[Debian 8] Créer une interface TUN pour un container Debian dans Proxmox

L’utilisation de VPN se fait de plus en plus couramment aujourd’hui – Si vous utilisez Proxmox sur votre serveur dédié, vous pouvez y créer un container pour y installer un serveur OpenVPN et donc, avoir votre propre serveur VPN par exemple.

Pour cet article, je me suis basé sur un template Debian 8 pour mon container – Devenu addict à l’utilisation des containers (merci LXC et l’interface web sous Proxmox ve 4), je souhaitais créer mon serveur OpenVPN sur mon serveur dédié.

Ce Proxmox 4 dispose du kernel 4.2.8 – vous avez donc la possibilité d’effectuer des modifications au niveau des services sans devoir redémarrer votre serveur ! Si vous utilisez une autre distribution Linux avec un kernel supérieur ou égal à la version 4, vous pouvez aussi prendre en compte la procédure ci-dessous.


I. Préconfiguration

Avant de vous lancer dans l’installation pure de votre serveur OpenVPN dans votre container, il faut effectuer une modification dans le fichier de configuration des containers LXC de votre Proxmox.

Il faut éteindre tous vos containers LXC avant d’effectuer les modifications ci-dessous. Vous ne pouvez pas effectuer les manipulations si vos containers sont allumés, puisqu’ils utilisent les fichiers que nous devront modifier.

Il faut modifier le fichier de configuration de votre container LXC pour pouvoir lui attribuer l’interface correspondante. Mon container étant le numéro 103, je dois modifier le fichier « /etc/pve/lxc/103.conf ». Selon le numéro de votre container, le numéro du fichier de configuration va changer.À la fin du fichier, ajoutez cette ligne :

Comprendre la commande

Cette ligne de commande est un tweak pour LXC :

  • « cgroup » permet d’initier une configuration pour l’ensemble des containers LXC de votre machine, ainsi vos CT auront la même configuration.
  • « devices.allow » est nécessaire pour exploiter les ressources matérielles directement dans votre container.
  • « = c 10:200 rwm » correspond à l’identification matérielle pour créer une interface « TUN », pour le VPN. En effet, cette interface est exploitée pour pouvoir créer l’accès au VPN. Cette carte réseau est « bridgée » sur votre interface ayant internet.

Vous pouvez retrouver des explications complémentaires à cette adresse – Ubuntu manpage.Enregistrez et fermez ce fichier – Il n’est pas nécessaire de redémarrer votre serveur ou quelconque service, les modifications sont prises en compte directement.


II. Configuration à effectuer dans les containers

Démarrer le ou les containers, notamment ceux qui ont besoin d’avoir un accès à cette carte réseau TUN.Pour avoir le « TUN » à chaque démarrage du container concerné, il faut modifier le fichier « /etc/rc.local » qui va exécuter un script au démarrage pour initier le périphérique.

Le script ci-dessus permet d’initier le périphérique TUN à l’intérieur de votre container, de lui attribuer les droits nécessaires et par la suite d’utiliser le périphérique hôte de la machine. Ainsi, lorsque le container va être démarré, le script sera exécuté et la carte réseau « TUN » sera créée.


III. Création de la carte TUN dans le container

A cet instant, votre container est prêt à utiliser une carte TUN, pour votre OpenVPN. Le script a été mis en place et s’exécutera uniquement lorsque le container sera redémarré.Pour exploiter dès à présent les périphériques, vous devez exécuter cette commande :

Vous remarquerez qu’il s’agit des commandes passées dans le script un peu plus haut – sauf qu’ici, les saisir manuellement permet de créer immédiatement le périphérique et donc de l’utiliser ; Vous n’aurez pas besoin de redémarrer votre container ou quelconque service.

Une adresse IP dans le réseau 10.0.0.0/8 est automatiquement attribuée à cette interface TUN – Lorsqu’un client se connectera sur le VPN, il aura lui aussi une IP dans ce même sous-réseau 10.0.0.0/8.

Source = https://blog.felixbrucker.com/2015/10/01/how-to-enable-tuntap-inside-lxc/

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close