VPN (filial) autenticando e usando o proxy do servidor de VPN (matriz)

Esse artigo mostra como configurar a VPN (filial) para que use autenticação e proxy da da VPN (matriz). Com esse sistema a filial só sairá pela internet pelo link da matriz, não sendo possível acessar o internet sem usar o proxy.

[ Hits: 57.815 ]

Por: Rafael Tomelin em 24/08/2006 | Blog: http://teclinux.no-ip.org:8080


Configuração inicial



Esse tutorial irá mostrar como fazer a configuração de uma VPN (matriz e filial), sendo que a filial irá usar o serviços de autenticação (Samba) e proxy da matriz.

Iremos configurar a VPN com criptografia e depois na filial iremos informar que tudo que vier da internet será bloqueado, iremos liberar apenas as conexões vindas pela a interface virtual (VPN).

OBS: É preciso ter 2 placas de rede em cada micro. A VPN não funciona com configurações de placas de redes virtuais. Exemplo: eth0:1 IP.

Pacotes necessários:
  • OpenSSL
  • OpenVPN
  • Samba (autenticação)
  • SQUID

Iremos fazer na ordem mostrada acima.

Primeiramente baixaremos o OpenVPN e compilaremos.

Link do OpenVPN 2.0.7:
# tar -zxvf openvpn-2.0.7.tar.gz
# cd openvpn-2.0.7
# ./configure --prefix=/usr/local/openvpn --sysconfdir=/etc/openvpn
# make && make install


Após a instalação do OpenVPN em ambas as máquinas, iremos configurá-las, interligando as 2 subnets com OpenVPN.

    Próxima página

Páginas do artigo
   1. Configuração inicial
   2. Configurando o servidor VPN da matriz
   3. Configurando o servidor VPN da FILIAL
   4. Configurações finais
Outros artigos deste autor

Segurança SSH com DenyHosts

Leitura recomendada

Apache2 + PHP + PostgreSQL + phpPgAdmin

Instalação do Varnish + Apache + Virtual Hosts

Conceitos de Acesso Remoto

SFTP Server com SSH, Chroot e Rsyslog

Porque segurança importa?

  
Comentários
[1] Comentário enviado por removido em 25/08/2006 - 10:52h

Para que autenticar na matriz ? vai congestionar a VPN a nao ser q o link seja de fibra optica. rs. ja q tem linux nas duas pontas faz autenticaçao local na filial tb.

[2] Comentário enviado por c.rafael em 25/08/2006 - 13:50h

Olá NETUNIX,

Isso se for uma empresa pequena que tenha filial ou uma empresa que tenha uma filial pequena.

Tenho essa estrutura sendo que na filial tem apenas 3 micros. Não irei colocar lah um proxy só para eles. E alem disso tenho um sistema de cartão ponto que faço o backup todos os dias da filial.

Tenho um link de 400K tanto na matriz quanto na filial só para vpn, alem de um outro link de 1MB da matriz que é para acesso a internet. Esse link de 400K funciona perfeito, sendo que na matriz o link de 400k é ip fixo e na filial até um tempo atras não era, mas agora estamos com ip fixo por ser o mesmo valor.

Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo), tem que ter um script que apenas conferi se o usuário está autenticado ou não.

[3] Comentário enviado por wrlima em 27/08/2006 - 02:14h

Caro Raphael,

O artigo esta ótimo, porem faltou você informar sobre o pacote lzo, na hora da compilação citada acima dara um erro informando sobre as libs do LZO.

E nao esqueça do grupo nobody

Abs,

[4] Comentário enviado por removido em 27/08/2006 - 02:26h

OK.
Valeu lembrar entao que para se fazer essa estrutura requer bastante banda disponivel so para VPN. Temo pelos usuarios que leem o artigo e ja saem instalando suas VPNs sem saber o basico.
Abraços

[5] Comentário enviado por jmhenrique em 10/09/2006 - 08:16h

Concordo, netunix. Aqui, por exemplo, saiu bem mais em conta contratar links adsl somente para fluxo de internet nas filiais que utilizar a vpn com a matriz, que somente é utilizada para sistemas internos, e gerenciar cada proxy de cada filial independentemente.
(mais de 40 micros em cada... inviável fazer acesso a internet por vpn).
Mas para um ou dois micrinhos, sem muito acesso a internet e sem sistemas muito criticos, e com usuários comportados, porque não? :D

[6] Comentário enviado por antonioleite em 26/08/2007 - 17:59h

Amigos ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado

[7] Comentário enviado por mauricio.galindo em 28/09/2007 - 14:16h

Olá gostaria de uma ajuda querio conectar meu servidor via VPN em outro servidor VPN.... aguardando resposta obrigado pessoal.

[8] Comentário enviado por edivaldocaj em 14/12/2007 - 17:03h

muito boa

[9] Comentário enviado por celsopimentel em 21/01/2009 - 22:20h

Rafael, você comentou que "Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo)"
Gostaria de mais informações desta opção, de usar a VPN para autenticar no proxy filtrar pelas políticas da Matriz, mas sair para a internet com o link da própria filial. Isso é possivel mesmo, e viável? Se mais colegas puderem me ajudar fico grato. Um grande abraço a todos.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts