h1. VPN

{{>toc}}

Cette page décrit les VPN Tetaneutral.net

Il y a plusieurs modes d'installation possible, selon ton usage du VPN.

h2. Installation sur un PC Linux

Le premier mode est une installation sur un PC Linux (portable ou fixe) et seul ce PC utilisera le VPN.

h3. Installation du logiciel

En fonction de la distribution GNU/Linux ou du BSD:

* Debian

<pre>

$ sudo apt update

$ sudo apt install wireguard

</pre>

* Ubuntu

<pre>

$ sudo apt-get update

$ sudo apt-get install wireguard

</pre>

* Fedora

<pre>

$ sudo dnf copr enable jdoss/wireguard

$ dnf install wireguard-dkms wireguard-tools

</pre>

* CentOS

<pre>

$ sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo

$ sudo yum install epel-release

$ sudo yum install wireguard-dkms wireguard-tools

</pre>

* Arch

<pre>

$ sudo pacman -S wireguard-tools

</pre>

* OpenBSD (à partir de 6.8) : https://man.openbsd.org/wg.4

h3. Génération des clés

<pre>

$ wg genkey | tee privatekey | wg pubkey > publickey

$ chmod 400 privatekey

</pre>

Le fichier @privatekey@ contient alors la clé privée, et le fichier @publickey@, surprise, la clé publique. 

Une fois cette étape terminée, envoie un mail à @question at tetaneutral point net@ avec les informations suivantes: 

<pre>

Sujet: demande de VPN

Nom/pseudo : ton nom ou ton pseudo

No d'adérent·e: si tu le connais

Clé publique: le contenu du fichier publickey généré ci-dessus.

</pre>

Normalement, on va préparer la configuration de ton VPN coté serveur et te répondre (ça peut prendre quelques jours) en te communicant les adresses IP (v4 et v6) affectées à ton VPN. 

Une fois que tu as ces informations, tu peux passer à l'étape suivante

h3. Fichier de configuration 

Créée (avec les droits de root) @/etc/wireguard/wg0.conf@ contenant :

<pre>

[Interface]

# Adresse IPv4 donnée par tetaneutral, à modifier

Address = X.X.X.X/32

# Adresse IPv6 donnée par tetaneutral, à modifier

Address = 2a03:7220:XXXX:XXXX::1/128

# Clé privée, à modifier

PrivateKey = <ta clé privée>

DNS = 91.224.148.10,91.224.149.254

# Bloc à copier-coller tel quel

[Peer]

Publickey = DsIeOCRs/5uYdi8rLiBzRNmN4zUzKCQRqY3Sbl8NS0A=

AllowedIPs = 0.0.0.0/0,::/0

EndPoint = 89.234.156.116:51820

PersistentKeepalive = 25

</pre>

La section @peer@ doit être copiée telle-quelle. C'est la clé publique et l'IP du serveur de l'association.

Assure-toi que ce fichier n'est accessible en lecture que par root:

<pre>

$ sudo chmod 600 /etc/wireguard/wg0.conf

</pre>

h3. Démarrage du VPN

* Manuel : 

<pre>

wg-quick up wg0

</pre>

h3. Démarrage automatique du VPN au démarrage (ubuntu/debian)

Ajoute WireGuard à systemd:

<pre>

sudo systemctl enable wg-quick@wg0.service

sudo systemctl daemon-reload

</pre>

Demarre le service (note: le VPN doit etre down : wg-quick down wg0)

<pre>

sudo service wg-quick@wg0 start

</pre>

Redemarre ta machine et vérifie le status de la connexion :

<pre>

service wg-quick@wg0 status

</pre>

Si tu vois "loaded", c'est que tout est OK !

h3. Activer votre firewall

A noter que le VPN tetaneutral expose votre machine directement sur internet. Il est par conséquent très fortement recommandé d'activer votre firewall et de renforcer la sécurité de votre machine face aux tentatives d'intrusion.

*Uubuntu/Debian*

<pre>

sudo ufw enable

</pre>

h3. Supprimer le démarrage automatique du VPN (ubuntu/debian)

<pre>

sudo service wg-quick@wg0 stop

sudo systemctl disable wg-quick@wg0.service

sudo rm -i /etc/systemd/system/wg-quick@wg0*

sudo systemctl daemon-reload

sudo systemctl reset-failed

</pre>

h2. Installation d'un routeur

Dans cette option, Tetaneutral.net fournit un routeur pré configuré. Il est également possible d'installer soi-même le [[VPN_Client_OpenWrt|client VPN sur un routeur OpenWrt]] (par exemple un Archer C7 flashé).

Il suffit de brancher la prise bleue du routeur sur un des ports « LAN » de la box existante.

h2. FAQ

h3. C'est quoi un VPN (ou Tunnel chiffré) ?

Un VPN (réseau privé virtuel) vous permet d'accéder de façon neutre et sécurisée à Internet (dans la limite de la confiance que vous pouvez avoir dans votre fournisseur d'accès VPN). L'accès VPN vous permet de chiffrer les communications entre vos machines et votre fournisseur d'accès VPN (ici les serveurs de Tetaneutral.net), quel que soit votre fournisseur d'accès Internet.

h3. Quels sont les usages typiques d'un VPN Tetaneutral.net ?

* Retrouver du réseau propre (IPv4 et IPv6, fixes, routées par Tetaneutral.net) par-dessus un accès à Internet fourni par un autre opérateur (une fibre optique prise chez un grozopérateur, par exemple). Tetaneutral.net devient alors votre FAI, le grozopérateur n’étant plus qu’un loueur de tuyau.

* Gagner en sécurité sur une connexion en laquelle vous n’avez pas confiance : tous les échanges entre votre ordinateur et Tetaneutral.net sont chiffrés, le trafic ne peut plus être écouté sur votre réseau local.

h3. Ce que le VPN n'est pas :

* Le VPN Tetaneutral.net ne permet pas de naviguer de manière anonyme. L'adresse IP qui est affectée est fixe et associée à votre adhésion. Comme pour les accès internet classiques, en cas de réquisition légale, l'assiociation à l'obligation de communiquer l'identité de l'adhérent·e associée à l'addresse IP.

* Le VPN Tetaneutral ne permet pas d'accéder à des contenus accessibles uniquement dans d'autres pays. Les adresses IP de Tetaneutral.net sont géolocalisés en France, à Toulouse et donc tous les sites qui font du geofencing (blocage en fonction de la position géographique) bloqueront l'accès comme avec un autre FAI français.

* Le VPN Tetaneutral n'est enfin pas un moyen de télécharger sauvagement des Téraoctets de vidéos ou d'images que vous n'aurez jamais le temps de visionner.

  En plus des raisons énoncées ci-dessus, le modèle économique de Tetaneutral.net ne permet pas de supporter une saturation de nos accès. En cas d'abus d'utilisation de la bande passante nous seront amenés à limiter les accès ou à facturer les surcoûts.