Neste primeiro artigo da série será abordada a configuração do OpenVPN com chaves estáticas. Todos os procedimentos foram feitos na distribuição Debian.
Esse artigo é o primeiro de uma série de três e trata da implementação de um servidor de VPN em seus vários aspectos de segurança e praticidade. Na primeira parte será abordado a configuração do OpenVPN com chaves estáticas. Na segunda parte será abordado a configuração com certificados digitais e na terceira parte a configuração do servidor em modo bridge.
A forma mais simples de configurar o OpenVPN é utilizar chaves estáticas, onde é criado um arquivo de 2048 bits utilizado para criptografar os dados transmitidos pelo túnel, essa chave oferece um nível de segurança mediano, devido a chave ser estática e seu algoritmo não mudar a cada conexão, sempre há a possibilidade de um atacante descobrir a chave. A solução mais simples e viável seria trocas as chaves periodicamente fazendo com que essas tentativas de invasão se tornem ineficazes.
O OpenVPN é um dos softwares de código aberto mais utilizados e seguros para implementação de uma "Virtual Private Network" ou "Rede Virtual Privada". Isto se deve ao fato de ser seguro, prático e de fácil implementação.
Uma VPN tem muitas vantagens em ambientes corporativos ou até mesmo residenciais. Trata-se de uma forma de compartilhar arquivos, impressoras ou até mesmo um sistema de gestão de forma segura. Antigamente a única forma de interligar redes era utilizando link dedicados com endereços IP públicos, mas o valor da infra-estrutura muitas vezes não era justificável. Com o OpenVPN podemos interligar um número de filiais indefinidos, com custos relativamente baixos e podemos utilizar endereços IP públicos não fixos, utilizando o serviço de DNS dinâmico. Sabemos que nenhuma VPN é 100% segura, mas com os serviços bem configurados e um firewall totalmente fechado os riscos de invasão são pequenos.
Uma observação importante é que a VPN cria interfaces virtuais no servidor, sendo que estas interfaces devem estar com endereço IP diferente dos da rede interna. A seguir mostrarei um esboço de como ficarão os endereços da rede interna e da VPN. No decorrer do artigo veremos que implementar uma VPN é uma tarefa simples, desde que fique bem entendido como é seu funcionamento.
Lets go!
Matriz:
eth0 - Velox com endereço DNS dinâmico: openvpn.no-ip.info;
[1] Comentário enviado por feliperossi em 03/08/2009 - 17:02h
Parabens Ótimo Artigo. Prático e Objetivo.
Só tenho uma dúvida quanto a distancia em que uma VPN pode ser implementada.
Hj estou implementando uma infra-estrutura de internet em um cliente.
A empresa tem filiais no Mato Grosso e a Matriz fica no Paraná.
Na matriz tem um link 1024/1024 Fibra Óptica, e se conectam em media 30 a 40 usuarios na matriz durante o dia.
Fica a pergunta, com essa distancia a VPN suportaria tranquilamente outro volume de igual ou maior valor
de usuários conectados?!?!?!
[2] Comentário enviado por magnolinux em 03/08/2009 - 21:10h
Boa noite feliperossi, fico feliz que tenha gostado do artigo. Em relação a sua duvida é dificil responder sem fazer uma analise da infraestrutura da empresa. A vpn nao tem distancia maxima, mais quanto mais distante, mais delay vc tera no acesso. você deve fazer um levantamento do que sera trafegado no tunel, quantos micros irao acessar simultaneo, qual sera o horario de pico e depois, analisar se o link de 1MB iria atender.
[4] Comentário enviado por leandrobrunoo em 04/08/2009 - 10:18h
Bom dia, Estou com uma duvida.
com o serviço da vpn montada,as maquinas da rede a q tao com o
SO Windows vao se comunicar com as maquinas da rede b com o SO windows ??
[5] Comentário enviado por magnolinux em 04/08/2009 - 13:04h
bom dia predator, para incluir mais filiais, voçê deve fazer o seguinte. Na matriz deve criar outro arquivo de configuração com nomes diferentes e no arquivo alterar o ip da filial, a interface tun e a porta de conexão da vpn. Ficaria da seguinte forma
# Copiando arquivo de conf
cp matriz.conf matriz2.conf
# Editando arquivo vim matriz2.conf
ifconfig 10.6.0.1 10.6.0.3 # Esse IP sera o ip da nova filial
tun1 # Interface virtual da vpn
port 1195 # Porta da vpn
desta forma pode incluir quantas filiais quiser, serão criado no servidor varias interface TUN, cada filial tera seu proprio tunel para trafegar os dados. O meu proximo artigo irei abordar a configuração com certificado digital onde é possivel conectar varios clientes no mesmo tunel e na mesma porta.
