Commit d113ee8b authored by Khrys's avatar Khrys
Browse files

On bouge dans le wiki public les dossiers et fichiers qui étaient accessibles...

On bouge dans le wiki public les dossiers et fichiers qui étaient accessibles publiquement dans l'ancien wiki
parent 75e9c52d
###### Qu\'est-ce qu\'un VPN ? Quelle est son utilité ?
VPN est l\'acronyme de Virtual Private Network, soit réseau privé
virtuel.
Un VPN permet de réaliser une connexion sécurisée entre des ordinateurs
distants au travers d\'une connexion non sécurisée (Internet), comme
s\'ils étaient sur le même réseau local.
Voir
[wikipedia](https://fr.wikipedia.org/wiki/R%C3%A9seau_priv%C3%A9_virtuel)
pour plus de détails.
Pour les personnes curieuses et à titre d\'information, la
[doc du serveur](travaux/vpn_misc/doc_serveur.md)
et la configuration du serveur est sur le wiki de la fédé:
<https://www.ffdn.org/wiki/doku.php?id=documentation:openvpn>
###### Configurer sa machine pour utiliser l\'offre VPN de FDN
La mise en place d\'un VPN nécessite l\'installation d\'un serveur VPN
d\'un côté et d\'un client VPN de l\'autre. L\'équipe VPN de FDN a
choisi le serveur OpenVPN, il faut donc installer le client OpenVPN sur
le poste à connecter.
Le fichier de configuration est identique pour GNU/Linux , Windows,
android, iPhone, etc. Le certificat est intégré à la configuration, mais
vous voudrez éventuellement le récupérer à part.
##### Préambule
#### Si vous avez un compte VPN
* Le [fichier de configuration fdn.ovpn](travaux/vpn_misc/doc:openvpn/configv2.md) .
* le [certificat de FDN](https://www.fdn.fr/ca-vpn-fdn.crt) (clic droit, enregistrer sous).
Openvpn vous demandera votre login et mot de passe, vous pouvez modifier
la configuration pour ne pas avoir à le taper à chaque fois
#### Si vous n\'avez pas de compte VPN
Vous pouvez utiliser le VPN openbar, qui vous donnera une IP publique
dynamique. Attention: le débit sera limité selon les dons qui sont fait
pour le VPN openbar. Actuellement ces dons ne sont pas encore mis en
place, le débit est donc limité à 1Mbps.
* Le [fichier de configuration fdn-open.ovpn](travaux/vpn_misc/doc/openvpn-open/config.md) .
* le [certificat openbar de FDN](https://www.fdn.fr/ca-vpn-fdn-openbar.crt) (clic droit, enregistrer sous).
Openvpn vous demandera un login et un mot de passe, vous pouvez mettre
n\'importe quoi, ça passera. Vous pouvez modifier le fichier de
configuration pour ne pas avoir à le refaire à chaque fois.
##### GNU/Linux
#### En lignes de commande
### Installation du client OpenVPN
Avec Debian, Ubuntu, etc. : sudo apt-get install openvpn
### Configuration du client OpenVPN
//En cours de rédaction.//
* Créer le fichier de configuration sous le nom *fdn.ovpn* (par exemple dans ~/vpn/) avec ce [contenu](travaux/vpn_misc/doc/openvpn/configv2.md).
Note: pour éviter d\'avoir à retaper le login et le mot de passe à
chaque connexion, on peut ajouter à côté de auth-user-pass le nom d\'un
fichier contenant le login sur la première ligne, et le mot de passe sur
la deuxième ligne.
### Utilisation du VPN FDN
* Utiliser la commande sudo openvpn ~/vpn/fdn.ovpn (modifier le chemin d'accès si nécessaire) et entrer les identifiants de connexion.
* La connexion est initialisée. Après un certain temps, une ligne "Initialization Sequence Completed" doit apparaître dans la console.
### Passage par un proxy HTTP
Il se peut que la connexion dont on a disposition ne donne en fait accès
qu\'à un proxy HTTP. Openvpn fournit une option pour passer par cela:
http-proxy www.example.com 1234
Si ça ne fonctionne pas non plus, il est possible d\'utiliser
directement l\'IP alternative, vpn-rw.fdn.fr, comme serveur vpn en udp
ou tcp sur les ports généralement non filtrés (443\...)
### Configuration DNS
Si vous utilisez un VPN total (option *redirect-gateway def1*, activée
par défaut), il faut faire attention à l\'accès au serveur DNS.
* Soit vous continuez à utiliser le DNS du Fournisseur d'Accès Internet local. Si son adresse IP est dans le préfixe de votre interface réseau, i.e. directement accessible sans passer par la passerelle, il n'y a rien à faire. Si son adresse IP n'est pas dans ce préfixe, i.e. il faut passer par la passerelle, il vous faut ajouter la route à la main, pour que la résolution ne passe pas dans le VPN. Par exemple si le serveur DNS est 192.0.1.1 et la passerelle 192.0.0.1, ajouter:
route 192.0.1.1 255.255.255.255 192.0.0.1
* Soit vous voulez utiliser les DNS de FDN (80.67.169.12 et 80.67.169.40), vous pouvez les mettre dans */etc/resolv.conf* , un par ligne avec *nameserver* devant leur adresse. Il vous faudra par contre faire attention à la compétition entre cette modification manuelle (ou automatique par openvpn selon les scripts utilisés), et votre client dhcp usuel qui voudra remettre le DNS du Fournisseur d'Accès Internet local.
### Configuration IPv6
Tout un préfixe /48 est routé sur votre tun, on peut le voir dans la
partie \"Abonnements VPN\" de l\'espace adhérent
<https://vador.fdn.fr/adherents> . Par ailleurs, une IP est
automatiquement configurée pour vous. Par exemple, pour un préfixe IPv6
2001:910:1314::/48, l\'IP 2001:910:1314:ffff::1 est automatiquement
configurée.
### Configuration fine du routage
Si vous n\'activez pas la route par défaut via le tunnel, vous voudrez
sans doute router finement selon la source des paquets, sinon différents
effets bizarres surviendront. Pour cela, utiliser:
ip route add default dev tun0 table 200
ip rule add from 80.67.160.0/18 table 200
ip -6 route add default dev tun0 table 200
ip -6 rule add from 2001:910:1000::/38 table 200
ip -6 rule add from 2001:910:0802::/48 table 200
Ce qui va bien faire rentrer dans le tunnel tout ce qui utilise votre IP
VPN.
### Lancer le VPN pour certaines applications uniquement
Les noyaux récents supportent les Net Namespaces (CONFIG\_NET\_NS=Y).
Cela permet de définir des interfaces et règles réseaux disponibles
exclusivement pour un groupe de processus que l\'on définit.
On peut décider, par exemple, de lancer un navigateur/client mail/client
IRC passant par le VPN FDN.
Quelques commandes commentées ci-après, à exécuter dans cet ordre
ip netns add vpnfdn # crée un net namespace vpnfdn
ip link add veth0 type veth peer name veth1 # crée une paire veth (virtual ethernet)
ip link set veth0 netns vpnfdn # on assigne le côté veth0 de la paire au netns vpnfdn. L'autre côté reste dans le netns principal
Ici, on a créé un lien entre les deux netns : les paquets envoyés sur
veth1 sortent sur veth0 et vice versa. Maintenant, comme on veut accéder
aux internets pas-forcément-neutres de notre FAI historique pour pouvoir
contacter le serveur VPN de FDN, on va permettre une connexion. Ceci se
fait avec un bridge. On bridge ensemble veth1 et notre interface réseau
physique. Ainsi, veth1 verra les paquets passant sur l\'interface réseau
physique et les transmettra. Comment cela est obtenu varie selon les
distributions GNU/Linux. Je le laisse en exercice au lecteur (debian:
brctl addbr br0; brctl addif br0 eth0; brctl addif br0 veth0; ifconfig
eth0 0.0.0.0; dhclient br0;)
Une fois le bridge établi, on va pouvoir avoir du réseau dans le netns
vpnfdn\... quand il aura des routes. On va ouvrir un shell dedans
ip netns exec vpnfdn bash
On peut lancer un multiplexeur de terminaux pour permettre de récupérer
ce contexte réseau ensuite.
Les commandes suivantes se lancent dans le shell qu\'on vient de lancer.
On va monter l\'interface lo qui est par défaut éteinte dans les netns
puis faire une requête DHCP sur la veth0.
ifconfig lo up
dhclient veth0
Une fois cela fait, on peut lancer openvpn avec notre fichier de
configuration pour FDN
openvpn fdn.conf
On peut ensuite vérifier sa configuration réseau
ip ro ls
wget -qO - [http://ifconfig.me/ip](http://ifconfig.me/ip)
\...et lancer un navigateur ou toute autre application.
