Comment configurer un serveur OpenVPN sur Ubuntu 14.04

introduction

Vous souhaitez accéder à Internet en toute sécurité depuis votre smartphone ou votre ordinateur portable lorsque vous êtes connecté à un réseau non fiable, tel que le WiFi d’un hôtel ou d’un café? Un Virtual Private Network (VPN) vous permet de traverser des réseaux non sécurisés de manière privée et sécurisée vers votre compte Droplet DigitalOcean comme si vous étiez sur un réseau sécurisé et privé. Le trafic sort de la gouttelette et continue son trajet vers la destination.

Lorsqu’elle est associée aux HTTPS connections, cette configuration vous permet de sécuriser vos connexions et transactions sans fil. Vous pouvez contourner les restrictions géographiques et la censure, et protéger votre emplacement et le trafic HTTP non chiffré du réseau non approuvé.

https://openvpn.net [OpenVPN] est une solution VPN SSL (Secure Socket Layer) à code source ouvert et à code source ouvert offrant une large gamme de configurations. Dans ce didacticiel, nous allons configurer un serveur OpenVPN sur un droplet, puis en configurer l’accès depuis Windows, OS X, iOS et Android. Ce tutoriel va simplifier autant que possible les étapes d’installation et de configuration pour ces configurations.

Conditions préalables

La seule condition préalable est la création et le fonctionnement d’un Droplet Ubuntu 14.04. Vous aurez besoin d’un accès * root * pour compléter ce guide.

Étape 1 - Installer et configurer l’environnement serveur d’OpenVPN

Effectuez ces étapes pour votre configuration côté serveur.

Configuration OpenVPN

Avant d’installer des packages, nous allons d’abord mettre à jour les listes de référentiels Ubuntu.

apt-get update

Ensuite, nous pouvons installer OpenVPN et Easy-RSA.

apt-get install openvpn easy-rsa

L’exemple de fichier de configuration du serveur VPN doit être extrait vers + / etc / openvpn + pour que nous puissions l’intégrer à notre configuration. Cela peut être fait avec une commande:

gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf

Une fois extrait, ouvrez + server.conf + dans un éditeur de texte. Ce tutoriel utilisera Vim mais vous pouvez utiliser l’éditeur que vous préférez.

vim /etc/openvpn/server.conf

Plusieurs modifications doivent être apportées dans ce fichier. Vous verrez une section ressemblant à ceci:

# Diffie hellman parameters.
# Generate your own with:
#   openssl dhparam -out dh1024.pem 1024
# Substitute 2048 for 1024 if you are using
# 2048 bit keys.
dh dh1024.pem

Éditez + dh1024.pem + pour dire:

dh2048.pem

Cela double la longueur de la clé RSA utilisée lors de la génération des clés serveur et client.

Toujours dans + server.conf +, cherchez maintenant cette section:

# If enabled, this directive will configure
# all clients to redirect their default
# network gateway through the VPN, causing
# all IP traffic such as web browsing and
# and DNS lookups to go through the VPN
# (The OpenVPN server machine may need to NAT
# or bridge the TUN/TAP interface to the internet
# in order for this to work properly).
;push "redirect-gateway def1 bypass-dhcp"

Décommentez + push" redirect-gateway def1 bypass-dhcp "+ afin que le serveur VPN transfère le trafic Web des clients à sa destination. Cela devrait ressembler à ceci une fois terminé:

push "redirect-gateway def1 bypass-dhcp"

La prochaine modification à faire est dans cette zone:

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
# The addresses below refer to the public
# DNS servers provided by opendns.com.
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"

Décommenter + push" dhcp-option DNS 208.67.222.222 "+ et + push" dhcp-option DNS 208.67.220.220 "+. Cela devrait ressembler à ceci une fois terminé:

push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

Cela indique au serveur de pousser https://opendns.com [OpenDNS] vers les clients connectés pour la résolution DNS, dans la mesure du possible. Cela peut aider à empêcher les demandes DNS de fuir en dehors de la connexion VPN. Cependant, il est important de spécifier également les résolveurs DNS souhaités dans les périphériques clients. Bien que OpenDNS soit la valeur par défaut utilisée par OpenVPN, vous pouvez utiliser les services DNS de votre choix.

