Matriz <-> Filial com o OpenVPN
A necessidade de interligar várias unidades do mesmo negócio numa mesma rede para o acesso a recursos disponibilizados pela matriz se tornou comum. Uma VPN é a principal ferramenta para o administrador realizar tal tarefa. Neste documento descrevo uma maneira simples e eficiente de implementar uma solução de VPN entre matriz e filial.
[ Hits: 56.831 ]
Por: Rafael Lebrão Martins em 10/09/2007
Configuração / Matriz
1. Criar o diretório onde serão salvos os arquivos de configuração:
# mkdir /etc/openvpn
2. Agora vamos gerar a chave de criptografia que será solicitada ao cliente quando a conexão for iniciada:
# openvpn --genkey -secret /etc/openvpn/key
3. Vamos criar o arquivo de configuração para a Matriz:
# touch /etc/openvpn/matriz.conf
4. Edite o arquivo e acrescente o conteúdo abaixo:
# mcedit /etc/openvpn/matriz.conf
# Usar driver TUN para conexão
dev tun
# ip da VPN na matriz 10.1.1.1, ip da filial 10.1.1.2
ifconfig 10.1.1.1 10.1.1.2
# Acessa os arquivos de configuração
cd /etc/openvpn
# Criptografia ativada!
secret key
# Porta para conexão 1194 UDP
port 1194
# Usuário que poderá rodar o serviço
user nobody
# Usar biblioteca Lzo
comp-lzo
# Manter a conexão com a filial; 10 = segundos
ping 10
# Nível de log
verb 3
Página anterior Próxima página
Páginas do artigo
1.
Introdução
2.
Instalação
3. Configuração / Matriz
4.
Configuração / Filial
5.
Levantando as pontas
Outros artigos deste autor
Um pouco de PERL
Firewall seguro com o IPTables
Capital Intelectual
Leitura recomendada
A Arte de HACKEAR Pessoas
Técnicas forenses para identificação da invasão e do invasor em sistemas Unix/Linux através do SSH (parte 1)
OpenBSD IDS - Solução Snort e BASE
Syslog-NG - Configurando um servidor de logs
Auditando senhas com John The Ripper
Comentários
Muito bom cara o seu artigo, valeu.
"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."
Que problema e esse ??? Nunca ouvi falar nada disso...
Mensagem
"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."
Que problema e esse ??? Nunca ouvi falar nada disso...
?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...
IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.
Mensagem
?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...
IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.
olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan
at+
Mensagem
olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan
at+
exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D
Mensagem
exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D
Parabéns pela contribuição do artigo!
Vlw!
Mensagem
Parabéns pela contribuição do artigo!
Vlw!
Olá...
Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?
1. Vamos levantar a Matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4
Assim ????
Obrigado....
Mensagem
Olá...
Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?
1. Vamos levantar a Matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3
# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4
Assim ????
Obrigado....
Olá, Malone.
Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..
Desse modo, você teria na matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
... E por ai vai...
Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":
matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...
Qualquer dúvida, é só postar...
Um abraço...
Mensagem
Olá, Malone.
Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..
Desse modo, você teria na matriz:
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2
# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2
... E por ai vai...
Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":
matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...
Qualquer dúvida, é só postar...
Um abraço...
amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?
Mensagem
amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?
Leopoldo.
Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.
Mensagem
Leopoldo.
Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.
olá sou meio novato no linux e gostaria de saber o seguinte:
nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/
estou usando o slack 12
grato pela paciência/atenção
Matheus Schaffer
Mensagem
olá sou meio novato no linux e gostaria de saber o seguinte:
nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/
estou usando o slack 12
grato pela paciência/atenção
Matheus Schaffer
Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.
O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.
Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!
Mensagem
Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.
O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.
Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!
ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com
Mensagem
ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com
Contribuir com comentário
Enviar