VPN » Historique » Version 15
Version 14 (Matthieu Herrb, 04/07/2020 20:55) → Version 15/19 (Julien Vaubourg, 29/08/2020 11:50)
h1. VPN
{{>toc}}
Cette page décrit les VPN Tetaneutral.net
Il y a plusieurs modes d'installation possible, selon ton usage du VPN.
h2. Installation sur un PC Linux
Le premier mode est une installation sur un PC Linux (portable ou fixe) et seul ce PC utilisera le VPN.
h3. Installation du logiciel
En fonction de la distribution GNU/Linux ou du BSD:
* Debian
<pre>
$ echo "deb http://deb.debian.org/debian/ unstable main" | sudo tee /etc/apt/sources.list.d/unstable.list
$ printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' | sudo tee /etc/apt/preferences.d/limit-unstable
$ sudo apt update
$ sudo apt install wireguard
</pre>
* Ubuntu
<pre>
$ sudo add-apt-repository ppa:wireguard/wireguard
$ sudo apt-get update
$ sudo apt-get install wireguard
</pre>
* Fedora
<pre>
$ sudo dnf copr enable jdoss/wireguard
$ dnf install wireguard-dkms wireguard-tools
</pre>
* CentOS
<pre>
$ sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo
$ sudo yum install epel-release
$ sudo yum install wireguard-dkms wireguard-tools
</pre>
* Arch
<pre>
$ sudo pacman -S wireguard-tools
</pre>
* OpenBSD 6.7-current : https://man.openbsd.org/wg.4
h3. Génération des clés
<pre>
$ wg genkey | tee privatekey | wg pubkey > publickey
$ chmod 400 privatekey
</pre>
Le fichier @privatekey@ contient alors la clé privée, et le fichier @publickey@, surprise, la clé publique.
Une fois cette étape terminée, envoie un mail à @question at tetaneutral point net@ avec les informations suivantes:
<pre>
Sujet: demande de VPN
Nom/pseudo : ton nom ou ton pseudo
No d'adérent·e: si tu le connais
Clé publique: le contenu du fichier publickey généré ci-dessus.
</pre>
Normalement, on va préparer la configuration de ton VPN coté serveur et te répondre (ça peut prendre quelques jours) en te communicant les adresses IP (v4 et v6) affectées à ton VPN.
Une fois que tu as ces informations, tu peux passer à l'étape suivante
h3. Fichier de configuration
Créée (avec les droits de root) @/etc/wireguard/wg0.conf@ contenant :
<pre>
[Interface]
Address = <adresses données par tetaneutral.net>
DNS = 91.224.148.10,91.224.149.254
PrivateKey = <ta clé privée>
[Peer]
Publickey = DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A=
AllowedIPs = 0.0.0.0/0,::/0
EndPoint = 89.234.156.116:51820
PersistentKeepalive = 25
</pre>
La section @peer@ doit être copiée telle-quelle. C'est la clé publique et l'IP du serveur de l'association.
Assure-toi que ce fichier n'est accessible en lecture que par root:
<pre>
$ sudo chmod 600 /etc/wireguard/wg0.conf
</pre>
h3. Démarrage du VPN
* Manuel :
<pre>
wg-quick up wg0
</pre>
h3. Démarrage automatique du VPN au démarrage (ubuntu/debian)
Ajoute WireGuard à systemd:
<pre>
sudo systemctl enable wg-quick@wg0.service
sudo systemctl daemon-reload
</pre>
Demarre le service (note: le VPN doit etre down : wg-quick down wg0)
<pre>
sudo service wg-quick@wg0 start
</pre>
Redemarre ta machine et vérifie le status de la connexion :
<pre>
service wg-quick@wg0 status
</pre>
Si tu vois "loaded", c'est que tout est OK !
h3. Supprimer le démarrage automatique du VPN (ubuntu/debian)
<pre>
sudo service wg-quick@wg0 stop
sudo systemctl disable wg-quick@wg0.service
sudo rm -i /etc/systemd/system/wg-quick@wg0*
sudo systemctl daemon-reload
sudo systemctl reset-failed
</pre>
h2. Installation d'un routeur
Dans cette option, Tetaneutral.net fournit un routeur pré configuré. Il est également possible d'installer soi-même le [[VPN_Client_OpenWrt|client VPN sur un routeur OpenWrt]] (par exemple un Archer C7 flashé).
Il suffit de brancher la prise bleue du routeur sur un des ports « LAN » de la box existante.
h2. FAQ
h3. C'est quoi un VPN (ou Tunnel chiffré) ?
Un VPN (réseau privé virtuel) vous permet d'accéder de façon neutre et sécurisée à Internet (dans la limite de la confiance que vous pouvez avoir dans votre fournisseur d'accès VPN). L'accès VPN vous permet de chiffrer les communications entre vos machines et votre fournisseur d'accès VPN (ici les serveurs de Tetaneutral.net), quel que soit votre fournisseur d'accès Internet.
h3. Quels sont les usages typiques d'un VPN Tetaneutral.net ?
* Retrouver du réseau propre (IPv4 et IPv6, fixes, routées par Tetaneutral.net) par-dessus un accès à Internet fourni par un autre opérateur (une fibre optique prise chez un grozopérateur, par exemple). Tetaneutral.net devient alors votre FAI, le grozopérateur n’étant plus qu’un loueur de tuyau.
* Gagner en sécurité sur une connexion en laquelle vous n’avez pas confiance : tous les échanges entre votre ordinateur et Tetaneutral.net sont chiffrés, le trafic ne peut plus être écouté sur votre réseau local.
h3. Ce que le VPN n'est pas :
* Le VPN Tetaneutral.net ne permet pas de naviguer de manière anonyme. L'adresse IP qui est affectée est fixe et associée à votre adhésion. Comme pour les accès internet classiques, en cas de réquisition légale, l'assiociation à l'obligation de communiquer l'identité de l'adhérent·e associée à l'addresse IP.
* Le VPN Tetaneutral ne permet pas d'accéder à des contenus accessibles uniquement dans d'autres pays. Les adresses IP de Tetaneutral.net sont géolocalisés en France, à Toulouse et donc tous les sites qui font du geofencing (blocage en fonction de la position géographique) bloqueront l'accès comme avec un autre FAI français.
* Le VPN Tetaneutral n'est enfin pas un moyen de télécharger sauvagement des Téraoctets de vidéos ou d'images que vous n'aurez jamais le temps de visionner.
En plus des raisons énoncées ci-dessus, le modèle économique de Tetaneutral.net ne permet pas de supporter une saturation de nos accès. En cas d'abus d'utilisation de la bande passante nous seront amenés à limiter les accès ou à facturer les surcoûts.
{{>toc}}
Cette page décrit les VPN Tetaneutral.net
Il y a plusieurs modes d'installation possible, selon ton usage du VPN.
h2. Installation sur un PC Linux
Le premier mode est une installation sur un PC Linux (portable ou fixe) et seul ce PC utilisera le VPN.
h3. Installation du logiciel
En fonction de la distribution GNU/Linux ou du BSD:
* Debian
<pre>
$ echo "deb http://deb.debian.org/debian/ unstable main" | sudo tee /etc/apt/sources.list.d/unstable.list
$ printf 'Package: *\nPin: release a=unstable\nPin-Priority: 90\n' | sudo tee /etc/apt/preferences.d/limit-unstable
$ sudo apt update
$ sudo apt install wireguard
</pre>
* Ubuntu
<pre>
$ sudo add-apt-repository ppa:wireguard/wireguard
$ sudo apt-get update
$ sudo apt-get install wireguard
</pre>
* Fedora
<pre>
$ sudo dnf copr enable jdoss/wireguard
$ dnf install wireguard-dkms wireguard-tools
</pre>
* CentOS
<pre>
$ sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo
$ sudo yum install epel-release
$ sudo yum install wireguard-dkms wireguard-tools
</pre>
* Arch
<pre>
$ sudo pacman -S wireguard-tools
</pre>
* OpenBSD 6.7-current : https://man.openbsd.org/wg.4
h3. Génération des clés
<pre>
$ wg genkey | tee privatekey | wg pubkey > publickey
$ chmod 400 privatekey
</pre>
Le fichier @privatekey@ contient alors la clé privée, et le fichier @publickey@, surprise, la clé publique.
Une fois cette étape terminée, envoie un mail à @question at tetaneutral point net@ avec les informations suivantes:
<pre>
Sujet: demande de VPN
Nom/pseudo : ton nom ou ton pseudo
No d'adérent·e: si tu le connais
Clé publique: le contenu du fichier publickey généré ci-dessus.
</pre>
Normalement, on va préparer la configuration de ton VPN coté serveur et te répondre (ça peut prendre quelques jours) en te communicant les adresses IP (v4 et v6) affectées à ton VPN.
Une fois que tu as ces informations, tu peux passer à l'étape suivante
h3. Fichier de configuration
Créée (avec les droits de root) @/etc/wireguard/wg0.conf@ contenant :
<pre>
[Interface]
Address = <adresses données par tetaneutral.net>
DNS = 91.224.148.10,91.224.149.254
PrivateKey = <ta clé privée>
[Peer]
Publickey = DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A=
AllowedIPs = 0.0.0.0/0,::/0
EndPoint = 89.234.156.116:51820
PersistentKeepalive = 25
</pre>
La section @peer@ doit être copiée telle-quelle. C'est la clé publique et l'IP du serveur de l'association.
Assure-toi que ce fichier n'est accessible en lecture que par root:
<pre>
$ sudo chmod 600 /etc/wireguard/wg0.conf
</pre>
h3. Démarrage du VPN
* Manuel :
<pre>
wg-quick up wg0
</pre>
h3. Démarrage automatique du VPN au démarrage (ubuntu/debian)
Ajoute WireGuard à systemd:
<pre>
sudo systemctl enable wg-quick@wg0.service
sudo systemctl daemon-reload
</pre>
Demarre le service (note: le VPN doit etre down : wg-quick down wg0)
<pre>
sudo service wg-quick@wg0 start
</pre>
Redemarre ta machine et vérifie le status de la connexion :
<pre>
service wg-quick@wg0 status
</pre>
Si tu vois "loaded", c'est que tout est OK !
h3. Supprimer le démarrage automatique du VPN (ubuntu/debian)
<pre>
sudo service wg-quick@wg0 stop
sudo systemctl disable wg-quick@wg0.service
sudo rm -i /etc/systemd/system/wg-quick@wg0*
sudo systemctl daemon-reload
sudo systemctl reset-failed
</pre>
h2. Installation d'un routeur
Dans cette option, Tetaneutral.net fournit un routeur pré configuré. Il est également possible d'installer soi-même le [[VPN_Client_OpenWrt|client VPN sur un routeur OpenWrt]] (par exemple un Archer C7 flashé).
Il suffit de brancher la prise bleue du routeur sur un des ports « LAN » de la box existante.
h2. FAQ
h3. C'est quoi un VPN (ou Tunnel chiffré) ?
Un VPN (réseau privé virtuel) vous permet d'accéder de façon neutre et sécurisée à Internet (dans la limite de la confiance que vous pouvez avoir dans votre fournisseur d'accès VPN). L'accès VPN vous permet de chiffrer les communications entre vos machines et votre fournisseur d'accès VPN (ici les serveurs de Tetaneutral.net), quel que soit votre fournisseur d'accès Internet.
h3. Quels sont les usages typiques d'un VPN Tetaneutral.net ?
* Retrouver du réseau propre (IPv4 et IPv6, fixes, routées par Tetaneutral.net) par-dessus un accès à Internet fourni par un autre opérateur (une fibre optique prise chez un grozopérateur, par exemple). Tetaneutral.net devient alors votre FAI, le grozopérateur n’étant plus qu’un loueur de tuyau.
* Gagner en sécurité sur une connexion en laquelle vous n’avez pas confiance : tous les échanges entre votre ordinateur et Tetaneutral.net sont chiffrés, le trafic ne peut plus être écouté sur votre réseau local.
h3. Ce que le VPN n'est pas :
* Le VPN Tetaneutral.net ne permet pas de naviguer de manière anonyme. L'adresse IP qui est affectée est fixe et associée à votre adhésion. Comme pour les accès internet classiques, en cas de réquisition légale, l'assiociation à l'obligation de communiquer l'identité de l'adhérent·e associée à l'addresse IP.
* Le VPN Tetaneutral ne permet pas d'accéder à des contenus accessibles uniquement dans d'autres pays. Les adresses IP de Tetaneutral.net sont géolocalisés en France, à Toulouse et donc tous les sites qui font du geofencing (blocage en fonction de la position géographique) bloqueront l'accès comme avec un autre FAI français.
* Le VPN Tetaneutral n'est enfin pas un moyen de télécharger sauvagement des Téraoctets de vidéos ou d'images que vous n'aurez jamais le temps de visionner.
En plus des raisons énoncées ci-dessus, le modèle économique de Tetaneutral.net ne permet pas de supporter une saturation de nos accès. En cas d'abus d'utilisation de la bande passante nous seront amenés à limiter les accès ou à facturer les surcoûts.