DD-WRT et Ivacy

Mardi, 24 Août 2010 Écrit par Skalp

Ivacy est un fournisseur VPN connu pour son package contenant un compte megaupload premium ainsi qu'un newsgroup en plus des 3 pays disponibles pour les VPNs. Voici un tuto afin de le faire fonctionner avec OpenVPN avec un firmware DD-WRT.

 

 

logo

 

 

Récupérer les informations

Dans un premier temps, j'espère que vous avez bien flashé votre routeur avec le firmware DD-WRT correspondant à votre routeur !

Récupérer les informations dont on à besoin

Rendez-vous sur le site http://www.ivacy.com

Allez dans help center > Manually Windows XP > OpenVPN

Là se trouvent 4 clés et une configuration

 

Menu chez Ivacy

Les clés disponibles

La config et la dernière clé

 

 

Le fichier configuration

Voici ce que vous donne Ivacy :

client
dev tun
proto udp
remote openvpn.ivacy.com 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ivacy-keys/ivacy-ca.crt
cert ivacy-keys/ivacy-client.crt
key ivacy-keys/ivacy-client.key
tls-auth ivacy-keys/ivacy-tls.key 1
ns-cert-type server
comp-lzo
verb 3
auth-user-pass
redirect-gateway
script-security 3
reneg-sec 0


En l'état, ce script ne fonctionnera pas, il faut y apporter des changements :

float
client
dev tun
proto udp
remote openvpn.ivacy.com 1194
pull
resolv-retry infinite
nobind
persist-key
persist-tun
ca /tmp/openvpn/ca.crt
cert /tmp/openvpn/cert.pem
key /tmp/openvpn/key.pem
tls-auth /tmp/openvpn/ta.key 1
ns-cert-type server
comp-lzo
verb 1
auth-user-pass /tmp/openvpn/dh.pem
redirect-gateway
script-security 3
reneg-sec 0


Les 2 ajouts de configuration opérés sont float et pull (et j'ai mis le verbose, c'est-à-dire les logs, à 1 mais c'est accessoire) ainsi que l'endroit où seront les clés (dans /tmp/openvpn) et bien entendu le login/pass qui se trouve au même endroit sous le nom dh.pem.

Petite explication :

float (provenant du man):

Autorise l'hôte distant à changer d'adresse IP et/ou de numéro de port, comme sous DHCP (par défaut si --remote n'est pas défini). Lorsque spécifié avec --remote, --float autorise la connexion initiale d'un hôte dont l'adresse IP est connue. Si des paquets proviennent par la suite d'une autre adresse et passent les tests d'authentification, la session courante sera transférée vers cette adresse. Cette option est utile lorsque vous vous connectez à un hôte qui utilise une adresse dynamique obtenue par modem ou DHCP.

En essence, --float commande à OpenVPN d'accepter des paquets authentifiés provenant de n'importe quelle adresse, et pas uniquement de celle définie par l'option --remote.

pull:

Cette option permet au client d'accepter la configuration "poussée" (push) par le serveur.

Votre fichier de configuration est maintenant prêt !

Le routeur

Rendez-vous dans Services > VPN

Activez OPenVPN Daemon avec Wan Up en Start Type

Dans Ca Cert, copiez ivacy-ca.crt
Dans Public Client Cert, copiez ivacy-client.crt
Dans Private Client Key, copiez ivacy-client.key
Dans DH PEM, inscrivez sur la première ligne votre login Ivacy puis appuyez sur Entrer pour taper sur la seconde votre mot de passe Ivacy
Dans OpenVPN Config, copiez la configuration modifiée faite au-dessus
Dans OpenTLS Auth, copiez ivacy-tls.key (vous pouvez enlever les commentaires pour n'avoir que la clé)

Sauvegardez le tout !

 

La config du Daemon

la suite de la config

La suite

 

Maintenant, rendez-vous dans Administration > Commands (Shell en français). Copiez ceci:

sleep 30
killall openvpn
sleep 10
/usr/sbin/openvpn --config /tmp/openvpn/openvpn.conf &


Cliquez sur Save Startup (ou sauvegarder le Démarrage)

Maintenant, copiez ces lignes :

iptables -I FORWARD -i br0 -o tun0 -j ACCEPT
iptables -I FORWARD -i tun0 -o br0 -j ACCEPT
iptables -I INPUT -i tun0 -j REJECT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE


Cliquez sur Save Firewall (sauvegarder le Pare-Feu)

 

Les scripts de démarrage

 

Maintenant, allez dans Administration > Management (Gestion) et redémarrez le routeur

Attendez environ 1 minute

Allez sur http://www.monip.org et vous devriez avoir changé d'IP


Astuces

Si vous éprouvez des problèmes de connexion (très mauvais débit par exemple), enlevez la ligne reneg-sec 0 du fichier de configuration

Si vous subissez des déconnexions, ajoutez keepalive 10 60 dans le fichier de configuration

Afin de mieux protéger vos clés, vous pouvez modifier le Script au démarrage de la façon suivante (certains build du firmware n'apprécient pas):

sleep 30
killall openvpn
sleep 10
chmod 600 /tmp/openvpn/cert.pem
chmod 600 /tmp/openvpn/key.pem
sleep 5
/usr/sbin/openvpn --config /tmp/openvpn/openvpn.conf &


(vous pouvez en rajouter un pour le dh.pem et ta.key également)

Note:

Il persiste un message d'erreur qui n'a pas de conséquence lors de la connexion VPN (pour la voir, il faut aller le lancer en ssh):

WARNING: potential route subnet conflict between local LAN [1.x.x.x/255.255.255.0 and Remote VPN [1.0.0.0/255.0.0.0]

Ce message apparaît également sur la distribution Ubuntu et je n'ai remarqué aucun conflit ni problème durant une 15aine d'heures de connexion.

 

Note: préférez un firmware de type "Generic VPN" que Mega ou Generic quand cela est possible.

Ajouter un Commentaire