Demande #4382
Permettre l'accès aux ordinateurs de travail de l'équipe salariée en télétravail
100%
Description
Actuellement, avec le confinement de la population, l'équipe salariée travaille depuis le domicile. Les admin sys n'ont plus accès aux ordinateurs de travail (laptops) de l'équipe, ce qui pourrait être nécessaire pour intervenir en cas de problème et aussi pour les sauvegardes.
Il faut donc permettre l'accès aux ordinateurs de travail de l'équipe salariée quand la personne est en télétravail (VPN ou autre).
Fichiers
Historique
Mis à jour par François Poulain il y a environ 4 ans
Ya des vieux tickets ouverts sur des demandes de vpn. Je pense que avec des network manager et des gnomes modernes ça devient utilisable par des humains.
Mis à jour par Loïc Dachary il y a environ 4 ans
Je confirme que c'est utilisable par des humains. J'avais déjà mis un VPN en place avant le confinement pour la maison des lanceurs d'alerte. Je suis parvenu a donner des instructions a quelqu'un a distance pour configurer son VPN. C'est pas sorcier vu qu'il suffit de a) decompresser l'archive qui contient la config, b) donner la config au vpn.
Mis à jour par Romain H. il y a environ 4 ans
- Statut changé de Nouveau à En cours de traitement
Avec Quentin nous avons commencé à faire des essais de mise en place de OpenVPN sur Guarana (/etc/openvpn/remote.conf).
Pour que les sauvegardes fonctionnent, une des contraintes est que le nom d'hôte des PC doit être résolu correctement par le serveur de sauvegarde.
Le plus simple pour ça, nous semble être de réutiliser le serveur DHCP du local qui a toute la configuration qui va bien pour mettre à jour les DNS en fonction de l'IP.
Nous avons mis OpenVPN sur une interface TAP avec un bridge vers l'interface réseau du DHCP existant.
Cette configuration semble poser problème à l'intégration de OpenVPN dans Network Manager qui s'attend à ce que l'IP soit donnée directement le DHCP interne de OpenVPN et pas par un externe.
Dans un premier temps nous allons faire en sorte que le VPN puisse être lancé en tant que démon (client OpenVPN + dhclient qui ignore la gateway). Ce démon pourra être lancé par un raccourci dans Gnome.
Mis à jour par Romain H. il y a presque 4 ans
- Fichier april-vpn.tar.gz april-vpn.tar.gz ajouté
- Fichier screen_vpn.png screen_vpn.png ajouté
En rajoutant un script appelé après l'ouverture du VPN qui fait une requête DHCP avec une configuration particulière de dhclient (sans DNS ni passerelle) la communication semble bien se faire du serveur de sauvegarde vers la machine.
Dans april-vpn.tar.gz j'ai mis un exemple d'intégration dans Gnome (sans les clés de chiffrement). L'idée serait de proposer comme sur la capture screen_vpn.png trois lanceurs : un pour démarrer le service, un pour stopper le service, un pour afficher des informations pour dépanner (service up ou pas, adresse IP). J'ai utilisé zenity pour afficher les informations sous forme de fenêtres plutôt que dans le terminal pour que ça soit plus convivial.
Il faudrait générer une configuration pour une machine qui est à sauvegarder puis tester si cela fonctionne bien.
Mis à jour par Loïc Dachary il y a presque 4 ans
Pour info (c'est une autre approche), j'envoie un fichier tar.gz avec le .conf du VPN et les clés à la personne qui a la machine. Ensuite elle suit les instructions comme ici: https://www.cyberciti.biz/faq/linux-import-openvpn-ovpn-file-with-networkmanager-commandline/
Histoire de ne pas envoyer les utilisateurs dans un enfer d'ergonomie, c'est aussi ce que j'utilise.
Mis à jour par Quentin Gibeaux il y a presque 4 ans
Loïc Dachary a écrit :
Pour info (c'est une autre approche), j'envoie un fichier tar.gz avec le .conf du VPN et les clés à la personne qui a la machine. Ensuite elle suit les instructions comme ici: https://www.cyberciti.biz/faq/linux-import-openvpn-ovpn-file-with-networkmanager-commandline/
Histoire de ne pas envoyer les utilisateurs dans un enfer d'ergonomie, c'est aussi ce que j'utilise.
On a essayé d'intégrer la conf vpn à networkmanager, mais il ne permettait pas de s'adapter aux spécificités de notre configuration, où on délègue le dhcp à un autre programme que le serveur VPN, pour que les laptop des permanents soient atteignables de manière transparentes à l'intérieur ou à l'extérieur+vpn
Mis à jour par Quentin Gibeaux il y a presque 4 ans
La méthode gkexec est à la portée des permanents, c'est déjà configuré comifo :
11:09:50 QGuLL | peux-tu faire le cobaye pour un truc vite fait ? 11:10:00 lonugem | je t'écoute 11:10:09 lonugem | enfin : je te lis 11:10:10 QGuLL | ouvre un terminal et tape "pkexec cat /etc/shadow" 11:10:23 lonugem | à tes souhaits 11:10:33 QGuLL | ça devrait te demander ton pwd d'utilisateur, que tu rentres, et si tout est ok, tu devrais voir des trucs et pas un message d'ererur 11:10:44 QGuLL | daemon:*:18367:0:99999:7::: 11:10:44 QGuLL | bin:*:18367:0:99999:7::: 11:10:44 QGuLL | sys:*:18367:0:99999:7::: 11:11:13 lonugem | u devrais voir des trucs et pas un message d'ererur → oui 11:11:32 QGuLL | genre comme ce que j'ai mis juste au dessus ? 11:11:45 lonugem | oui, pas les mêmes valeurs mais le même format 11:11:51 QGuLL | ok super, merci
Mis à jour par Quentin Gibeaux il y a presque 4 ans
Installé sur peyotl, ça fonctionne.
Backuppc a lancé un backup de lui même.
Mis à jour par Quentin Gibeaux il y a presque 4 ans
- Assigné à mis à Romain H.
- Version cible changé de Backlog à Avril 2020
Mis à jour par Quentin Gibeaux il y a presque 4 ans
- Version cible changé de Avril 2020 à Mai 2020
Mis à jour par Romain H. il y a presque 4 ans
- Statut changé de En cours de traitement à Résolu
- % réalisé changé de 0 à 100
J'ai ajouté la documentation sur le wiki : https://admin.april.org/doku.php?id=sysadm:liste_des_machines:guarana#vpn_teletravail