Apresento uma solução de VPN para conectar diversas filiais a matriz, utilizando openVPN com chaves estáticas, biblioteca lzo para compressão e utilização do MRTG para monitorar o tráfego de cada filial.

Nesse cenário temos a matriz com IP fixo e as filiais com IPs dinâmicos. Mas nada impede de se utilizar IP dinâmico na matriz, você pode criar um DNS dinâmico.

Seguem as configurações utilizadas:

Distribuição usada: CentOS-5.5

Matriz:

• IP externo matriz= 200.200.200.200
• Rede interna matriz = 192.168.1.0/24

Filial1 (chamaremos de Espírito Santo):

• Rede interna = 192.168.2.0/24

Filial2 (chamaremos de Rio de Janeiro):

• Rede interna = 192.168.3.0/24

Filial3 (chamaremos de Minas Gerais):

• Rede interna = 192.168.4.0/24

Versão openVPN: 2.1.2

Versão lançada em 15/08/2010, o changelog você pode ver aqui: http://www.openvpn.net/index.php/open-source/documentation/change-log/71-21-change-log.html

Efetue o download em:

• http://www.openvpn.net/index.php/open-source/downloads.html

Versão lzo: 2.0.3

Efetue o download em:

• http://www.oberhumer.com/opensource/lzo/download/

[1] Comentário enviado por ctavares em 29/08/2010 - 11:07h:

Legal, estou no aguardo do material sobre monitoramento das redes com MRTG. Abraços.

[2] Comentário enviado por irado em 29/08/2010 - 20:36h:

parabéns fs.schimidt. Frequentemente surgem colegas aqui no VOL com muitas perguntas sobre VPN e o seu artigo é bem claro. Até fiquei com vontade de pegar um projetinho dêsses para poder aplica-lo :)

[3] Comentário enviado por cruzeirense em 30/08/2010 - 13:25h:

Excelente artigo!!!
Utilizo vpn quando tenho que dar manutenção num cliente e tanto eu quanto ele não temos um IP valido.
Deixei um servidor que tem um ip válido fixo (poderia ser dinamico também) como servidor para a vpn e assim posso acessar qualquer máquina da vpn via 3g no netbook.
Eu utilizo o neorouter, que apesar de não ser open source ele tem uma licença free "para sempre" para até 256 máquinas (o que na maioria dos casos é mais do que o suficiente).
O melhor do neorouter é que a configuração é praticamente zero.
Basta você informar o nome de usuário, senha e o endereço do servidor que você já recebe um ip válido na vpn.
Outro ponto positivo é que o neorouter funciona em windows, linux, mac, android e tem algumas versões para você instalar no seu roteador de internet.
quem quiser conhecer o produto:
www.neorouter.com

Abraços,

Renato

[4] Comentário enviado por _Dener_ em 09/09/2010 - 08:57h:

Ótimo Post, contribuiu muito aqui no VOL e também sanou algumas duvidas minha.

Caso você não possua um IP fixo, você também pode usar o Serviço da Winco que trabalha com VPN, eles tem o serviço DDNS (Dynamic Domain Name System) que resolve muitos problemas de endereços IP dinamicos e o serviço é grátis.
http://www.winco.com.br/ddns

Deixo ai a minha dica, Abraços.

Dener

[5] Comentário enviado por diegoo em 09/09/2010 - 17:03h:

Andei pesquisando sobre o neorouter, mas não encontrei muito material, porque no meu caso tenho a matriz e filias (pequenas 2 a 3 pcs) e queria tipo de controle da rede dessas pequenas filias sem montar servidor e tal, o netrouter faz isso??

[6] Comentário enviado por cruzeirense em 13/09/2010 - 16:56h:

prezado diegoo,

O neorouter precisa de um servidor para funcionar.
Você pode utilizar qualquer máquina que tenha um ip válido na internet, mesmo que seja ip dinâmico.
você pode utilizar um serviço de dns dinamico conforme sugerido acima caso não tenha o ip fixo.

Para o neorouter funcionar você deve designar uma máquina para ser servidor, mas é importante lembrar que a máquina não precisa ser dedicada para isso.
Qualquer maquininha fraca pode ser um servidor para o neorouter.

O bom do neorouter é que tem versões para diversos sistemas operacionais, e inclusive em alguns roteadores pode ser instalado o neorouter.

Estou usando já ha algum tempo e tenho me surpreendido com ele.

No meu caso tenho um servidor slackware que uso para compartilhar a internet e aproveitei para colocar o servidor do neorouter.
Configurei todos os meus clientes para conectarem automaticamente na vpn e assim já tenho um ip valido para conectar diretamente nas máquinas para utilizar, vnc, terminal server, compartilhamento de arquivos e impressoras, e qualquer serviço que se possa utilizar em uma rede.

Abraços,

Renato

[7] Comentário enviado por andrefreire em 18/11/2010 - 15:11h:

Bom tarde !

Fiz uns testes seguindo seu artigo e tudo funcionou muito bem. Logo em seguida me surgiu uma dúvida. Será que existe, nesta configuração, como as filiais se comunicarem entre si ? Como seria então as rotas no firewall ?

[8] Comentário enviado por fs.schmidt em 29/11/2010 - 14:50h:

Olá André ! Desculpe a demora em responder.

Esta configuração não abrange a comunicação entre as filiais, para isto você deve procurar sobre a configuração do Openvpn em modo Bridge.

Obrigado, espero em breve publicar um novo artigo abrangendo a sua necessidade.