VPN - usando SSH
Este artigo ensina como fazer o SSH trabalhar como uma VPN.
[ Hits: 75.135 ]
Por: Perfil removido em 27/01/2012
Estabelecendo a conexão - Túnel ponto a ponto
Depois de realizar a configuração no servidor, é hora de estabelecer a conexão com o mesmo e começar a usar sua VPN.
Logado como 'root' (no cliente), digite no terminal o comando abaixo:
# ssh -f -w 0:0 -o Tunnel=ethernet root@192.168.222.33 ifconfig tap0 10.5.5.1 netmask 255.255.255.0
Obs.: É necessário digitar usando o usuário 'root', pois só ele tem poder administrativo para gerar o dispositivo virtual no servidor e no cliente. A autenticação realizada vai seguir a configurada no servidor, pode ser através da senha do 'root' ou através das chaves de autenticação ( o que é mais seguro).
Caso digite o comando sem o usuário 'root' ter permissão de se logar via SSH (configuração feita no "/etc/ssh/sshd_config" na primeira página), provavelmente um erro como o mostrado abaixo será retornado:
Caso apareça este outro erro descrito abaixo, significa que, ou o SSH do servidor não está usando uma versão mais antiga ou a opção 'PermitTunnel' está desabilitada:
Explicação das opções usadas:
Após executar o comando no cliente e não ter gerado algum erro como comentado no inicio da página, logue no servidor como 'root' e execute o comando:
# ifconfig
E veja que a interface 'tap0' foi criada:
Observe que foi criado até um MAC para a interface virtual.
Agora é hora de configurar a interface 'tap0' do cliente que ainda não foi ativada. Para isto, execute no terminal como 'root':
# ifconfig tap0 10.5.5.2 netmask 255.255.255.0 up
Teste, usando o ping:
# ping -c 3 10.5..5.1
Logado como 'root' (no cliente), digite no terminal o comando abaixo:
# ssh -f -w 0:0 -o Tunnel=ethernet root@192.168.222.33 ifconfig tap0 10.5.5.1 netmask 255.255.255.0
Obs.: É necessário digitar usando o usuário 'root', pois só ele tem poder administrativo para gerar o dispositivo virtual no servidor e no cliente. A autenticação realizada vai seguir a configurada no servidor, pode ser através da senha do 'root' ou através das chaves de autenticação ( o que é mais seguro).
Caso digite o comando sem o usuário 'root' ter permissão de se logar via SSH (configuração feita no "/etc/ssh/sshd_config" na primeira página), provavelmente um erro como o mostrado abaixo será retornado:
Tunel device open failed
Could not request tunnel forwarding
Caso apareça este outro erro descrito abaixo, significa que, ou o SSH do servidor não está usando uma versão mais antiga ou a opção 'PermitTunnel' está desabilitada:
SIOCSIFADDR: Dispositivo inexistente
tap0: ERROR while getting interface flags: Dispositivo inexistente
SIOCSIFNETMASK: Dispositivo inexistente
Explicação das opções usadas:
- -f:- Esta opção faz com que o comando seja executado em background e não fique ocupando seu terminal durante a execução.
- -w 0:0:- É usada para criar o túnel, neste caso criando a interface 'tap0' no cliente e a interface 'tap0' no servidor.
- -o Tunnel=ethernet:- Indica que deve ser criada uma interface virtual TAP. O default do SSH (quando a opção é omitida) é criar uma interface TUN. A grande diferença entre as duas é que a interface TAP pode ser usada para criar um 'bridge', o que permite efetivamente unir as duas redes.
- root@192.168.222.33:- O '192.168.222.33' representa o endereço IP do servidor, e deve ser substituído pelo endereço IP do seu servidor SSH. O "root" refere-se ao usuário que irá logar no servidor.
- ifconfig tap0 10.5.5.1 netmask 255.255.255.0:- Configura o endereço IP e a máscara que será usada pela interface 'tap0' que será criada no servidor. Você pode usar o endereço e máscara que quiser, mas ela deve ser diferente da faixa de IPs usada na rede local.
Após executar o comando no cliente e não ter gerado algum erro como comentado no inicio da página, logue no servidor como 'root' e execute o comando:
# ifconfig
E veja que a interface 'tap0' foi criada:
tap0 Encapsulamento do Link: Ethernet Endereço de HW EA:CE:66:FB:1A:DG
inet end.: 10.5.5.1 Bcast:10.5.5.255 Masc:255.255.0.0
endereço inet6: fe80::e8ce:ecff:fefb:1add/64 Escopo:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Métrica:1
pacotes RX:4 erros:0 descartados:0 excesso:0 quadro:0
Pacotes TX:26 erros:0 descartados:0 excesso:0 portadora:0
colisões:0 txqueuelen:500
RX bytes:328 (328.0 b) TX bytes:4317 (4.2 KiB)
Observe que foi criado até um MAC para a interface virtual.