Lancer un multiplexeur de terminal type tmux ou screen permet de
récupérer la session rapidement et de lancer plusieurs processus sans
avoir à jongler avec fg, bg et les redirections de sortie.
#### En mode graphique : avec Network Manager
Network Manager est le logiciel de gestion de connexion (réseaux
filaires, wifi) par défaut sous gnome et peut être utilisé sous
d\'autres environnements de bureau. Il gère aussi le montage d\'un
tunnel VPN. C\'est l\'un des clients les plus populaires.
### Installation du client OpenVPN
Le greffon pour openvpn de Network Manager n\'est peut être pas
installé, cherchez les paquets \"network-manager-openvpn\" et
\"network-manager-openvpn-gnome\" ou ayant un nom similaire, et
installez-le. Ensuite, redémarrer le démon pour charger le greffon.
Par exemple, avec Debian ou ubuntu :
sudo apt-get install network-manager-openvpn network-manager-openvpn-gnome
sudo systemctl restart NetworkManager
### Configuration du client OpenVPN via Network Manager
Voici maintenant la procédure pour installer la configuration.
* Enregistrer sur votre disque le [fichier de configuration fdn.ovpn (abonnement)](travaux/vpn_misc/doc/openvpn/configv2_networkmanager.md) ou le [fichier de configuration fdn-open.ovpn (openbar)](travaux/vpn_misc/doc/openvpn-open/config.md) selon ce que vous souhaitez utiliser.
* Clic droit sur l'icône Network Manager -> "Modifications des connexions", puis onglet "VPN" -> "Importer une configuration VPN enregistrée" et retrouver le chemin du fichier.
* En haut de la fenêtre, vous pouvez renommer la connexion (au hasard : "Connexion VPN FDN").
* Insérer les identifiants comme suit :
* le nom d'utilisateur : de la forme xxx@vpn.fdn.fr si vous avez un abonnement, ce que vous voulez si vous utilisez le VPN openbar
* le mot de passe, à mémoriser parfaitement et ne pas écrire sur un post-it en dessous du clavier, ce que vous voulez si vous utilisez le VPN openbar, le serveur ne vérifie rien.
*
*
* Une fois l'ordinateur connecté à son réseau physique classique et habituel (en Ethernet filaire sur le réseau de la fac, en wifi, en fibre optique, en mobile via une clé 3G, via n'importe quel réseau habituel en fait), il n'y a plus qu'à activer le VPN d'un simple clic sur "Connexions VPN" -> "Connexion VPN FDN".
* Network Manager établit alors le tunnel sécurisé entre la machine et le réseau de FDN. Au niveau visuel l'apparition d'un cadenas au-dessus de l'icône habituelle de Network Manager indique que la connexion débouche sur un VPN.
* Il est possible de le vérifier en ligne de commande également : la commande "ifconfig" (nécessite d'être root) montre une nouvelle interface réseau "**tun0**" (pour tunnel 0) ayant pour adresse attribuée une IP du bloc **80.67.179.xxx**, qui est le bloc d'adresses réservées pour le service VPN de FDN :
Voici une version pas à pas pour MATE:
* {{: travaux/vpn_misc/doc/openvpn:tuto_vpn_fdn.odt|ODT}}{=mediawiki} {{: travaux/vpn_misc/doc/openvpn:tuto_vpn_fdn.pdf|PDF}}{=mediawiki}
Voici des versions pas à pas qui semblent être obsolètes :
* [Version pas-à-pas kde avec captures d'écran.](travaux/vpn_misc/doc/openvpn/kde.md)
* [Version pas-à-pas gnome avec captures d'écran.](travaux/vpn_misc/doc/openvpn/gnome.md)
##### Windows XP
//À écrire.//
##### Windows Vista et Windows 8
#### Installation du client OpenVPN
[Version pas-à-pas avec captures
d\'écran.](travaux/vpn_misc/doc/openvpn/windows.md)
Télécharger OpenVPN depuis le
{{http://openvpn.net/index.php/download.html|site officiel}}{=mediawiki}
puis l\'installer.
#### Configuration du client OpenVPN pour accéder au VPN de FDN
[Version pas-à-pas avec captures d\'écran pour Windows
Vista.]( travaux/vpn_misc/doc/openvpn:vista)
[Version pas-à-pas avec captures d\'écran pour Windows
8.]( travaux/vpn_misc/doc/openvpn:windows8)
* Créer le fichier de configuration *fdn.ovpn* dans le dossier config d'OpenVPN (C:\Program Files\OpenVPN\config\ par défaut ; la version pas-à-pas avec captures d'écran propose une manière graphique de récupérer cette information), avec ce [contenu]( travaux/vpn_misc/doc/openvpn:configv2).
Note : il faut lancer Notepad avec les droits administrateur pour écrire
dans les dossiers système de Windows (ouvrir le menu \"Démarrer\"
(touche \"Windows\"), taper \"notepad\" et effectuer la combinaison
Ctrl+Maj+Entrée (Ctrl+Shift+Enter)).
La configuration est terminée.
#### Utilisation du VPN FDN
[Version pas-à-pas avec captures d\'écran pour Windows
Vista.]( travaux/vpn_misc/doc/openvpn:vista#utilisation_du_vpn_de_fdn_windows_vista)
[Version pas-à-pas avec captures d\'écran pour Windows
8.]( travaux/vpn_misc/doc/openvpn:windows8#utilisation_du_vpn_de_fdn_windows_8)
* Lancer l'interface graphique d'OpenVPN en faisant un clic droit sur l'icône "OpenVPN GUI" puis en sélectionnant "Exécuter en tant qu'administrateur" ("Run as administrator"). Une icône doit apparaître dans la barre des tâches (à coté de l'horloge). Effectuer un clic droit sur celle-ci, puis sélectionner "Connecter" ("Connect"). Entrer les identifiants de connexion et cliquer sur "OK".
* La connexion est initialisée. Après un certain temps, une ligne "Initialization Sequence Completed" doit apparaître. Peu après, la fenêtre de connexion disparaît et plusieurs indices montrent que l'on est correctement connecté.
* Premier indice : une infobulle apparaît au dessus de l'icône de OpenVPN dans la barre des tâches.
* Second indice : l'icône de OpenVPN passe à la couleur verte.
* Troisième indice : en lançant un terminal (avec le programme "cmd") et en tapant "ipconfig", on doit retrouver l'IP affectée à l'interface créée par OpenVPN.
##### Téléphone
Votre téléphone peut éventuellement prendre un fichier .ovpn, vous
pouvez utiliser [ce fichier
fdn-open.ovpn](travaux/vpn_misc/doc/openvpn-open/configv2.md)
pour le VPN open-bar, ou [ce fichier
fdn.ovpn]( travaux/vpn_misc/doc/openvpn/config.md) pour votre VPN
abonné.
TODO: tester avec différents OS
#### Android
Sur le dépôt [fdroid](https://f-droid.org/), vous pourrez
trouver comme client VPN l\'application \*\*Openvpn for android\*\*.
figv2 Une fois installée, il suffit de l\'ouvrir et d\'y importer [le
fichier
fdn-open.ovpn](travaux:vpn_misc:doc:openvpn-open:configv2)
pour le VPN open-bar, ou [le fichier
fdn.ovpn]( travaux/vpn_misc/doc/openvpn:config) pour votre VPN
abonné. Le VPN de FDN est alors configuré.
En cliquant sur ce VPN, vos identifiant et mot de passe sont demandés :
le VPN s\'active une fois qu\'ils sont renseignés.
Lire la FAQ et la documentation pour plus d\'informations.
#### iOS
Testé et Validé sur iOS 8.1
On peut utiliser l\'application OpenVPN pour configurer openvpn. Pour la
télécharger:
<https://itunes.apple.com/fr/app/openvpn-connect/id590379981?mt=8> ou
via App Store
Il suffit de récupérer le fichier de configuration sur votre ordinateur
[fdn-open.ovpn](travaux/vpn_misc/doc/openvpn-open/configv2.md)
pour le VPN openbar ou
[fdn.ovpn]( travaux/vpn_misc/doc/openvpn/config.md) pour le VPN
abonné, d\'ouvrir l\'éditeur de texte (TextEdit) et de bien penser à
sélectionner "Convertir au Format Texte" dans le menu Format. Puis de
copier les lignes de configuration (attention de bien copier jusqu\'au
"\# 8←---------------------" sinon le fichier sera coupé au niveau du
certificat et la configuration échouera.
Puis enregistrer le fichier avec l\'extention .ovpn Ouvrir iTunes,
naviguer dans votre téléphone puis dans App et en sélectionnant OpenVPN
il est possible d\'importer un fichier, il suffit de sélectionner le
fichier .ovpn fraichement créé.
Il n\'est pas nécessaire de copier le certificat car celui-ci est déjà
inclus dans le fichier de configuration.
Il ne reste plus qu\'à lancer l\'application OpenVPN, il trouvera le
fichier de configuration.
##### MacOS X
{=mediawiki}
{{https://wiki-adh.fdn.fr/wiki/travaux:vpn_misc:doc:tunnelblik:macos|Tutoriel pas à pas avec captures.}}
Testé et Validé sur MacOS 10.9.5, 10.10.4, 10.11.
On peut utiliser Tunnelblick pour configurer openvpn, son téléchargement
s'effectue depuis
{{https://tunnelblick.net/|le site officiel}}{=mediawiki}.
La configuration prendra moins de 3 minutes, cependant voici quelques
petits pièges à éviter :
* Il suffit de récupérer le fichier de configuration [fdn-open.ovpn](travaux:vpn_misc:doc:openvpn-open:configv2) pour le VPN openbar, ou [fdn.ovpn]( travaux/vpn_misc/doc/openvpn/config.md) pour le VPN abonnés, d'ouvrir l'éditeur de texte (TextEdit) et de bien penser à sélectionner "Convertir au Format Texte" dans le menu Format //avant// de coller le contenu du presse-papier. Puis de copier les lignes de configuration (attention de bien copier jusqu'au *# 8<----------------------* sinon le fichier sera coupé au niveau du certificat et la configuration échouera), et d’enregistrer le fichier avec l'extention .ovpn. Il ne reste plus qu'à double-cliquer sur le fichier .ovpn fraîchement créé et celui-ci sera ajouté automatiquement dans les configurations de Tunnelblick.
* Il n'est pas nécessaire de copier le certificat car celui-ci est déjà inclus dans le fichier de configuration.
###### Amélioration de la configuration
La configuration fournie ici contient un paramétrage par défaut qui
devrait fonctionner dans la grande majorité des situations. Il y a
notamment deux choses qu\'un utilisateur pourrait vouloir changer:
* Par défaut TCP est utilisé pour se connecter. C'est le plus "passe-partout", mais c'est aussi le moins efficace, surtout si l'on a une connexion à Internet qui ne fonctionne pas très bien. On peut basculer en UDP en décommentant *proto udp* dans le fichier de configuration, et en commentant *proto tcp*. Il vaut mieux aussi décommenter *explicit-exit-notify* .
* Par défaut, une fois le tunnel lancé tout le trafic Internet passe par le VPN. On peut vouloir ne faire passer que certaines destinations, en commentant *redirect-gateway def1*, et en décommentant et corrigeant la ligne *route*.
###### Un souci ?
En cas de souci, n\'hésitez pas à envoyer un mail à support\@fdn.fr, en
incluant dans votre mail la sortie des commandes
route -n
ifconfig
Si dans le log d\'openvpn vous voyez à répétition
*SENT CONTROL \[\_.fdn.fr\]: \'PUSH\_REQUEST\' (status=1)*
peut-être que vous venez d\'être déconnecté violemment de la précédente
session, et il faut attendre quelques minutes, pour que la précédente
meure vraiment avant de pouvoir en établir une nouvelle. Si le problème
persiste, contacter support\@fdn.fr pour que l\'on voie à tuer la
session fantôme.
============Accéder à Internet dans les situations les plus
difficiles============
{=mediawiki}
{{https://www.fdn.fr/fdn-renforce-son-vpn|FDN renforce son VPN, méthode de connexion pour tenter de contourner des réseaux interdisant l'usage du VPN ou passer outre la censure}}
\<file \|fdn-loutre-ca.crt\> \-\-\-\--BEGIN CERTIFICATE\-\-\-\--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 \-\-\-\--END
CERTIFICATE\-\-\-\-- </file>
\<code \|fdn-loutre.ovpn\>
1. Copier-coller à partir d\'ici, et modifiez la partie auth-user-pass
si vous ne voulez pas avoir à taper un mot de passe à chaque fois
2. 8\<\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\--
<!-- -->
1. C\'est nous qui prenons l\'initiative de nous connecter au serveur.
client
1. On route de l\'IP, on ne fait pas de l\'ethernet.
dev tun
1. Il est préférable d\'utiliser udp, le résultat fonctionne mieux. Il
est
2. cependant notable que les restrictions d\'accès Internet laissent
souvent
3. plus facilement passer tcp. Essayez donc udp, et seulement s\'il ne
fonctionne
4. pas, essayez tcp.
