Projet

Général

Profil

Vpn doc user » Historique » Version 17

Nicolas Nadisic, 17/10/2014 19:44

1 11 Baptiste Jonglez
h1. Documentation utilisateur pour le VPN Illyse
2 7 Baptiste Jonglez
3
{{>toc}}
4 1 Pierre-Arnaud Poudret
5 8 Baptiste Jonglez
Le VPN d'Illyse utilise **OpenVPN**, qui a l'avantage de fonctionner sur à peu près n'importe quelle plate-forme (GNU/Linux, OS X, Windows, Android, …)
6 1 Pierre-Arnaud Poudret
7 8 Baptiste Jonglez
Cette page sert de documentation utilisateur.  Pour l'instant, elle contient principalement des exemples de fichier de configuration pour le client openvpn.
8 1 Pierre-Arnaud Poudret
9 8 Baptiste Jonglez
Les fichiers de configuration donnés ici sont génériques, au sens où le reste de la configuration se fait via l'interface web abonné Illyse : https://coin.illyse.org/ (adresses IP à utiliser sur le tunnel, etc).
10 1 Pierre-Arnaud Poudret
11 11 Baptiste Jonglez
h2. Note importante sur la sécurité
12 1 Pierre-Arnaud Poudret
13 13 Rémi Bouhl
Le VPN Illyse fournit une **IPv4 publique** et de l'IPv6 (elle aussi publique, évidemment).  **Aucun pare-feu (firewall) n'est en place côté Illyse** : assurez-vous d'avoir un **pare-feu (firewall)** sur votre machine lorsque vous utilisez le VPN. 
14 14 Rémi Bouhl
De plus il est possible que votre pare-feu considère la connexion VPN comme faisant partie d'un réseau "privé" et abaisse le niveau de sécurité sur cette connexion. 
15 1 Pierre-Arnaud Poudret
16 13 Rémi Bouhl
Vous pourriez vous retrouver à exposer sur Internet, entre autres :
17
18
- un serveur SSH, avec des mots de passe faibles,
19
- un serveur Web, avec une application en cours de développement,
20
- un serveur mail mal configuré, susceptible de relayer du spam (open-relay) et de provoquer rapidement l'inscription de votre adresse IP dans des listes noires (RBL),
21
- le protocole SMB sur les systèmes Microsoft Windows, qui permet entre autres d'accéder aux partages réseaux et aux imprimantes.
22
23
Gardez à l'esprit que votre adresse IPv4 publique sera l'objet de scans intensifs depuis Internet, surtout si elle est utilisée pour la première fois.
24
25
Illyse vous fournit un accès à Internet neutre, ce qui signifie entre autres que l'association ne se permet pas de décider à la place ses abonnés de ce qu'il faut filtrer sur leur connexion. 
26
 
27
N'hésitez pas à demander de l'aide, à poser des questions, dans l'association ou ailleurs, pour conserver la pleine maîtrise de votre connexion :)
28 11 Baptiste Jonglez
29 12 Baptiste Jonglez
h2. Utilisation d'OpenVPN
30
31
Le serveur OpenVPN d'Illyse écoute à la fois en UDP et en TCP, et ce, sur n'importe quel port.  Si vous êtes sur un réseau complètement bloqué mais que UDP/53 ou TCP/443 passe, pas de problème, le VPN passe !
32
33
Pour des raisons de performance, UDP est recommandé.  N'utilisez le mode TCP qu'en dernier recours.  Référence : http://sites.inka.de/bigred/devel/tcp-tcp.html
34
35 15 Rémi Bouhl
h1. Exemples de configuration.
36 1 Pierre-Arnaud Poudret
37 15 Rémi Bouhl
Ces exemples de fichiers de configuration sont là pour vous aider à vous connecter au VPN.
38
39
h2. GNU/Linux (Debian Wheezy)
40
41 17 Nicolas Nadisic
h3. Pour les débutants 
42
43
Se connecter au SI d'Illyse avec le nom d'utilisateur communiqué par mail : "COIN.":https://coin.illyse.org/members/login/?next=/ Si c'est votre première connexion, choisir un mot de passe pour COIN et bien le retenir.
44
45
Aller dans la catégorie "Abonnements". Si rien n'apparait alors que vous avez souscrit au VPN, contacter adminsys@illyse.org. A la ligne "VPN", cliquer sur "Configurer". Noter le nom d'utilisateur (le mieux est de le copier dans un fichier texte brut, nous verrons pourquoi ensuite. Générer un mot de passe et le copier dans le même fichier. Attention, si vous perdez votre mot de passe il faudra en générer un nouveau.
46
47
Installer OpenVPN : ouvrir un terminal et taper "sudo aptitude install openvpn". Se connecter en root dans le terminal et se placer dans le répertoire /etc/openvpn/. Créer le fichier texte nommé illyse.conf et copier dedans la configuration ci-dessous. Créer le fichier texte nommé credentials et y insérer le nom d'utilisateur et le mot de passe stockés précédemment (une ligne chacun, voir modèle ci-dessous).
48
49
Lancer le VPN avec la commande "service openvpn start illyse" (besoin d'être root). Ça devrait fonctionner ! Si ce n'est pas le cas, vérifier les étapes précédentes, et la connexion Internet. Si ça ne fonctionne toujours pas, écrire un gentil mail à adminsys@illyse.org en joignant le rapport d'erreur situé ici : /var/log/openvpn-illyse.log. Pour stopper le VPN, taper la commande "service openvpn stop illyse". 
50
51
52
h3. Fichier de configuration OpenVPN
53
54 12 Baptiste Jonglez
La configuration est commentée, n'hésitez pas à changer des paramètres.  Avec les paramètres ci-dessous, une IPv4 et une IPv6 seront attribués, et tout le trafic passera par le VPN.
55 1 Pierre-Arnaud Poudret
56
+/etc/openvpn/illyse.conf+
57
<pre>
58
# C'est nous qui prenons l'initiative de nous connecter au serveur.
59
client
60
61
# On route de l'IP, on ne fait pas de l'ethernet.
62
dev tun0
63
64
# si on ne reçoit pas d'IP pour tun0:
65
# - soit on configure l'interface avec des ip privées bidon
66
#ifconfig 10.255.255.1 10.255.255.2
67
# - soit on utilise un script pour faire "ifconfig tun0 up"
68
#script-security 2
69
#up up.sh
70
71
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
72
# cependant notable que les restrictions d'accès Internet laissent souvent
73
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
74
# pas, essayez tcp.
75
76
# Transport sur udp v4. En v6, la redirection de passerelle par défaut fonctionne mal (openvpn ne crée pas l'équivalent de la route /32 IPv4 vers le serveur vpn via la passerelle sous-jacente)
77
# Si on ne prévoit pas d'utiliser la directive "redirect-gateway def1", alors on peut choisir "proto udp6" pour monter le tunnel en IPv6.
78
#proto udp6
79
proto udp
80
#proto tcp
81
82
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
83
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
84
mssfix 1300
85
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
86
# quand ça dépasse.
87
fragment 1300
88
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
89
#mtu-disc yes
90
91
# En udp, Prévenir le serveur quand on termine, permet de relancer
92
# immédiatement sans attendre que le serveur se rende compte de la
93
# déconnexion par timeout.
94
explicit-exit-notify
95
96
# L'adresse du serveur.
97
remote vpn.illyse.net 1194
98
99
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
100
#http-proxy 192.0.2.1 8080
101
102
# Attendre un peu avant d'ajouter les routes.
103
route-delay 2
104
105
# Ne pas utiliser un port local statique, on est client de toutes façons.
106
nobind
107
108
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
109
# redémarrage.
110
persist-key
111
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
112
#persist-tun
113
114
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
115
redirect-gateway def1
116
117
# On peut aussi vouloir plutôt router seulement quelques destinations, par
118
# exemple ici tout Gitoyen:
119
#route 80.67.160.0 255.255.224.0
120
121 5 Baptiste Jonglez
# Activer IPv6 dans le tunnel
122 1 Pierre-Arnaud Poudret
tun-ipv6
123 5 Baptiste Jonglez
# et faire passer tout le trafic IPv6 via le VPN:
124 1 Pierre-Arnaud Poudret
route-ipv6 ::/1
125
route-ipv6 8000::/1
126
127
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
128
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
129
# fichier contenant ces deux informations, une par ligne.
130
auth-user-pass credentials
131
132
# Un minimum de debug, c'est toujours bien.
133
verb 3
134
135
log-append /var/log/openvpn-illyse.log
136
137
# Certificat permettant de vérifier que c'est bien à Illyse que
138
# l'on se connecte et donc à qui on donne notre mot de passe.
139
remote-cert-tls server
140
<ca>
141
-----BEGIN CERTIFICATE-----
142
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
143
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
144
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
145
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
146
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
147
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
148
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
149
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
150
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
151
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
152
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
153
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
154
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
155
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
156
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
157
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
158
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
159
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
160
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
161
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
162
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
163
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
164
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
165
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
166
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
167
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
168
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
169
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
170
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
171
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
172
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
173
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
174
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
175
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
176
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
177
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
178
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
179
-----END CERTIFICATE-----
180
</ca>
181
</pre>
182
183
184
+/etc/openvpn/credentials+
185
(Seulement si vous voulez stocker votre mot de passe. En clair. Oui, c'est moche.)
186
187
Spécifier login et mot de passe sur deux lignes différences.
188
189
<pre>
190
jkleboulet-vpn1
191
omgsuchsecured123
192
</pre>
193
194
195 3 Pierre-Arnaud Poudret
h3. Mise à jour automatique de resolv.conf
196
197
Pour que resolv.conf soit mis à jour par openvpn avec les IP des resolvers DNS Illyse poussées par le serveur VPN.
198
199
<pre>
200
<mit-mit> Bon, ça marche, faut ajouter à la config :
201
<mit-mit> script-security 2
202
<mit-mit> up /etc/openvpn/update-resolv-conf
203
<mit-mit> down /etc/openvpn/update-resolv-conf
204
<mit-mit> et avoir resolvconf d'installé.
205
<mit-mit> (la première ligne étant l'autorisation de lancement de scripts externes)
206
</pre>
207
208
209 1 Pierre-Arnaud Poudret
h2. Windows XP
210 2 Pierre-Arnaud Poudret
211
+C:\Program Files\OpenVPN\config\illyse\illyse.ovpn+
212
<pre>
213
# C'est nous qui prenons l'initiative de nous connecter au serveur.
214
client
215
216
# On route de l'IP, on ne fait pas de l'ethernet.
217
dev tun0
218
219
# si on ne reçoit pas d'IP pour tun0:
220
# - soit on configure l'interface avec des ip privées bidon
221
#ifconfig 10.255.255.1 10.255.255.2
222
# - soit on utilise un script pour faire "ifconfig tun0 up"
223
#script-security 2
224
#up up.sh
225
226
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
227
# cependant notable que les restrictions d'accès Internet laissent souvent
228
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
229
# pas, essayez tcp.
230
231
#proto udp6
232
proto udp
233
#proto tcp
234
235
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
236
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
237
mssfix 1300
238
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
239
# quand ça dépasse.
240
fragment 1300
241
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
242
#mtu-disc yes
243
244
#mtu-test
245
#link-mtu 1300
246
#tun-mtu 1300
247
248
# En udp, Prévenir le serveur quand on termine, permet de relancer
249
# immédiatement sans attendre que le serveur se rende compte de la
250
# déconnexion par timeout.
251
explicit-exit-notify
252
253
# L'adresse du serveur.
254
remote vpn.illyse.net 1194
255
256
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
257
#http-proxy 192.0.2.1 8080
258
259
# Pour windows: utiliser route.exe.
260
route-method exe
261
262
# Attendre un peu avant d'ajouter les routes.
263
route-delay 2
264
265
# Ne pas utiliser un port local statique, on est client de toutes façons.
266
nobind
267
268
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
269
# redémarrage.
270
persist-key
271
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
272
#persist-tun
273
274
#ip-win32 ipapi
275
276
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
277 1 Pierre-Arnaud Poudret
redirect-gateway def1
278 2 Pierre-Arnaud Poudret
279 1 Pierre-Arnaud Poudret
# On peut aussi vouloir plutôt router seulement quelques destinations, par
280 2 Pierre-Arnaud Poudret
# exemple ici tout Gitoyen:
281
#route 80.67.160.0 255.255.224.0
282
283 5 Baptiste Jonglez
# Activer IPv6 dans le VPN
284 2 Pierre-Arnaud Poudret
tun-ipv6
285 5 Baptiste Jonglez
# Faire passer tout le trafic IPv6 via le VPN:
286 2 Pierre-Arnaud Poudret
route-ipv6 ::/1
287
route-ipv6 8000::/1
288
289
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
290
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
291
# fichier contenant ces deux informations, une par ligne.
292
auth-user-pass credentials
293
294
# Un minimum de debug, c'est toujours bien.
295
verb 3
296
297
#log-append /var/log/openvpn-illyse.log
298
299
# Certificat permettant de vérifier que c'est bien à Illyse que
300
# l'on se connecte et donc à qui on donne notre mot de passe.
301
remote-cert-tls server
302
<ca>
303
-----BEGIN CERTIFICATE-----
304
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
305
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
306
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
307
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
308
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
309
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
310
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
311
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
312
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
313
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
314
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
315
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
316
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
317
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
318
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
319
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
320
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
321
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
322
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
323
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
324
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
325
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
326
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
327
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
328
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
329
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
330
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
331
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
332
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
333
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
334
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
335
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
336
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
337
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
338
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
339
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
340
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
341
-----END CERTIFICATE-----
342
</ca>
343
</pre>
344
345
346
347
+C:\Program Files\OpenVPN\config\illyse\credentials+
348
349
<pre>
350
jkleboulet-vpn1
351
omgsuchsecured123
352
</pre>
353 4 Fabien Michel
354
h2. Mac OS X
355
356
Installer le client OpenVPN Tunnelblick : https://code.google.com/p/tunnelblick/
357
358
Créer un fichier illyse.ovpn avec la configuration voulue. Celle indiquée ci-dessous fonctionne sans modification necessaire.
359
Double-cliquer sur le fichier afin que TunnelBlick import la configuration.
360
A la première connexion, il va demander un couple login/password qu'il sera possible de stocker dans le trousseau.
361
362
Paramètres modifiés par rapport à la configuration pour Linux :
363
* log-append : Ce paramètre n'est pas accepté. Mais tunnelblick log déjà en interne.
364
* auth-user-pass : On ne précise pas de fichier de credential, c'est géré par Tunnelblick et Keychains au moment de la connexion
365
* Les commentaires ont été retirés car le fichier est tronqué au moment de l'import s'il est trop long (ce qui était le cas)
366
367
+illyse.ovpn+
368
<pre>
369
client
370
dev tun0
371
proto udp
372
mssfix 1300
373
fragment 1300
374
explicit-exit-notify
375
remote vpn.illyse.net 1194
376
#http-proxy 192.0.2.1 8080
377
route-delay 2
378
nobind
379
380
persist-key
381
persist-tun
382
383
redirect-gateway def1
384
#route 80.67.160.0 255.255.224.0
385
386
tun-ipv6
387
route-ipv6 ::/1
388
route-ipv6 8000::/1
389
390
auth-user-pass
391
verb 3
392
393
remote-cert-tls server
394
<ca>
395
-----BEGIN CERTIFICATE-----
396
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
397
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
398
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
399
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
400
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
401
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
402
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
403
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
404
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
405
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
406
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
407
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
408
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
409
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
410
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
411
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
412
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
413
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
414
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
415
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
416
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
417
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
418
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
419
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
420
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
421
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
422
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
423
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
424
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
425
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
426
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
427
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
428
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
429 1 Pierre-Arnaud Poudret
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
430
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
431
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
432
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
433
-----END CERTIFICATE-----
434
</ca>
435 15 Rémi Bouhl
436
</pre>
437
438
439
h2. Android 
440
441
Configuration OpenVPN pour Android (testé sous Android 4.4.4 et OpenVPN for Android v0.6.17)
442
Ci-après un fichier de configuration qui devrait fonctionner avec l'application Android OpenVPN for Android, 
443
Disponible sur F-Droid : https://f-droid.org/repository/browse/?fdfilter=openvpn&fdid=de.blinkt.openvpn
444
Ou au pire sur le PlayStore : https://play.google.com/store/apps/details?id=de.blinkt.openvpn
445
Posez le fichier de configuration, renommé en VPN-Illyse.conf par exemple, sur l'appareil.
446
Une fois l'application installée et démarrée, cliquez sur le dossier en bas à droite et chezchez le fichier de configuration.
447
Il suffit de renseigner les identifiants.
448
449
<pre>
450 16 Rémi Bouhl
451 15 Rémi Bouhl
#
452
# Fichier de configuration VPN Illyse pour Android
453
# 2014-10-14
454
#
455
# Enables connection to GUI
456
management /data/data/de.blinkt.openvpn/cache/mgmtsocket unix
457
management-client
458
management-query-passwords
459
management-hold
460
setenv IV_GUI_VER "de.blinkt.openvpn 0.6.17" 
461
machine-readable-output
462
client
463
verb 4
464
connect-retry-max 5
465
connect-retry 5
466
resolv-retry 60
467
dev tun
468
remote vpn.illyse.net 1194 udp
469
auth-user-pass
470
route-ipv6 ::/0
471
route 0.0.0.0 0.0.0.0 vpn_gateway
472
remote-cert-tls server
473
persist-tun
474
# persist-tun also enables pre resolving to avoid DNS resolve problem
475
preresolve
476
# Use system proxy setting
477
management-query-proxy
478
# Custom configuration options
479
# You are on your on own here 
480
mssfix 1300 
481
fragment 1300
482
<ca>
483
-----BEGIN CERTIFICATE-----
484
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
485
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
486
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
487
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
488
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
489
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
490
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
491
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
492
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
493
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
494
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
495
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
496
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
497
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
498
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
499
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
500
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
501
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
502
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
503
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
504
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
505
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
506
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
507
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
508
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
509
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
510
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
511
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
512
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
513
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
514
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
515
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
516
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
517
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
518
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
519
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
520
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
521
-----END CERTIFICATE-----
522
</ca>
523 16 Rémi Bouhl
524 4 Fabien Michel
525
</pre>
526 8 Baptiste Jonglez
527 9 Baptiste Jonglez
h1. Configurations avancées
528 8 Baptiste Jonglez
529 9 Baptiste Jonglez
h2. Client sans IP montée sur le tunnel
530 8 Baptiste Jonglez
531
Pour ceux qui veulent bricoler, il est possible (via l'interface web abonné) ne pas monter du tout d'IP (v4 ou v6) sur l'interface tun du client. Dans ce cas, les paquets destinés aux ranges v4 et v6 de l'abonné sont toujours routés correctement vers le client, mais il appartient à l'abonné de s'assurer qu'ils seront correctement routés plus avant sur son réseau interne.
532 10 Baptiste Jonglez
533
h2. Utiliser simultanément la connexion normale et le VPN
534
535
Lorsqu'on a un serveur, on peut avoir envie d'être joignable à la fois via la connexion normale (e.g. Free) et via le VPN.  Pour se faire, on utilise le **policy routing** du noyau Linux : quand quelqu'un nous parle sur l'IP normale, on lui répond via la connexion normale, et quand quelqu'un nous parle sur l'IP du VPN, on répond via le VPN.  Notons que ça ne concerne que les connexions entrantes (donc principalement utile pour un serveur).