[7] Comentário enviado por leandrobrunoo em 04/08/2009 - 20:46h
tudo bem entao, so mais uma duvida !
tenho q ter quantas placas de rede em cada servidor ?, pelo q eu entendi tenho q ter duas, em cada servidor.
as redes q quero junta atravez da vpn, sao iguais as q vc citou acima, devo uso as mesma rotas, citadas a cima, no seu artigo ?
por fim, qual a distro q vc usou ?
[8] Comentário enviado por magnolinux em 04/08/2009 - 22:48h
vc precisa somente de uma placa de rede em cada servidor, as interfaces TUN sao virtuais nao necessitam de placas de rede fisicas. Se os endereço da matriz e filial forem iguais citados acima, pode usar as rotas do artigo.. Fiz os testes em varias distro debian lenny, debian etch, ubuntu 9.10
[9] Comentário enviado por leandrobrunoo em 05/08/2009 - 16:53h
sei q estou te enxendo o saco, mais e q segui um artigo aqui da vol, e nao consegui acessar minha outra rede.
por isso q estou tirando minhas duvidas, pra depois por em pratica e seguir suas dica.
outra coisa, tenho q abri as porta no modem, estou certo ? Quais UDP OU TCP ?
e tenho q montar algum serviço samba, ou nao e preciso ?
[10] Comentário enviado por magnolinux em 05/08/2009 - 17:31h
que isso leandrobrunoo, de forma alguma esta enxendo o saco!! estou aqui para poder passar um pouco da minha experiencia para aqueles que querem aprender. Pelo contrario fico feliz que esteja perguntando e tentando colocar essa solução maravilhosa em funcionamento.
Let's go my friend.
A vpn se conecta atraves de uma porta udp, essa porta pode ser qualquer uma, basta vc adicionar no arquivo de configuração da filial e na matriz. E necessario vc liberar essa porta caso aja um firewall bloqueando as portas de entrada. Depois das rotas criadas, vc póde acessar um micro da outra rede apenas via \\IP_Micro.
Acredite simples assim.........
Caso vc queira colocar o samba ou um dominio, ira funcionar perfeitamente. Lembrando para a filiial acessar a matriz e a matriz acessar a filial e necessario criar as rotas..
[11] Comentário enviado por pettersonrobertp em 10/08/2009 - 21:35h
Boa noite, primeira quero parabenizar pelo procedimento que esta bem especificado!
Segui seu tutorial como exemplo, configurei as rotas o arquivo server.conf ambos dentro da pasta openvpn, mas quando tento restartar o serviço da falha, ou mesmo quando digito com comando ifconfig tun0 aparece a seguinte mensagem "tun0: erro obtendo informações da interface: %s: dispositivo não encontrado". Consultei o log e segue o erro :
Mon Aug 10 20:20:04 2009 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 10 20:20:04 2009 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 10 20:20:04 2009 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Aug 10 20:20:04 2009 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Aug 10 20:20:04 2009 LZO compression initialized
Mon Aug 10 20:20:04 2009 TUN/TAP device tun0 opened
Mon Aug 10 20:20:04 2009 TUN/TAP TX queue length set to 100
Mon Aug 10 20:20:04 2009 /sbin/ifconfig tun0 192.168.1.1 pointopoint 192.168.1.2 mtu 1500
Mon Aug 10 20:20:04 2009 /etc/openvpn/rotas.up tun0 1500 1545 192.168.1.1 192.168.1.2 init
Mon Aug 10 20:20:04 2009 script failed: could not execute external program
Mon Aug 10 20:20:04 2009 Exiting
Não sei onde errei, tenho ip fixo no server 10.0.0.2 adcionei o ip para interface virtual 192.168.1.1, criei uma rota "route add -net 10.0.0.2 netmask 255.0.0.0 gw 192.168.1.1 dev tun0"..
