OPENVPN : quelques questions sur le tuto du wiki

Support Debian
#1

Bonjour,
j’essaie de mieux comprendre le fonctionnement d’openvpn. Là je suis le tutoriel du wiki : isalo.org/wiki.debian-fr/Serveur_OpenVPN

J’aurais besoin de quelques précisions :

  1. À la partie # On définit le serveur VPN comme DNS par défaut push "dhcp-option DNS 10.8.0.1"
    Qu’est-ce que cela fait exactement? C’est openvpn qui se chargera des requêtes DNS? Ou bien cela veut-il dire que le serveur doit avoir son propre serveur DNS?

  2. Là, est-ce que ça veut bien dire que le serveur donnera des ip de 10.8.0.0 et 255.255.255.0?server 10.8.0.0 255.255.255.0

  3. Et cette partie, que veut-elle dire? Je crois que ça relie les ip des clients entre 10.9.8.9 et 255.255.252.0, mais vers quoi exactement?push "route 10.9.8.0 255.255.252.0" Je vois parfois push "route 10.4.0.0 255.255.255.0" quelle est la différence?

#2

Il ne s’agirait pas d’une erreur de frappe :017

#3

mis à part les adresses choisies dans le wiki, que font exactement ces différentes instructions?
Parce que ça ne serait pas raisonnable d’installer un VPN sans comprendre complètement ce que je fais.

#4 
push "dhcp-option DNS 10.8.0.1"

Comme indiqué : c’est la valeur de l’option DHCP DNS (dhcp option 6)
Si je ne m’abuse, le client utilise le DHCP pour obtenir des trucs sur le tunnel monté.

server 10.8.0.0 255.255.255.0
C’est le pool d’adresse qui sera utilisé pour les clients (10.8.0.0/24, 254 IP)

push "route 10.9.8.0 255.255.252.0"
Ici, le serveur va pousser la route 10.9.8.0/24 via lui même.
Autrement dit, les clients pourront joindre 10.9.8.0/24 en étant routé par le serveur.
J’ignore l’utilitée de cette ligne dans le cas présent, m’enfin

push "route 10.4.0.0 255.255.255.0"
C’est exactement le même principe qu’au dessus, sauf que cette route s’applique pour le subnet 10.4.0.0/24.

#5

Merci pour ces réponses. la partie avec [mono]route[/mono] correspond à ce que je pensais, je ne vois pas non plus trop l’utilité sauf pour un réseau de grande envergure, pas pour m. toutlemonde.

Sinon pour la partie sur les DNS, en fait le client utilisera le DNS qu’utilise aussi le serveur?

#6

Non, le client utilisera le DNS poussé par le serveur: ce peut-être n’importe quel serveur.

#7

Donc dans ce cas, il faut bien installer un serveur DNS, du type bind ou unbound?

#8

Non !

Ce que j’essaie de te dire, c’est que cela peut-être n’importe qui.
Par exemple, tu peux très bien faire pointer le client vers Google (8.8.8.8).

Après, si tu possèdes déjà un resolver, tu peux rediriger les requêtes sur ce dernier. Tu peux aussi installer un bind sur ton serveur VPN et y rediriger le client.

#9

Bon on dit à peu près la même chose, mais j’ai du mal à m’exprimer dans ce domaine.
Donc si je comprend avec la ligne de configuration du départ, c’est le serveur openvpn qui se débrouille pour relayer les requêtes DNS (en regardant le /etc/resolv.conf sans doute), que ce soit le DNS du FAI ou celui configuré localement.