Esse é um exemplo totalmente prático para implementação de uma segurança a mais para qualquer tipo de rede, usando o OpenVPN como uma solução simples, segura e um benefício a mais para interligação de redes distantes, sendo estas, localizadas na internet.
O OpenVPN pode operar com 3 tipos de criptografia. Nenhuma
criptografia (apenas o túnel), criptografia com chaves estáticas e
no modo TLS, em que as chaves são trocadas periodicamente. No nosso
exemplo, usaremos criptografia com chaves estáticas.
1 - Execute os seguintes comandos:
# mkdir /etc/openvpn
Criamos o diretório onde estarão todos os arquivos de configuração.
# openvpn --genkey -secret /etc/openvpn/chave
Foi gerada uma chave de criptografia com o nome de chave (pode ser
qualquer nome de arquivo) dentro do diretório /etc/openvpn.
# cat /etc/openvpn/chave
Só para visualizarmos o conteúdo da chave que geramos.
# touch /etc/openvpn/matriz.conf
Crie esse arquivo com o seguinte conteúdo:
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse será o ip da filial
ifconfig 10.0.0.1 10.0.0.2
# Entra no diretório onde se encontram os arquivos de configuração
cd /etc/openvpn
# Indica que esse túnel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nível de log
verb 3
Em seguida, vamos iniciar a conexão no servidor, faltando apenas
configurar a filial. Execute o seguinte comando no servidor da Matriz:
[6] Comentário enviado por peregrino em 05/06/2005 - 17:12h
opa gostaria de saber sobre o openldap x o openswan que seria a continuidade do freeswan que foi descontinuado queria saber qual seia a melhor opção e porque
[10] Comentário enviado por guilhermerezende em 06/06/2005 - 22:14h
Caro peregrino, não cheguei usar o openswan e o openldap até onde sei não se enquadra em projeto de VPN, ou até mesmo alguma ligação com alguma ferramenta de VPN. O OpenVPN para mim é a melhor solução de VPN para Linux. Ja o Ipsec segue normas em projetos de VPN e é muito ultizado para vc fazer VPN entre servidores Linux e roteadores que prove serviços de VPN. Recentemente tive que ingressar um servidor Linux em uma VPN em São Paulo, sendo que tive que estabelecer conexão de VPN com um roteador cisco. Nesse caso tive que ultilizar o protocolo Ipsec.
[11] Comentário enviado por xleonardox em 07/06/2005 - 10:38h
Oi guilherme. Você está de parabéns pela forma didática com que escreveu seu tutorial. Eu já havia implementado aqui uma solução semelhante entre 2 servidores linux (inclusive consegui bom funcionamento entre implementações empacotadas para diferentes distros - no caso Fedora Core 2 e Conectiva).
A dúvida na verdade tem a ver com uma situação específica de uma máquina remota rodando Windows XP precisando ter acesso à rede privada (o que nos tempos do FreeSWAN era conhecido como "road warrior") por trás de 1 desses servidores que comentei acima. Eu teria então 2 servidores falando-se entre si (com 2 redes por trás), e mais 1 máquina Windows acessando um desses servidores. Andei pesquisando este site (http://openvpn.se), e vou começar a fazer alguns testes. Você por acaso teria alguma experiência nesta área? Ou mesmo alguns dos colegas que acessa o VOL? Qualquer sugestão de tutorial, howto ou site informativo seria muito bem vindo.
[13] Comentário enviado por integra em 09/06/2005 - 23:07h
Caro Guilherme,
Faço dos comentarios positivos dos colegas os meus. Fantastico, pois ja alguns dias estava tentando criar uma vpn com o freeswan e sem sucesso. Voce tem alguma dica pra me dar para que eu consiga enxergar todas as maquinas das 2 redes via ambiente de rede do windows.
[14] Comentário enviado por flaviotux em 08/10/2005 - 10:26h
Caro Guilherme,
Parabéns pelo artigo.
Eu tenho uma dúvida.
Quanto você pede para ditar o comando abaixo, você está pegando conf "matriz.conf" que você deu mastigado, ok?
#openvpn --config /etc/openvpn/matriz.conf --daemon
Pelo seu artigo, iremos criar uma VPN pela rede interna, certo?
Agora, se eu quizer estabelecer uma VPN de minha casa por link ADSL com a minha empresa. Como você me orientaria?
[15] Comentário enviado por guilhermerezende em 10/10/2005 - 14:17h
Caro Roberto, o exemplo usado no artigo foi baseado em duas conexöes ADSL. O artigo tem como propósito a interligacao de duas redes internas de um hipotético exeplo(matriz filial). A artigo trata exatamente o que voce quer fazer. Leia com atencao
[17] Comentário enviado por guilhermerezende em 19/10/2005 - 09:38h
Eis um exemplo de configuração de um arquivo e configuração de um clientes Windows. Lembrando que a rede remota no qual o cliente windows quer acessar é 192.168.0.0/24.
dev tun
remote 200.x.x.x
ifconfig 10.10.10.2 10.10.10.1
route 192.168.0.0 255.255.255.0 10.10.10.1
secret chave
port 5006
ping 15
verb 3
[18] Comentário enviado por jonathanrock em 19/10/2005 - 18:34h
Cara, show de bola seu artigo, mas fiquei com uma duvida..
para as maquinas da rede matriz "enxergarem" as maquinas da rede filial.. basta adicionar como gateway nas maquinas da rede matriz o ip do servidor matriz ?? e vice-versa ??
[20] Comentário enviado por eddiepreto em 26/11/2005 - 03:05h
Amigo Evandro, Boa Noite. Acabei de seguir o artigo; que vale ser MUUUITO ELOGIADO, pois está perfeito e me deu o caminho das pedras sem problemas;e tive o mesmo problema que você. Analizando o problema cheguei ao seguinte:
Sat Nov 26 05:37:09 2005 failed to find GID for group nobody
Sat Nov 26 05:37:09 2005 Exiting
Para solucionar isso apenas dei o seguinte comando: #groupadd nobody
Funcionou, continuei o artigo e "milagrosamente as duas redes estão quase se falando". Digo quase pois estou achando apenas o ip dos clientes da vpn o restante da rede ainda não...mas tenho toda a madrugada para descobrir o que acontece. Quando descubrir postarei aqui também.
[21] Comentário enviado por xevandro em 26/11/2005 - 15:09h
Valew Eddiepreto, acabei resolvendo o problema usando o conectiva 10, inclusive fiz um script que automatiza quase toda a instalação, depois que estivere tudo certinho postarei aqui o script.
[22] Comentário enviado por fcmelo em 02/12/2005 - 16:58h
Olá Guilherme, meus parabéns pelo artigo está muito bom, tenho somente uma dúvida, como que fica o arquivo de configuração de Matriz no caso de adicionarmos mais uma filial nesta topologia?
A VPN ficaria com a Matriz e 02 Filiais.
Obrigado.
[23] Comentário enviado por marileof em 09/12/2005 - 10:44h
Olá Guuilherme, meus parabéns , você está ajudando muito pessoas iniciantes como eu. Mais gostaria de saber como faço para istalar o drive TUN/TAN, pois não sei onde fica essa opção "Network device Support" no fedora core 2. Desde de Já agradeço pela força.
[24] Comentário enviado por guilhermerezende em 12/12/2005 - 10:37h
Não precisa se preocupar em compilar kernel no Fedora não. O drive TUN/TAP ja está por padrão ativo no kernel do Fedora. Siga em diante com artigo que consiguirá!!!
[25] Comentário enviado por marileof em 12/12/2005 - 19:30h
Olá Amigo, estou aqui novamente pedindo sua grande ajuda, pois não estou conseguindo iniciar a conexão , apresenta o seguinte erro:
[root@marileo openvpn]# openvpn --config /etc/openvpn/matriz.conf --daemon
Unrecognized option or missing parameter(s) in /etc/openvpn/matriz.conf:19: Usa
Use --help for more information.
[root@marileo openvpn]#
Também gostaria de saber se não é necessario incluir uma rota para as redes remotas?
Também encontrei artigos em outros sites, não tão bem como o seu artigo mais vale apena dar uma olhadinha. o site é:http://www.altoriopreto.com.br/artigos_3rd/howto.html
[26] Comentário enviado por guilhermerezende em 13/12/2005 - 08:44h
Caro amigo, seu arquivo de configuração possui erros. Como vc pode ver, seu arquivo possui em erro na linha 19, onde possívelmente está usando parâmetros errados, ou variáveis inexistentes.
[27] Comentário enviado por marileof em 13/12/2005 - 10:03h
Obrigado,
copiei o arquivo da pagina, pois na pagina, a linha 19 estava faltando um # comentario.