[12] Comentário enviado por wfahham em 11/08/2009 - 14:50h
Primeiro, meus parabés pela clareza das informações fornecidas e direção dada ao texto.
segundo, eu procedi conforme vc descreveu e fiquei muito irritado, pois um tutorial tão perfeito e eu não conseguir executar, é muito triste, mas decidi tentar configurar de forma de unico servidor, sem haver filial, caso eu queira que de qualquer lugar um usuário possa acessar de seu notebook ou outro meu de acesso
alterei a seguinte linha para servidor unico:
#endereço servidor
x.x.x.x
pois tenho aqui na empresa um isa 2006 e quero substituir, e acredito que o openvpn vai substituir com total tranquilidade.
O servidor openvpn não start e pior ainda não gera log.
[14] Comentário enviado por magnolinux em 11/08/2009 - 18:30h
Boa noite pettersonrobertp, provavelmente o seu kernel nao tem o modulo tun, qual a versão do seu kernel e qual distro esta utilizando.
Digite o comando e ve se apareçe algum erro.!
modprobe tun
Se nao apareçer nenhum erro vamos ao segundo passo. Pelo que vc descreveu a configuração esta correta. dentro do arquivo de configuração do servidor, comenta o caminho para carregar as rotas e restarta a vpn e ve se vai apareçer algum erro.
[15] Comentário enviado por magnolinux em 11/08/2009 - 18:35h
e ae wfahham, muito obrigado pelo elogio, pode ficar trankilo que nada vem de graça tudo tem um pouco de dificulodade a perfeição requer tempo...!!!!
let's go..
primeiramente vamos ver se o modulo tun esta habilitado no seu kernel. Digite o comando abaixo e observer se vai apareçer algum erro.
modprobe tun
um teste sempre valido e ir comentando linha por linha dentro do arquivo de configuração e ver se tem alguma linha gerando problema. Deixe o arquivo de conf somente com o basico, da seguinte forma
dev tun
ifconfig 10.6.0.1 10.6.0.2
port 1194
proto udp
secret /etc/openvpn/chave.key "Verifique se o caminho da chave e o nome esta correto"
[20] Comentário enviado por leandrobrunoo em 18/08/2009 - 11:15h
Agora ver a onda !
nao tou conseguindo pingar do server central pra o server filial !
do server central # ping 10.6.0.2 erro
do server filial # ping 10.6.0.1 erro
agora se eu pingar do server central pra ele mermo da certo # ping 10.6.0.1 da ok
oq pode ser, alguem sabe me ajudar !
tenho q por essa vpn pra funfar o mais rapido, pra garantir o meu trampo, e pagar uns curso linux.
ajuda aew galera, se for o caso eu libero o acesso remoto.
please
[21] Comentário enviado por magnolinux em 18/08/2009 - 12:18h
leandrobrunoo, vc liberou a porta da vpn e o trafego dos tunel em ambos os servidores. Como vc esta conseguindo pingar no proprio servidor isso quer dizer q a interface tun esta ok, mais o tunel nao deve ter sido fechado. Outra coisa de uma olhada nos arquivos de logs, sao muito importante para descobrir os problemas.
[22] Comentário enviado por leandrobrunoo em 18/08/2009 - 14:09h
vc fala abri as portas no modem ?
se for isso liberei sim, nao sei mais oq fazer !
amigo magnolinux, se for o caso, e vc tiver tempo claro, eu libero o acesso remoto aqui pra vc da uma olhada, me passa um e-mail com o seu tel q eu te ligo.
leandrobrunoo@msn.com
BJC-MATRIZ:/etc/openvpn# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.6.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 10.6.0.1 255.255.255.0 UG 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
BJC-FILIAL:/etc/openvpn# route -n
Tabela de Roteamento IP do Kernel
Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
10.6.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 10.6.0.2 255.255.255.0 UG 0 0 0 tun0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
[23] Comentário enviado por gostt em 03/09/2009 - 11:04h
Ola Magno,
Parabêns, o artigo esta bem detalhado e objetivo, continui assim contribuindo para o mundo linux.. :)
Eu ja usei o openvpn apenas entre uma matriz e felial, agora quero ver como fica usando o mesmo tunel e a mesma porta para vários clientes..
Apreça logo o próximo artigo.. rsrsr
[24] Comentário enviado por magnolinux em 08/09/2009 - 11:50h
Bom Dia gostt, fico feliz q o artigo tenha sido util, o outro artigo esta em andamento, mais estou com
alguns projetos q estao me consumindo boa parte do meu tempo, mais assim q possivel, venho a
publicalo.
[29] Comentário enviado por gostt em 11/09/2009 - 09:34h
Maguino,
Deo certo, obrigo.