Agora é hora de configurar a interface 'tap0' do cliente que ainda não foi ativada. Para isto, execute no terminal como 'root':
# ifconfig tap0 10.5.5.2 netmask 255.255.255.0 up
Teste, usando o ping:
# ping -c 3 10.5..5.1
Páginas do artigo
1. Introdução e configuração do servidor2. Estabelecendo a conexão - Túnel ponto a ponto
3. Definindo rotas
Outros artigos deste autor
Solução de backup para servidores Windows, Linux & BSD’s
Instalando o Gnome-2.20.0 no Slacware 12
Grub animado no Ubuntu? BURG nele!
Liberdade, usuários e políticas de manutenção de ignorância
Construindo um portscanner TCP com Python
Leitura recomendada
K12LTSP - Executando o Mozilla antes do GDM
Upgrade no Arch Linux usando outro PC com Internet rápida
Screen, eita ferramenta porreta!
Instalando codecs, plugins e drivers NVidia e ATI com o EasyUbuntu
Comentários
[3] Comentário enviado por dimasdaros em 27/01/2012 - 18:01h
Excelente dica.
Vou testar assim que chegar em casa.
Muito obrigado =)
----
Edit
Ocorreu tudo certo, muito massa
Cada dia aprendo uma coisa nova à respeito do SSH, redirecionamento de porta, abrir arquivo com X localmente, VPN.
E viva o espirito livre :P
Excelente dica.
Vou testar assim que chegar em casa.
Muito obrigado =)
----
Edit
Ocorreu tudo certo, muito massa
Cada dia aprendo uma coisa nova à respeito do SSH, redirecionamento de porta, abrir arquivo com X localmente, VPN.
E viva o espirito livre :P
[4] Comentário enviado por cesarufmt em 30/01/2012 - 10:09h
Já vou testar hoje.
Chegou em ótima hora!
Valeu demais! o//
Já vou testar hoje.
Chegou em ótima hora!
Valeu demais! o//
[5] Comentário enviado por ricardoolonca em 01/02/2012 - 08:58h
Simples e eficiente. Parabéns pelo artigo.
Simples e eficiente. Parabéns pelo artigo.
[6] Comentário enviado por arthurmatiello em 02/02/2012 - 22:46h
OTIMO ARTIGO, ADICIONADO AOS FAVORITOS
OTIMO ARTIGO, ADICIONADO AOS FAVORITOS
[7] Comentário enviado por removido em 07/02/2012 - 19:01h
Obrigado pelos comentários..
Espero que ajude a muitos que necessitam criar uma vpn sem a necessidade configurações mais complexas.
Abraço...
Obrigado pelos comentários..
Espero que ajude a muitos que necessitam criar uma vpn sem a necessidade configurações mais complexas.
Abraço...
[8] Comentário enviado por ragen em 23/02/2012 - 23:01h
Olá Edson,
Lendo o artigo pensei: ótimo, é uma mão na roda não precisar mais fazer chaves pro OpenVPN... Mas ai me ocorreu que e SE hipoteticamente alguém ganhar acesso à um servidor seu ele pode pular em efeito cascata para os demais tendo se houver autenticação por troca de chaves.
O pior já seria dado a shell de root para qualquer atacante que por exemplo bootasse sua máquina em modo single. Já parou para pensar nisso?
Mas não deixo de parabenizá-lo pelo excelente artigo e didática.
Abraço!
Olá Edson,
Lendo o artigo pensei: ótimo, é uma mão na roda não precisar mais fazer chaves pro OpenVPN... Mas ai me ocorreu que e SE hipoteticamente alguém ganhar acesso à um servidor seu ele pode pular em efeito cascata para os demais tendo se houver autenticação por troca de chaves.
O pior já seria dado a shell de root para qualquer atacante que por exemplo bootasse sua máquina em modo single. Já parou para pensar nisso?
Mas não deixo de parabenizá-lo pelo excelente artigo e didática.
Abraço!
[9] Comentário enviado por removido em 24/02/2012 - 13:48h
Amigo ragen Obrigado pelo comentário e sua observação foi bem feita,
Mas...
Primeiro para acessar servidores usando autenticação com chaves de segurança é aconselhavel usar chaves com senha, para que se tenha mais segurança.
Segundo para acessar um servidor fisicamente, só pode alguém com permissão e não é qualquer um que pode, além de poder usar autenticação para manipular a edição das opções de boot e linha de comando do grub;
Mas caso alguém consiga acesso via ssh usando o usuário root, tem como limitar o usuário root localmente no servidor ssh, fiz uma observação na primeira página explicando que no arquivo de configuração do servidor ssh tem uma opção para "limitar" os recursos que o usuário root pode usar, fazendo com que o mesmo não consiga fazer login, Mas para fazer isso é necessário mais configurações no servidor para permitir os comandos remotamente.
