Projet

Général

Profil

Vpn doc user » Historique » Version 15

Rémi Bouhl, 14/10/2014 22:18
Ajout d'Android + modif' mineurs de la doc'.

1 11 Baptiste Jonglez
h1. Documentation utilisateur pour le VPN Illyse
2 7 Baptiste Jonglez
3
{{>toc}}
4 1 Pierre-Arnaud Poudret
5 8 Baptiste Jonglez
Le VPN d'Illyse utilise **OpenVPN**, qui a l'avantage de fonctionner sur à peu près n'importe quelle plate-forme (GNU/Linux, OS X, Windows, Android, …)
6 1 Pierre-Arnaud Poudret
7 8 Baptiste Jonglez
Cette page sert de documentation utilisateur.  Pour l'instant, elle contient principalement des exemples de fichier de configuration pour le client openvpn.
8 1 Pierre-Arnaud Poudret
9 8 Baptiste Jonglez
Les fichiers de configuration donnés ici sont génériques, au sens où le reste de la configuration se fait via l'interface web abonné Illyse : https://coin.illyse.org/ (adresses IP à utiliser sur le tunnel, etc).
10 1 Pierre-Arnaud Poudret
11 11 Baptiste Jonglez
h2. Note importante sur la sécurité
12 1 Pierre-Arnaud Poudret
13 13 Rémi Bouhl
Le VPN Illyse fournit une **IPv4 publique** et de l'IPv6 (elle aussi publique, évidemment).  **Aucun pare-feu (firewall) n'est en place côté Illyse** : assurez-vous d'avoir un **pare-feu (firewall)** sur votre machine lorsque vous utilisez le VPN. 
14 14 Rémi Bouhl
De plus il est possible que votre pare-feu considère la connexion VPN comme faisant partie d'un réseau "privé" et abaisse le niveau de sécurité sur cette connexion. 
15 1 Pierre-Arnaud Poudret
16 13 Rémi Bouhl
Vous pourriez vous retrouver à exposer sur Internet, entre autres :
17
18
- un serveur SSH, avec des mots de passe faibles,
19
- un serveur Web, avec une application en cours de développement,
20
- un serveur mail mal configuré, susceptible de relayer du spam (open-relay) et de provoquer rapidement l'inscription de votre adresse IP dans des listes noires (RBL),
21
- le protocole SMB sur les systèmes Microsoft Windows, qui permet entre autres d'accéder aux partages réseaux et aux imprimantes.
22
23
Gardez à l'esprit que votre adresse IPv4 publique sera l'objet de scans intensifs depuis Internet, surtout si elle est utilisée pour la première fois.
24
25
Illyse vous fournit un accès à Internet neutre, ce qui signifie entre autres que l'association ne se permet pas de décider à la place ses abonnés de ce qu'il faut filtrer sur leur connexion. 
26
 
27
N'hésitez pas à demander de l'aide, à poser des questions, dans l'association ou ailleurs, pour conserver la pleine maîtrise de votre connexion :)
28 11 Baptiste Jonglez
29 12 Baptiste Jonglez
h2. Utilisation d'OpenVPN
30
31
Le serveur OpenVPN d'Illyse écoute à la fois en UDP et en TCP, et ce, sur n'importe quel port.  Si vous êtes sur un réseau complètement bloqué mais que UDP/53 ou TCP/443 passe, pas de problème, le VPN passe !
32
33
Pour des raisons de performance, UDP est recommandé.  N'utilisez le mode TCP qu'en dernier recours.  Référence : http://sites.inka.de/bigred/devel/tcp-tcp.html
34
35 15 Rémi Bouhl
h1. Exemples de configuration.
36 1 Pierre-Arnaud Poudret
37 15 Rémi Bouhl
Ces exemples de fichiers de configuration sont là pour vous aider à vous connecter au VPN.
38
39
h2. GNU/Linux (Debian Wheezy)
40
41 12 Baptiste Jonglez
La configuration est commentée, n'hésitez pas à changer des paramètres.  Avec les paramètres ci-dessous, une IPv4 et une IPv6 seront attribués, et tout le trafic passera par le VPN.
