Projet

Général

Profil

Vpn doc user » Historique » Version 18

Nicolas Nadisic, 17/10/2014 19:50

1 11 Baptiste Jonglez
h1. Documentation utilisateur pour le VPN Illyse
2 7 Baptiste Jonglez
3
{{>toc}}
4 1 Pierre-Arnaud Poudret
5 8 Baptiste Jonglez
Le VPN d'Illyse utilise **OpenVPN**, qui a l'avantage de fonctionner sur à peu près n'importe quelle plate-forme (GNU/Linux, OS X, Windows, Android, …)
6 1 Pierre-Arnaud Poudret
7 8 Baptiste Jonglez
Cette page sert de documentation utilisateur.  Pour l'instant, elle contient principalement des exemples de fichier de configuration pour le client openvpn.
8 1 Pierre-Arnaud Poudret
9 8 Baptiste Jonglez
Les fichiers de configuration donnés ici sont génériques, au sens où le reste de la configuration se fait via l'interface web abonné Illyse : https://coin.illyse.org/ (adresses IP à utiliser sur le tunnel, etc).
10 1 Pierre-Arnaud Poudret
11 18 Nicolas Nadisic
h3. Avant de commencer 
12
13
Se connecter au SI d'Illyse avec le nom d'utilisateur communiqué par mail : "COIN.":https://coin.illyse.org/members/login/?next=/ Si c'est votre première connexion, choisir un mot de passe pour COIN et bien le retenir.
14
15
Aller dans la catégorie "Abonnements". Si rien n'apparait alors que vous avez souscrit au VPN, contacter adminsys@illyse.org. A la ligne "VPN", cliquer sur "Configurer". Noter le nom d'utilisateur (le mieux est de le copier dans un fichier texte brut, nous verrons pourquoi ensuite. Générer un mot de passe et le copier dans le même fichier. Attention, si vous perdez votre mot de passe il faudra en générer un nouveau.
16
17 11 Baptiste Jonglez
h2. Note importante sur la sécurité
18 1 Pierre-Arnaud Poudret
19 13 Rémi Bouhl
Le VPN Illyse fournit une **IPv4 publique** et de l'IPv6 (elle aussi publique, évidemment).  **Aucun pare-feu (firewall) n'est en place côté Illyse** : assurez-vous d'avoir un **pare-feu (firewall)** sur votre machine lorsque vous utilisez le VPN. 
20 14 Rémi Bouhl
De plus il est possible que votre pare-feu considère la connexion VPN comme faisant partie d'un réseau "privé" et abaisse le niveau de sécurité sur cette connexion. 
21 1 Pierre-Arnaud Poudret
22 13 Rémi Bouhl
Vous pourriez vous retrouver à exposer sur Internet, entre autres :
23
24
- un serveur SSH, avec des mots de passe faibles,
25
- un serveur Web, avec une application en cours de développement,
26
- un serveur mail mal configuré, susceptible de relayer du spam (open-relay) et de provoquer rapidement l'inscription de votre adresse IP dans des listes noires (RBL),
27
- le protocole SMB sur les systèmes Microsoft Windows, qui permet entre autres d'accéder aux partages réseaux et aux imprimantes.
28
29
Gardez à l'esprit que votre adresse IPv4 publique sera l'objet de scans intensifs depuis Internet, surtout si elle est utilisée pour la première fois.
30
31
Illyse vous fournit un accès à Internet neutre, ce qui signifie entre autres que l'association ne se permet pas de décider à la place ses abonnés de ce qu'il faut filtrer sur leur connexion. 
32
 
33
N'hésitez pas à demander de l'aide, à poser des questions, dans l'association ou ailleurs, pour conserver la pleine maîtrise de votre connexion :)
34 11 Baptiste Jonglez
35 12 Baptiste Jonglez
h2. Utilisation d'OpenVPN
36
37
Le serveur OpenVPN d'Illyse écoute à la fois en UDP et en TCP, et ce, sur n'importe quel port.  Si vous êtes sur un réseau complètement bloqué mais que UDP/53 ou TCP/443 passe, pas de problème, le VPN passe !
