Open VPN - Matriz e Filial

a.mendesaguiar
(usa Fedora)

Enviado em 17/02/2008 - 16:12h

Pessoal,

Estou com a seguinte dificuldade.

Tenho 2 redes
1º está em um Data Center - matriz
2º está em um escritório - filial

Nestes 2 ambientes já possuo o serviço de OPEN VPN funcionando para clientes XP.

Onde o metodo de criptografia é SSL/TLS(onde o usuário deve colocar uma senha e possuir um certificado par se conectar há VPN

Ou seja se algum cliente externo precisa acessar o ambiente do Data Center ele se conecta na VPN do Data Center com seu notebook XP ou com seu desktop em sua

Se algum cliente precisa de conectar no ambiente do escritório ele conecta na VPN do escritório com seu notebook XP ou com seu desktop em sua casa.

Entre o Data Center e o escritório tenho 2 router CISCO com o link dedicado de 2mega que será cancelado dentro de 1 mês.

Missão:
Fechar uma VPN entre o Data Center e o escritorio

Gostaria de fechar um tunel seguro e eficiente entre estes 2 ambientes.

Segue o procedimento que já tentei.

Servidor Data Center

# openvpn --genkey --secret /etc/openvpn/chave_matriz
# cd /etc/openvpn
# chmod -R 700 chave_matriz
# ls -la
-rwx------ 1 root root 636 Feb 16 17:04 chave_matriz

# touch /etc/openvpn/matriz.conf

Com o seguinte conteudo

------------------------------
dev tun
ifconfig 10.2.30.1 10.2.30.2
cd /etc/openvpn
secret chave_matriz
port 5000
comp-lzo
user nobody
group nobody
log /var/log/openvpn_matriz.log
log-append /var/log/openvpn_matriz.log
verb 6
------------------------------

Iniciando
# openvpn --config /etc/openvpn/matriz.conf --daemon

# ifconfig
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.2.30.1 P-t-P:10.2.30.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Matriz está ok aguardando conexão

Enviando chave por um meio seguro

# scp /etc/openvpn/chave ip_filial:/etc/openvpn

Agora Servidor Filial

# touch /etc/openvpn/filial.conf

-----------------------------------
dev tun
ifconfig 10.2.30.2 10.2.30.1
remote ip externo do servidor matriz
cd /etc/openvpn
secret chave_matriz
port 5000
comp-lzo
user nobody
group nobody
log /var/log/openvpn_matriz.log
log-append /var/log/openvpn_matriz.log
verb 6
------------------------------

# openvpn --config /etc/openvpn/filial.conf --daemon

ifconfig

tun1 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.2.30.2 P-t-P:10.2.30.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Para adicionar a rota com destino a rede da Filial, execute de dentro do servidor da Matriz o seguinte comando:

# route add -net 10.2.10.0/24 gw 10.2.30.2
Para adicionar a rota com destino a rede da Matriz, execute de dentro do servidor da Filial o seguinte comando:

# route add -net 10.2.20.0/24 gw 10.2.30.1

Liberando portas para open VPN no firewall

##########################################################
############### Liberando acesso OPENVPN #################
##########################################################
echo ""
echo "$COLOR[44;37m Liberando Acesso OPENVPN$COLOR[0m"
echo ""

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -p udp -d $ANY --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $ANY --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -d $ANY --sport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $ANY --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -d $ANY --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $ANY --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -d $ANY --sport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $ANY --sport 5000 -j ACCEPT

iptables -A OUTPUT -p udp -d $ANY --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $ANY --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -d $ANY --sport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $ANY --sport 5000 -j ACCEPT

`openvpn --config /etc/openvpn/matriz.conf --daemon`

iptables -A FORWARD -p udp -d $ANY --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $ANY --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d $ANY --sport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $ANY --sport 1194 -j ACCEPT

iptables -A INPUT -p udp -d $ANY --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $ANY --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -d $ANY --sport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $ANY --sport 1194 -j ACCEPT

iptables -A OUTPUT -p udp -d $ANY --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $ANY --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -d $ANY --sport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $ANY --sport 1194 -j ACCEPT

`openvpn --config /etc/openvpn/openvpn.conf --daemon`