42 1 Pierre-Arnaud Poudret
43
+/etc/openvpn/illyse.conf+
44
<pre>
45
# C'est nous qui prenons l'initiative de nous connecter au serveur.
46
client
47
48
# On route de l'IP, on ne fait pas de l'ethernet.
49
dev tun0
50
51
# si on ne reçoit pas d'IP pour tun0:
52
# - soit on configure l'interface avec des ip privées bidon
53
#ifconfig 10.255.255.1 10.255.255.2
54
# - soit on utilise un script pour faire "ifconfig tun0 up"
55
#script-security 2
56
#up up.sh
57
58
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
59
# cependant notable que les restrictions d'accès Internet laissent souvent
60
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
61
# pas, essayez tcp.
62
63
# Transport sur udp v4. En v6, la redirection de passerelle par défaut fonctionne mal (openvpn ne crée pas l'équivalent de la route /32 IPv4 vers le serveur vpn via la passerelle sous-jacente)
64
# Si on ne prévoit pas d'utiliser la directive "redirect-gateway def1", alors on peut choisir "proto udp6" pour monter le tunnel en IPv6.
65
#proto udp6
66
proto udp
67
#proto tcp
68
69
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
70
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
71
mssfix 1300
72
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
73
# quand ça dépasse.
74
fragment 1300
75
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
76
#mtu-disc yes
77
78
# En udp, Prévenir le serveur quand on termine, permet de relancer
79
# immédiatement sans attendre que le serveur se rende compte de la
80
# déconnexion par timeout.
81
explicit-exit-notify
82
83
# L'adresse du serveur.
84
remote vpn.illyse.net 1194
85
86
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
87
#http-proxy 192.0.2.1 8080
88
89
# Attendre un peu avant d'ajouter les routes.
90
route-delay 2
91
92
# Ne pas utiliser un port local statique, on est client de toutes façons.
93
nobind
94
95
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
96
# redémarrage.
97
persist-key
98
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
99
#persist-tun
100
101
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
102
redirect-gateway def1
103
104
# On peut aussi vouloir plutôt router seulement quelques destinations, par
105
# exemple ici tout Gitoyen:
106
#route 80.67.160.0 255.255.224.0
107
108 5 Baptiste Jonglez
# Activer IPv6 dans le tunnel
109 1 Pierre-Arnaud Poudret
tun-ipv6
110 5 Baptiste Jonglez
# et faire passer tout le trafic IPv6 via le VPN:
111 1 Pierre-Arnaud Poudret
route-ipv6 ::/1
112
route-ipv6 8000::/1
113
114
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
115
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
116
# fichier contenant ces deux informations, une par ligne.
117
auth-user-pass credentials
118
119
# Un minimum de debug, c'est toujours bien.
120
verb 3
121
122
log-append /var/log/openvpn-illyse.log
123
124
# Certificat permettant de vérifier que c'est bien à Illyse que
125
# l'on se connecte et donc à qui on donne notre mot de passe.
126
remote-cert-tls server
127
<ca>
128
-----BEGIN CERTIFICATE-----
129
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
130
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
131
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
132
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
133
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
134
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
135
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
136
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
137
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
138
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
139
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
140
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
141
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
142
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
143
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
144
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
145
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
146
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
147
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
148
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
149
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
150
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
151
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
152
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
153
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
154
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
155
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
156
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
157
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
158
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
159
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
160
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
161
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
162
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
163
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
164
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
165
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
166
-----END CERTIFICATE-----
167
</ca>
168
</pre>
169
170
171
+/etc/openvpn/credentials+
172
(Seulement si vous voulez stocker votre mot de passe. En clair. Oui, c'est moche.)
173
174
Spécifier login et mot de passe sur deux lignes différences.
175
176
<pre>
177
jkleboulet-vpn1
178
omgsuchsecured123
179
</pre>
180
181
182 3 Pierre-Arnaud Poudret
h3. Mise à jour automatique de resolv.conf
183
184
Pour que resolv.conf soit mis à jour par openvpn avec les IP des resolvers DNS Illyse poussées par le serveur VPN.
185
186
<pre>
187
<mit-mit> Bon, ça marche, faut ajouter à la config :
188
<mit-mit> script-security 2
189
<mit-mit> up /etc/openvpn/update-resolv-conf
190
<mit-mit> down /etc/openvpn/update-resolv-conf
191
<mit-mit> et avoir resolvconf d'installé.