38
39
Pour des raisons de performance, UDP est recommandé.  N'utilisez le mode TCP qu'en dernier recours.  Référence : http://sites.inka.de/bigred/devel/tcp-tcp.html
40
41 15 Rémi Bouhl
h1. Exemples de configuration.
42
43 17 Nicolas Nadisic
Ces exemples de fichiers de configuration sont là pour vous aider à vous connecter au VPN.
44
45
h2. GNU/Linux (Debian Wheezy)
46
47
h3. Pour les débutants 
48
49
Installer OpenVPN : ouvrir un terminal et taper "sudo aptitude install openvpn". Se connecter en root dans le terminal et se placer dans le répertoire /etc/openvpn/. Créer le fichier texte nommé illyse.conf et copier dedans la configuration ci-dessous. Créer le fichier texte nommé credentials et y insérer le nom d'utilisateur et le mot de passe stockés précédemment (une ligne chacun, voir modèle ci-dessous).
50
51
Lancer le VPN avec la commande "service openvpn start illyse" (besoin d'être root). Ça devrait fonctionner ! Si ce n'est pas le cas, vérifier les étapes précédentes, et la connexion Internet. Si ça ne fonctionne toujours pas, écrire un gentil mail à adminsys@illyse.org en joignant le rapport d'erreur situé ici : /var/log/openvpn-illyse.log. Pour stopper le VPN, taper la commande "service openvpn stop illyse". 
52
53
54
h3. Fichier de configuration OpenVPN
55
56 12 Baptiste Jonglez
La configuration est commentée, n'hésitez pas à changer des paramètres.  Avec les paramètres ci-dessous, une IPv4 et une IPv6 seront attribués, et tout le trafic passera par le VPN.
57 1 Pierre-Arnaud Poudret
58
+/etc/openvpn/illyse.conf+
59
<pre>
60
# C'est nous qui prenons l'initiative de nous connecter au serveur.
61
client
62
63
# On route de l'IP, on ne fait pas de l'ethernet.
64
dev tun0
65
66
# si on ne reçoit pas d'IP pour tun0:
67
# - soit on configure l'interface avec des ip privées bidon
68
#ifconfig 10.255.255.1 10.255.255.2
69
# - soit on utilise un script pour faire "ifconfig tun0 up"
70
#script-security 2
71
#up up.sh
72
73
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
74
# cependant notable que les restrictions d'accès Internet laissent souvent
75
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
76
# pas, essayez tcp.
77
78
# Transport sur udp v4. En v6, la redirection de passerelle par défaut fonctionne mal (openvpn ne crée pas l'équivalent de la route /32 IPv4 vers le serveur vpn via la passerelle sous-jacente)
79
# Si on ne prévoit pas d'utiliser la directive "redirect-gateway def1", alors on peut choisir "proto udp6" pour monter le tunnel en IPv6.
