VPN

De Ensiwiki
Révision de 24 avril 2014 à 06:58 par Moym (discussion | contributions) (Sous Windows XP)

Aller à : navigation, rechercher

Cette page regroupe les instructions nécessaires à la configuration du client VPN utilisé pour accéder au réseau de l'Ensimag, que ce soit depuis votre portable à l'intérieur de l'établissement ou de chez vous.

AttentionUne fois connecté au VPN, TOUT votre trafic internet passe par la passerelle IMAG. Bien sûr, les horaires et IPs de chacun sont enregistrés : si vous faites des téléchargements illégaux chez vous, c'est vous qui en assumez les risques, mais l'école ne peut bien sûr pas vous laisser le faire en utilisant son réseau. D'une manière générale, évitez ce qui n'est pas scolaire ou parascolaire, surtout si cela génère beaucoup de trafic.


Conseil pratique

La plupart des liens donnés ici pointent vers une partie spéciale de l'intranet qui est accessible en Wifi, même si vous n'avez rien configuré (ces pages sont le seul "bout" de l'internet auquel vous avez accès sans passer par le VPN). Théoriquement, vous pouvez vous en sortir !

Toutefois, si vous avez accès à internet depuis chez vous, vous pouvez aller configurer le VPN. Quand vous aurez le vpn, vous aurez déjà fait la plus grosse partie de l'installation wifi : il suffira de reprendre le tutoriel et de sauter les étapes que vous avez déjà faites.

Si vous rencontrez des difficultés, n'importe quel élève bien luné doit pouvoir vous passer le client VPN via une clef USB ou un autre média amovible.

Installation & configuration du client VPN

Codes d'accès

Voici les codes d'accès nécessaires au tunnel VPN (Cisco IPSec) :

Adresse IP de la passerelle (gateway en anglais) : 129.88.1.237

Nom utilisateur : votre identifiant ensimag

Mot de passe : votre mot de passe Ensimag, initialement le même que votre mot de passe Grenoble-INP

Nom du groupe :

  • ensimag-etudiants pour les étudiants
  • ensimag-permanents pour le personnel

Mot de passe du groupe (ou secret partagé) :

  • Pour des raisons évidentes de sécurité le mot de passe ne peut apparaître sur cette page publique, allez donc le lire ici.

Installation quasi-automatique sous Debian, Ubuntu, Ensilinux, ...

Un script a été créé pour résoudre rapidement le problème du VPN. Attention, il faut être sous l'environnement Gnome pour que tout marche correctement. Il faut également une connection internet en état de marche (mais sans VPN). Le script se trouve ici Fichier:AutoConfigureVPN.tar.gz.

Utilisation :

  • Decompressez l'archive et placez-vous dans le dossier autoConfigureVPN.
  • Si vous êtes étudiant lancez installVPNEtudiant, installVPNPermanent si vous êtes permanent.
  • Laissez-vous guider !

Sous la plupart des distributions linux (et autres Unices)

L'école fournit un client Linux et les informations d'installation. Toutefois, ce client est peu commode. Si vous pouvez accéder à internet (chez vous, ou via un club) il sera probablement plus facile de faire confiance au paquet préconisé par votre distribution préférée.

Network Manager

Sous les bureaux majeurs (Gnome, KDE), il existe un plugin à NetworkManager (l'icone dans la system tray qui vous permet de vous connecter) qui prend en charge le VPN. Installez le paquet network-manager-vpnc (le nom peut un peu changer selon les distributions). L'interface est intuitive, utilisez simplement les identifiants fournis plus haut.

Autre driver libre qui fonctionne : le paquet network-manager-openconnect-gnome

Nm-vpn.png

Nm-vpn-add.png

Nm-vpn-param.png

AttentionL'adresse IP de la passerelle est 129.88.1.237 et non 10.6.6.6 comme indiqué sur l'image précédente.


Une fois tout ceci réalisé, une entrée de plus apparait dans le menu de l'applet réseau, il faudra la sélectionner après s'être connecté à un réseau internet opérationnel (wifi-campus par exemple).

Nm-vpn-connect.png

Ligne de commande

Les commandes ci-dessous sont données avec sudo pour les effectuer en tant que super-utilisateur ; vous pouvez bien évidemment vous logger en tant que root ou changer d'utilisateur avec su, pour obtenir le même effet.

Sous Ensilinux, *Ubuntu, et autres debianoïdes, installez vpnc avec

 $ sudo apt-get install vpnc

Pour les autres, il faudra remplacer par la commande spécifique à votre système.

Il faut ensuite aller éditer le fichier de configuration de vpnc, qui se trouve généralement dans /etc/vpnc. Par exemple :

 $ sudo nano /etc/vpnc/default.conf

Corrigez le fichier par défaut jusqu'à ce qu'il ressemble à ça :

 IPSec gateway #IP de la passerelle, p. ex. 129.88.1.237#
 IPSec ID #Nom du groupe, p. ex. ensimag-etudiants#
 IPSec secret #Le mot de passe du groupe#
 
 Xauth username #Votre login UNIX#
 Xauth password #Votre mot de passe UNIX#  

Si vous avez récupéré un fichier PCF (fichier de configuration pour le client VPN officiel de Cisco), vous pouvez obtenir un fichier de configuration pour vpnc équivalent avec la commande pcf2vpnc.

Attention toutefois : vos identifiants UNIX apparaîtront en clair dans ce fichier. Si vous n'êtes pas sur un ordinateur que vous maîtrisez complètement (i.e. si vous n'êtes pas le SEUL root sur cette machine) il est plus prudent de ne pas mettre la dernière ligne. La contrepartie est que votre mot de passe UNIX sera demandé à chaque connexion.

Lancer la connexion par :

 $ sudo vpnc-connect

Ou, selon votre installation (toutes n'ont pas de commande vpnc-connect) :

 $ sudo vpnc default

('default' est le nom du fichier de configuration privé du suffixe .conf ; vous pourriez en vouloir plusieurs, pour plusieurs configurations)

Arrêter la connexion par :

 $ sudo vpnc-disconnect
Vous pouvez automatiser cette procédure avec

Il est possible que votre client vpn se déconnecte de manière intempestive. Ceci est éventuellement dû au fait que le script utilisé par vpnc lors de son démarrage n'est pas très à jour. Vous pouvez récupérer une version de développement de ce script ici.

Mode graphique gnome-vpnc (gvpnc)

gnome-vpnc téléchargeable ici : http://code.google.com/p/gvpnc/downloads/list

  • Décompresser et installer le dossier gvpnc par exemple dans /usr/local/sbin
  • Effectuer les correctifs suivants :
    • gvpnc.py : enlever les caracteres "copyright" à la ligne 5 et à la ligne 55 ( et remplacer par "(C)" par exemple)
    • gvpnc : corriger le chemin d'accès à gvpnc.py ($PWD à remplacer par le chemin complet). Exemple :
#!/bin/bash
#
# this is probably broke below -- you'll need to do a 'cd' first to where the python file is located
#
# FIX ME 
#
cd /usr/local/sbin/gvpnc
gksudo "/usr/bin/python /usr/local/sbin/gvpnc/gvpnc.py"
  • Créer /etc/vpnc/gvpnc.conf : Voyez l'exemple de default.conf ci-dessus.

Lancer ensuite le programme qui permet de se connecter ou déconnecter en mode vpn :

 sudo /usr/local/sbin/gvpnc

Sous Windows XP

Documentation pour le client « AnyConnect » (utilisation depuis le navigateur, simple en théorie mais ne marche pas toujours) : https://intranet.ensimag.fr/intranet-ensimag/index.php/moyens-pedagogiques-3/environnements-numeriques-de-travail-ent/202-wifi-vpn-et-acces-distant-vpn

Documentation complète pour le client VPN Cisco en bas de cette page : https://intranet.ensimag.fr/intranet-ensimag/index.php/component/content/article/23-moyens-pedagogiques/wifi-vpn/163-vpn-windows

Le client VPN fourni par Cisco est disponible ici : Client VPN Cisco Un fichier de configuration tout prêt est disponible ici : VPN-IMAG-PUB-ETUDIANTS.pcf

Téléchargez les 2 fichiers, installez le client puis redémarrez. Une fois revenu sur le bureau, lancez le Client VPN Cisco, et cliquez sur le gros bouton importer. Sélectionnez ensuite le fichier de configuration que vous aviez téléchargé. Validez, et tout devrait fonctionner.