Agora só falta configurar a filial, quando terminar darei um ok.Desde Já , obrigado novamente.
[29] Comentário enviado por scavenger em 14/12/2005 - 19:57h
Olá guilherme parabens pelo seu artigo! ele é simples e direto! .. mas tive um probleminha na minha VPN.
Depois de tudo configurado quando eu tento pingar da Filial para matriz me retorna o seguinte:
PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Operation not permitted
ping: wrote 10.0.0.1 64 chars, ret=-1e
e quando eu faço o inverso(da matraz para a filial) nao me retorna nada! Voce já passou por isso? sabe o que pode estar acontecendo .. lembrando que as chaves são as mesmas .. passadas pelo comando scp, achei que era permissão de acesso mais tambem nao é =T se souber o que pode estar acontecido me de um toque
[30] Comentário enviado por demagermani_big em 17/12/2005 - 20:41h
Olá Guilherme Rezende, você de parabéns pelo seu artigo!
Estava precisando montar uma VPN e seu artigo foi a luz no fim do tunel...
Minha VPN está da seguinte maneira:
Matriz = Link de 2Mb e up de 512kb, dentro da rede da matriz tenho um servidor onde esta o banco de dados da empresa e todas as impressoras (tanto as da matriz quanto as da filial).
Filial = Link de 1Mb e up de 512kb, com 3 terminais.
Estou precisando de uma ajuda no seguinte problema:( na Filial)
- tem horas do dia que o usuário manda uma impressão do sistema e não imprime nada. (a impressão é enviada remotamente pelo servidor da matriz)
- e os usuários da filial estão reclamando da "Lentidão do Sistema"(o sistema é instalado no terminal buscando dados no servidor Firebird remoto).
- e algumas vezes a vpn cai, cheguei a trocar de provedor em uma das empresas.
Andei Pesquisando e me disseram para instalar algum software de QoS para garantir banda para as impressoras e para a VPN.
Encontrei um software e estou testando CBQ só que tenho a seguinte dúvida:
- para garantir banda para VPN é so definir banda para porta que estou usando no ip do roteador? ex: definir down 512kb e up 400kb no ip 192.168.1.1:5000 ou 10.0.0.1:5000
- ou devo garantir banda para o servidor principal para a porta do firebird e/ou como definir banda para as impressoras???
Estou precisando muito resolver esse meu problema, sei que você tem suas obrigações, mas se pudesse me ajudar ou alguém que estiver lendo essa dúvida....Ficaria muito Grato!
Desde já agradeço a Atenção!
Demetrius Germani
demagermani@yahoo.com.br
[31] Comentário enviado por guilhermerezende em 18/12/2005 - 17:20h
Não sei de sabe, mas o OpenVPN trabalha em cima do protocolo UDP no qual se torna difícil uma implementação de QoS. O que você pode fazer é otimizar parte do seu link para serviços comuns, deixando o restante que iria sobrar para o uso da VPN. Um execelente qdisc para fazer isso é o HTB. Por isso, esqueça o CBQ e estude o HTB.
[33] Comentário enviado por carlosgustavo em 07/02/2006 - 13:27h
O caso é o seguinte, estou configurando uma VPN com IPs válidos nas duas pontas. Optei pelo Openvpn, está funcionando nas duas pontas, ele criou a interface "tun0" nas 2 pontas como 10.0.2.1 e 10.0.2.2 - Eu consigo pingar as duas interfaces tranquilamente, esta fase já consegui configurar o Firewall (que a propósito é a mesma máquina) - o que eu não consigo é fazer a regra para que o 10.0.2.1 pingue as interfaces da rede interna(10.0.0.0/24) da outra ponta (10.0.2.2) e nas estações abaixo da minha Nat pingue a interface 10.0.2.1 e vice-versa.
Se alguém puder me auxiliar agradeço.
[34] Comentário enviado por Bique em 07/02/2006 - 15:46h
Ao Gustavo
Para comecar acho que o teu erro esta no principio antes da VPN isto e, em cada sub-rede pelo que entendi estas com o mesmo endereco de cada uma delas e assim o conceito Routing nao funciona, o que para teres terias de ter numa rede os enderecos(Rede A- 10.0.2.0, Rede B-10.0.1.0) por exemplo. A partir dai provavelmente ja poderas ter a rede como um unico.
Espero ter-te ajudado.
Um abraco.