La dernière zone à changer dans + server.conf + est ici:

# You can uncomment this out on
# non-Windows systems.
;user nobody
;group nogroup

Décommentez à la fois + utilisateur nobody + et + groupe nogroup +. Cela devrait ressembler à ceci une fois terminé:

user nobody
group nogroup

Par défaut, OpenVPN s’exécute en tant qu’utilisateur * root * et dispose donc d’un accès root complet au système. Au lieu de cela, nous limiterons OpenVPN à l’utilisateur * nobody * et au groupe * nogroup *. Il s’agit d’un utilisateur sans privilège, sans capacités de connexion par défaut, souvent réservé à l’exécution d’applications non fiables telles que les serveurs Web.

Enregistrez maintenant vos modifications et quittez Vim.

Transfert de paquets

Il s’agit d’un paramètre sysctl qui indique au noyau du serveur de transférer le trafic des périphériques clients vers Internet. Sinon, le trafic s’arrêtera sur le serveur. Activez le transfert de paquets pendant l’exécution en entrant cette commande:

echo 1 > /proc/sys/net/ipv4/ip_forward

Nous devons rendre cette tâche permanente afin que le serveur continue à transférer le trafic après le redémarrage.

vim /etc/sysctl.conf

En haut du fichier sysctl, vous verrez:

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

Décommenter + net.ipv4.ip_forward. Cela devrait ressembler à ceci une fois terminé:

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward=1

Enregistrez vos modifications et quittez.

Pare-feu simple (ufw)

ufw est une interface pour iptables et installer ufw n’est pas difficile. Il est inclus par défaut dans Ubuntu 14.04, nous n’avons donc qu’à modifier quelques règles et éditer la configuration, puis à activer le pare-feu. Comme référence pour plus d’utilisations de ufw, voir https://www.digitalocean.com/community/articles/how-to-setup-a-firewall-with-ufw-on-an-ubuntu-and-de-bian-cloud- serveur [Comment installer un pare-feu avec UFW sur un serveur cloud Ubuntu et Debian].

Commençons par uww pour autoriser SSH. Dans l’invite de commande, + ENTER +:

ufw allow ssh

Ce tutoriel utilisera OpenVPN sur UDP, donc ufw doit également autoriser le trafic UDP sur le port + 1194 +.

ufw allow 1194/udp

La politique de transfert ufw doit également être définie. Nous le ferons dans le fichier de configuration principal d’ufw.

vim /etc/default/ufw

Recherchez + DEFAULT_FORWARD_POLICY =" DROP "+. Ceci doit être changé de * DROP * à * ACCEPT *. Cela devrait ressembler à ceci une fois terminé:

DEFAULT_FORWARD_POLICY="ACCEPT"

Nous ajouterons ensuite des règles ufw supplémentaires pour la traduction d’adresses réseau et le masquage IP des clients connectés.

vim /etc/ufw/before.rules

Faites en sorte que le haut de votre fichier + before.rules + ressemble à celui ci-dessous. La zone dans pour * RÈGLES OPENVPN * doit être ajoutée:

#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#










# Don't delete these required lines, otherwise there will be errors
*filter

Avec les modifications apportées à ufw, nous pouvons maintenant l’activer. Entrez dans l’invite de commande:

ufw enable

L’activation de ufw renvoie l’invite suivante:

Command may disrupt existing ssh connections. Proceed with operation (y|n)?

Répondre ++. Le résultat sera cette sortie:

Firewall is active and enabled on system startup

Pour vérifier les règles de pare-feu principales d’ufw:

ufw status

La commande status devrait renvoyer ces entrées:

Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
1194/udp                   ALLOW       Anywhere
22 (v6)                    ALLOW       Anywhere (v6)
1194/udp (v6)              ALLOW       Anywhere (v6)

Étape 2 - Création d’une autorité de certification et d’un certificat et d’une clé côté serveur

OpenVPN utilise des certificats pour chiffrer le trafic.

Configurer et construire l’autorité de certification

Il est maintenant temps de mettre en place notre propre autorité de certification et de générer un certificat et une clé pour le serveur OpenVPN. OpenVPN prend en charge l’authentification bidirectionnelle basée sur des certificats, ce qui signifie que le client doit authentifier le certificat du serveur et que le serveur doit authentifier le certificat du client avant que la confiance mutuelle ne soit établie. Pour ce faire, nous utiliserons les scripts Easy RSA que nous avons copiés précédemment.

Première copie sur les scripts de génération Easy-RSA.

cp -r /usr/share/easy-rsa/ /etc/openvpn

Ensuite, créez le répertoire de stockage de clés.

mkdir /etc/openvpn/easy-rsa/keys

Easy-RSA possède un fichier de variables que nous pouvons modifier pour créer des certificats exclusifs à notre personne, à notre entreprise ou à l’entité de notre choix. Ces informations sont copiées dans les certificats et les clés et permettront d’identifier les clés ultérieurement.

vim /etc/openvpn/easy-rsa/vars

Les variables ci-dessous marquées dans doivent être modifiées en fonction de vos préférences.

export KEY_COUNTRY=""
export KEY_PROVINCE=""
export KEY_CITY=""
export KEY_ORG=""
export KEY_EMAIL=""
export KEY_OU=""

Dans le même fichier + vars +, éditez également cette ligne ci-dessous. Pour plus de simplicité, nous utiliserons + server + comme nom de clé. Si vous souhaitez utiliser un nom différent, vous devez également mettre à jour les fichiers de configuration OpenVPN qui font référence à + ​​server.key + et + server.crt +.

export KEY_NAME="server"

Nous devons générer les paramètres Diffie-Hellman; Cela peut prendre plusieurs minutes.

openssl dhparam -out /etc/openvpn/dh2048.pem 2048

Modifions maintenant les répertoires pour que nous puissions travailler directement à partir des endroits où nous avons déplacé les scripts d’Easy-RSA plus tôt à l’étape 2.

cd /etc/openvpn/easy-rsa

Initialiser l’ICP (infrastructure à clé publique). Faites attention au * point (.) * Et au * espace * devant la commande +. / Vars +. Cela signifie le répertoire de travail actuel (source).

. ./vars

Le résultat de la commande ci-dessus est présenté ci-dessous. Comme nous n’avons encore rien généré dans le répertoire + keys +, l’avertissement n’a pas d’inquiétude.

NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys

Nous allons maintenant effacer le répertoire de travail de toutes les clés anciennes ou exemples possibles pour laisser la place à nos nouvelles.

./clean-all

Cette dernière commande crée l’autorité de certification en appelant une commande interactive OpenSSL. Le résultat vous demandera de confirmer les variables de nom distinctif saisies précédemment dans le fichier de variables d’Easy-RSA (nom du pays, organisation, etc.).

./build-ca

Appuyez simplement sur + ENTER + pour passer à travers chaque invite. Si quelque chose doit être changé, vous pouvez le faire depuis l’invite.

Générer un certificat et une clé pour le serveur

Vous travaillez toujours depuis + / etc / openvpn / easy-rsa +, entrez maintenant la commande permettant de créer la clé du serveur. La mention ++ indiquée en rouge correspond à la variable + export KEY_NAME + définie dans le fichier + vars + de Easy-RSA plus tôt à l’étape 2.

./build-key-server

Une sortie similaire est générée comme lorsque nous avons exécuté +. / Build-ca +, et vous pouvez à nouveau appuyer sur + ENTER + pour confirmer chaque ligne du nom distinctif. Cependant, cette fois, il y a deux invites supplémentaires:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Les deux doivent être laissés en blanc, appuyez simplement sur + ENTER + pour les parcourir.

Deux requêtes supplémentaires à la fin nécessitent une réponse positive (++):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

La dernière invite ci-dessus devrait se terminer par:

Write out database with 1 new entries
Data Base Updated

Déplacer les certificats et les clés du serveur

OpenVPN s’attend à voir l’autorité de certification du serveur, le certificat et la clé + / etc / openvpn +. Copions-les au bon endroit.

cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,ca.crt} /etc/openvpn

Vous pouvez vérifier que la copie a réussi avec:

ls /etc/openvpn

Vous devriez voir le certificat et les fichiers de clé du serveur.

À ce stade, le serveur OpenVPN est prêt à fonctionner. Démarrez-le et vérifiez le statut.

service openvpn start
service openvpn status

La commande status devrait renvoyer:

VPN 'server' is running

Toutes nos félicitations! Votre serveur OpenVPN est opérationnel. Si le message d’état indique que le VPN n’est pas en cours d’exécution, consultez le fichier + / var / log / syslog + pour rechercher des erreurs telles que:

Options error: --key fails with 'server.key': No such file or directory

Cette erreur indique que + server.key n’a pas été copié correctement dans` + / etc / openvpn`. Recopiez le fichier et réessayez.

Étape 3 - Générer des certificats et des clés pour les clients

Jusqu’ici, nous avons installé et configuré le serveur OpenVPN, créé une autorité de certification et créé le certificat et la clé du serveur. Dans cette étape, nous utilisons l’autorité de certification du serveur pour générer des certificats et des clés pour chaque périphérique client qui se connectera au VPN. Ces fichiers seront ultérieurement installés sur les périphériques clients tels qu’un ordinateur portable ou un smartphone.

Bâtiment de clés et de certificats

Il est idéal que chaque client se connectant au VPN ait son propre certificat et sa propre clé. Cela est préférable à la génération d’un certificat général et d’une clé à utiliser avec tous les périphériques clients.

_ * Remarque: * Par défaut, OpenVPN n’autorise pas les connexions simultanées au serveur à partir de clients utilisant le même certificat et la même clé. (Voir + duplicate-cn + dans + / etc / openvpn / server.conf +.) _

Pour créer des informations d’identification d’authentification distinctes pour chaque périphérique que vous souhaitez connecter au VPN, vous devez effectuer cette étape pour chaque périphérique, mais changer le nom ci-dessous pour un nom différent, tel que ou. Avec des identifiants distincts par appareil, ils peuvent ultérieurement être désactivés individuellement sur le serveur, si nécessaire. Les exemples restants de ce tutoriel utiliseront comme exemple le nom de notre machine cliente.

Comme nous l’avons fait avec la clé du serveur, nous en construisons une maintenant pour notre exemple. Vous devriez toujours travailler avec + / etc / openvpn / easy-rsa +.

./build-key

Une fois encore, il vous sera demandé de modifier ou de confirmer les variables Nom distinctif et ces deux invites qui doivent rester vierges. Appuyez sur + ENTER + pour accepter les valeurs par défaut.

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Comme auparavant, ces deux confirmations à la fin du processus de construction nécessitent une réponse (++):

Sign the certificate? [y/n]
1 out of 1 certificate requests certified, commit? [y/n]

Si la génération de clé a réussi, le résultat sera à nouveau:

Write out database with 1 new entries
Data Base Updated

L’exemple de fichier de configuration du client doit également être copié dans le répertoire de clés Easy-RSA. Nous allons l’utiliser comme un modèle qui sera téléchargé sur les périphériques clients pour être édité. Dans le processus de copie, nous modifions le nom du fichier exemple de + client.conf + en + client.ovpn + car l’extension de fichier + .ovpn + correspond à ce que les clients s’attendent à utiliser.

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn

Vous pouvez répéter cette section pour chaque client en le remplaçant par le nom de client approprié.

Transfert de certificats et de clés vers des périphériques clients

Rappelez-vous des étapes ci-dessus que nous avons créé les clés et les certificats clients, et qu’ils sont stockés sur le serveur OpenVPN dans le répertoire + / etc / openvpn / easy-rsa / keys +.

Pour chaque client, nous devons transférer les fichiers de certificat de client, de clé et de modèle de profil dans un dossier de notre ordinateur local ou sur un autre périphérique client.

Dans cet exemple, notre appareil a besoin de son certificat et de sa clé, situés sur le serveur dans:

  • + / etc / openvpn / easy-rsa / touches / .crt +

  • + / etc / openvpn / easy-rsa / touches / .key +

Les fichiers + ca.crt + et + client.ovpn + sont les mêmes pour tous les clients. Téléchargez également ces deux fichiers; notez que le fichier + ca.crt + se trouve dans un répertoire différent des autres.

  • + / etc / openvpn / easy-rsa / keys / client.ovpn +

  • + / etc / openvpn / ca.crt +

Bien que les applications exactes utilisées pour effectuer ce transfert dépendent de votre choix et du système d’exploitation du périphérique, vous souhaitez que l’application utilise le protocole SFTP (protocole de transfert de fichiers SSH) ou SCP (Copie sécurisée) sur le backend. Cela transportera les fichiers d’authentification VPN de votre client via une connexion chiffrée.

