Pular para o conteúdo

OpenVPN -Linux central x Linux filial

Montei esse artigo para facilitar e orientar na montagem de uma VPN sem muito trabalho ou esforço, facilitando a ligação da empresa central com as filiais, com segurança. Espero ajudar a todos e aprender também.
Anderson Aguiar der.aguiar

Por Anderson Aguiar em 07/08/2008

Hits: 31.758 Categoria: Linux Subcategoria: Internet
  • Indicar
  • Impressora
  • Denunciar

Parte 2: Criar a chave, montar e configurar nossa OpenVPN

Antes de gerar a chave de acesso entre no diretório /etc/openvpn:

# cd /etc/openvpn

Vamos criar nossa chave de acesso da OpenVPN:

# vpn --genkey --secrect chave.key

Explicando o que acabamos de fazer.
  • --genkey - esta opção habilita a criptografia da nossa vpn;
  • --secret - esse arquivo transfere a criptografia para o arquivo chave.key ou qualquer outro nome que você queira.

Esse arquivo que criamos será copiado para a empresa filial... ok!

Vamos criar o arquivo de configuração da OpenVPN.... mais fácil ainda, olha só. Dentro do diretório /etc/openvpn crie o seguinte arquivo (lembrando que estou fazendo na máquina que fica localizada na empresa, não é na filial ainda):

# vi empresa.conf

#VPN de acesso a filial pela empresa central
proto udp
remote 200.000.000.2
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/chave.key
port 5800

Vamos fazer o mesmo processo na máquina filial:

# vi filial.conf

#VPN de acesso a empresa central pela filial
proto udp
remote 200.000.000.1
dev tun
ifconfig 10.0.0.2 10.0.0.1
secret /etc/openvpn/chave.key
port 5800

Obs.:
  • proto udp - aqui estamos definindo o protocolo padrão da VPN;
  • dev tun - aqui estamos definindo a interface de comunicação, que será o TUN;
  • secret /etc/openvpn/chave.key - aqui estou mostrando aonde está nossa criptografia. É importante que as duas máquinas tenham esse arquivo, detalhe que não é gerar um em casa máquina e sim copiar da máquina matriz para a filial;
  • port 5800 - aqui estou dizendo em que porta conectaremos;
  • remote 200.000.000.2 - estamos dizendo que nesse momento eu posso obter dados da máquina filial, e a filial pode obter dados da empresa.

Após você ter copiado a chave.key para as duas máquinas, ter gerado o arquivo empresa.conf e filial.conf dentro do diretório /etc/openvpn, vamos executar nossa VPN.

Comando para executar a vpn na empresa:

# openvpn --config /etc/openvpn/empresa.conf &

Comando para executar a vpn na filial:

# openvpn --config /etc/openvpn/filial.conf &

Agora é só ter um pouco de paciência que aparecerá a seguinte mensagem nas duas máquinas:

"initialization Sequence Completed"

Apos isso é só pressionar <ENTER> e digitar o comando:

# ifconfig tun0

Aparecerá então nosso túnel pronto e funcionando.

Dar um ping, lembrando que na VPN os IPs são:
  • 10.0.0.1 - empresa
  • 10.0.0.2 - filial

Dê um "ping 10.0.0.2" pela máquina da empresa e faça isso também na máquina da filial, mas com o ip 10.0.0.1.

Ótimo, mas não acabou...

Páginas do artigo

   1. Instalação e preparação do ambiente VPN
   2. Criar a chave, montar e configurar nossa OpenVPN
   3. Mascarando e colocando regras iptables em nossa VPN

Outros artigos deste autor

Montando o Squid

Leitura recomendada

Mozilla Firefox com plugins para Flash e JAVA

Texto puro - BitTorrent

Integração Apache / ASP

Acesso remoto fácil, sem necessidade de instalação de programa

Certificado Digital e diversos ambientes Java no GNU/Linux

Comentários

#1 Comentário enviado por andrebsilva em 07/08/2008 - 10:30h
bem instrutivo...

parabéns
#2 Comentário enviado por irado em 07/08/2008 - 10:44h
hmm... acho que mais claro/esclarecedor artigo que já li sobre a utilização do OpenVPN. Parabéns.
#3 Comentário enviado por removido em 07/08/2008 - 11:17h
Achei muito bacana já tinha visto um aqui no volume bem legal também...
#4 Comentário enviado por redhat2 em 07/08/2008 - 11:30h
Muito bom muito instrutivo
#5 Comentário enviado por der.aguiar em 07/08/2008 - 12:50h
Galera agradeço a força...... se tiver melhorias ou dicas por favor me envie....

agradeço a todos.....

Anderson Aguiar - der.aguiar@itelefonica.com.br
#6 Comentário enviado por Riverfount em 07/08/2008 - 17:37h
Bem interessante, mas e se na sede da empresa o servidor VPN for um Windows, como configuro para que o terminal Linux, na filial, acesse essa rede?

Grato

Vicente
#8 Comentário enviado por der.aguiar em 08/08/2008 - 07:28h
Amigo Vicente....
Vpn de Windows x Linux, usando a openvpn é um pouco chato...
eu montei uma para vendedores externo, é longo para explicar dessa forma.
Vou montar um Artigo no mais tardar em 2 dias vou mandar pra vc via e-mail.

Qual é o seu e-mail?

Anderson Aguiar - der.aguiar@itelefonica.com.br
#9 Comentário enviado por ctavares em 11/08/2008 - 21:39h
Amigo, pelo que vi nesse tutorial nós precisamos executar alguns comandos na filial e matriz para o tunel ser criado, mas imagina o seguinte, se por acaso o link de um dos lados cair por algumas horas e depois voltar, o OPEN VPN irá recriar o tunel automaticamente?
#10 Comentário enviado por der.aguiar em 12/08/2008 - 07:16h
Não, não faz automaticamente!!
Se vc estiver colocando um ip fixo na vpn, é so digitar novamente o comando.
Na realidade, esqueci de falar sobre isso. É so vc criar um arquivo *.sh, com as linhas
de comando e executar.
Quem tem ip dinamico, não vai conseguir. Nesse caso tem que dar
kill no servico e dar o comando novamente.

Se não ficou claro o que escrevi, entre em contato que lhe enviarei mais informações.

anderson aguiar
der.aguiar@itelefonica.com.br
#11 Comentário enviado por andrewsluiz em 01/09/2008 - 19:41h
Bom, configurei e funcionou blz ... perfeito seu artigo, agora (pra variar) apareceu mais um necessidade aqui na empresa e se voce souber como fazer te agradeço se puder ajudar. Preciso da seguinte configuração Matriz acessa Filiais e Filiais acessam Matriz .. até ai ok ... mas preciso de Filiais tambem acessam Filiais ... é possivel ????
#12 Comentário enviado por der.aguiar em 02/09/2008 - 07:32h
Bom dia, bem faça o seguinte vc tem que ter o ip fixo nas maquinas, 1 ponto.
Agora vc utiliza o seguinte comando .

aqui vc cria scripts para executar ou coloca no rc.local do seu linux que ele executa sozinho.

####Matrix
#! /bin/bash
#Aqui estou fazendo a matrix ter mais 2 gateway (confiança de acesso), que seriam das filiais conectadas a matrix
route add -net IP_da_Rede_Filial1 netmask 255.255.255.0 gw Ip_vpn_Filial1 dev tun0
iptables -t nat -s Ip_vpn_Filial1 -A POSTROUTING -o eth0 -j MASQUERADE

route add -net Ip_da_Rede_Filial2 netmask 255.255.255.0 gw Ip_vpn_filial2 dev tun0
iptables -t nat -s Ip_da_Rede_filial2 -A POSTROUTING -o eth0 -j MASQUERADE


Agora coloque nas Filiais
###Filial2
#! /bin/bash
route add -net IP_da_Rede_Filial1 netmask 255.255.255.0 gw Ip_vpn_Filial1 dev tun0
iptables -t nat -s Ip_vpn_Filial1 -A POSTROUTING -o eth0 -j MASQUERADE

route add -net Ip_da_Rede_Matrix netmask 255.255.255.0 gw Ip_vpn_Matrix dev tun0
iptables -t nat -s Ip_da_Rede_Matrix -A POSTROUTING -o eth0 -j MASQUERADE

faça isso tb na filial1 invertendo os para o ip da filial2..

detalhe não e ip externo mas sim da rede interna, repare que meu eth0 é a rede interna, assim direciono a entrada da rede externa para a interna.

Blz! se precisar so entrar em contato.

Anderson Aguiar - adm. Redes
der.aguiar@itelefonica.com.br
#13 Comentário enviado por agimenez em 18/09/2008 - 07:14h
Olá Anderson, vi que você tem alguma documentação de OpenVPN de Windows para Linux, poderia enviar pra mim via e-mail?

Agradeço desde já!

alexandre.gimenez at gmail.com
#14 Comentário enviado por hgdanilo em 07/10/2008 - 11:58h
Olá Anderson, achei muito interessante seu artigo.

Gostaria de saber como eu devo fazer no caso de filiais windows? Ex: Tenho uma matriz conforme a que você montou e tenho o micro na minha casa que é windows XP e gostaria de entrar nessa VPN, como devo fazer?

Agradeço desde já

Danilo - hgdanilo@yahoo.com
#15 Comentário enviado por der.aguiar em 09/10/2008 - 11:24h
Galera prometo, que na semana que vem eu termino o artigo da openvpn entre linux x windows....

estou trabalhando muito e não tive tempo de terminar... blz
anderson aguair - der.aguiar@itelefonica.com.br
#16 Comentário enviado por leandrobrunoo em 17/07/2009 - 16:31h
Ola amigo der.aguiar

seu artigo e show

agora me tira uma duvida, eu fiz tudo como manda o artigo, funcionou certin.
quando ping da maquina server central pra maquina server cliente, funfa legal,
agora quando eu entro em outra maquina, tipo windows xp e pingo com outra maquina da rede 192.168.0.1 naum funciona

tanto da central pra cliente, quantu da client pra central !
pode me ajudar ?????

Contribuir com comentário

Entre na sua conta para comentar.