192
<mit-mit> (la première ligne étant l'autorisation de lancement de scripts externes)
193
</pre>
194
195
196 1 Pierre-Arnaud Poudret
h2. Windows XP
197 2 Pierre-Arnaud Poudret
198
+C:\Program Files\OpenVPN\config\illyse\illyse.ovpn+
199
<pre>
200
# C'est nous qui prenons l'initiative de nous connecter au serveur.
201
client
202
203
# On route de l'IP, on ne fait pas de l'ethernet.
204
dev tun0
205
206
# si on ne reçoit pas d'IP pour tun0:
207
# - soit on configure l'interface avec des ip privées bidon
208
#ifconfig 10.255.255.1 10.255.255.2
209
# - soit on utilise un script pour faire "ifconfig tun0 up"
210
#script-security 2
211
#up up.sh
212
213
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
214
# cependant notable que les restrictions d'accès Internet laissent souvent
215
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
216
# pas, essayez tcp.
217
218
#proto udp6
219
proto udp
220
#proto tcp
221
222
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
223
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
224
mssfix 1300
225
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
226
# quand ça dépasse.
227
fragment 1300
228
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
229
#mtu-disc yes
230
231
#mtu-test
232
#link-mtu 1300
233
#tun-mtu 1300
234
235
# En udp, Prévenir le serveur quand on termine, permet de relancer
236
# immédiatement sans attendre que le serveur se rende compte de la
237
# déconnexion par timeout.
238
explicit-exit-notify
239
240
# L'adresse du serveur.
241
remote vpn.illyse.net 1194
242
243
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
244
#http-proxy 192.0.2.1 8080
245
246
# Pour windows: utiliser route.exe.
247
route-method exe
248
249
# Attendre un peu avant d'ajouter les routes.
250
route-delay 2
251
252
# Ne pas utiliser un port local statique, on est client de toutes façons.
253
nobind
254
255
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
256
# redémarrage.
257
persist-key
258
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
259
#persist-tun
260
261
#ip-win32 ipapi
262
263
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
264 1 Pierre-Arnaud Poudret
redirect-gateway def1
265 2 Pierre-Arnaud Poudret
266 1 Pierre-Arnaud Poudret
# On peut aussi vouloir plutôt router seulement quelques destinations, par
267 2 Pierre-Arnaud Poudret
# exemple ici tout Gitoyen:
268
#route 80.67.160.0 255.255.224.0
269
270 5 Baptiste Jonglez
# Activer IPv6 dans le VPN
271 2 Pierre-Arnaud Poudret
tun-ipv6
272 5 Baptiste Jonglez
# Faire passer tout le trafic IPv6 via le VPN:
273 2 Pierre-Arnaud Poudret
route-ipv6 ::/1
274
route-ipv6 8000::/1
275
276
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
277
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
278
# fichier contenant ces deux informations, une par ligne.
279
auth-user-pass credentials
280
281
# Un minimum de debug, c'est toujours bien.
282
verb 3
283
284
#log-append /var/log/openvpn-illyse.log
285
286
# Certificat permettant de vérifier que c'est bien à Illyse que
287
# l'on se connecte et donc à qui on donne notre mot de passe.
288
remote-cert-tls server
289
<ca>
290
-----BEGIN CERTIFICATE-----
291
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
292
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
293
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
294
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
295
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
296
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
297
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
298
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
299
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
300
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
301
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
302
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
303
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
304
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
305
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
306
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
307
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
308
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
309
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
310
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
311
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
312
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
313
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
314
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
315
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
316
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
317
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
318
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
319
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
320
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
321
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
322
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
323
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
324
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
325
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
326
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
327
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
328
-----END CERTIFICATE-----
329
</ca>
330
</pre>
331
332
333
334
+C:\Program Files\OpenVPN\config\illyse\credentials+
335
336
<pre>
337
jkleboulet-vpn1
338
omgsuchsecured123
339
</pre>
340 4 Fabien Michel
341
h2. Mac OS X
342
343
Installer le client OpenVPN Tunnelblick : https://code.google.com/p/tunnelblick/
344
345
Créer un fichier illyse.ovpn avec la configuration voulue. Celle indiquée ci-dessous fonctionne sans modification necessaire.
346
Double-cliquer sur le fichier afin que TunnelBlick import la configuration.
347
A la première connexion, il va demander un couple login/password qu'il sera possible de stocker dans le trousseau.
348
349
Paramètres modifiés par rapport à la configuration pour Linux :
350
* log-append : Ce paramètre n'est pas accepté. Mais tunnelblick log déjà en interne.