Voici un exemple de commande SCP utilisant notre exemple. Il place le fichier + client1.key + dans le répertoire * Téléchargements * de l’ordinateur local.

scp root@:/etc/openvpn/easy-rsa/keys/.key Downloads/

Voici plusieurs outils et didacticiels permettant de transférer en toute sécurité des fichiers du serveur vers un ordinateur local:

À la fin de cette section, assurez-vous que ces quatre fichiers se trouvent sur votre périphérique * client *:

  • + .crt +

  • + .key +

  • + client.ovpn +

  • + ca.crt +

Étape 4 - Création d’un profil OpenVPN unifié pour les périphériques clients

Il existe plusieurs méthodes pour gérer les fichiers client, mais la plus simple consiste à utiliser un profil unified. Ceci est créé en modifiant le fichier modèle + client.ovpn + pour inclure l’autorité de certification du serveur, le certificat du client et sa clé. Une fois fusionné, seul le profil + client.ovpn + doit être importé dans l’application OpenVPN du client.

Nous allons créer un seul profil pour notre appareil sur * l’ordinateur local * où nous avons téléchargé tous les fichiers client. Cet ordinateur local peut être lui-même un client ou simplement une zone de travail temporaire pour fusionner les fichiers d’authentification. Le fichier modèle + client.ovpn + original doit être dupliqué et renommé. Cela dépend du système d’exploitation de votre ordinateur local.

  • Remarque: * Le nom de votre duplicata + client.ovpn n’a pas besoin d’être lié au périphérique client. L’application OpenVPN côté client utilisera le nom de fichier comme identifiant de la connexion VPN elle-même. Au lieu de cela, vous devez dupliquer + client.ovpn + sur tout ce que vous voulez que le badge du VPN soit dans votre système d’exploitation. Par exemple: * work.ovpn * sera identifié comme * work *, * school.ovpn * comme * school *, etc.

Dans ce didacticiel, nous nommerons la connexion VPN DigitalOcean. + DigitalOcean.ovpn + sera le nom du fichier référencé à partir de ce point. Une fois nommé, il faut ensuite ouvrir + DigitalOcean.ovpn + dans un éditeur de texte; vous pouvez utiliser l’éditeur que vous préférez.

Le premier domaine d’attention sera l’adresse IP de votre Droplet. Vers le haut du fichier, changez * my-server-1 * pour refléter l’IP de votre VPN.

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote  1194

Ensuite, recherchez la zone ci-dessous et décommentez + utilisateur nobody + et + groupe nogroup +, comme nous l’avions fait dans + server.conf + à l’étape 1. * Remarque: * Ceci ne s’applique pas à Windows, vous pouvez donc le sauter. Cela devrait ressembler à ceci une fois terminé:

# Downgrade privileges after initialization (non-Windows only)
user nobody
group nogroup

La zone indiquée ci-dessous nécessite que les trois lignes affichées soient commentées afin que nous puissions inclure le certificat et la clé directement dans le fichier + DigitalOcean.ovpn +. Cela devrait ressembler à ceci une fois terminé:

# SSL/TLS parms.
# . . .
#ca ca.crt
#cert client.crt
#key client.key

Pour fusionner les fichiers individuels dans un profil unifié, le contenu des fichiers * ca.crt *, * .crt, * et * .key * est collé directement dans le profil + .ovpn + à l’aide d’une syntaxe de base de type XML. . Le XML à la fin du fichier devrait prendre la forme suivante:

<ca>

</ca>
<cert>
client1
</cert>
<key>
client1
</key>

Lorsque vous avez terminé, la fin du fichier doit ressembler à cet exemple abrégé:

<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>

<cert>
Certificate:

-----END CERTIFICATE-----

-----END CERTIFICATE-----
</cert>

<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>

Le fichier + client1.crt + contient des informations supplémentaires; c’est bien d’inclure tout le fichier.

Enregistrez les modifications et quittez. Nous avons maintenant un profil client unifié OpenVPN pour configurer notre.

