Ces derniers temps avec la crise Hadopi & co, la mode est au VPN... et pour cause quoi de plus beau que l'anonymat sur le nain ternet ?

Je vais vous expliquer comment mettre en place votre propre VPN pour au choix, être géolocalisé dans un pays différents du votre ? (Streaming?) ou tout simplement pour salir l'ip de votre dédié préféré !

Dans cet exemple nous aurons donc un serveur dedié nommé "serveur" et une machine cliente nommé cliente ! (Cet exemple permet aussi d'utiliser le VPN sur un device de type iPhone ou Android)

Commençons par installer le serveur pptp sur notre serveur debian:

serveur#apt-get install pptpd

Dans mon cas, je sais que je n'aurai jamais plus d'un client connecté a mon VPN à la fois et je décide de dédier a ce VPN le sous réseau suivant: 10.13.13.0/24

Voici donc le contenu de mon fichier /etc/pptpd.conf:

serveur# cat /etc/pptpd.conf | grep -v '^$' |grep -v '^#'
option /etc/ppp/pptpd-options
logwtmp
localip 10.13.13.1
remoteip 10.13.13.2-3

Voici le contenu de mon fichier /etc/ppp/pptpd-options:

serveur# cat /etc/ppp/pptpd-options | grep -v '^$' |grep -v '^#'
name NomdeVotre.VPN
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
proxyarp
lock
nobsdcomp
mtu 1490
mru 1490

On note le nom de votre VPN ainsi que les DNS publics de google qui seront utilisés par le client VPN

Je souhaite également pouvoir m'authentifier par login / password, pour cela il faut renseigner le fichier /etc/ppp/chap-secrets

serveur# cat /etc/ppp/chap-secrets
monlogin NomdeVotre.VPN  monpassword *

Le quatrième champs peut être utilisé pour faire un restriction par adresse IP cliente.

Coté serveur il ne reste plus qu'a redemarrer le service pptpd:

# /etc/init.d/pptpd restart

Vérifions à l'aide d'un ifconfig -a que le service est bien lancé que l'ip local est bien assignée:

server# ifconfig -a ppp0

ppp0 Link encap:Point-to-Point Protocol
inet addr:10.13.13.1 P-t-P:10.13.13.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:6628 errors:0 dropped:0 overruns:0 frame:0
TX packets:11701 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:1123537 (1.0 MiB) TX bytes:8077239 (7.7 MiB)

Coté client, il ne reste plus qu'à configurer votre client pptp sous windows, iPhone, ou Android !

Un petit coup de MASQUERADE vous sera tres utile:

IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Verifier votre ip de sortie

Sur votre dedié vous pouvez faireu ne ping sur la machine cliente:

serveur

serveur# ping 10.13.13.2
PING 10.13.13.2 (10.13.13.2) 56(84) bytes of data.
64 bytes from 10.13.13.2: icmp_req=1 ttl=64 time=97.9 ms
64 bytes from 10.13.13.2: icmp_req=2 ttl=64 time=224 ms
64 bytes from 10.13.13.2: icmp_req=3 ttl=64 time=148 ms

P.S: on ne s'affole pas il s'agit du fabuleux réseaux 3g d'orange ...

That's done !!

iPhone VPN

En effet lorsque les deux serveurs Samba utilisent un serveur Active Directory pour autoriser ou non les lectures/écritures il peut arriver que les droits assignés aux fichiers ne soient pas les mêmes sur les deux serveurs Samba.

Pour résoudre cela il faut ajouter un paramètre à la configuration de Samba dans la section global.

Exemple:

workgroup = home
realm = HOME.LOCAL
netbios name = Samba1
idmap backend = idmap_rid:home=30001-39999
idmap uid = 30001-39999
idmap gid = 30001-39999

Ainsi, d'un serveur Samba à l'autre, les UID et GID attribué seront identiques.

PS: Si vous faites cette ajout sur un serveur Samba déjà en service penser a redemarrer samba et winbind et à remettre les droits adequats au fichiers déjà existant (cf getent passwd , getent groups etc).

