Matriz <-> Filial com o OpenVPN

Rafael Martins

A necessidade de interligar várias unidades do mesmo negócio numa mesma rede para o acesso a recursos disponibilizados pela matriz se tornou comum. Uma VPN é a principal ferramenta para o administrador realizar tal tarefa. Neste documento descrevo uma maneira simples e eficiente de implementar uma solução de VPN entre matriz e filial.

[ Hits: 57.848 ]

Por: Rafael Lebrão Martins em 10/09/2007

0 0

Denuncie Favoritos Indicar Impressora

Configuração / Matriz

1. Criar o diretório onde serão salvos os arquivos de configuração:

# mkdir /etc/openvpn

2. Agora vamos gerar a chave de criptografia que será solicitada ao cliente quando a conexão for iniciada:

# openvpn --genkey -secret /etc/openvpn/key

3. Vamos criar o arquivo de configuração para a Matriz:

# touch /etc/openvpn/matriz.conf

4. Edite o arquivo e acrescente o conteúdo abaixo:

# mcedit /etc/openvpn/matriz.conf

# Usar driver TUN para conexão
dev tun

# ip da VPN na matriz 10.1.1.1, ip da filial 10.1.1.2
ifconfig 10.1.1.1 10.1.1.2

# Acessa os arquivos de configuração
cd /etc/openvpn

# Criptografia ativada!
secret key

# Porta para conexão 1194 UDP
port 1194

# Usuário que poderá rodar o serviço
user nobody

# Usar biblioteca Lzo
comp-lzo

# Manter a conexão com a filial; 10 = segundos
ping 10

# Nível de log
verb 3

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Instalação
   3. Configuração / Matriz
   4. Configuração / Filial
   5. Levantando as pontas

Outros artigos deste autor

Capital Intelectual

Firewall seguro com o IPTables

Um pouco de PERL

Leitura recomendada

Ferramentas de administração remota

Instalar o Nagios 4 no Ubuntu ou Debian

Tornando seu Apache mais seguro com o ModSecurity

Verificação de integridade de arquivos - Ferramenta OSSEC

Automatizando as atualizações no Linux

Comentários

[1] Comentário enviado por TSM em 10/09/2007 - 14:20h

Muito bom cara o seu artigo, valeu.

0 0

[2] Comentário enviado por y2h4ck em 10/09/2007 - 14:22h

"Para o proposto, irei utilizar o OpenVPN, que se comparado ao FreeSwan, oferece muito mais flexibilidade na implementação, além de não ter problemas em estruturas que com o gateway fazendo NAT."

Que problema e esse ??? Nunca ouvi falar nada disso...

0 0

[3] Comentário enviado por boxmga em 10/09/2007 - 15:46h

?comentario=Que problema e esse ??? Nunca ouvi falar nada disso...

IPsec não atravesa NAT transversa. Tem sempre que estar no 1.º firewall de fora para dentro. Por exemplo, se você tem uma DMZ com um firewall externo e um interno, fazendo NAT do firewall externo para o interno (sem que o interno esteja exposto na internet), o IPsec não funciona.

0 0

[4] Comentário enviado por peregrino em 10/09/2007 - 15:56h

olha até aonde eu sei o nat transversal é justamente para fazer isso e hoje se usa o openswan

at+

0 0

[5] Comentário enviado por y2h4ck em 11/09/2007 - 11:06h

exato, acho que nosso amigo aí não fez o dever de casa direito hein peregrino rs rs :D

0 0

[6] Comentário enviado por clayton.ricardo em 12/09/2007 - 10:32h

Parabéns pela contribuição do artigo!

Vlw!

0 0

[7] Comentário enviado por Malone em 16/01/2008 - 17:06h

Olá...

Preciso montar uma VPN entre 7 pontos usando openVPN, como devo proceder ?

1. Vamos levantar a Matriz:

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.3

# /usr/local/sbin/openvpn --config /etc/openvpn/matriz.conf -daemon
# route add -net 192.168.2.0/24 gw 10.1.1.4

Assim ????

Obrigado....

0 0

[8] Comentário enviado por rafael martins em 22/01/2008 - 02:19h

Olá, Malone.

Se você quiser configurar uma VPN segura, crie uma chave para cada ponta... Além disso, utilize faixas de rede distintas para cada filial..

Desse modo, você teria na matriz:

# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial1.conf --daemon
# route add -net 192.168.1.0/24 gw 10.0.0.2

# /usr/local/sbin/openvpn --config /etc/openvpn/matrizfilial2.conf --daemon
# route add -net 192.168.2.0/24 gw 10.1.1.2

... E por ai vai...

Lembre-se de criar uma chave para cada ponta...
Lembre-se também de usar alterar o parâmetro "port":

matrizfilial1 -> port 5000
matrizfilial2 -> port 5001
...

Qualquer dúvida, é só postar...
Um abraço...

0 0

[9] Comentário enviado por removido em 03/03/2008 - 09:29h

amigo, a filial tmb precisa de no-ip?
como que a matriz vai perceber a filial sem isso?

0 0

[10] Comentário enviado por rafael martins em 03/03/2008 - 11:48h

Leopoldo.

Não, a filial não precisa de um no-ip...
Quando a filial estabelece a conexão com a matriz, o túnel é criado.

0 0

[11] Comentário enviado por teuzin em 05/08/2008 - 11:56h

olá sou meio novato no linux e gostaria de saber o seguinte:

nao encontrei essa versao do openvpn pois até mesmo no site deles tem até a versao 1.6 e dpois pula pra 2.0 entao eu optei por instalar a última versao. Poderia haver alguma diferença no processo de compilaçao/instalaçao?
executei o comando para levantar a matriz sem erros
como posso saber se está realmente ativa?
em outro artigo li que cria uma nova interface de rede chamada tun0 mas no meu caso nao criou :/

estou usando o slack 12

grato pela paciência/atenção

Matheus Schaffer

0 0

[12] Comentário enviado por Ruy_Go em 06/07/2009 - 20:17h

Bom pessoal, o artigo realmente está excelente de de fácil compreensão!
em resposta ao Teuzin, voce pode sim utilizar a ultima versão do openvpn, desde que o mesmo seja uma versão considerada estável.

O tun nao subiu pq alguma coisa passou batido ou então sua configuração contém algum erro, pois eu tenho vpn configurada em slack 10.2, 11 e 12.

Qualquer dúvida pode perguntar ae, a galera aqui está para ajudar mesmo!

0 0

[13] Comentário enviado por julianderson em 24/04/2010 - 21:51h

ola
vc poderia me ajudar a montar uma openvpn na minha empresa
gostaria muito
dril_jsp@hotmail.com

0 0