5. proto udp
proto tcp
1. Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire
aux connexions
2. TCP d\'être très conservatives, pour que ça marche plus ou moins
partout.
mssfix 1300
1. En UDP, on peut s\'assurer que ça passe de toutes façons en
fragmentant au besoin
2. quand ça dépasse.
3. fragment 1300
4. Idéalement, ça devrait être détecté tout seul, mais c\'est loin de
toujours fonctionner\...
5. mtu-disc yes
<!-- -->
1. En udp, Prévenir le serveur quand on termine, permet de relancer
2. immédiatement sans attendre que le serveur se rende compte de la
3. déconnexion par timeout.
4. explicit-exit-notify
<!-- -->
1. L\'adresse du serveur.
remote vpn-loutre.fdn.fr 1194
1. Éventuellement, on peut avoir besoin de passer par un proxy http,
décommenter cette ligne en mettant l\'adresse et le port du proxy.
2. http-proxy 192.0.2.1 8080
<!-- -->
1. Pour windows: utiliser route.exe.
route-method exe
1. Attendre un peu avant d\'ajouter les routes.
route-delay 2
1. Ne pas utiliser un port local statique, on est client de toutes
façons.
nobind
1. Garder la clé en mémoire, pour ne pas avoir besoin de la relire lors
d\'un
2. redémarrage.
persist-key
1. On peut éventuellement ne pas tuer l\'interface du tunnel lors d\'un
redémarrage, mais cela pose problème si au redémarrage on change de
serveur.
2. persist-tun
<!-- -->
1. Décommenter cette ligne pour faire passer tout le trafic via le VPN:
redirect-gateway def1
1. On peut aussi vouloir plutôt router seulement quelques destinations,
par
2. exemple ici tout Gitoyen:
3. route 80.67.160.0 255.255.224.0
<!-- -->
1. Décommenter cette ligne pour activer IPv6
tun-ipv6
1. et décommenter cette ligne pour faire passer tout le trafic IPv6 via
le VPN:
route-ipv6 ::/1 route-ipv6 8000::/1
1. Envoyer un login et un mot de passe. Pour éviter de taper à la main
login
2. et mot de passe, vous pouvez ajouter à droite de \"auth-user-pass\"
le nom d\'un
3. fichier contenant ces deux informations, une par ligne.
auth-user-pass
1. Un minimum de debug, c\'est toujours bien.
verb 3
1. Certificat permettant de vérifier que c\'est bien à FDN que
2. l\'on se connecte et donc à qui on donne notre mot de passe.
<ca> \-\-\-\--BEGIN CERTIFICATE\-\-\-\--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 \-\-\-\--END
CERTIFICATE\-\-\-\-- </ca>
1. 8\<\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\--
2. Copier-coller jusqu\'ici.
~~~
\<file \|fdn-open-ca.crt\> \-\-\-\--BEGIN CERTIFICATE\-\-\-\--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 \-\-\-\--END CERTIFICATE\-\-\-\-- </file>
fdn-open.ovpn
**ATTENTION: ceci est le fichier de configuration pour le serveur open-bar, dont le débit est limité selon les dons qui sont faits pour ce serveur. Si vous avez un compte @vpn.fdn.fr, c'est l'autre fichier de configuration qu'il faut [utiliser](./pages/support/doc-vpn/openvpn/configv2.md)**
```
# Copier-coller à partir d'ici, et modifiez la partie auth-user-pass si vous ne voulez pas
# avoir à taper votre mot de passe à chaque fois.
# 8<----------------------
# C'est nous qui prenons l'initiative de nous connecter au serveur.
client
# On route de l'IP, on ne fait pas de l'ethernet.
dev tun
# Certains réseaux ont en fait une MTU bien inférieure à 1450. Dire aux connexions
# TCP d'être très conservatives, pour que ça marche plus ou moins partout.
mssfix 1300
# En UDP, on peut s'assurer que ça passe de toutes façons en fragmentant au besoin
# quand ça dépasse.
# fragment 1300
# Idéalement, ça devrait être détecté tout seul, mais c'est loin de toujours fonctionner...
# mtu-disc yes
# En udp, Prévenir le serveur quand on termine, permet de relancer
# immédiatement sans attendre que le serveur se rende compte de la
# déconnexion par timeout.
#explicit-exit-notify
# Il est préférable d'utiliser udp, le résultat fonctionne mieux. Il est
# cependant notable que les restrictions d'accès Internet laissent souvent