80
#proto udp6
81
proto udp
82
#proto tcp
83
84
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
85
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
86
mssfix 1300
87
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
88
# quand ça dépasse.
89
fragment 1300
90
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
91
#mtu-disc yes
92
93
# En udp, Prévenir le serveur quand on termine, permet de relancer
94
# immédiatement sans attendre que le serveur se rende compte de la
95
# déconnexion par timeout.
96
explicit-exit-notify
97
98
# L'adresse du serveur.
99
remote vpn.illyse.net 1194
100
101
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
102
#http-proxy 192.0.2.1 8080
103
104
# Attendre un peu avant d'ajouter les routes.
105
route-delay 2
106
107
# Ne pas utiliser un port local statique, on est client de toutes façons.
108
nobind
109
110
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
111
# redémarrage.
112
persist-key
113
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
114
#persist-tun
115
116
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
117
redirect-gateway def1
118
119
# On peut aussi vouloir plutôt router seulement quelques destinations, par
120
# exemple ici tout Gitoyen:
121
#route 80.67.160.0 255.255.224.0
122
123 5 Baptiste Jonglez
# Activer IPv6 dans le tunnel
124 1 Pierre-Arnaud Poudret
tun-ipv6
125 5 Baptiste Jonglez
# et faire passer tout le trafic IPv6 via le VPN:
126 1 Pierre-Arnaud Poudret
route-ipv6 ::/1
127
route-ipv6 8000::/1
128
129
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
130
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
131
# fichier contenant ces deux informations, une par ligne.
132
auth-user-pass credentials
133
134
# Un minimum de debug, c'est toujours bien.
135
verb 3
136
137
log-append /var/log/openvpn-illyse.log
138
139
# Certificat permettant de vérifier que c'est bien à Illyse que
140
# l'on se connecte et donc à qui on donne notre mot de passe.
141
remote-cert-tls server
142
<ca>
143
-----BEGIN CERTIFICATE-----
144
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
145
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
146
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
147
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
148
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
149
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
150
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
151
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
152
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
153
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
154
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
155
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
156
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
157
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
158
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
159
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
160
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
161
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
162
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
163
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
164
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
165
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
166
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
167
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
168
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
169
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
170
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
171
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
172
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
173
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
174
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
175
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
176
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
177
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
178
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
179
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
180
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
181
-----END CERTIFICATE-----
182
</ca>
183
</pre>
184
185
186
+/etc/openvpn/credentials+
187
(Seulement si vous voulez stocker votre mot de passe. En clair. Oui, c'est moche.)
188
189
Spécifier login et mot de passe sur deux lignes différences.
190
191
<pre>
192
jkleboulet-vpn1
193
omgsuchsecured123
194
</pre>
195
196
197 3 Pierre-Arnaud Poudret
h3. Mise à jour automatique de resolv.conf
198
199
Pour que resolv.conf soit mis à jour par openvpn avec les IP des resolvers DNS Illyse poussées par le serveur VPN.
200
201
<pre>
202
<mit-mit> Bon, ça marche, faut ajouter à la config :
203
<mit-mit> script-security 2
204
<mit-mit> up /etc/openvpn/update-resolv-conf
205
<mit-mit> down /etc/openvpn/update-resolv-conf
206
<mit-mit> et avoir resolvconf d'installé.
207
<mit-mit> (la première ligne étant l'autorisation de lancement de scripts externes)
208
</pre>
209
210
211 1 Pierre-Arnaud Poudret
h2. Windows XP
212 2 Pierre-Arnaud Poudret
213
+C:\Program Files\OpenVPN\config\illyse\illyse.ovpn+
214
<pre>
215
# C'est nous qui prenons l'initiative de nous connecter au serveur.
216
client
217
218
# On route de l'IP, on ne fait pas de l'ethernet.
219
dev tun0
220
221
# si on ne reçoit pas d'IP pour tun0:
222
# - soit on configure l'interface avec des ip privées bidon
223
#ifconfig 10.255.255.1 10.255.255.2
224
# - soit on utilise un script pour faire "ifconfig tun0 up"
225
#script-security 2
226
#up up.sh
227
228
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
229
# cependant notable que les restrictions d'accès Internet laissent souvent
230
# plus facilement passer tcp. Essayez donc udp, et seulement s'il ne fonctionne
231
# pas, essayez tcp.
232
233
#proto udp6
234
proto udp
235
#proto tcp
236
237
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
238
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
239
mssfix 1300
240
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
241
# quand ça dépasse.
242
fragment 1300
243
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
244
#mtu-disc yes
245
246
#mtu-test
247
#link-mtu 1300
248
#tun-mtu 1300
249
250
# En udp, Prévenir le serveur quand on termine, permet de relancer
251
# immédiatement sans attendre que le serveur se rende compte de la
252
# déconnexion par timeout.
253
explicit-exit-notify
254
255
# L'adresse du serveur.
256
remote vpn.illyse.net 1194
257
258
# Éventuellement, on peut avoir besoin de passer par un proxy http, décommenter cette ligne en mettant l'adresse et le port du proxy.
259
#http-proxy 192.0.2.1 8080
260
261
# Pour windows: utiliser route.exe.
262
route-method exe
263
264
# Attendre un peu avant d'ajouter les routes.
265
route-delay 2
266
267
# Ne pas utiliser un port local statique, on est client de toutes façons.
268
nobind
269
270
# Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors d'un
271
# redémarrage.
272
persist-key
273
# Ne pas tuer l'interface du tunnel lors d'un redémarrage.
274
#persist-tun
275
276
#ip-win32 ipapi
277
278
# Décommenter cette ligne pour faire passer tout le trafic via le VPN:
279 1 Pierre-Arnaud Poudret
redirect-gateway def1
280 2 Pierre-Arnaud Poudret
281 1 Pierre-Arnaud Poudret
# On peut aussi vouloir plutôt router seulement quelques destinations, par
282 2 Pierre-Arnaud Poudret
# exemple ici tout Gitoyen:
283
#route 80.67.160.0 255.255.224.0
284
285 5 Baptiste Jonglez
# Activer IPv6 dans le VPN
286 2 Pierre-Arnaud Poudret
tun-ipv6
287 5 Baptiste Jonglez
# Faire passer tout le trafic IPv6 via le VPN:
288 2 Pierre-Arnaud Poudret
route-ipv6 ::/1
289
route-ipv6 8000::/1
290
291
# Envoyer un login et un mot de passe. Pour éviter de taper à la main login
292
# et mot de passe, vous pouvez ajouter à droite de "auth-user-pass" le nom d'un
293
# fichier contenant ces deux informations, une par ligne.
294
auth-user-pass credentials
295
296
# Un minimum de debug, c'est toujours bien.
297
verb 3
298
299
#log-append /var/log/openvpn-illyse.log
300
301
# Certificat permettant de vérifier que c'est bien à Illyse que
302
# l'on se connecte et donc à qui on donne notre mot de passe.
303
remote-cert-tls server
304
<ca>
305
-----BEGIN CERTIFICATE-----
306
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
307
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
308
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
309
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
310
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
311
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
312
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
313
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
314
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
315
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
316
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
317
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
318
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
319
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
320
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
321
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
322
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
323
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
324
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
325
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
326
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
327
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
328
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
329
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
330
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
331
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
332
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
333
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
334
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
335
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
336
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
337
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
338
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
339
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
340
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
341
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
342
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
343
-----END CERTIFICATE-----
344
</ca>
345
</pre>
346
347
348
349
+C:\Program Files\OpenVPN\config\illyse\credentials+
350
351
<pre>
352
jkleboulet-vpn1
353
omgsuchsecured123
354
</pre>
355 4 Fabien Michel
356
h2. Mac OS X
357
358
Installer le client OpenVPN Tunnelblick : https://code.google.com/p/tunnelblick/
359
360
Créer un fichier illyse.ovpn avec la configuration voulue. Celle indiquée ci-dessous fonctionne sans modification necessaire.
361
Double-cliquer sur le fichier afin que TunnelBlick import la configuration.
362
A la première connexion, il va demander un couple login/password qu'il sera possible de stocker dans le trousseau.
363
364
Paramètres modifiés par rapport à la configuration pour Linux :
365
* log-append : Ce paramètre n'est pas accepté. Mais tunnelblick log déjà en interne.
366
* auth-user-pass : On ne précise pas de fichier de credential, c'est géré par Tunnelblick et Keychains au moment de la connexion
367
* Les commentaires ont été retirés car le fichier est tronqué au moment de l'import s'il est trop long (ce qui était le cas)
368
369
+illyse.ovpn+
370
<pre>
371
client
372
dev tun0
373
proto udp
374
mssfix 1300
375
fragment 1300
376
explicit-exit-notify
377
remote vpn.illyse.net 1194
378
#http-proxy 192.0.2.1 8080
379
route-delay 2
380
nobind
381
382
persist-key
383
persist-tun
384
385
redirect-gateway def1
386
#route 80.67.160.0 255.255.224.0
387
388
tun-ipv6
389
route-ipv6 ::/1
390
route-ipv6 8000::/1
391
392
auth-user-pass
393
verb 3
394
395
remote-cert-tls server
396
<ca>
397
-----BEGIN CERTIFICATE-----
398
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
399
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
400
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
401
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
402
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
403
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
404
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
405
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
406
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
407
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
408
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
409
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
410
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
411
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
412
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
413
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
414
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
415
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
416
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
417
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
418
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
419
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
420
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
421
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
422
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
423
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
424
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
425
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
426
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
427
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
428
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
429
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
430
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
431 1 Pierre-Arnaud Poudret
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
432
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
433
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
434
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
435
-----END CERTIFICATE-----
436
</ca>
437 15 Rémi Bouhl
438
</pre>
439
440
441
h2. Android 
442
443
Configuration OpenVPN pour Android (testé sous Android 4.4.4 et OpenVPN for Android v0.6.17)
444
Ci-après un fichier de configuration qui devrait fonctionner avec l'application Android OpenVPN for Android, 
445
Disponible sur F-Droid : https://f-droid.org/repository/browse/?fdfilter=openvpn&fdid=de.blinkt.openvpn
446
Ou au pire sur le PlayStore : https://play.google.com/store/apps/details?id=de.blinkt.openvpn
447
Posez le fichier de configuration, renommé en VPN-Illyse.conf par exemple, sur l'appareil.