Étape 5 - Installation du profil client

Nous allons maintenant discuter de l’installation d’un profil VPN client sous Windows, OS X, iOS et Android. Aucune de ces instructions du client ne dépend l’une de l’autre, vous pouvez donc accéder directement à celle qui vous convient.

Rappelez-vous que la connexion sera appelée quel que soit le nom du fichier + .ovpn +. Dans notre exemple, étant donné que le fichier s’appelle + DigitalOcean.ovpn +, la connexion s’appellera * DigitalOcean *.

les fenêtres

  • Installation *

L’application client OpenVPN pour Windows est disponible à l’adresse OpenVPN. Choisissez la version du programme d’installation appropriée à votre version de Windows.

_ * Remarque: * OpenVPN a besoin de privilèges d’administrateur pour être installé. _

Après avoir installé OpenVPN, copiez le profil unifié + DigitalOcean.ovpn + dans:

C:\Program Files\OpenVPN\config

Lorsque vous lancez OpenVPN, celui-ci voit automatiquement le profil et le rend disponible.

OpenVPN doit être exécuté en tant qu’administrateur chaque fois qu’il est utilisé, même par des comptes administratifs. Pour ce faire sans avoir à cliquer avec le bouton droit de la souris et sélectionnez * Exécuter en tant qu’administrateur * à chaque fois que vous utilisez le VPN, vous pouvez prédéfinir cette opération, mais cette opération doit être effectuée à partir d’un compte administratif. Cela signifie également que les utilisateurs standard devront saisir le mot de passe de l’administrateur pour utiliser OpenVPN. D’autre part, les utilisateurs standard ne peuvent pas se connecter correctement au serveur si OpenVPN sur le client n’a pas les droits d’administrateur. Les privilèges élevés sont donc nécessaires.

Pour que l’application OpenVPN soit toujours exécutée en tant qu’administrateur, cliquez avec le bouton droit de la souris sur son icône de raccourci et accédez à * Propriétés *. Au bas de l’onglet * Compatibility *, cliquez sur le bouton pour * Modifier les paramètres pour tous les utilisateurs *. Dans la nouvelle fenêtre, cochez * Exécuter ce programme en tant qu’administrateur *.

De liaison

Chaque fois que vous lancez l’interface graphique OpenVPN, Windows vous demande si vous souhaitez autoriser le programme à modifier votre ordinateur. Cliquez sur * Oui *. Le lancement de l’application client OpenVPN place uniquement l’applet dans la barre d’état système de sorte que le VPN puisse être connecté et déconnecté si nécessaire. la connexion VPN n’est pas réellement établie.

Une fois OpenVPN démarré, établissez une connexion en accédant à l’applet de la barre d’état système et en cliquant avec le bouton droit de la souris sur l’icône de l’applet OpenVPN. Cela ouvre le menu contextuel. Sélectionnez * DigitalOcean * en haut du menu (c’est notre profil + DigitalOcean.ovpn +) et choisissez * Connect *.

Une fenêtre d’état s’ouvre et affiche la sortie du journal lorsque la connexion est établie. Un message s’affiche une fois le client connecté.

Déconnectez-vous du VPN de la même manière: accédez à l’applet de la barre d’état système, cliquez avec le bouton droit de la souris sur l’icône de l’applet OpenVPN, sélectionnez le profil du client et cliquez sur * Déconnecter *.

OS X

  • Installation *

Tunnelblick est un client OpenVPN open source gratuit pour Mac OS X. Vous pouvez télécharger la dernière image disque à partir de la page Tunnelblick. Double-cliquez sur le fichier + .dmg + téléchargé et suivez les instructions pour installer.

Vers la fin du processus d’installation, Tunnelblick vous demandera si vous avez des fichiers de configuration. Il peut être plus facile de répondre * Non * et de laisser Tunnelblick terminer. Ouvrez une fenêtre du Finder et double-cliquez sur + DigitalOcean.ovpn +. Tunnelblick installera le profil du client. Des privilèges administratifs sont requis.

De liaison

Lancez Tunnelblick en double-cliquant sur Tunnelblick dans le dossier * Applications *. Une fois Tunnelblick lancé, une icône Tunnelblick apparaîtra dans la barre de menus en haut à droite de l’écran pour contrôler les connexions. Cliquez sur l’icône, puis sur l’élément de menu * Connect * pour établir la connexion VPN. Sélectionnez la connexion * DigitalOcean *.

iOS

  • Installation *

Sur l’iTunes App Store, recherchez et installez OpenVPN Connect, l’application client officielle iOS OpenVPN. Pour transférer votre profil client iOS sur le périphérique, connectez-le directement à un ordinateur.

La réalisation du transfert avec iTunes sera décrite ici. Ouvrez iTunes sur l’ordinateur et cliquez sur * iPhone *> * apps *. Faites défiler la section * Partage de fichiers * vers le bas et cliquez sur l’application OpenVPN. La fenêtre vide à droite, * OpenVPN Documents *, sert au partage de fichiers. Faites glisser le fichier + .ovpn + vers la fenêtre OpenVPN Documents.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/1.png [iTunes montrant le profil VPN prêt à être chargé sur l’iPhone]

Lancez maintenant l’application OpenVPN sur l’iPhone. Il y aura une notification qu’un nouveau profil est prêt à importer. Appuyez sur le signe plus vert pour l’importer.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/2.png [L’application iOS OpenVPN montrant un nouveau profil prêt à être importé]

De liaison

OpenVPN est maintenant prêt à être utilisé avec le nouveau profil. Commencez la connexion en faisant glisser le bouton * Connect * sur la position * On *. Déconnectez-vous en faisant glisser le même bouton sur * Off *.

  • Remarque: * Le commutateur VPN sous * Paramètres * ne peut pas être utilisé pour vous connecter au VPN. Si vous essayez, vous recevrez une notification vous invitant à vous connecter uniquement à l’aide de l’application OpenVPN.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/3.png [L’application iOS OpenVPN connectée au VPN]

Android

  • Installation *

Ouvrez le Google Play Store. Recherchez et installez Android OpenVPN Connect, l’application client officielle Android OpenVPN.

Le profil + .ovpn + peut être transféré en connectant le périphérique Android à votre ordinateur via USB et en copiant le fichier. Si vous disposez d’un lecteur de carte SD, vous pouvez également retirer la carte SD de l’appareil, y copier le profil, puis réinsérer la carte dans l’appareil Android.

Démarrez l’application OpenVPN et appuyez sur le menu pour importer le profil.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/4.png [Sélection du menu d’importation de profil d’application OpenVPN Android]

Accédez ensuite à l’emplacement du profil enregistré (la capture d’écran utilise + / sdcard / Download / +) et sélectionnez le fichier. L’application notera que le profil a été importé.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/5.png [Application Android OpenVPN sélectionnant un profil VPN à importer]

De liaison

Pour vous connecter, appuyez simplement sur le bouton * Connect *. On vous demandera si vous faites confiance à l’application OpenVPN. Choisissez * OK * pour établir la connexion. Pour vous déconnecter du VPN, revenez à l’application OpenVPN et choisissez * Déconnecter *.

image: https: //assets.digitalocean.com/articles/openvpn_ubunutu/6.png [L’application Android OpenVPN prête à être connectée au VPN]

Étape 6 - Test de votre connexion VPN

Une fois que tout est installé, une simple vérification confirme que tout fonctionne correctement. Sans connexion VPN activée, ouvrez un navigateur et accédez à https://www.dnsleaktest.com [DNSLeakTest].

Le site renverra l’adresse IP attribuée par votre fournisseur de services Internet et tel que vous apparaissez dans le monde entier. Pour vérifier vos paramètres DNS sur le même site Web, cliquez sur * Extended Test * et il vous indiquera les serveurs DNS que vous utilisez.

Connectez maintenant le client OpenVPN au VPN de votre Droplet et actualisez le navigateur. L’adresse IP complètement différente de votre serveur VPN devrait maintenant apparaître. C’est ainsi que tu apparais au monde. Encore une fois, https://www.dnsleaktest.com [* Test étendu de DNSLeakTest] vérifiera vos paramètres DNS et confirmera que vous utilisez maintenant les résolveurs DNS poussés par votre VPN.

Toutes nos félicitations! Vous naviguez maintenant en toute sécurité sur Internet, protégeant ainsi votre identité, votre emplacement et le trafic des fouineurs et des censeurs.