Matriz <-> Filial com o OpenVPN

A necessidade de interligar várias unidades do mesmo negócio numa mesma rede para o acesso a recursos disponibilizados pela matriz se tornou comum. Uma VPN é a principal ferramenta para o administrador realizar tal tarefa. Neste documento descrevo uma maneira simples e eficiente de implementar uma solução de VPN entre matriz e filial.

[ Hits: 56.871 ]

Por: Rafael Lebrão Martins em 10/09/2007


Levantando as pontas



1. Vamos levantar a Matriz:

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2


2. Agora vamos levantar a Filial:

# usr/local/sbin/openvpn --config /etc/openvpn/filial.conf -daemon
# route add -net 192.168.1.0/24 gw 10.1.1.1


Levantando na inicialização:

1. Na Matriz:

1.1. Edite o arquivo "rc.local";

# mcedit /etc/rc.d/rc.local

1.2. Acrescente as linhas abaixo:

echo "Starting OpenVPN MATRIZ Tunel Linux"
/usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf --daemon
route add -net 192.168.2.0/24 gw 10.1.1.2

2. Na Filial:

2.1. Edite o arquivo "rc.local";

# mcedit /etc/rc.d/rc.local

2.2. Acrescente as linhas abaixo:

echo "Starting OpenVPN FILIAL Tunel Linux"
/usr/local/sbin/openvpn --config /etc/openvpn/filial.conf --daemon
route add -net 192.168.1.0/24 gw 10.1.1.1

Configuração do Firewall (se houver):

Matriz:

1. Edite o arquivo de firewall:

# mcedit /etc/rc.d/rc.firewall

2. Acrescente as regras:

VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 10.1.1.2 --dport 1194
## VPN
iptables -A FORWARD -d 10.1.1.2 -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.1.1.2 -p udp --dport 1194 -j ACCEPT

Filial:

1. Edite o arquivo de firewall:

# mcedit /etc/rc.d/rc.firewall

2. Acrescente as regras:

VPN=tun0
iptables -I INPUT -j ACCEPT -p udp -s 10.1.1.1 --dport 1194
## VPN
iptables -A FORWARD -d 10.1.1.1 -p udp --dport 1194 -j ACCEPT
iptables -A FORWARD -s 10.1.1.1 -p udp --dport 1194 -j ACCEPT

Página anterior    

Páginas do artigo
   1. Introdução
   2. Instalação
   3. Configuração / Matriz
   4. Configuração / Filial
   5. Levantando as pontas
Outros artigos deste autor

Um pouco de PERL

Firewall seguro com o IPTables

Capital Intelectual

Leitura recomendada

Traduzindo plugins do OpenVAS/Nessus para português

Implementando segurança no SSH

Segurança da Informação: Necessidades e mudanças de paradigma com o avanço da civilização

Seguraça extrema com LIDS

Ataque de Rougue AP com AIRBASE-NG

  
Comentários
[1] Comentário enviado por TSM em 10/09/2007 - 14:20h

Muito bom cara o seu artigo, valeu.

[2] Comentário enviado por y2h4ck em 10/09/2007 - 14:22h

"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."

Que problema e esse ??? Nunca ouvi falar nada disso...


[3] Comentário enviado por boxmga em 10/09/2007 - 15:46h

?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...

IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.

[4] Comentário enviado por peregrino em 10/09/2007 - 15:56h

olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan

at+

[5] Comentário enviado por y2h4ck em 11/09/2007 - 11:06h

exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D


[6] Comentário enviado por clayton.ricardo em 12/09/2007 - 10:32h

Parabéns pela contribuição do artigo!

Vlw!

[7] Comentário enviado por Malone em 16/01/2008 - 17:06h

Olá...

Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?

1. Vamos levantar a Matriz:

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4

Assim ????

Obrigado....

[8] Comentário enviado por rafael martins em 22/01/2008 - 02:19h

Olá, Malone.

Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..

Desse modo, você teria na matriz:

# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2

# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2

... E por ai vai...

Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":

matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...

Qualquer dúvida, é só postar...
Um abraço...

[9] Comentário enviado por removido em 03/03/2008 - 09:29h

amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?

[10] Comentário enviado por rafael martins em 03/03/2008 - 11:48h

Leopoldo.

Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.

[11] Comentário enviado por teuzin em 05/08/2008 - 11:56h

olá sou meio novato no linux e gostaria de saber o seguinte:

nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/

estou usando o slack 12

grato pela paciência/atenção

Matheus Schaffer

[12] Comentário enviado por Ruy_Go em 06/07/2009 - 20:17h

Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.

O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.

Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!

[13] Comentário enviado por julianderson em 24/04/2010 - 21:51h

ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts