Matriz <-> Filial com o OpenVPN
A necessidade de interligar várias unidades do mesmo negócio numa mesma rede para o acesso a recursos disponibilizados pela matriz se tornou comum. Uma VPN é a principal ferramenta para o administrador realizar tal tarefa. Neste documento descrevo uma maneira simples e eficiente de implementar uma solução de VPN entre matriz e filial.
[ Hits: 56.871 ]
Por: Rafael Lebrão Martins em 10/09/2007
Levantando as pontas
1. Vamos levantar a Matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
2. Agora vamos levantar a Filial:
# usr/local/sbin/openvpn --config /etc/openvpn/filial.conf -daemon
# route add -net 192.168.1.0/24 gw 10.1.1.1
Levantando na inicialização:
1. Na Matriz:
1.1. Edite o arquivo "rc.local";
# mcedit /etc/rc.d/rc.local
1.2. Acrescente as linhas abaixo:
echo "Starting OpenVPN MATRIZ Tunel
Linux "
/usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf --daemon
route add -net 192.168.2.0/24 gw 10.1.1.2
2. Na Filial:
2.1. Edite o arquivo "rc.local";
# mcedit /etc/rc.d/rc.local
2.2. Acrescente as linhas abaixo:
echo "Starting OpenVPN FILIAL Tunel Linux"
/usr/local/sbin/openvpn --config /etc/openvpn/filial.conf --daemon
route add -net 192.168.1.0/24 gw 10.1.1.1
Configuração do Firewall (se houver):
Matriz:
1. Edite o arquivo de firewall:
# mcedit /etc/rc.d/rc.firewall
2. Acrescente as regras:
VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 10.1.1.2 --dport 1194
## VPN
iptables -A FORWARD -d 10.1.1.2 -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.1.1.2 -p udp --dport 1194 -j ACCEPT
Filial:
1. Edite o arquivo de firewall:
# mcedit /etc/rc.d/rc.firewall
2. Acrescente as regras:
VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 10.1.1.1 --dport 1194
## VPN
iptables -A FORWARD -d 10.1.1.1 -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.1.1.1 -p udp --dport 1194 -j ACCEPT
Página anterior
Páginas do artigo
1.
Introdução
2.
Instalação
3.
Configuração / Matriz
4.
Configuração / Filial
5. Levantando as pontas
Outros artigos deste autor
Um pouco de PERL
Firewall seguro com o IPTables
Capital Intelectual
Leitura recomendada
Traduzindo plugins do OpenVAS/Nessus para português
Implementando segurança no SSH
Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização
Seguraça extrema com LIDS
Ataque de Rougue AP com AIRBASE-NG
Comentários
Muito bom cara o seu artigo, valeu.
"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."
Que problema e esse ??? Nunca ouvi falar nada disso...
Mensagem
"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."
Que problema e esse ??? Nunca ouvi falar nada disso...
?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...
IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.
Mensagem
?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...
IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.
olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan
at+
Mensagem
olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan
at+
exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D
Mensagem
exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D
Parabéns pela contribuição do artigo!
Vlw!
Mensagem
Parabéns pela contribuição do artigo!
Vlw!
Olá...
Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?
1. Vamos levantar a Matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4
Assim ????
Obrigado....
Mensagem
Olá...
Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?
1. Vamos levantar a Matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4
Assim ????
Obrigado....
Olá, Malone.
Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..
Desse modo, você teria na matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
... E por ai vai...
Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":
matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...
Qualquer dúvida, é só postar...
Um abraço...
Mensagem
Olá, Malone.
Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..
Desse modo, você teria na matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
... E por ai vai...
Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":
matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...
Qualquer dúvida, é só postar...
Um abraço...
amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?
Mensagem
amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?
Leopoldo.
Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.
Mensagem
Leopoldo.
Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.
olá sou meio novato no linux e gostaria de saber o seguinte:
nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/
estou usando o slack 12
grato pela paciência/atenção
Matheus Schaffer
Mensagem
olá sou meio novato no linux e gostaria de saber o seguinte:
nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/
estou usando o slack 12
grato pela paciência/atenção
Matheus Schaffer
Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.
O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.
Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!
Mensagem
Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.
O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.
Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!
ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com
Mensagem
ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com
Contribuir com comentário
Enviar