[35] Comentário enviado por aprendiz_ce em 14/02/2006 - 19:23h
Guilherme,
Parabéns pelo artigo. Quero emplementar está
mesma estrutura em um cliente e gostaria da sua ajuda para tirar
algumas dúvidas.
Dúvidas:
1) Como faço para saber o Kernel do sistema já tem suporte para
TUN/TAP?
2) Após tudo instalado e funcionando é possível executar aplicativo
(clipper) que estão no servidor da matriz em uma estação da filial? e
como fica a questão da velocidade de acesso, é rápida ou lenta?
3) É possível implementar isso no Conectiva Linux 10?
Acho que é só isso... Muito obrigado pela sua atenção e aguardo
retorno.
[36] Comentário enviado por scavenger em 14/02/2006 - 23:56h
Posso dar minha colaboração?
1) procure pelo arquivo if_tun.h (ex. locate if_tun.h) se o arquivo existir entao seu Kernel tem suporte, voce só precisa carregar o modulo com o comando "modprobe tun".
3) É possivel ser implementado em quarquer Linux e em outros *nix como por exemplo o FreeBSD.
[38] Comentário enviado por leandrotec em 16/02/2006 - 15:34h
Bom sou iniciante ainda mais ja posso dizer que realmete é um otimo artigo
E aproveitando , gostaria de peir uma informação sobre o madrake 10.1 utilizando o openvpn
Funciona ?
Estou com dificuldades na compilação
[39] Comentário enviado por jgama em 25/02/2006 - 09:08h
Amigos, implantei como teste o openvpn v2 seguindo este otimo tutorial, mas acho que faltou mais um detalhe para deixa-lo completo. as regras de fariwall que terão que incluir no firewall para liberação da portas UPD.
Pois sabemos que existem muitas pessoas com vontade de aprender a lidar com Linux "Sou um exemplo" humanamente é impossível saber de tudo". no mundo Linux.
Pegunto quais são as regras de iptables que liberam a conexão para este tipo de configuração do openvpn, ouvir dizer que na versão V2 usa UPD 1194, estou um pouco confuso.
[40] Comentário enviado por joao4linux em 24/03/2006 - 16:52h
Olá Guilherme!
Parabéns pelo material, foi e é de grande ajuda!
Uma pergunta, você já utilizou com multiplas conexões de sites diferentes? Estou tentando fazer isso mais ianda sem sucesso, ou seja duas filiais conectando simultaneamente no servidor.
[43] Comentário enviado por wandergreison em 06/04/2006 - 16:32h
Cara parabéns pelo artigo,consegui configurar 100% com as devidas alterações no meu firewall.Só queria saber se você poderia me ajudar em um aspecto: Estou querendo diminuir a chave de criptografia para diminuir o tráfego, mas não estou conseguindo fazer isso com o atributo - -keysize. Você pode me ajudar???
[45] Comentário enviado por sribas em 21/04/2006 - 17:15h
Grande artigo!!!! Parabéns pela inciativa, clareza do texto e explicações. Agora uma dica para quem teve problemas com o device /dev/net/tun. Caso o seu sistema não tenha este arquivo de dispositivo criado por padrão, basta executar os comandos abaixo para criá-lo:
[48] Comentário enviado por guilhermerezende em 26/04/2006 - 13:47h
Respondendo ao usuário mardonio:
Vc deve rodar dois processo do openvpn no servidor com arquivo de configuração de cada um diferente. Normalmente vc vai mudar alguns parâmetros no arquivo como porta e ip. Na segunda matriz é quase tudo igual a primeira matriz, com diferença de ip e porta tbm. Acredito q ja tem comentários sobre esse assunto aqui no artigo
[50] Comentário enviado por aprendiz_ce em 26/04/2006 - 14:53h
Guilherme,
Acho que entendi o que você quis dizer. Então quando eu rodar o segundo processo na matriz aonde já existe um túnel (tun0) para a filial - 1, vai ser criado um segundo túnel (tun1) para a filial - 2, é isso mesmo?
Quanto as configurações acho que da pra "desenrolar", e em seguida é só criar as rotas, correto?
Há... Agora se possível me tive outras dúvidas: por que é que eu não consigo ver as duas redes no "ambiente de rede" das estações Windows (Win98 e WinXP)? Configurei um servidor WINS em ambas as redes, criei as rotas, tudo certinho, mas as redes não se vêem. Da pra resolver isso?
Como é que eu instalo um cliente OpenVPN para aquelas estações (Win98, WinXP e Linux) que estão fora de ambas as redes e que necessitam se conectar a elas?
Muitíssimo obrigado pela sua pronta atenção e espero que você possa me ajudar mais uma vez.
[51] Comentário enviado por venon_dark em 28/04/2006 - 12:21h
Valeu pela ajuda.
Funcionou muito bem aqui nos meus testes, mas na hora de implantar no cliente não consigo criar o tunel em um dos servers(slackware - kernel-2.4.22), já recompilei o kernel com o modulo TUN/TAP, mas continua não criando o tunel. No outro server(fedora4 - kernel-2.6.11) está funcionando perfeitamente). O q pode estar acontecendo?? Alguém pode me dar uma ajuda.
[53] Comentário enviado por cedrimendes em 04/05/2006 - 12:38h
amigo guilherme parabens pelo artigo
somente gostaria de saber mais a respeito das chaves de criptografia sera que voce conhece um artigo em linguagem portuguesa que demonstre mais a fundo os detalhes da OPENVPN que possa me ajudar
[54] Comentário enviado por cefssilva em 04/05/2006 - 13:59h
Parabéns pelo Artigo, show.
Consegui configurar matriz <=> filial blz.
mais preciso de uma ajuda
mais agora estou tentando configurar mais um cliente nessa rede, acho q nao estou acertando a rota para configurar esse cliente pra acessar a openvpn da matriz
e a matriz acessar o cliente
ip da matriz : 200.200.200.201
criei mais um arquivo .conf no servidor da matriz e subi mais uma vpn, para esperar a conexao desse novo cliente
no o novo cliente tem somente 1 maq. ligada com um speedy:
ip do cliente : 200.207.200.200
o arquivo .conf ficou assim :
dev tun
remote 200.200.200.201
ifconfig 11.0.0.2 11.0.0.1
secret chave
port 5001
ping 15
verb 3
quando executo o openvpn no windows ele conecta na matriz reconhece a chave blz,
ele liga a outra interface TAP criada no ambiente de rede, da pra ela o ip 11.0.0.2,
mais no sistema da matriz nao estou sabendo fazer o roteamento para poder ver a maquina do cliente que esta com speedy
por favor se alguem puder me ajudar ?
desde já agradeço
[55] Comentário enviado por cefssilva em 09/05/2006 - 22:22h
Consegui solucionar o problema do windows,
realmente o problema era a biblioteca lzo que nao funcionava com o windows e a rota que estava errada no arquivo conf da maquina windows
solucao : comentei a biblioteca no arquivo conf da vpn da matriz e
o arquivo conf do windows ficou assim :
dev tun
remote 200.200.200.201
ifconfig 11.0.0.2 11.0.0.1
route 192.168.0.0 netmask 255.255.255.0 11.0.0.1
secret chave
port 5001
ping 15
verb 3
[56] Comentário enviado por dexters em 11/05/2006 - 23:20h
Olá guilherme, parabens pelo artigo, bem explicado, mas estou tento um probleminha, executei tudo certinho passo-a-passo mas quando vou executar o comanda recebo a seguinte mensagem [root@VPNB root]# ifconfig tun0
tun0: erro obtendo informações da interface: %s: dispositivo não encontrado
A versão que estou utilizando do open openvpn-1.6.0-2mdk.i586.rpm meu kernel 2.6.8.1-12mdk linux mandrake 10.1 oficial, não sei se preciso compilar o kernel para resolver isso, se for, peço ajuda de alguem que possa me explicar como eu poderia fazer isso...
Agradeço desde já, e mais uma vez parabens pelo artigo show...
[57] Comentário enviado por guilhermerezende em 12/05/2006 - 12:48h
Primeiro tente instalar o openvpn a partir dos fontes conforme explicado no aritgo. Vc tbm não precisa tentar configurar a interface tun0 com ifconfig, pois quando vc inicializa o openvpn, ele mesmo ja cria a interface tun0 conforme configurado no artigo. Não é preciso recompilar seu kernel tbm não. Vc tem q iniciar o daemon do OpenVPN e ele mesmo se encarrega de configurar as interfaces tun0.
[58] Comentário enviado por dexters em 12/05/2006 - 16:09h
Guilherme olha eu de novo aqui, estou tentando instalar como vc falou, seguindo o procedimento, porem quando vou instalar o openvpn ./configure ele me da o seguinte erro..
hecking for memset... yes
checking for vsnprintf... yes
configure: checking for LZO Library and Header files...
checking lzo1x.h usability... yes
checking lzo1x.h presence... yes
checking for lzo1x.h... yes
checking for lzo1x_1_15_compress in -llzo... yes
configure: checking for OpenSSL Crypto Library and Header files...
checking openssl/evp.h usability... no
checking openssl/evp.h presence... no
checking for openssl/evp.h... no
configure: error: OpenSSL Crypto headers not found.
Ai fica desativado o make, acho que é pq ele não conseguiu terminar certo? o que eu posso fazer para resolver isso, o openssl já está instalado..
[59] Comentário enviado por guilhermerezende em 15/05/2006 - 11:28h
Bom, provavelmente seu sistema está sem o pacote OpenSSL instalado. Vc pode resolver esse problema usando o seguinte parâmetro na de preparar sua compilação
#./configure --disable-ssl
[60] Comentário enviado por nilson_mga em 22/05/2006 - 21:44h
root@server:/etc/openvpn# openvpn --config filial.conf --daemon
Unrecognized option or missing parameter(s) in filial.conf:3: remoto
Use --help for more information.
root@server:/etc/openvpn#
root@server:/etc/openvpn# cat filial.conf
dev tun
ifconfig 10.0.0.2 10.0.0.1
remoto 200.138.148.81
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3
root@server:/etc/openvpn#
[61] Comentário enviado por guilhermerezende em 22/05/2006 - 21:49h
Bom, esse erro está na cara!!!!!!!!!!
repara q sua linha 3 está escrito "remoto" e não "remote" como escrito no artigo. Repara tbm q o próprio Openvpn diz a vc em qual linha está o erro.
[63] Comentário enviado por nathan_levy em 31/05/2006 - 15:56h
É possível ter os pontos (matriz + filial) com ip's dinamicos, bastando somente colocar o nome dos hosts na cláusula remote de cada linux, após ter configurado serviços como o no-ip ou dyndns? Alguém tem alguma implementação desse que funcione bem?
[64] Comentário enviado por ealvarenga_f em 13/06/2006 - 13:25h
Colega, fiz a instalação e configuração do openvpn, consegui levantar o openvpn na matriz e filial, porém não consigo pingar o ip dentro da propria vpn!! tipo ping 10.10.10.1 e ping 10.10.10.2, somente consigo pignar localmente, mas do servidor para o cliente e cliente para servidor não consigo. O que pode estar errado??
Estou usando em modo seguro ssl/tls
[66] Comentário enviado por pentax em 23/06/2006 - 14:53h
Hola.. muito bom artigo., pude conectar 2 pcs con adsl pppoe c/u , a minha duda e que con pc da red da matriz con la rede 192.168.2.0/24 con una makina con ss.oo windows, com podria instalar isso. ya que baxei o openvpn pra windows mas al terminar de instalar defectar uma nova interfaz mas con una cruz que significa que nao tem conexaçao, estare errado en minha configuraçao,
alguna sugerencia al conectar una makina linux con windows
atte Mauricio Muñoz
[67] Comentário enviado por adilima28 em 02/08/2006 - 10:48h
Guilherme, muito bom o teu artigo, tudo está rodando bém nas duas rede só não consigo que as mq. das duas redes apareção no ambiente de rede (browser), como faço?
O nome de domínio é o mesmo para as duas redes.
Ex. IPs:
Rede 1: 192.168.0.0/24
Rede 2: 192.168.1.0/24
Servidores Linus (Samba) e estações win98se e winxp.
Obs: Mesmo sem ambiente de rede consigo pingas transferir arquivos e ver os compartilhamentos nas estações.
[69] Comentário enviado por Mr John em 14/08/2006 - 13:56h
Olha eu estou começando meu TCC na faculdade e pretendo desenvolver esse sistema na minha empresa sendo que a sede esta localizada em Brasilia e constantemente precisamos trocar informações seguras.Vou estudar muito esse assunto pois muito me interessa.
[71] Comentário enviado por nhoj em 23/08/2006 - 11:24h
Cara!
Parabens. O artigo é ótimo. Funcionou de primeira. Só tive que fazer algumas modificações nos endereços de rede em função dos endereços que uso na minha rede!
[72] Comentário enviado por rafaelrls em 24/08/2006 - 10:43h
Senhores, Bom dia.
Bom, este artigo é ótimo, foi por ele que consegui aprender openvpn...
rsrsrsrs... Bom mais estou tendo um probleminha....