Amigo ragen Obrigado pelo comentário e sua observação foi bem feita,
Mas...
Primeiro para acessar servidores usando autenticação com chaves de segurança é aconselhavel usar chaves com senha, para que se tenha mais segurança.
Segundo para acessar um servidor fisicamente, só pode alguém com permissão e não é qualquer um que pode, além de poder usar autenticação para manipular a edição das opções de boot e linha de comando do grub;
Mas caso alguém consiga acesso via ssh usando o usuário root, tem como limitar o usuário root localmente no servidor ssh, fiz uma observação na primeira página explicando que no arquivo de configuração do servidor ssh tem uma opção para "limitar" os recursos que o usuário root pode usar, fazendo com que o mesmo não consiga fazer login, Mas para fazer isso é necessário mais configurações no servidor para permitir os comandos remotamente.
[10] Comentário enviado por renato_pacheco em 28/02/2012 - 17:24h
Engraçado... não sabia q dava pra criar um túnel apenas com o SSH, mas os procedimentos (e até alguns parâmetros) são bem parecidos com os procedimentos do OpenVPN.
Show d bola!
Engraçado... não sabia q dava pra criar um túnel apenas com o SSH, mas os procedimentos (e até alguns parâmetros) são bem parecidos com os procedimentos do OpenVPN.
Show d bola!
[11] Comentário enviado por tonnytg em 07/01/2013 - 10:03h
Parabéns, ficou muito bem explicado.
Costumo usar o SSH para fazer tuneis redirecionando portas com: ssh -L 5901:localhost:5901 root@destino
Assim consigo abrir a porta 5901 do destino na minha própria máquina localhost:5901.
Parabéns, ficou muito bem explicado.
Costumo usar o SSH para fazer tuneis redirecionando portas com: ssh -L 5901:localhost:5901 root@destino
Assim consigo abrir a porta 5901 do destino na minha própria máquina localhost:5901.
[12] Comentário enviado por kadu137 em 05/06/2013 - 22:39h
Ótima dica, é bom lembrar que se o IP do VPNServer(SSH) estiver no mesmo range da sua rede remota (um caso hipotético seria: rede com IP's reais de uma grande instituição), no momento que vc adicionar a rota para a rede, a conexão com 10.5.5.1 vai cair, porque ela já estava estabelecida através da sua máquina client WAN.
Aconteceu comigo e a solução em vez de criar a rota para a rede tora "- net" fiz um loop e criei por host "-host" e coloquei um if se chegar no ipsshserver.
Resumindo:
#LOOP Para adicionar Rota atraves da VPN
for ip in `seq 1 254`;do
if [ $ip -ne "SUFIXO IP SSHSERVER (ex.:190)" ];then
route add -host $PREFIXO.$ip/32 gw 10.5.5.1 dev tap0;
fi;
done
abraços.
Ótima dica, é bom lembrar que se o IP do VPNServer(SSH) estiver no mesmo range da sua rede remota (um caso hipotético seria: rede com IP's reais de uma grande instituição), no momento que vc adicionar a rota para a rede, a conexão com 10.5.5.1 vai cair, porque ela já estava estabelecida através da sua máquina client WAN.
Aconteceu comigo e a solução em vez de criar a rota para a rede tora "- net" fiz um loop e criei por host "-host" e coloquei um if se chegar no ipsshserver.
Resumindo:
#LOOP Para adicionar Rota atraves da VPN
for ip in `seq 1 254`;do
if [ $ip -ne "SUFIXO IP SSHSERVER (ex.:190)" ];then
route add -host $PREFIXO.$ip/32 gw 10.5.5.1 dev tap0;
fi;
done
abraços.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
E a guerra contra bots continua
Tradução do artigo do filósofo Gottfried Wilhelm Leibniz sobre o sistema binário
Conheça o firewall OpenGFW, uma implementação do (Great Firewall of China).
Dicas
Instalando o FreeOffice no LMDE 6
Anki: Remover Tags de Estilo HTML de Todas as Cartas
Colocando uma opção de redimensionamento de imagem no menu de contexto do KDE
Tópicos
Gentoo bane contribuições de código feitas com IA (7)
Ubuntu — tentando iniciar o windows? (3)
Failed to start Zabbix Server (1)
Top 10 do mês
-
Xerxes
1° lugar - 69.942 pts -
Fábio Berbert de Paula
2° lugar - 57.253 pts -
Clodoaldo Santos
3° lugar - 43.100 pts -
Supervisor dos Moderadores
4° lugar - 23.169 pts -
Sidnei Serra
5° lugar - 22.694 pts -
Daniel Lara Souza
6° lugar - 17.122 pts -
Mauricio Ferrari
7° lugar - 17.083 pts -
Alberto Federman Neto.
8° lugar - 17.079 pts -
Diego Mendes Rodrigues
9° lugar - 15.720 pts -
edps
10° lugar - 14.209 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