Sur :

- Gmail : qui est un webmail de merde

- L'imap de Gmail qui est digne d'un 56k en alasaka timeout inclu

- L'iphone qui est une arnaque, comme dit dans le 20 minutes: "C'est un gadget à appleboy"

- Orange qui va proposer des iPhones à 99euros (vous êtes des ordures)

- Debian qui part en sucette

- GoogleDoc qui ne merite pas de vivre.

- Ingrid Betancourt qui parle de repartir en Colombie (on aurait du la laisser on aurait evité de payer un retour piour rien)

- Ségolène Royal qui me saoule a être partout pour mendier de l'interet

- Les medias qui nous pourrissent la tête

Globalement, j'ai fait le tour..

Aujourd'hui, nouvelle faille debian .. cf http://lists.debian.org/debian-security-announce/2008/msg00152.html

Pour se sentir avec les fesses propres , un bon vieux :

• # apt-get update
• # apt-get install libssl-dev libssl0.9.8 openssl openssh-server openssh-client
• # rm /etc/ssh/ssh_host_*
• # dpkg-reconfigure openssh-server

Puis remplacez les clefs compromises indiquées par:

• # ssh-vulnkey

Pensez a changer vos clef SSH etc..

Alea jacta es.

J'ai donc utilisé nbench sur une Debian etch 32 bit et un FreeBSD 6.2.

Voici les deux screenshots du resultat:

Debian

FreeBSD

Je ne me lancerai pas dans un troll quelconque, je dirai juste que j'attends avec impatience la bêta de FreeBSD 7.0 chez OVH :) (oui ici il s'agit d'un FreeBSD 6.2 et d'une Debian en 2.6.24.* :))

Malheureusement je ne pensais pas toujours à vérifier mes news et donc parfois j'en raté beaucoup.

C'est la que j'ai découvert rss2email qui permet de recevoir par mail ses news !

Installation:

• # apt-get install rss2email

Puis pour initialiser rss2email on fait un petit r2e run

• # r2e run

Ajouter la boite e-mail par defaut:

• # r2e email maj@cannibalz.net

Puis on indique quel boite mail doit recevoir quel fluxrss de la maniere suivante:

• # r2e add http://www.monfluxrss.com/flux.xml moi@domaine.com

On peut de cette manière ajouter moult flux rss.

Puis pour ne pas être spammé on va lui faire connaître les flux rss déjà existant sans etre notifé:

• # r2e run --no-send

Une fois cela fait il ne reste plus qu'à mettre ce dernier en crontab de la manière suivante:

15 * * * * /usr/bin/r2e run

Pensez a faire un r2e run --no-send lors de l'ajout de nouveau flux rss.

Au depart je voulais mettre ma gate en raid1 pour la simple est bonne raison qu'il y a beaucoup de choses dessus que je ne veux vraiment pas perdre.

J'avais ici une carte controller SATA raid 0/1 qui trainait, mais je n'avais pas davantages envie que ça de l'utiliser.

Je me suis donc dit que c'etait peut etre l'occasion de voir un peu ce qui se passait dans le domaine du raid logiciel, et plus particulierement mdadm (mutli-disk) que j'avais eu l'occasion de tuttoyer au taff ;)

Deja le raid logiciel, comme son nom l'indique n'oblige pas l'utilisation d'une carte raid (wahouuu heureusement que jusque la ca va :)).

Dans le points positifs on a:

1. Ne necessite pas de carte RAID
2. Facilité de mise en place
3. Facilité d'entretient (mdadm /dev/md0 --add /dev/sda1 etc)
4. Monitoring aisé
5. Meilleurs perf que le raid hardware (1)
6. Benefice de la communaute Open-Source (en cas de soucis plus de personne a reagir que sur un firmware proprio)

Point negatifs

1. Interaction avec le CPU
2. Efficacité et performances en relation avec la configuration de la machine hote
3. Pas de system de Battery qui permettent en general de terminer une ecriture avant l'arret en cas de coupure de courant

(1) Arguement tiré d'un Benchmark qui donnait l'avantage au Raid logiciel multi-disk (md) uniquement en ecriture sur du Raid1

Voila voila, je preneur d'autres arguments ou critiques.

Il peut arriver qu'un disque dur d'un raid1 logiciel soit defectueux, dans ce cas il suffit de remettre un disque dur identique a celui restant, puis de refaire exactement les memes partitions que le disque restant sur le nouveau disque.