Vendo com mais cuido, percebi que estava fazendo a rota local para o GW que nao dava saida para a lan.
Calro, isso hoje cedo depois que vi sua reposta, muito obrigado.
Os comando rotas.up e rotas.down, não deixa o vpn levantar, tive que comentar esse linhas para a vpn subir.
Sabe se no openvpn2 mudou ? da para por no rc.local, mas no script da tunel e bem melhor.
[30] Comentário enviado por magnolinux em 11/09/2009 - 12:30h
blz q funcionou gostt.
è o seguinte, eu utilizo o openvpn2, e nunca tive problema em colocar os scripts junto a conf da vpn. Se vc colocar dentro
do rc.local, vai funcionar normal, mais tem uma desvantagem.
Quando vc coloca os scripts, rotas.up e rotas.down dentro do arquivo do openvpn, quando vc inicia a vpn e levanta as rotas, quando vc para a vpn
ele deleta as rotas, nao tem o risco de vc criar uma enorma tabela de roteamento.
qual distro vc esta utilizando e qual a versao do openvpn.
[33] Comentário enviado por gostt em 15/09/2009 - 09:13h
Ola Maguino.
Deixei a preguiça de lado e fui ler o manual do openvpn, meu inglês é péssimo, mas deu para entender alguma coisa.
no script da matriz fiz assim:
route 10.0.2.0 255.255.255.0 192.168.0.1
e nao use o parâmetro UP
Com isso, ja cria as rotar quando levanta a VPN e deleta quado da um stop.
De qual quer forma, preciso fazer rodar um script na conf do vpn, ja que vou implementar um servidor onde terá vários cliente remotos e os mesmos receberão ip via dhcp, e quero usa ssl para ter mais segurança.
Abrigado pela força.
Se tiver alguma dica, esta valendo.
[34] Comentário enviado por magnolinux em 18/09/2009 - 08:15h
Otimo gostt..
nessa situação sua, aconselho configurar o openvpn com certificado digital, é o tema do meu proximo artigo,
com o certificado digital, vc consegue acrescentar as rotas nas filiais automatica, alem de poder colocar todas filiais
em um unico tunel.
Espere e vc vai gostar do artigo, em relação a segurança tem uma enorme diferença..
[37] Comentário enviado por cabriocario em 30/09/2009 - 12:09h
MAgnolinux, gostei do seu artigo. Veio a contribuir na minha busca de um solução do seguinte problema:
Montei um servidor-gateway-dhcp-squid. Preciso fazer minha rede interna acessar uma vpn que é autenticada no gateway.
Aí seguindo uma orinetacao realizei os procedimentos:
Instalei o open vpn
Apt-get install openvpn
Criei o usuário
Useradd openvpn
Digitei as linhas de comando no arquivo /etc/rc.local
Executei o arquivo e funcionou. Só que quando reiniciei o servidor a vpn parou de funcionar.
Tentei ver o log do openvpn, e não consigo achar esse arquivo. openvpn.log.
Que dica poderia me dá para esse problema?
[39] Comentário enviado por cabriocario em 01/10/2009 - 16:21h
O (s) aquivo(s) de configuracao (certificados) eu recebo no ponto de copiar para a pasta openvpn. Mesmo assim adicionei a linha
log-append /var/log/openvpn/openvpn.log. Criando o ditetorio e o arquivo antes.
Restartei o openvpn e mesmo assim não ví registro de log ainda.
[40] Comentário enviado por cabriocario em 01/10/2009 - 17:46h
Preciso fazer com que módulo tun0 suba.
Mesmo digitando ou colocando nosript de inicializacao,"modprobe tun", como n comentário do 30.09.2209, mesmo assim não funciona. E não aparece mensagem de rro nenhuma.
[41] Comentário enviado por cabriocario em 02/10/2009 - 12:31h
Consegui desenrolar os arquivos de log, e consegui fazer funcionar. Encontrei onde era o erro. Vou postar maiores detalhes. De qualquer forma, valeu mesmo a força.
[43] Comentário enviado por cabriocario em 02/10/2009 - 19:36h
Depois de dá uma olhada no log do openvpn, e interpretar a LINHA: cannot open file key file 'NOMEDOARQUIVO.KEY', no surch file or directory (errno=2), ví que o arquivo de conf não estava encontrando esse arquivo. E eu me certifiquei que el existia. Aí foi só apontar o endereço correto pra ele.
Resolvido o problema. Valeu aí.
[45] Comentário enviado por xanddydf em 07/11/2009 - 23:46h
Boa noite amigo, gostaria de parabenizar pelo tutorial, muito bom, mas sou novato no mundo linux, ja tenho um conhecimento até básico.
estou precisando subir uma vpn urgente, estou utilizando a distro Debian Lenny. instalei a openvpn pela apt-get, segui todos os seu passos, mas na hora que vou subir a vpn está dando o seguinte erro:
log:
Sat Nov 7 22:53:42 2009 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/vpnkey
Sat Nov 7 22:53:42 2009 WARNING: file '/etc/openvpn/vpnkey' is group or others accessible
Sat Nov 7 22:53:42 2009 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Nov 7 22:53:42 2009 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 7 22:53:42 2009 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Nov 7 22:53:42 2009 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Nov 7 22:53:42 2009 LZO compression initialized
Sat Nov 7 22:53:42 2009 TUN/TAP device tun0 opened
Sat Nov 7 22:53:42 2009 TUN/TAP TX queue length set to 100
Sat Nov 7 22:53:42 2009 /sbin/ifconfig tun0 10.0.0.2 pointopoint 10.0.0.1 mtu 1500
Sat Nov 7 22:53:42 2009 /etc/openvpn/rotas.up tun0 1500 1545 10.0.0.2 10.0.0.1 init
Sat Nov 7 22:53:42 2009 openvpn_execve: external program may not be called due to setting of --script-security level
Sat Nov 7 22:53:42 2009 script failed: external program fork failed
Sat Nov 7 22:53:42 2009 Exiting
agradeço pela atenção, qualquer coisa meu e-mail é carlos.alexandre@bsconstrutora.com.br
[46] Comentário enviado por cabriocario em 09/12/2009 - 16:59h
Magno, sobre o comentário {38}, no meu arquivo de log está ssim: cannot load private nome do arquivo /endereco do arquivo/nomedoarquivo.extensao
abaixo:private extensao password verification fail..........
exiting.
Que interpretacao devo ter dessa mesnagem? Já que o arquivo se encontra no endereco correto.
[48] Comentário enviado por magnolinux em 18/12/2009 - 10:26h
Flavio, me desculpe a ausencia de responder o post, realmente está muito corrido as coisas para mim
mais fico feliz que tenha resolvido. Precisando só postar..
[49] Comentário enviado por cabriocario em 18/03/2010 - 21:33h
Magnum, como faço para minha placa de rede adotar o ipfixo que eu configurei no arquivo interfaces (debian lenny). Eu configurei a placa de rede interna com ip fixo mas de repente ele muda de ip. Aí fico sem internet na rede interna, porque o gateway (ip da placa de rede interna) configurado no dhcp de repente muda.
[51] Comentário enviado por cabriocario em 19/03/2010 - 20:12h
Magnum, não tinha quase nada de diferente da dica ue você escreveu não. Eu só coloquei o address e a netmask, gw e dns eu nao coloquei no interfaces não. Mas acho que não é isso que vai fazer a minha eth da rede interna de repente mudar de 192.168.0.x para 192.168.0.xx.
basta dá um dhclient que a eth muda de ip.
[52] Comentário enviado por rudielle em 14/04/2010 - 10:03h
Bom dia Magno, cara, estou com um problema a uns 10 dias tentando implementar uma vpn e não consigo. Minha situação é a seguinte, meu cliente tem 12 lojas, e preciso interliga-las por causa de transações de TEF. Minha estrutura lá é a seguinte, na matriz, tenho um servidor HP com uma placa de rede, nela chega a internet do roteador, a internet la é speedy com ip fixo, esse ip chega la no roteador 201.26.75.xx, porém, no servidor hp a placa esta configurada com o Ip 191.168.1.150, mascara de rede 255.255.255.0, gateway 192.168.1.1 (ip do roteador), e com os dns do speedy 200.100.38.xx e o outro dns do speedy que nao me lembro. Estou com o SuSe 11.2 instalado la, só que estou apanhando demais na configuração. As filiais todas tem windows xp, e preciso acessar esse servidor, porém a duvida esta nesse ip que na minha placa de rede é o ip local, interno da rede, e o ip fixo que chega no modem. Voce pode me ajudar a esclarecer minha dúvida?
