VPN (filial) autenticando e usando o proxy do servidor de VPN (matriz)

Esse artigo mostra como configurar a VPN (filial) para que use autenticação e proxy da da VPN (matriz). Com esse sistema a filial só sairá pela internet pelo link da matriz, não sendo possível acessar o internet sem usar o proxy.

[ Hits: 55.547 ]

Por: Rafael Tomelin em 24/08/2006 | Blog: http://teclinux.no-ip.org:8080


Configuração inicial



Esse tutorial irá mostrar como fazer a configuração de uma VPN (matriz e filial), sendo que a filial irá usar o serviços de autenticação (Samba) e proxy da matriz.

Iremos configurar a VPN com criptografia e depois na filial iremos informar que tudo que vier da internet será bloqueado, iremos liberar apenas as conexões vindas pela a interface virtual (VPN).

OBS: É preciso ter 2 placas de rede em cada micro. A VPN não funciona com configurações de placas de redes virtuais. Exemplo: eth0:1 IP.

Pacotes necessários:
  • OpenSSL
  • OpenVPN
  • Samba (autenticação)
  • SQUID

Iremos fazer na ordem mostrada acima.

Primeiramente baixaremos o OpenVPN e compilaremos.

Link do OpenVPN 2.0.7:
# tar -zxvf openvpn-2.0.7.tar.gz
# cd openvpn-2.0.7
# ./configure --prefix=/usr/local/openvpn --sysconfdir=/etc/openvpn
# make && make install


Após a instalação do OpenVPN em ambas as máquinas, iremos configurá-las, interligando as 2 subnets com OpenVPN.

    Próxima página

Páginas do artigo
   1. Configuração inicial
   2. Configurando o servidor VPN da matriz
   3. Configurando o servidor VPN da FILIAL
   4. Configurações finais
Outros artigos deste autor

Segurança SSH com DenyHosts

Leitura recomendada

Qualidade de Serviços para Gateways Linux (QoS)

Roteamento no openVPN com redes iguais

Bind com suporte a sdb/PostgreSQL

SOCKS - Acessando Hosts remotos via OpenSSH

Quando seria mais conveniente usar wvdial no terminal para conexões 3G ou EDGE?

  
Comentários
[1] Comentário enviado por removido em 25/08/2006 - 10:52h

Para que autenticar na matriz ? vai congestionar a VPN a nao ser q o link seja de fibra optica. rs. ja q tem linux nas duas pontas faz autenticaçao local na filial tb.

[2] Comentário enviado por c.rafael em 25/08/2006 - 13:50h

Olá NETUNIX,

Isso se for uma empresa pequena que tenha filial ou uma empresa que tenha uma filial pequena.

Tenho essa estrutura sendo que na filial tem apenas 3 micros. Não irei colocar lah um proxy só para eles. E alem disso tenho um sistema de cartão ponto que faço o backup todos os dias da filial.

Tenho um link de 400K tanto na matriz quanto na filial só para vpn, alem de um outro link de 1MB da matriz que é para acesso a internet. Esse link de 400K funciona perfeito, sendo que na matriz o link de 400k é ip fixo e na filial até um tempo atras não era, mas agora estamos com ip fixo por ser o mesmo valor.

Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo), tem que ter um script que apenas conferi se o usuário está autenticado ou não.

[3] Comentário enviado por wrlima em 27/08/2006 - 02:14h

Caro Raphael,

O artigo esta ótimo, porem faltou você informar sobre o pacote lzo, na hora da compilação citada acima dara um erro informando sobre as libs do LZO.

E nao esqueça do grupo nobody

Abs,

[4] Comentário enviado por removido em 27/08/2006 - 02:26h

OK.
Valeu lembrar entao que para se fazer essa estrutura requer bastante banda disponivel so para VPN. Temo pelos usuarios que leem o artigo e ja saem instalando suas VPNs sem saber o basico.
Abraços

[5] Comentário enviado por jmhenrique em 10/09/2006 - 08:16h

Concordo, netunix. Aqui, por exemplo, saiu bem mais em conta contratar links adsl somente para fluxo de internet nas filiais que utilizar a vpn com a matriz, que somente é utilizada para sistemas internos, e gerenciar cada proxy de cada filial independentemente.
(mais de 40 micros em cada... inviável fazer acesso a internet por vpn).
Mas para um ou dois micrinhos, sem muito acesso a internet e sem sistemas muito criticos, e com usuários comportados, porque não? :D

[6] Comentário enviado por antonioleite em 26/08/2007 - 17:59h

Amigos ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado

[7] Comentário enviado por mauricio.galindo em 28/09/2007 - 14:16h

Olá gostaria de uma ajuda querio conectar meu servidor via VPN em outro servidor VPN.... aguardando resposta obrigado pessoal.

[8] Comentário enviado por edivaldocaj em 14/12/2007 - 17:03h

muito boa

[9] Comentário enviado por celsopimentel em 21/01/2009 - 22:20h

Rafael, você comentou que "Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo)"
Gostaria de mais informações desta opção, de usar a VPN para autenticar no proxy filtrar pelas políticas da Matriz, mas sair para a internet com o link da própria filial. Isso é possivel mesmo, e viável? Se mais colegas puderem me ajudar fico grato. Um grande abraço a todos.


Contribuir com comentário