351
* auth-user-pass : On ne précise pas de fichier de credential, c'est géré par Tunnelblick et Keychains au moment de la connexion
352
* Les commentaires ont été retirés car le fichier est tronqué au moment de l'import s'il est trop long (ce qui était le cas)
353
354
+illyse.ovpn+
355
<pre>
356
client
357
dev tun0
358
proto udp
359
mssfix 1300
360
fragment 1300
361
explicit-exit-notify
362
remote vpn.illyse.net 1194
363
#http-proxy 192.0.2.1 8080
364
route-delay 2
365
nobind
366
367
persist-key
368
persist-tun
369
370
redirect-gateway def1
371
#route 80.67.160.0 255.255.224.0
372
373
tun-ipv6
374
route-ipv6 ::/1
375
route-ipv6 8000::/1
376
377
auth-user-pass
378
verb 3
379
380
remote-cert-tls server
381
<ca>
382
-----BEGIN CERTIFICATE-----
383
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
384
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
385
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
386
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
387
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
388
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
389
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
390
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
391
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
392
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
393
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
394
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
395
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
396
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
397
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
398
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
399
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
400
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
401
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
402
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
403
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
404
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
405
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
406
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
407
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
408
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
409
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
410
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
411
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
412
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
413
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
414
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
415
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
416 1 Pierre-Arnaud Poudret
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
417
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
418
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
419
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
420
-----END CERTIFICATE-----
421
</ca>
422 15 Rémi Bouhl
423
</pre>
424
425
426
h2. Android 
427
428
Configuration OpenVPN pour Android (testé sous Android 4.4.4 et OpenVPN for Android v0.6.17)
429
Ci-après un fichier de configuration qui devrait fonctionner avec l'application Android OpenVPN for Android, 
430
Disponible sur F-Droid : https://f-droid.org/repository/browse/?fdfilter=openvpn&fdid=de.blinkt.openvpn
431
Ou au pire sur le PlayStore : https://play.google.com/store/apps/details?id=de.blinkt.openvpn
432
Posez le fichier de configuration, renommé en VPN-Illyse.conf par exemple, sur l'appareil.
433
Une fois l'application installée et démarrée, cliquez sur le dossier en bas à droite et chezchez le fichier de configuration.
434
Il suffit de renseigner les identifiants.
435
436
<pre>
437
---
438
#
439
# Fichier de configuration VPN Illyse pour Android
440
# 2014-10-14
441
#
442
# Enables connection to GUI
443
management /data/data/de.blinkt.openvpn/cache/mgmtsocket unix
444
management-client
445
management-query-passwords
446
management-hold
447
setenv IV_GUI_VER "de.blinkt.openvpn 0.6.17" 
448
machine-readable-output
449
client
450
verb 4
451
connect-retry-max 5
452
connect-retry 5
453
resolv-retry 60
454
dev tun
455
remote vpn.illyse.net 1194 udp
456
auth-user-pass
457
route-ipv6 ::/0
458
route 0.0.0.0 0.0.0.0 vpn_gateway
459
remote-cert-tls server
460
persist-tun
461
# persist-tun also enables pre resolving to avoid DNS resolve problem
462
preresolve
463
# Use system proxy setting
464
management-query-proxy
465
# Custom configuration options
466
# You are on your on own here 
467
mssfix 1300 
468
fragment 1300
469
<ca>
470
-----BEGIN CERTIFICATE-----
471
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
472
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
473
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
474
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
475
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
476
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
477
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
478
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
479
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
480
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
481
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
482
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
483
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
484
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
485
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
486
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
487
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
488
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
489
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
490
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
491
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
492
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
493
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
494
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
495
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
496
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
497
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
498
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
499
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
500
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
501
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
502
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
503
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
504
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
505
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
506
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
507
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
508
-----END CERTIFICATE-----
509
</ca>
510
---
511 4 Fabien Michel
512
</pre>
513 8 Baptiste Jonglez
514 9 Baptiste Jonglez
h1. Configurations avancées
515 8 Baptiste Jonglez
516 9 Baptiste Jonglez
h2. Client sans IP montée sur le tunnel
517 8 Baptiste Jonglez
518
Pour ceux qui veulent bricoler, il est possible (via l'interface web abonné) ne pas monter du tout d'IP (v4 ou v6) sur l'interface tun du client. Dans ce cas, les paquets destinés aux ranges v4 et v6 de l'abonné sont toujours routés correctement vers le client, mais il appartient à l'abonné de s'assurer qu'ils seront correctement routés plus avant sur son réseau interne.