[53] Comentário enviado por rudielle em 26/04/2010 - 22:44h
Mágno, me salva pelo amor de Deus, ou alguém aqui. Estou pra desistir, não dá certo nem com reza brava essa vpn.
Meu cenário é esse:
Matriz:
Rede Local Interna: 192.168.1.xx
Rede VPN: 10.6.1.1
Filial 1:
Rede Local Interna: 192.168.2.xx
Rede VPN: 10.6.2.1
Filial 2:
Rede Local Interna: 192.168.3.xx
Rede VPN: 10.6.3.1
e por ai vai, até a décima segunda filial, o problema é que conecta em uma filial com a matriz, quando vai conectar a outra aparece a seguinte mensagem:
Mon Apr 26 22:40:52 2010 OpenVPN 2.1.1 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Dec 11 2009
Mon Apr 26 22:40:52 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Apr 26 22:40:52 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 26 22:40:52 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 26 22:40:52 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Apr 26 22:40:52 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 26 22:40:52 2010 LZO compression initialized
Mon Apr 26 22:40:52 2010 There is a problem in your selection of --ifconfig endpoints [local=10.6.7.7, remote=10.6.7.1]. The local and remote VPN endpoints must exist within the same 255.255.255.252 subnet. This is a limitation of --dev tun when used with the TAP-WIN32 driver. Try 'openvpn --show-valid-subnets' option for more info.
Mon Apr 26 22:40:52 2010 Exiting
é como se a minha sub-mascara nao suporta-se mais de 1 loja ou algo do tipo.
Se eu colocar no config do cliente o ip 10.6.1.2 e do servidor 10.6.1.1 conecta beleza, porém, se eu for conectar a próxima filial,
crio lá o outro arquivo dentro do servidor, com o ip 10.6.2.1 e do servidor 10.6.2.1 já da a mensagem que exemplifiquei acima.
[54] Comentário enviado por magnolinux em 27/04/2010 - 07:12h
Bom dia rudielle...
Analisando a mensagem de erro, pude notar que provavelmente esse erro está na definição dos endereços de IP para a matriz e filial..
faça as seguintes alterações e efetue os testes..
dentro do servidor, vc criou varios arquivos de configurações para suas filiais. dentro desses arquivos a linha
ifconfig 10.6.1.1 10.6.1.2 - Primeiro IP Servidor/ Segundo Ip cliente
No outro arquivo de configuração dentro do servidor, o IP da Matriz nao muda, somente o da filial
ifconfig 10.6.1.1 10.6.1.3
e assim por diante fica a configuração na matriz, já nos clientes vc defini ao inverso IP do cliente / ip servidor, lembrando que o servidor so tera um IP e nao varios IPs como vc está criando e outra, todas as filiais ficarao na mesma classe de IP, mudando somente o final.
tanto na matriz, como também na filial. a range da rede da matriz e o seguinte 10.0.0.0, e o da filial e o 10.1.1.0, sera que e isso que ta tando errado, ou melhor conflito com o ip do túnel ?
o log do erro e esse
root@bjconf:/etc/openvpn# tail -f /var/log/openvpn/filial.log
Thu May 6 11:19:35 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu May 6 11:19:35 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu May 6 11:19:35 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu May 6 11:19:35 2010 LZO compression initialized
Thu May 6 11:19:35 2010 TUN/TAP device tun0 opened
Thu May 6 11:19:35 2010 TUN/TAP TX queue length set to 100
Thu May 6 11:19:35 2010 /sbin/ifconfig tun0 10.6.0.2 pointopoint 10.6.0.1 mtu 1500
Thu May 6 11:19:35 2010 /etc/openvpn/rotas.up tun0 1500 1545 10.6.0.2 10.6.0.1 init
Thu May 6 11:19:35 2010 script failed: could not execute external program
Thu May 6 11:19:35 2010 Exiting
[57] Comentário enviado por cabriocario em 01/09/2010 - 00:41h
Magnum, eu montei um servidor (gateway) com o DEBIAN LENNY, onde eu compartilho a internet com minha rede interna. Consegui me conectar via VPN com outro servidor.
Porém, não estou conseguindo disponibilizar a VPN para minha rede interna. Já fiz o procedimento do comentário número:37.
Pode me dá uma dica de como resolver esse problema?