Une fois cela fait il suffit de faire:

• # mdadm /dev/md0 --add /dev/sda1

/dev/md0 était le raid1 sur lequel un disque dur etait defecteux et /dev/sda1 etant la partition du nouveaux disque dur qu'on veut ratacher a /dev/md0.

Suite a cela , il va y avoir une synchronisation entre les deux partitions.

Il suffira de reboot pour etre convaincu du bon deroulement des operations.

J'ai été fortement seduit par cette solution (je detaillerai pourquoi dans un prochain billet) et j'ai donc voulu passer ma gate@home en raid1 logiciel.

Je vais donc detailler ici comment migrer son systeme vers un raid1 logiciel avec mdadm.

Un petit etait des lieux avant tout, voici ma configuration actuelle:

debian:~# df -h
Filesystem Size Used Avail Use% Mounted on
/dev/sda1 2.8G 494M 2.2G 19% /
tmpfs 126M 0 126M 0% /lib/init/rw
udev 10M 52K 10M 1% /dev
tmpfs 126M 0 126M 0% /dev/shm
debian:~#

On vient bien ici que je n'ai qu'une partition principale / de 2.8Go. /dev/sda est donc mon disque dur actuel, avec une partition /dev/sda1.

Par chance je retrouve un disque dur de taille identique ce qui sera plus cool pour faire mes partitions et mon raid logiciel.

Considerons donc /dev/sda mon disque dur actuel et /dev/sdb mon nouveau disque dur.

/dev/sdb vient juste d'etre ajouté dans la machine:

debian:~# fdisk -l /dev/sdb

Disk /dev/sdb: 3221 MB, 3221225472 bytes
255 heads, 63 sectors/track, 391 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Disk /dev/sdb doesn't contain a valid partition table
debian:~#

Commencons par installer mdadm:

• # apt-get install mdadm

Il faut a present modifier le type des partitions sur /dev/sda en effet nous avons actuellement:

debian:~# fdisk -l /dev/sda

Disk /dev/sda: 3221 MB, 3221225472 bytes
255 heads, 63 sectors/track, 391 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 367 2947896 83 Linux
/dev/sda2 368 391 192780 5 Extended
/dev/sda5 368 391 192748+ 82 Linux swap / Solaris
debian:~#

Utilisez fdisk ou cfdisk pour obtenir:

debian:~# fdisk -l /dev/sda

Disk /dev/sda: 3221 MB, 3221225472 bytes
255 heads, 63 sectors/track, 391 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/sda1 * 1 367 2947896 fd Linux raid autodetect
/dev/sda2 368 391 192780 5 Extended
/dev/sda5 368 391 192748+ 82 Linux swap / Solaris
debian:~#

Une fois cela fait, nous allons dupliquer les partitions de /dev/sda sur /dev/sdb:

• # sfdisk -d /dev/sda | sfdisk /dev/sdb

Vous devriez obtenir un affichage du style de celui ci:

......

Successfully wrote the new partition table

Re-reading the partition table ...
.......

A present il va falloir utiliser mdadm pour creer le raid en indiquant /dev/sda comme manquant:

debian:~# mdadm --create /dev/md0 --level 1 --raid-devices=2 missing /dev/sdb1
mdadm: array /dev/md0 started.
debian:~#

Repetez cette operation pour chacune de vos partitions (dans mon cas je n'avais que /dev/sda1 au tout debut)

Creez le filesystem pour le raid:

• # mkfs.ext3 /dev/md0

A present montons le volume /Dev/md0 et copions son contenu:

• # mount /dev/md0 /mnt
• # cp -dpRx / /mnt

Faites ainsi pour chacun de vos partitions par exemple pour /var:

• # mount /dev/md1 /mnt/var
• # cp -dpRx / /mnt/var

Dans le cas de ce tutorial nous ne le ferons car nous avons tout dans une seule partitions.