Aide se connecter automatiquement (sans login/mot de passe) : Une fois les fichiers de configuration importés, on peut forcer la connection automatique (oui, le bouton sauvegarder mon mot de passe ne marche pas tout le temps ...). Pour cela, il faut éditer les fichiers de configuration .pcf qui se trouve dans le répertoire ..\Cisco Systems\VPN Client\Profiles.

  Username=login_imag
  SaveUserPassword=1
  UserPassword=password_imag

Puis passez votre fichier en lecture seule (clic droit > propriétés > attributs : 'lecture seule').

Variante pour eviter de stocker son mot de passe en clair :

  Username=login_imag
  SaveUserPassword=1
  enc_UserPassword=password_imag_encrypté

Pour obtenir votre mot de passe encrypté, une astuce consiste a remplir UserPassword=password_imag dans le fichier profile. Puis il faut commencer une connexion et l'annuler immédiatement, en ayant vérifié que le fichier profil n'était pas en lecture seule. Si tout se passe bien, le password en clair sera remplace par le password encrypté. Il faut alors remettre le fichier en lecture seule.

Sous Mac OS X

Pour Mac OS X, l'intranet préconise le client VPN Cisco, mais le client Shimo est plus simple et mieux intégré.

L'installation sous Mac OS X depuis "Snow Leopard" (10.6) ne nécessite plus de logiciel tiers. Un page explique la configuration pas à pas.

Sous iPhone

Le client VPN est pré-installé sur l'iPhone, et il existe deux moyens de le configurer.


Configuration automatique par profils

Un fichier de configuration, appelé "Profil", installable directement depuis l'iPhone. Ce fichier sera bientôt déposé sur l'intranet.


Configuration manuelle

Pour pouvoir l'activer et le configurer, connectez vous en WiFi à internet ou dans les locaux de l'Ensimag puis depuis le menu, allez dans Réglages, Général, Réseau, VPN et faites "Ajouter une configuration...".

Sélectionnez ensuite IPSec.

Mettez la description que vous voulez dans Description pour définir le nom de la configuration.

Dans le champ Serveur rentrez en fonction de votre emplacement l'adresse de l'hôte : 129.88.1.237.

Dans le champ Compte et Mot de Passe rentrez votre login et votre mot de passe utilisés pour les TX.

Rentrez ensuite le nom du groupe et le mot de passe du groupe correspondants à votre statut et disponibles ici.

Faites enfin Enregistrer puis activez le VPN.

Sur un téléphone portable Nokia tournant sous Symbian s60v3/s60v5

Tout d'abord, il faut installer le client vpn sur votre portable s'il y n'est pas déjà. Vous pouvez le trouver ici. Pour installer la politique VPN sur votre portable, il existe deux méthodes, une simple et une moins simple. Malheureusement, la plus simple qui est d'utiliser le logiciel de création de VPN développé par Nokia ne fonctionne pas (enfin, je n'ai pas réussi à générer une politique fonctionnant avec le VPN de l'Ensimag). Vous pouvez essayer et poster la solution ici (le logiciel est sur la même page que le VPN).Donc on va être obligé de passer par la méthode moins simple. Le principe est de créer notre propre .sis qui va installer la politique sur l'appareil.