[58] Comentário enviado por rctcunha@hotmail em 29/03/2011 - 13:13h
Boa tarde, estou começando a usar linux agora e tenho que fazer uma VPN no caso escolhi o OpenVpn para usar.Historico: tenho uma matriz que tem o link da embratel(nosso sistema é via esse link). Na matriz nossas maquinas tem windows XP e pegam o sistema muito bom. Hj temos 2 filiais e minha solução quebra-galho foi usar o winconnect(provisoriamente)para que as filiais usem nosso sistema, em cada filial tenho 8 computadores. Quero saber:Vou ter que montar 1 servidor em cada filial e 1 na matriz?
Fri May 20 20:38:37 2011 OpenVPN 2.1.3 x86_64-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Oct 22 2010
Fri May 20 20:38:37 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Fri May 20 20:38:37 2011 /usr/sbin/openvpn-vulnkey -q /etc/openvpn/chave.key
Fri May 20 20:38:37 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri May 20 20:38:37 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 20 20:38:37 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri May 20 20:38:37 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri May 20 20:38:37 2011 LZO compression initialized
Fri May 20 20:38:37 2011 Socket Buffers: R=[124928->131072] S=[124928->131072]
Fri May 20 20:38:37 2011 TUN/TAP device tun0 opened
Fri May 20 20:38:37 2011 TUN/TAP TX queue length set to 100
Fri May 20 20:38:37 2011 /sbin/ifconfig tun0 10.6.0.1 pointopoint 10.6.0.2 mtu 1500
Fri May 20 20:38:37 2011 /etc/openvpn/rotas.up tun0 1500 1545 10.6.0.1 10.6.0.2 init
Fri May 20 20:38:37 2011 openvpn_execve: external program may not be called unless '--script-security 2' or higher is enabled. Use '--script-security 3 system' for backward compatibility with 2.1_rc8 and earlier. See --help text or man page for detailed info.
Fri May 20 20:38:37 2011 script failed: external program fork failed
Fri May 20 20:38:37 2011 Exiting
[60] Comentário enviado por GPaseto em 13/09/2011 - 11:44h
Olá,
Muito bom artigo...
Gostaria de saber se é possível, usar Openvpn na mesma rede.
Pórem interligando duas sub-redes, por exemplo:
192.168.1.1/25 - Diretoria
192.168.1.128/25 - Financeiro
[61] Comentário enviado por cabriocarico em 28/05/2012 - 15:21h
Magnum,
Eu uso o DEBIAN LENNY, antes eu instalava o openvpn pelo apt-get install openvpn.
Agora, não consigo mais instalar pelos mesmos repositórios que antes eu utilizava.
Disponibiliza alguns repositórios onde eu possa instalar o openvpn, ou uma outra forma de eu instalar o openvpn que não seja via apt-get.
Desde já eu agradeço.
[65] Comentário enviado por rogergordo em 08/07/2013 - 14:31h
boa tarde, estou mexendo agora com linux devido a segurança etc... o problema meu é que nao tenho acesso ao modem para liberar portas, pq!!!
pq e um framerelay da OI (CISCO2500) e nao temos acesso a ele, como poderia configurar este servidor?
[68] Comentário enviado por danpessoa2010 em 15/08/2014 - 17:23h
Galera, fiz todo o passoa passo ai, só que na hora de dar o Start o serviço não levanta, meu log está ficando assim...
Fri Aug 15 17:21:10 2014 OpenVPN 2.2.2 i686-redhat-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] built on Apr 5 2012
Fri Aug 15 17:21:10 2014 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Aug 15 17:21:10 2014 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Aug 15 17:21:10 2014 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Aug 15 17:21:10 2014 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Fri Aug 15 17:21:10 2014 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Aug 15 17:21:10 2014 LZO compression initialized
Fri Aug 15 17:21:10 2014 Socket Buffers: R=[110592->131072] S=[110592->131072]
Fri Aug 15 17:21:10 2014 TUN/TAP device tun0 opened
Fri Aug 15 17:21:10 2014 TUN/TAP TX queue length set to 100
Fri Aug 15 17:21:10 2014 /sbin/ip link set dev tun0 up mtu 1500
Fri Aug 15 17:21:10 2014 /sbin/ip addr add dev tun0 local 10.1.0.1 peer 10.1.0.2
Fri Aug 15 17:21:10 2014 /etc/openvpn/rotas.up tun0 1500 1545 10.1.0.1 10.1.0.2 init
Fri Aug 15 17:21:10 2014 WARNING: Failed running command (--up/--down): could not execute external program
Fri Aug 15 17:21:10 2014 Exiting