http://www.shrew.net/. Le protocole d'installation est le même que pour Cisco : un simple importer du fichier .pcf fourni sur l'intranet permet de configurer la connexion.
+
  
 
== Références ==
 
== Références ==
  
Si vous n'avez toujours pas internet, n'hésitez pas à aller voir [https://intranet.ensimag.fr/intranet-joomla/index.php?option=com_content&task=view&id=202&Itemid=134  sur l'intranet]
+
Si vous n'avez toujours pas internet, n'hésitez pas à aller voir sur [http://intranet.ensimag.grenoble-inp.fr/informatique/wifi-vpn-et-acces-distant-vpn-709185.kjsp l'intranet].
  
 
[[Catégorie:Ensimag]]
 
[[Catégorie:Ensimag]]
 
[[Catégorie:Réseau]]
 
[[Catégorie:Réseau]]
 
<!-- EOF -->
 
<!-- EOF -->

Version actuelle en date du 18 septembre 2020 à 09:38

Cette page regroupe les instructions nécessaires à la configuration du client VPN utilisé pour accéder au réseau de l'Ensimag, que ce soit depuis votre portable à l'intérieur de l'établissement ou de chez vous. La documentation officielle du VPN Ensimag se trouve sur l'intranet de l'école.

Le VPN peut être utile pour connecter votre machine au réseau de l'école et accéder à des services qui ne sont normalement disponibles qu'à l'école (par exemple les machines virtuelles).

AttentionUne fois connecté au VPN, TOUT votre trafic internet passe par la passerelle IMAG. Bien sûr, les horaires et IPs de chacun sont enregistrés : si vous faites des téléchargements illégaux chez vous, c'est vous qui en assumez les conséquences, mais l'école ne peut bien sûr pas vous laisser le faire en utilisant son réseau. D'une manière générale, évitez ce qui n'est pas scolaire ou parascolaire, surtout si cela génère beaucoup de trafic.


Installation du client VPN

Client libre OpenConnect

OpenConnect est un client VPN libre compatible avec Cisco AnyConnect.

Il est disponible sous Linux, OSX et Windows et Android.

  • Sous Linux : installez openconnect depuis votre gestionnaire de paquets.
  • Sous Mac (avec Homebrew) : installez également depuis le gestionnaire de paquets brew install openconnect .

Vous pourrez vous connecter en lançant sudo openconnect vpn.grenet.fr depuis un terminal.

Intégration à Network Manager

Ce client est de base sans interface graphique, vous pouvez avoir l'intégration au système via le paquet network-manager-openconnect-gnome. Vous retrouverez alors les paramètres avec le reste des paramètres réseaux de votre environnement.

Intégration à votre .bashrc

Pour se connecter au VPN très simplement depuis un terminal, il est possible d'ajouter les 2 fonctions suivantes à votre fichier ~/.bashrc. Pensez à remplacer "MY_USERNAME" par votre actuel identifiant de session Ensimag, webmail, etc...

Puis, pour lancer le VPN, simplement lancer la commande $ startvpn dans un terminal et saisir votre mot de passe sudo, puis le mot de passe universitaire/ensimag.

function startvpn() {
    USER=MY_USERNAME
    AUTHGROUP="Etudiants de Grenoble INP"
    HOST=vpn.grenet.fr

    sudo openconnect --background \
                    --pid-file="${HOME}/.openconnect.pid" \
                    --authgroup="${AUTHGROUP}" \
                    --user=${USER} \
                    ${HOST}
}

function stopvpn() {
    if [[ -f "$HOME/.openconnect.pid" ]]; then
        sudo kill -2 $(cat "${HOME}/.openconnect.pid") && rm -f "${HOME}/.openconnect.pid"
    else
        echo "openconnect pid file does not exist !"
    fi
}

Pour se déconnecter du VPN, une fois que vous n'en n'avait plus besoin, tapez $ stopvpn dans le terminal et saisissez le mot de passe sudo (Comme openvpn est obligatoirement lancé en super utilisateur, il faut également ces droits pour tuer ce processus).

Bonus

Si vous aussi avez un soupçon de fainéantise et ne voulez plus avoir à écrire le mot de passe sudo, vous pouvez ajouter cette ligne au fichier /etc/sudoers en tapant d'abord la commande $ sudo visudo puis en ajoutant ces 2 lignes vers la fin du fichier (si openconnect est installé ailleurs bien mettre le bon emplacement) :

# For vpn macros
%admin ALL=(ALL) NOPASSWD: /usr/local/bin/openconnect, /bin/kill

On sauvegarde tout ça ! :wq + ⏎ Et plus qu'à tester dans un terminal avec les macros créées précédemment si cela demande toujours le mot de passe sudo.

Client propriétaire Cisco AnyConnect

C'est la solution préconisée par Cisco, mais elle a un double incovénient : elle est propriétaire et mal intégrée au système.

Ce client est disponible sur Android, iOS, Windows Phone et Linux, OSX et Windows.

Documentation imagée proposée par les Bug Busters

Désinstallation sous Linux

Vous avez installé AnyConnect par dépit, mais en bidouillant un peu vous avez fini par faire marcher le client VPN natif de votre installation Linux... Pourquoi diable alors garder ce client si peu intégré à votre système, et qui plus est est maintenant redondant? Étant donné qu'il n'a pas été installé avec votre gestionnaire de paquet, inutile de dégainer apt ou yum.

Le coupable se cache dans /opt/cisco/. Il suffit de lancer :

$ sudo bash /opt/cisco/anyconnect/bin/vpn_uninstall.sh

Shimo

Shimo est un client VPN auparavant open source devenu propriétaire et payant pour Mac OSX sensé être compatible avec Cisco AnyConnect mais bien mieux intégré au système. La version 1.0.7 (dernière sous licence libre) ne sert en fait qu'à mieux intégrer le client Cisco au système, tandis que les versions 2 et ultérieures sont indépendantes.

Configuration du client

Voici les codes d'accès nécessaires au tunnel VPN :

Adresse de la passerelle (gateway en anglais) : vpn.grenet.fr

Nom utilisateur : votre identifiant ensimag

Mot de passe : votre mot de passe universitaire

Nom du groupe : Etudiants de Grenoble INP ou Personnels de Grenoble INP

Cas particuliers (VPN installé pour vous dans les laboratoires, ...)

À Verimag

(Cette méthode ne semple plus fonctionner depuis n années...)

Depuis les machines fixes du laboratoire Verimag, le VPN est disponible avec les commandes :

  • ensimag-connect : se connecter au VPN
  • ensimag-disconnect : se déconnecter du VPN
  • ensimag-clean : permet de « nettoyer » la configuration réseau : quand on reste connecté trop longtemps (environ 24h) au VPN, un timeout tue le démon vpnc et casse complètement la connexion réseau. Lancer ensimag-clean permet de revenir dans un état cohérent.

Chacune de ces commande va vous demander votre mot de passe Verimag (pour avoir le droit d'utiliser sudo), et ensimag-connect vous demandera ensuite votre login et mot de passe Ensimag.

Références

Si vous n'avez toujours pas internet, n'hésitez pas à aller voir sur l'intranet.