448
Une fois l'application installée et démarrée, cliquez sur le dossier en bas à droite et chezchez le fichier de configuration.
449
Il suffit de renseigner les identifiants.
450
451
<pre>
452 16 Rémi Bouhl
453 15 Rémi Bouhl
#
454
# Fichier de configuration VPN Illyse pour Android
455
# 2014-10-14
456
#
457
# Enables connection to GUI
458
management /data/data/de.blinkt.openvpn/cache/mgmtsocket unix
459
management-client
460
management-query-passwords
461
management-hold
462
setenv IV_GUI_VER "de.blinkt.openvpn 0.6.17" 
463
machine-readable-output
464
client
465
verb 4
466
connect-retry-max 5
467
connect-retry 5
468
resolv-retry 60
469
dev tun
470
remote vpn.illyse.net 1194 udp
471
auth-user-pass
472
route-ipv6 ::/0
473
route 0.0.0.0 0.0.0.0 vpn_gateway
474
remote-cert-tls server
475
persist-tun
476
# persist-tun also enables pre resolving to avoid DNS resolve problem
477
preresolve
478
# Use system proxy setting
479
management-query-proxy
480
# Custom configuration options
481
# You are on your on own here 
482
mssfix 1300 
483
fragment 1300
484
<ca>
485
-----BEGIN CERTIFICATE-----
486
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
487
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
488
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
489
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
490
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
491
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
492
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
493
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
494
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
495
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
496
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
497
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
498
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
499
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
500
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
501
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
502
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
503
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
504
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
505
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
506
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
507
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
508
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
509
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
510
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
511
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
512
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
513
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
514
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
515
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
516
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
517
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
518
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
519
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
520
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
521
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
522
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
523
-----END CERTIFICATE-----
524
</ca>
525 16 Rémi Bouhl
526 4 Fabien Michel
527
</pre>
528 8 Baptiste Jonglez
529 9 Baptiste Jonglez
h1. Configurations avancées
530 8 Baptiste Jonglez
531 9 Baptiste Jonglez
h2. Client sans IP montée sur le tunnel
532 8 Baptiste Jonglez
533
Pour ceux qui veulent bricoler, il est possible (via l'interface web abonné) ne pas monter du tout d'IP (v4 ou v6) sur l'interface tun du client. Dans ce cas, les paquets destinés aux ranges v4 et v6 de l'abonné sont toujours routés correctement vers le client, mais il appartient à l'abonné de s'assurer qu'ils seront correctement routés plus avant sur son réseau interne.
534 10 Baptiste Jonglez
535
h2. Utiliser simultanément la connexion normale et le VPN
536
537
Lorsqu'on a un serveur, on peut avoir envie d'être joignable à la fois via la connexion normale (e.g. Free) et via le VPN.  Pour se faire, on utilise le **policy routing** du noyau Linux : quand quelqu'un nous parle sur l'IP normale, on lui répond via la connexion normale, et quand quelqu'un nous parle sur l'IP du VPN, on répond via le VPN.  Notons que ça ne concerne que les connexions entrantes (donc principalement utile pour un serveur).
538
539
Pour les connexions sortantes, on a le choix : soit on passe dans le VPN, soit on passe par la connexion normale.  La configuration ci-dessous fait passer les connexions sortantes par la connexion normale (parce que c'est plus simple).
540
541
Note : il faut s'assurer de bien avoir configuré une IPv4 et une IPv6 sur l'interface tun (sur https://coin.illyse.org).  Sinon, les scripts ne feront rien.
