OpenVPN ALS est un fork de ssl-explorer, c’est une solution d’accès distant qui permet aux utilisateurs d’accéder à leur réseau local via une interface web sécurisée développée en Java.
Ce genre d’outil requiert une attention particulière sur la sécurité car elle expose votre LAN.
La base de cet article repose sur le wiki officiel de OpenVPN ALS.
L’installation des pré-requis
Installation de l’outil de build Java sur CentOS :
yum install ant
Installation de la version open source de Java :
yum install openjdk
La configuration de java :
alternatives --config java
Il existe 3 programmes qui fournissent java, nous sommes actuellement en version 1.7.0 :
Sélection Commande ----------------------------------------------- * 1 /usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/java 2 /usr/lib/jvm/jre-1.5.0-gcj/bin/java 3 /usr/lib/jvm/jre-1.6.0-openjdk.x86_64/bin/java
Pour que OpenVPN ALS fonctionne, sélectionner la version 1.6.0 de java (ici l’option 3).
Installation OpenVPN ALS (adito)
Télécharger OpenVPN-ALS adito :
wget http://sourceforge.net/projects/openvpn-als/files/adito/adito-0.9.1/adito-0.9.1-bin.tar.gz/download
Décompresser L’archive :
tar xvzf adito-0.9.1-bin.tar.gz
Se rendre dans le dossier :
cd adito-0.9.1
Lancer le début de l’installation :
ant install
Buildfile: build.xml
set-tools:
check-tools:
[echo] Couldn't find tools.jar from $ADITO_HOME/adito/lib
[echo] Copying the tools.jar from your JDK
[copy] Copying 1 file to /root/adito-0.9.1/lib
check-permissions:
install: y
[java] Starting installation wizard.Point your browser to http://adresse_ip:28080.
[java]
[java] Press CTRL+C or use the ‘Shutdown’ option from the web interface to leave the installation wizard. [java] …………. BUILD SUCCESSFUL Total time: 4 minutes 34 seconds
Java vous informe que pour continuer de lancer l’installation , il faut lancer votre navigateur avec :
http://votre_ip:28080.
Pour informations il vous faut ouvrir le port « 28080 » avec iptables :
iptables -A INPUT -p tcp -m tcp --sport 28080 -j ACCEPT
La suite se passe sur votre navigateur et sur l’interface web d’installation d’OpenVPN-ALS.
Interface web : OpenVPN-ALS (adito)
Le premier contact avec l’interface, création du certificat :
Ensuite, il vous faut choisir une « passphrase » :
La fenêtre suivante affiche la création du certificat (exemple) :
- Hostname : vpn.kassianoff.fr
- Organisational Unit : IT
- Compagny : kassianoff
- City : Lyon
- State : Rhône-Alpes
- Country Code : FR
Une fois cette étape terminée, appuyer sur « Next » et configurer les paramètres du super utilisateur :
Une fois sur l’étape 4 : laisser le port en https (443) et l’interface « ALL » en mode « Allow« .
Vous pouvez modifier les autorisations des clients (facultatif).
L’étape 5 vous renvoie vers l’usage d’un proxy : cochez le ou non .
La fin de l’installation vous récapitule l’ensemble de vos choix :
La fin de l’installation de l’interface web se termine par le message suivant :
Installer Complete : "The adito installer is exiting. [...] you may then start the Adito service.
Les services : OpenVPN-ALS (adito)
Pour que OpenVPN ALS fonctionne pleinement, il faut installer le service avec la commande :
ant install-service
Buildfile: build.xml
set-tools:
check-tools:
check-permissions:
install-service:
[echo] Installing Adito as Linux service
[exec] Detecting Java
[exec] Using /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre
[exec] Detected OS redhat (x86-64)
[exec] /root/adito-0.9.1/install/platforms/linux/install-service: line 12: /root/adito-0.9.1/conf/wrapper.conf: Aucun fichier ou dossier de ce type
[exec] Service installed
[echo] Adito installed as Linux service
BUILD SUCCESSFUL
Total time: 0 seconds
Maintenant que le service est installé, lancez-le :
/etc/init.d/adito start
ou
ant start
Starting Adito... /root/adito-0.9.1/install/platforms/linux/adito: /root/adito-0.9.1/install/platforms/linux/x86/wrapper: /lib/ld-linux.so.2: bad ELF interpreter: Aucun fichier ou dossier de ce type /root/adito-0.9.1/install/platforms/linux/adito: line 213: /root/adito-0.9.1/install/platforms/linux/x86/wrapper: Succ
Si vous avez le message d’erreur ci-dessous installer « glibc » :
yum -y install glibc.i686
Relancez le service :
ant start
Buildfile: build.xml
create-wrapper-conf:
[copy] Copying 1 file to /root/adito-0.9.1/conf
[echo] Creating wrapper configuration dynamically
[echo]
[echo] Java executable: /usr/lib/jvm/java-1.6.0-openjdk-1.6.0.0.x86_64/jre/bin/java [echo] Wrapper directory: install/platforms/linux/x86 set-tools: check-tools: check-permissions: start: [exec] Starting Adito… [exec] /root/adito-0.9.1/install/platforms/linux/adito: /root/adito-0.9.1/install/platforms/linux/x86/wrapper: /lib/ld-linux.so.2: bad ELF interpreter: Aucun fichier ou dossier de ce type [exec] /root/adito-0.9.1/install/platforms/linux/adito: line 213: /root/adito-0.9.1/install/platforms/linux/x86/wrapper: Succès [exec] Result: 1 [echo] Adito started BUILD SUCCESSFUL Total time: 0 seconds
N’oubliez pas la règle iptables sur port « 443 » :
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
L’interface web du serveur : https://adresse_ip (ou votre nom de domaine)
Des articles suivront très prochainement sur :
- L’ajout d’application java et paramétrage des connexions ssh, rdp, vnc.
- Création de tunnels SSH, web forwarde, gestion utilisateur.
- Sécurisez votre infrastructure spécifiquement à OpenVPN ALS adito.