536
537
Pour les connexions sortantes, on a le choix : soit on passe dans le VPN, soit on passe par la connexion normale.  La configuration ci-dessous fait passer les connexions sortantes par la connexion normale (parce que c'est plus simple).
538
539
Note : il faut s'assurer de bien avoir configuré une IPv4 et une IPv6 sur l'interface tun (sur https://coin.illyse.org).  Sinon, les scripts ne feront rien.
540
541
Bonus : si vous avez un noyau Multipath-TCP, cette configuration permettra d'utiliser les deux connexions en parallèle ! Pratique pour joindre Youtube si on est chez Free, par exemple :)
542
(la configuration ci-dessous est similaire à http://multipath-tcp.org/pmwiki.php/Users/ConfigureRouting )
543
544
+/etc/openvpn/up.sh+
545
<pre>
546
#!/bin/bash
547
548
dev="$1"
549
tun_mtu="$2"
550
link_mtu="$3"
551
local_ip="$4"
552
remote_ip="$5"
553
554
# Routing table to use
555
table=4242
556
557
# Source-specific routing: use the normal default route by default,
558
# but use the VPN for replying to packets coming from the VPN.
559
# IPv4
560
[ -n "$local_ip" ] && ip rule add from "$local_ip" table "$table" && ip route add default dev "$dev" table "$table"
561
# IPv6
562
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule add from "$ifconfig_ipv6_local" table "$table" && ip -6 route add default dev "$dev" table "$table"
563
</pre>
564
565
+/etc/openvpn/down.sh+
566
<pre>
567
#!/bin/bash
568
569
dev="$1"
570
tun_mtu="$2"
571
link_mtu="$3"
572
local_ip="$4"
573
remote_ip="$5"
574
575
table=4242
576
577
# Delete table for source-specific routing.
578
[ -n "$local_ip" ] && ip rule del from "$local_ip" && ip route del default table "$table"
579
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule del from "$ifconfig_ipv6_local" && ip -6 route del default table "$table"
580
581
exit 0
582
</pre>
583
584
+/etc/openvpn/illyse.conf+
585
<pre>
586
## Configuration VPN Illyse pour accepter des connexions entrantes
587
## à la fois via le VPN et via la connexion normale, grâce au policy routing (Linux uniquement)
588
## https://www.illyse.org/projects/publicdocs/wiki/Vpn_doc_user#Utiliser-simultanément-la-connexion-normale-et-le-VPN
589
590
# Gestion des routes via des scripts externes.
591
script-security 2
592
up up.sh
593
down down.sh
594
595
596
# Reste de la configuration normale.
597
# Penser à enlever "redirect-gateway" et "route-ipv6", on gère les
598
# routes via up.sh et down.sh
599
client
600
remote vpn.illyse.net 1194
601
#http-proxy 192.0.2.1 8080
602
dev tun0
603
604
#proto udp6
605
proto udp
606
#proto tcp
607
explicit-exit-notify
608
609
mssfix 1300
610
fragment 1300
611
612
route-delay 2
613
nobind
614
persist-key
615
persist-tun
616
617
tun-ipv6
618
619
auth-user-pass credentials
620
621
verb 3
622
log-append /var/log/openvpn-illyse.log
623
624
# Certificat permettant de vérifier que c'est bien à Illyse que
625
# l'on se connecte et donc à qui on donne notre mot de passe.
626
remote-cert-tls server
627
<ca>
628
-----BEGIN CERTIFICATE-----
629
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
630
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
631
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
632
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
633
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
634
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
635
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
636
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
637
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
638
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
639
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
640
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
641
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
642
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
643
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
644
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
645
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
646
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
647
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
648
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
649
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
650
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
651
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
652
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
653
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
654
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
655
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
656
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
657
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
658
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
659
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
660
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
661
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
662
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
663
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
664
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
665
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
666
-----END CERTIFICATE-----
667
</ca>
668
</pre>