Pour commencer faut créer trois fichiers:

VPN-policy.pol:

 SECURITY_FILE_VERSION: 3
 [INFO]
 VPN-Policy for Nokia Mobile VPN Client v3.0.
 [POLICY]
 sa ipsec_1 = {
 esp
 encrypt_alg 3
 max_encrypt_bits 256
 auth_alg 2
 identity_remote 0.0.0.0/0
 src_specific
 hard_lifetime_bytes 0
 hard_lifetime_addtime 3600
 hard_lifetime_usetime 3600
 soft_lifetime_bytes 0
 soft_lifetime_addtime 3600
 soft_lifetime_usetime 3600
 }
 
 remote 0.0.0.0 0.0.0.0 = { ipsec_1(XX.XX.XX.XX) }
 inbound = { }
 outbound = { }
 
 [IKE]
 ADDR: XX.XX.XX.XX 255.255.255.255
 MODE: Aggressive
 SEND_NOTIFICATION: TRUE
 ID_TYPE: 11
 FQDN: Groupe
 GROUP_DESCRIPTION_II: MODP_1024
 USE_COMMIT: FALSE
 IPSEC_EXPIRE: FALSE
 SEND_CERT: FALSE
 INITIAL_CONTACT: FALSE
 RESPONDER_LIFETIME: TRUE
 REPLAY_STATUS: TRUE
 USE_INTERNAL_ADDR: FALSE
 USE_NAT_PROBE: FALSE
 ESP_UDP_PORT: 0
 NAT_KEEPALIVE: 60
 USE_XAUTH: TRUE
 USE_MODE_CFG: TRUE
 REKEYING_THRESHOLD: 90
 PROPOSALS: 1
 ENC_ALG: 3DES-CBC
 AUTH_METHOD: PRE-SHARED
 HASH_ALG: MD5
 GROUP_DESCRIPTION: MODP_1024
 GROUP_TYPE: DEFAULT
 LIFETIME_KBYTES: 0
 LIFETIME_SECONDS: 28800
 PRF: NONE
 PRESHARED_KEYS:
 FORMAT: STRING_FORMAT
 KEY: 3 PWS

Dans ce fichier, il faut modifier les deux ip XX.XX.XX.XX avec les ip du VPN utilisé. Il faut aussi modifier Groupe à droite de FQDN par le nom du groupe utilisé et finalement modifier PWS à droite de key par le mot de passe non encrypté et changer 3 par le nombre de caractères du mot de passe.

VPN-policy.pkg

 #{"VPN-Policy"},(0x1000597E), 1, 0, 0, TYPE=SA
 %{"pip-EN"}
 :"pip"
 "VPN-policy-preshared-Cisco.pol"-"C:\System\Data\Security\Install\VPN-polic­y-preshared-Cisco.pol" 
 "VPN-policy-preshared-Cisco.pin"-"C:\System\Data\Security\Install\VPN-polic­y-preshared-Cisco.pin", 
 FM, "application/x-ipsec-policy-info" 
 (0x1000597E), 1, 0, 0, {"VPN Policy Installer"}
 [0x101F7961], 0, 0, 0, {"S60ProductID"}

Dans ce fichier vous pouvez changer le product ID pour ne pas obtenir l'avertissement : ce programme n'est pas compatible avec votre téléphone.

VPN-policy.pin

 [POLICYNAME] 
 VPN-Policy
 [POLICYDESCRIPTION] 
 VPN-Policy for Nokia Mobile VPN Client v3.0. 
 [POLICYVERSION] 
 1.1 
 [ISSUERNAME] 
 Do not edit 
 [CONTACTINFO] 
 Do not edit

Vous mettez ces trois fichiers dans le même répertoire, vous compilez VPN-policy.pkg avec makesis.exe. Ce programme se trouve dans le sdk de symbian.

Pour l'installer sur votre portable, il faut finalement signer le fichier .sis sur symbian signed.

Sous Android

Il y a déjà un app de Cisco pour Android, qui s'appele Samsung AnyConnect (disponible au Google Play: https://play.google.com/store/apps/details?id=com.cisco.anyconnect.vpn.android.samsung).

Shrew : solution libre alternative pour Windows ET Linux

Il existe une alternative libre au client proposé par Cisco, le lien de téléchargement est disponible depuis leur site internet : http://www.shrew.net/. Le protocole d'installation est le même que pour Cisco : un simple importer du fichier .pcf fourni sur l'intranet permet de configurer la connexion.

Références

Si vous n'avez toujours pas internet, n'hésitez pas à aller voir sur l'intranet