542
543
Bonus : si vous avez un noyau Multipath-TCP, cette configuration permettra d'utiliser les deux connexions en parallèle ! Pratique pour joindre Youtube si on est chez Free, par exemple :)
544
(la configuration ci-dessous est similaire à http://multipath-tcp.org/pmwiki.php/Users/ConfigureRouting )
545
546
+/etc/openvpn/up.sh+
547
<pre>
548
#!/bin/bash
549
550
dev="$1"
551
tun_mtu="$2"
552
link_mtu="$3"
553
local_ip="$4"
554
remote_ip="$5"
555
556
# Routing table to use
557
table=4242
558
559
# Source-specific routing: use the normal default route by default,
560
# but use the VPN for replying to packets coming from the VPN.
561
# IPv4
562
[ -n "$local_ip" ] && ip rule add from "$local_ip" table "$table" && ip route add default dev "$dev" table "$table"
563
# IPv6
564
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule add from "$ifconfig_ipv6_local" table "$table" && ip -6 route add default dev "$dev" table "$table"
565
</pre>
566
567
+/etc/openvpn/down.sh+
568
<pre>
569
#!/bin/bash
570
571
dev="$1"
572
tun_mtu="$2"
573
link_mtu="$3"
574
local_ip="$4"
575
remote_ip="$5"
576
577
table=4242
578
579
# Delete table for source-specific routing.
580
[ -n "$local_ip" ] && ip rule del from "$local_ip" && ip route del default table "$table"
581
[ -n "$ifconfig_ipv6_local" ] && ip -6 rule del from "$ifconfig_ipv6_local" && ip -6 route del default table "$table"
582
583
exit 0
584
</pre>
585
586
+/etc/openvpn/illyse.conf+
587
<pre>
588
## Configuration VPN Illyse pour accepter des connexions entrantes
589
## à la fois via le VPN et via la connexion normale, grâce au policy routing (Linux uniquement)
590
## https://www.illyse.org/projects/publicdocs/wiki/Vpn_doc_user#Utiliser-simultanément-la-connexion-normale-et-le-VPN
591
592
# Gestion des routes via des scripts externes.
593
script-security 2
594
up up.sh
595
down down.sh
596
597
598
# Reste de la configuration normale.
599
# Penser à enlever "redirect-gateway" et "route-ipv6", on gère les
600
# routes via up.sh et down.sh
601
client
602
remote vpn.illyse.net 1194
603
#http-proxy 192.0.2.1 8080
604
dev tun0
605
606
#proto udp6
607
proto udp
608
#proto tcp
609
explicit-exit-notify
610
611
mssfix 1300
612
fragment 1300
613
614
route-delay 2
615
nobind
616
persist-key
617
persist-tun
618
619
tun-ipv6
620
621
auth-user-pass credentials
622
623
verb 3
624
log-append /var/log/openvpn-illyse.log
625
626
# Certificat permettant de vérifier que c'est bien à Illyse que
627
# l'on se connecte et donc à qui on donne notre mot de passe.
628
remote-cert-tls server
629
<ca>
630
-----BEGIN CERTIFICATE-----
631
MIIG2TCCBMGgAwIBAgIJAPAWK4ceEBXzMA0GCSqGSIb3DQEBBQUAMIGjMQswCQYD
632
VQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFubmUxDzAN
633
BgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMRaWxseXNl
634
LW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJARYQYWJ1
635
c2VAaWxseXNlLm9yZzAeFw0xNDAzMTgyMTMyMjNaFw0yNDAzMTUyMTMyMjNaMIGj
636
MQswCQYDVQQGEwJGUjEMMAoGA1UECBMDUkhBMRUwEwYDVQQHEwxWaWxsZXVyYmFu
637
bmUxDzANBgNVBAoTBklMTFlTRTEQMA4GA1UECxMHb3BlbnZwbjEaMBgGA1UEAxMR
638
aWxseXNlLW9wZW52cG4tY2ExDzANBgNVBCkTBklMTFlTRTEfMB0GCSqGSIb3DQEJ
639
ARYQYWJ1c2VAaWxseXNlLm9yZzCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoC
640
ggIBAKl/s6IoAsJTxw82xps5PHPTMjKhONFNk4gJMdSngbhGMcRM5ebwD9Dhfava
641
w9NjWiwNhikhnRWW3HGrv+BE7cqga16ryuLCievG1nfqZMpa3EnfWwwmHClMV9Zf
642
OPb/AD2V3t2MAvZ1ZcvyTe/p/3eHovHhEHJ2qXtd0iI9u8b7xcEm9vXIw7kYN2dQ
643
xIe9Wd85tja2IBtf67oBS8JZxSkIcEY7KAXsFUtFyGn6fbPGj8UGM+roiYqzEYa/
644
BNvc2eEfhhpHSoN5vRKu0LrVUA3uA41dOKcxW15af4Xy058l0aUWeSK64jK/cL24
645
fmBZoQfdS9U5P5wnm4tpRR7oesdrohhbVWn4JjRyF31HM1FtAoT6oTqhhlrImpGw
646
j7nAGlItT04C73wgiSajFJryo24XuedzjFxm3BetAcSUyE5e3BSqTUbEtWdTdiw1
647
l3/WQyyBrn98SChBExmpklecI5eFp/DoLBqwW/U/vseD7zMfF7OHnHtbsbniUujN
648
WjNGiWnVJ636nTfPIDsngGTACWh5ZwxX0fGW2+RqS2NN9R1dGWdW34lgfwx04Wzc
649
l0NZ++itmJq5iJUw9Kj9mmQZn96V8b6hDnhcJfkvUlgxhHcZ5isfOwQq6UcP3mZP
650
zOCWuCwIKNPMLcJmC684mkJJrJuCc6N9pNm7jjmdPkW/0j2VAgMBAAGjggEMMIIB
651
CDAdBgNVHQ4EFgQUXUSESsSBdTGjlbvo+Sbsiwo+E/4wgdgGA1UdIwSB0DCBzYAU
652
XUSESsSBdTGjlbvo+Sbsiwo+E/6hgamkgaYwgaMxCzAJBgNVBAYTAkZSMQwwCgYD
653
VQQIEwNSSEExFTATBgNVBAcTDFZpbGxldXJiYW5uZTEPMA0GA1UEChMGSUxMWVNF
654
MRAwDgYDVQQLEwdvcGVudnBuMRowGAYDVQQDExFpbGx5c2Utb3BlbnZwbi1jYTEP
655
MA0GA1UEKRMGSUxMWVNFMR8wHQYJKoZIhvcNAQkBFhBhYnVzZUBpbGx5c2Uub3Jn
656
ggkA8BYrhx4QFfMwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAgEATAlP
657
EQXjzQ10xkQdUNXjy+s87DWcbpu3n4Wlc4E828Ek6D1LhbPeVL7wTyhHj+Txxy8o
658
4sCCL+oH/HgnMEy7VHs0HXpD3F9iPD8U3QiL1sfO+0IKOhBOKAsjmpuH+oCsXpZ0
659
J/GnebPQ6S+wBFCZH3uU5jIeB4WCFpzn2WQVIXh+lzKKWLN3GxfxdWkIyl4Fluj4
660
6k0Lj35EtE74wZTWbCkum7rNOp9gnGtrcyAupwj2MTeVcLzigYLth/G6AA3a7VeE
661
hlvJqV7URhiwXL8lQjaMoDFYiD8zhBn44tLwKMiTvyHfNs0+1mcteoDwI20SKo3F
662
VUnyCqc9k9Dq0YfE4RqhjmsMcV6HydaznCclnIrugPdFAQzGbk7bNZJ3yv0ATj9Z
663
wcfHxIUEuPl392OvJDm/JEbegonQ4yyv2B8OAacZ4HPm/6FeYS/jyOe66BUku0rd
664
LSVaB9OD7iVWkW5eo6ng3XA390HIUUtf/0IdtiCoMsjuZbVagfiaUu0kUJpR6d2k
665
r5czdLFhRu8uw0sWn1rMQXlUAqH0WAfoq8XinaHesWs5MEnvevjoUTkNhFnqe1Ra
666
rkwU9mzr1/N6GfpPalbveD0duTGAkJN5mwLZi+HZ4ctLgO1ShYFU/NbC7jNU3YCU
667
sjvtdavgLFaMPLPrI2DAcjpVMUuL1VgdqUcQkhc=
668
-----END CERTIFICATE-----
669
</ca>
670
</pre>