Formatons la partition swap sur le nouveau disque dur sdb:

• # mkswap -v1 /dev/sdb5

Puis modifiez le fichier /mnt/etc.fstab pour qu'il ressemble a:

debian:~# cat /mnt/etc/fstab
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/md0 / ext3 defaults,errors=remount-ro 0 1
/dev/sda5 none swap sw 0 0
/dev/sdb5 none swap sw 0 0
/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0
debian:~#

On notera le remplacement de /dev/sda1 par /dev/md0 et l'activation des deux partitions swap sda5 et sdb5

Editez egalement le fichier /mnt/boot/grub/menu.lst , voici a quoi ressemble dorenavant le mien:

.....

title Debian GNU/Linux, kernel 2.6.18-5-686
root (hd0,0)
kernel /boot/vmlinuz-2.6.18-5-686 root=/dev/md0 md=0,/dev/sda1,/dev/sdb1 ro
initrd /boot/initrd.img-2.6.18-5-686
savedefault

title Debian GNU/Linux, kernel 2.6.18-5-686 (single-user mode)
root (hd0,0)
kernel /boot/vmlinuz-2.6.18-5-686 root=/dev/md0 md=0,/dev/sda1,/dev/sdb1 ro sin gle
initrd /boot/initrd.img-2.6.18-5-686
savedefault

.....

Passons a grub:

grub-install /dev/sda
grub
grub: device (hd0) /dev/sdb
grub: root (hd0,0)
grub: setup (hd0)
grub: quit

Copions tout cela sur /dev/sda

debian:~# cp -dp /mnt/etc/fstab /etc/fstab
debian:~# cp -dp /mnt/boot/grub/menu.lst /boot/grub

Et on reboot!

Lors du reboot voici ce que l'on voit passer:

md: raid6 personality registered for level 6
md: raid5 personality registered for level 5
md: raid4 personality registered for level 4
md: raid10 personality registered for level 10
md: bind<sdb1>
raid1: raid set md0 active with 1 out of 2 mirrors
Attempting manual resume

Il nous faut donc ajouter /dev/sda1 a /dev/md0 :

debian:~# mdadm --add /dev/md0 /dev/sda1
mdadm: added /dev/sda1
debian:~#

Vous devriez voir cela dans votre dmesg au bout d'un ptit moment:

md: bind<sda1>
RAID1 conf printout:
--- wd:1 rd:2
disk 0, wo:1, o:1, dev:sda1
disk 1, wo:0, o:1, dev:sdb1
md: syncing RAID array md0
md: minimum _guaranteed_ reconstruction speed: 1000 KB/sec/disc.
md: using maximum available idle IO bandwidth (but not more than 200000 KB/sec) for reconstruction.
md: using 128k window, over a total of 2947776 blocks.
md: md0: sync done.
RAID1 conf printout:
--- wd:2 rd:2
disk 0, wo:0, o:1, dev:sda1
disk 1, wo:0, o:1, dev:sdb1

On pretera attention : "md: md0: sync done."

Et hop on reboot encore :p

Ceete fois ci on a:

raid1: raid set md0 active with 2 out of 2 mirrors

Mais on voit un petit message rouge pas tres gracieux:

Assembling MD Arrays ... failed (no arrays found in config file or automatically)

Pour regler cela j'ai rajoute dans /etc/mdadm/mdadm.conf:

DEVICE /dev/sda*
DEVICE /dev/sdb*
ARRAY /dev/md0 devices=/dev/sda1,/dev/sdb1

Et voila tout tourne bien :)

L'avantage de cette solution est que, vous pouvez indirectement authentifier vos utilisateurs a votre OpenVPN par un serveur LDAP. (sous réserve que vous pouvez déjà vous connecter en SSH par l'intermédiaire de votre serveur ldap)

On partira du principe que vous avez deja un serveur OpenVPN fonctionnel.

C'est partit:

• # apt-get install libpam0g-dev

Ajouter dans le fichier de conf du serveur:

plugin /usr/lib/openvpn/openvpn-auth-pam.so common-auth
client-cert-not-required (si vous ne voulez pas gérer de certificat par client)

Sur le serveur on aura besoin de:

1. ca.crt (build-ca)
2. server.crt, server.key (build-key server)
3. dh1024.pem (build-dh)

Dans le fichier de configuration client:

client
port 1194
proto udp
dev tun
remote [server address]
ca [server’s ca.cert] (seul fichier nécessaire sur le client)
auth-user-pass (le client demande un login/pass existant sur le serveur)

Il ne vous reste plus qu'a tester tout ça en redemarrant votre serveur et client openvpn :)