519 10 Baptiste Jonglez
520
h2. Utiliser simultanément la connexion normale et le VPN
521
522
Lorsqu'on a un serveur, on peut avoir envie d'être joignable à la fois via la connexion normale (e.g. Free) et via le VPN.  Pour se faire, on utilise le **policy routing** du noyau Linux : quand quelqu'un nous parle sur l'IP normale, on lui répond via la connexion normale, et quand quelqu'un nous parle sur l'IP du VPN, on répond via le VPN.  Notons que ça ne concerne que les connexions entrantes (donc principalement utile pour un serveur).
523
524
Pour les connexions sortantes, on a le choix : soit on passe dans le VPN, soit on passe par la connexion normale.  La configuration ci-dessous fait passer les connexions sortantes par la connexion normale (parce que c'est plus simple).
525
526
Note : il faut s'assurer de bien avoir configuré une IPv4 et une IPv6 sur l'interface tun (sur https://coin.illyse.org).  Sinon, les scripts ne feront rien.
527
528
Bonus : si vous avez un noyau Multipath-TCP, cette configuration permettra d'utiliser les deux connexions en parallèle ! Pratique pour joindre Youtube si on est chez Free, par exemple :)
529
(la configuration ci-dessous est similaire à http://multipath-tcp.org/pmwiki.php/Users/ConfigureRouting )
530
531
+/etc/openvpn/up.sh+
532
<pre>
533
#!/bin/bash
534
535
dev="$1"
536
tun_mtu="$2"
537
link_mtu="$3"
538
local_ip="$4"
539
remote_ip="$5"
540
541
# Routing table to use
542
table=4242
543
544
# Source-specific routing: use the normal default route by default,
545
# but use the VPN for replying to packets coming from the VPN.
546
# IPv4
547
[ -n "$local_ip" ] && ip rule add from "$local_ip" table "$table" && ip route add default dev "$dev" table "$table"
548
# IPv6
549
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule add from "$ifconfig_ipv6_local" table "$table" && ip -6 route add default dev "$dev" table "$table"
550
</pre>
551
552
+/etc/openvpn/down.sh+
553
<pre>
554
#!/bin/bash
555
556
dev="$1"
557
tun_mtu="$2"
558
link_mtu="$3"
559
local_ip="$4"
560
remote_ip="$5"
561
562
table=4242
563
564
# Delete table for source-specific routing.
565
[ -n "$local_ip" ] && ip rule del from "$local_ip" && ip route del default table "$table"
566
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule del from "$ifconfig_ipv6_local" && ip -6 route del default table "$table"
567
568
exit 0
569
</pre>
570
571
+/etc/openvpn/illyse.conf+
572
<pre>
573
## Configuration VPN Illyse pour accepter des connexions entrantes
574
## à la fois via le VPN et via la connexion normale, grâce au policy routing (Linux uniquement)
575
## https://www.illyse.org/projects/publicdocs/wiki/Vpn_doc_user#Utiliser-simultanément-la-connexion-normale-et-le-VPN
576
577
# Gestion des routes via des scripts externes.
578
script-security 2
579
up up.sh
580
down down.sh
581
582
583
# Reste de la configuration normale.
584
# Penser à enlever "redirect-gateway" et "route-ipv6", on gère les
585
# routes via up.sh et down.sh
586
client
587
remote vpn.illyse.net 1194
588
#http-proxy 192.0.2.1 8080
589
dev tun0
590
591
#proto udp6
592
proto udp
593
#proto tcp
594
explicit-exit-notify
595
596
mssfix 1300
597
fragment 1300
598
599
route-delay 2
600
nobind
601
persist-key
602
persist-tun
603
604
tun-ipv6
605
606
auth-user-pass credentials
607
608
verb 3
609
log-append /var/log/openvpn-illyse.log
610
611
# Certificat permettant de vérifier que c'est bien à Illyse que
612
# l'on se connecte et donc à qui on donne notre mot de passe.
613
remote-cert-tls server
614
<ca>
615
-----BEGIN CERTIFICATE-----
616
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
617
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
618
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
619
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
620
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
621
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
622
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
623
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
624
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
625
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
626
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
627
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
628
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
629
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
630
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
631
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
632
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
633
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
634
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
635
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
636
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
637
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
638
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
639
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
640
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
641
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
642
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
643
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
644
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
645
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
646
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
647
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
648
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
649
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
650
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
651
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
652
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
653
-----END CERTIFICATE-----
654
</ca>
655
</pre>