Project

General

Profile

Demande #4382

Permettre l'accès aux ordinateurs de travail de l'équipe salariée en télétravail

Added by Frédéric Couchet 3 months ago. Updated about 1 month ago.

Status:
Fermé
Priority:
Normale
Assignee:
Category:
-
Target version:
Start date:
03/31/2020
Due date:
% Done:

100%

Estimated time:
Difficulté:
2 Facile

Description

Actuellement, avec le confinement de la population, l'équipe salariée travaille depuis le domicile. Les admin sys n'ont plus accès aux ordinateurs de travail (laptops) de l'équipe, ce qui pourrait être nécessaire pour intervenir en cas de problème et aussi pour les sauvegardes.

Il faut donc permettre l'accès aux ordinateurs de travail de l'équipe salariée quand la personne est en télétravail (VPN ou autre).


Files

april-vpn.tar.gz (45.8 KB) april-vpn.tar.gz Romain H., 04/20/2020 02:50 AM
screen_vpn.png (158 KB) screen_vpn.png Romain H., 04/20/2020 02:50 AM

History

#1

Updated by François Poulain 3 months ago

Ya des vieux tickets ouverts sur des demandes de vpn. Je pense que avec des network manager et des gnomes modernes ça devient utilisable par des humains.

#2

Updated by Loïc Dachary 3 months ago

Je confirme que c'est utilisable par des humains. J'avais déjà mis un VPN en place avant le confinement pour la maison des lanceurs d'alerte. Je suis parvenu a donner des instructions a quelqu'un a distance pour configurer son VPN. C'est pas sorcier vu qu'il suffit de a) decompresser l'archive qui contient la config, b) donner la config au vpn.

#3

Updated by Romain H. 3 months ago

  • Status changed from Nouveau to En cours de traitement

Avec Quentin nous avons commencé à faire des essais de mise en place de OpenVPN sur Guarana (/etc/openvpn/remote.conf).
Pour que les sauvegardes fonctionnent, une des contraintes est que le nom d'hôte des PC doit être résolu correctement par le serveur de sauvegarde.
Le plus simple pour ça, nous semble être de réutiliser le serveur DHCP du local qui a toute la configuration qui va bien pour mettre à jour les DNS en fonction de l'IP.
Nous avons mis OpenVPN sur une interface TAP avec un bridge vers l'interface réseau du DHCP existant.
Cette configuration semble poser problème à l'intégration de OpenVPN dans Network Manager qui s'attend à ce que l'IP soit donnée directement le DHCP interne de OpenVPN et pas par un externe.
Dans un premier temps nous allons faire en sorte que le VPN puisse être lancé en tant que démon (client OpenVPN + dhclient qui ignore la gateway). Ce démon pourra être lancé par un raccourci dans Gnome.

#4

Updated by Romain H. 3 months ago

En rajoutant un script appelé après l'ouverture du VPN qui fait une requête DHCP avec une configuration particulière de dhclient (sans DNS ni passerelle) la communication semble bien se faire du serveur de sauvegarde vers la machine.

Dans april-vpn.tar.gz j'ai mis un exemple d'intégration dans Gnome (sans les clés de chiffrement). L'idée serait de proposer comme sur la capture screen_vpn.png trois lanceurs : un pour démarrer le service, un pour stopper le service, un pour afficher des informations pour dépanner (service up ou pas, adresse IP). J'ai utilisé zenity pour afficher les informations sous forme de fenêtres plutôt que dans le terminal pour que ça soit plus convivial.

Il faudrait générer une configuration pour une machine qui est à sauvegarder puis tester si cela fonctionne bien.

#5

Updated by Loïc Dachary 3 months ago

Pour info (c'est une autre approche), j'envoie un fichier tar.gz avec le .conf du VPN et les clés à la personne qui a la machine. Ensuite elle suit les instructions comme ici: https://www.cyberciti.biz/faq/linux-import-openvpn-ovpn-file-with-networkmanager-commandline/

Histoire de ne pas envoyer les utilisateurs dans un enfer d'ergonomie, c'est aussi ce que j'utilise.

#6

Updated by Quentin Gibeaux 3 months ago

Loïc Dachary a écrit :

Pour info (c'est une autre approche), j'envoie un fichier tar.gz avec le .conf du VPN et les clés à la personne qui a la machine. Ensuite elle suit les instructions comme ici: https://www.cyberciti.biz/faq/linux-import-openvpn-ovpn-file-with-networkmanager-commandline/

Histoire de ne pas envoyer les utilisateurs dans un enfer d'ergonomie, c'est aussi ce que j'utilise.

On a essayé d'intégrer la conf vpn à networkmanager, mais il ne permettait pas de s'adapter aux spécificités de notre configuration, où on délègue le dhcp à un autre programme que le serveur VPN, pour que les laptop des permanents soient atteignables de manière transparentes à l'intérieur ou à l'extérieur+vpn

#7

Updated by Quentin Gibeaux 3 months ago

La méthode gkexec est à la portée des permanents, c'est déjà configuré comifo :

11:09:50         QGuLL | peux-tu faire le cobaye pour un truc vite fait ?
11:10:00       lonugem | je t'écoute
11:10:09       lonugem | enfin : je te lis
11:10:10         QGuLL | ouvre un terminal et tape "pkexec cat /etc/shadow" 
11:10:23       lonugem | à tes souhaits
11:10:33         QGuLL | ça devrait te demander ton pwd d'utilisateur, que tu rentres, et si tout est ok, tu devrais voir des trucs et pas un message d'ererur
11:10:44         QGuLL | daemon:*:18367:0:99999:7:::
11:10:44         QGuLL | bin:*:18367:0:99999:7:::
11:10:44         QGuLL | sys:*:18367:0:99999:7:::
11:11:13       lonugem | u devrais voir des trucs et pas un message d'ererur → oui
11:11:32         QGuLL | genre comme ce que j'ai mis juste au dessus ?
11:11:45       lonugem | oui, pas les mêmes valeurs mais le même format
11:11:51         QGuLL | ok super, merci

#8

Updated by Quentin Gibeaux 3 months ago

Installé sur peyotl, ça fonctionne.
Backuppc a lancé un backup de lui même.

#9

Updated by Quentin Gibeaux 3 months ago

Installé sur damiana

#10

Updated by Quentin Gibeaux 3 months ago

argemone connecté au vpn

#11

Updated by Quentin Gibeaux 2 months ago

  • Assignee set to Romain H.
  • Target version changed from Backlog to Avril 2020
#12

Updated by Quentin Gibeaux 2 months ago

  • Target version changed from Avril 2020 to Mai 2020
#13

Updated by Romain H. about 1 month ago

  • Status changed from En cours de traitement to Résolu
  • % Done changed from 0 to 100
#14

Updated by Quentin Gibeaux about 1 month ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF