VPN (filial) autenticando e usando o proxy do servidor de VPN (matriz)

Esse artigo mostra como configurar a VPN (filial) para que use autenticação e proxy da da VPN (matriz). Com esse sistema a filial só sairá pela internet pelo link da matriz, não sendo possível acessar o internet sem usar o proxy.

[ Hits: 57.818 ]

Por: Rafael Tomelin em 24/08/2006 | Blog: http://teclinux.no-ip.org:8080


Configurações finais



Feitas as configurações, podemos "levantar" a VPN em ambos os lados:

Matriz:

# openvpn --config /etc/openvpn/matriz.conf -daemon

Filial:

# openvpn -config /etc/openvpn/filial.conf -daemon

OBS: Como estou usando o Slackware, coloquei as duas linhas acima dentro de /etc/rc.d/rc.local. Sendo a primeira linha dentro do servidor da matriz e a segunda no servidor da filial.

Depois bloqueamos todas as conexões com a internet no servidor da filial, exceto a conexão com a matriz "tun". Ainda podemos colocar dentro do /etc/openvpn/down.sh da filial um outro script que libera o acesso a internet sem conexão com a vpn.

O por quê disso? Vamos supor que caiu o link da matriz, logo a filial vai ficar sem internet.

Configurações do Squid


No Squid iremos informar que ele deverá fazer autenticação no servidor Samba. Irei colocar ainda as regras de proxy transparente, pois vai que um espertinho tire as configurações do proxy no browser, automaticamente ele usará o proxy transparente.

Regras de proxy autenticado:

auth_param basic program /usr/local/bin/smb_auth -W DOMINIO -U 192.168.5.24
auth_param basic children 5
auth_param basic realm Digite seu Login

Regras de proxy transparente:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Lembrando que tem que ter o Samba como PDC da rede.

Página anterior    

Páginas do artigo
   1. Configuração inicial
   2. Configurando o servidor VPN da matriz
   3. Configurando o servidor VPN da FILIAL
   4. Configurações finais
Outros artigos deste autor

Segurança SSH com DenyHosts

Leitura recomendada

Certificado Digital e diversos ambientes Java no GNU/Linux

Configurando o Debian com 2 ADSLs pppoe e fixando as interfaces ppp0 e ppp1 por operadora

SpamAssassin no Sendmail usando o Procmail

Configurando roteador com USB 3G

Download de MP3s no IRC via X-Chat usando o protocolo SDFind

  
Comentários
[1] Comentário enviado por removido em 25/08/2006 - 10:52h

Para que autenticar na matriz ? vai congestionar a VPN a nao ser q o link seja de fibra optica. rs. ja q tem linux nas duas pontas faz autenticaçao local na filial tb.

[2] Comentário enviado por c.rafael em 25/08/2006 - 13:50h

Olá NETUNIX,

Isso se for uma empresa pequena que tenha filial ou uma empresa que tenha uma filial pequena.

Tenho essa estrutura sendo que na filial tem apenas 3 micros. Não irei colocar lah um proxy só para eles. E alem disso tenho um sistema de cartão ponto que faço o backup todos os dias da filial.

Tenho um link de 400K tanto na matriz quanto na filial só para vpn, alem de um outro link de 1MB da matriz que é para acesso a internet. Esse link de 400K funciona perfeito, sendo que na matriz o link de 400k é ip fixo e na filial até um tempo atras não era, mas agora estamos com ip fixo por ser o mesmo valor.

Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo), tem que ter um script que apenas conferi se o usuário está autenticado ou não.

[3] Comentário enviado por wrlima em 27/08/2006 - 02:14h

Caro Raphael,

O artigo esta ótimo, porem faltou você informar sobre o pacote lzo, na hora da compilação citada acima dara um erro informando sobre as libs do LZO.

E nao esqueça do grupo nobody

Abs,

[4] Comentário enviado por removido em 27/08/2006 - 02:26h

OK.
Valeu lembrar entao que para se fazer essa estrutura requer bastante banda disponivel so para VPN. Temo pelos usuarios que leem o artigo e ja saem instalando suas VPNs sem saber o basico.
Abraços

[5] Comentário enviado por jmhenrique em 10/09/2006 - 08:16h

Concordo, netunix. Aqui, por exemplo, saiu bem mais em conta contratar links adsl somente para fluxo de internet nas filiais que utilizar a vpn com a matriz, que somente é utilizada para sistemas internos, e gerenciar cada proxy de cada filial independentemente.
(mais de 40 micros em cada... inviável fazer acesso a internet por vpn).
Mas para um ou dois micrinhos, sem muito acesso a internet e sem sistemas muito criticos, e com usuários comportados, porque não? :D

[6] Comentário enviado por antonioleite em 26/08/2007 - 17:59h

Amigos ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado

[7] Comentário enviado por mauricio.galindo em 28/09/2007 - 14:16h

Olá gostaria de uma ajuda querio conectar meu servidor via VPN em outro servidor VPN.... aguardando resposta obrigado pessoal.

[8] Comentário enviado por edivaldocaj em 14/12/2007 - 17:03h

muito boa

[9] Comentário enviado por celsopimentel em 21/01/2009 - 22:20h

Rafael, você comentou que "Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo)"
Gostaria de mais informações desta opção, de usar a VPN para autenticar no proxy filtrar pelas políticas da Matriz, mas sair para a internet com o link da própria filial. Isso é possivel mesmo, e viável? Se mais colegas puderem me ajudar fico grato. Um grande abraço a todos.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts