OpenVPN -Linux central x Linux filial
Montei esse artigo para facilitar e orientar na montagem de uma VPN sem muito trabalho ou esforço, facilitando a ligação da empresa central com as filiais, com segurança. Espero ajudar a todos e aprender também.
Parte 3: Mascarando e colocando regras iptables em nossa VPN
Agora vamos para parte mais chata. Esse próximo passo vai fazer nossa rede se enxergar. Você deve estar perguntando porque? Nossa VPN está funcionando, mas não conseguimos enxergar a rede da filial pela empresa e nem a empresa pela filial.
Agora vamos criar rota para acessar a rede. Vamos criar um arquivo chamado route:
# vi /etc/openvpn/route
O arquivo da empresa está pronto, vamos criar o arquivo da filial.
Na máquina da filial:
# vi /etc/openvpn/route
Pronto galera. Agora temos uma rede conectada com outra.
Faça um teste, vá em uma máquina Windows e em executar abra a pasta do servidor que está na outra rede.
Sua VPN está segura e funcionando!
Se sua VPN estiver lenta, reflita sobre o tamanho da banda larga que você tem, quantos acessos terá na rede e o mais importante, se você está desperdiçando banda com MSN, sites pesados etc.
Lembrando que ainda falta o OpenSSL, que cria a chave certificadora dando mais segurança ao seu túnel. Mas essa parte vai ficar para outro tutorial que postarei em breve.
Espero ter ajudado e também espero obter ajuda caso tenha escrito algo de errado ou faltando informações.
Mais uma coisa, quando mandarem perguntas, por favor responda se deu certo ou não, a maioria das pessoas pede ajuda e desaparece, não dizem se deu certo, lembrando que somos uma comunidade.
Até a próximo.
Anderson Aguiar - der.aguiar@itelefonica.com.br
Agora vamos criar rota para acessar a rede. Vamos criar um arquivo chamado route:
# vi /etc/openvpn/route
#! /bin/bash
#Nesse processo estou apontando uma rota para gateway filial
route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.0.0.1
#Aqui estou liberando a máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
#Nesse processo estou apontando uma rota para gateway filial
route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.0.0.1
#Aqui estou liberando a máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
O arquivo da empresa está pronto, vamos criar o arquivo da filial.
Na máquina da filial:
# vi /etc/openvpn/route
#! /bin/bash
#Nesse processo estou apontando uma rota para gateway filial
route add -net 192.168.1.0 netmask 255.255.0.0 gw 10.0.0.2
#Aqui estou liberando o máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
#Nesse processo estou apontando uma rota para gateway filial
route add -net 192.168.1.0 netmask 255.255.0.0 gw 10.0.0.2
#Aqui estou liberando o máscara
iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE
#E aqui estou permitindo a passagem de pacotes entre as redes
iptables -A FORWARD -i tun0 -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
Pronto galera. Agora temos uma rede conectada com outra.
Faça um teste, vá em uma máquina Windows e em executar abra a pasta do servidor que está na outra rede.
Sua VPN está segura e funcionando!
Se sua VPN estiver lenta, reflita sobre o tamanho da banda larga que você tem, quantos acessos terá na rede e o mais importante, se você está desperdiçando banda com MSN, sites pesados etc.
Lembrando que ainda falta o OpenSSL, que cria a chave certificadora dando mais segurança ao seu túnel. Mas essa parte vai ficar para outro tutorial que postarei em breve.
Espero ter ajudado e também espero obter ajuda caso tenha escrito algo de errado ou faltando informações.
Mais uma coisa, quando mandarem perguntas, por favor responda se deu certo ou não, a maioria das pessoas pede ajuda e desaparece, não dizem se deu certo, lembrando que somos uma comunidade.
Até a próximo.
Anderson Aguiar - der.aguiar@itelefonica.com.br
parabéns