Acontece o seguinte, estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp. Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de bola... faço a "devassa" com
a conexão... O problema é quando misturo Linux com Windows. O meu Firewall
fica na mesma máquina linux e praticamente deixei-o sem proteção nenhuma,
tudo aberto mesmo só pra testar a Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro nenhum, este é o problema....
Abaixo segue as ultimas linhas exibidas após rodar o comando(Cliente Windows)
Thu Aug 24 10:24:33 2006 us=435757 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Aug 24 10:24:33 2006 us=438514 ******* WARNING *******: all encryption and authentication featur
es disabled -- all data will be tunnelled as cleartext
Thu Aug 24 10:24:33 2006 us=568392 TAP-WIN32 device [ConexÒo local 3] opened: \\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver Version 8.1
Thu Aug 24 10:24:33 2006 us=568766 TAP-Win32 MTU=1500
Thu Aug 24 10:24:33 2006 us=568859 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/25
5.255.255.252 on interface {15074DE0-C6C7-4BF8-8453-D556CB106A06} [DHCP-serv: 10.0.0.1, lease-time:
31536000]
Thu Aug 24 10:24:33 2006 us=570944 Successful ARP Flush on interface [3] {15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu Aug 24 10:24:33 2006 us=572218 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Thu Aug 24 10:24:33 2006 us=572426 Local Options String: 'V4,dev-type tun,link-mtu 1500,tun-mtu 1500
,proto UDPv4,ifconfig 10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006 us=572564 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1500,tu
n-mtu 1500,proto UDPv4,ifconfig 10.0.0.2 10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653 Local Options hash (VER=V4): 'ba8d4fae'
Thu Aug 24 10:24:33 2006 us=582892 Expected Remote Options hash (VER=V4): '153dea2d'
Thu Aug 24 10:24:33 2006 us=583051 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Aug 24 10:24:33 2006 us=583162 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 10:24:33 2006 us=583240 UDPv4 link remote: < MEU IP EXTERNO >:5000
os arquivos de configuração são respectivamente:
Windows:
proto udp
dev tun
remote <MEU IP EXTERNO>
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5
LINUX:
dev tun2
ifconfig 10.0.0.1 10.0.0.2
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5
Estou tentando abrir uma conexão bem simples mesmo, sem chave... Apenas para teste.
Tenho outras Openvpns rodando neste mesmo server (todas linux-linux), porém,
especificamente com esta estou tendo o problema.
Já tentei até trocar de porta... E no linux não aparece erro algum...
[73] Comentário enviado por ggarauj em 24/08/2006 - 11:03h
Bom dia Guilherme, este aritgo foi para o meus favoritos, cara nao demorei 15 minutos para fazer minha matriz conversar com a filial, estou enxergando dos as maquinas por de tras dos meus servidores.
De uma estacao na matriz acesso via vnc pelo ip local da rede da matriz.
Cara SHOWWWW DE BOLA!!! PARABENS.
Tenho so uma duvida. Tenho outra Filial para fazer o mesmo procedimento, la na filial esta pronto, agora nao sei como faco aqui na matriz. Tentei criar outro arquivo no /etc/openvpn/matrizp5.conf
# Usar como interface o driver TUN
dev tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip da Filial - Posto4
# 10.0.0.5 ip da Filial - Posto5
ifconfig 10.0.0.3 10.0.0.5
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3
dai tentei fazer outro tunel, so que nao deu certo pelo comando:
[74] Comentário enviado por claudivino em 24/08/2006 - 11:23h
Instalei os pacotes usando o YUM, e foi blz. O mesmo na configuração do matriz.conf, o problema está quando eu rodo o comando: openvpn --config /etc/openvpn/matriz.conf -daemon, veja o erro abaixo:
[root@cd openvpn]# openvpn --config /etc/openvpn/cd_unisoap.conf -daemon
Thu Aug 24 11:25:37 2006 OpenVPN 2.1_beta14 i386-redhat-linux-gnu [SSL] [LZO1] [EPOLL] built on Apr 14 2006
Thu Aug 24 11:25:37 2006 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Thu Aug 24 11:25:37 2006 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail
Thu Aug 24 11:25:37 2006 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail
Thu Aug 24 11:25:37 2006 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 24 11:25:37 2006 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 11:25:37 2006 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 24 11:25:37 2006 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 11:25:37 2006 LZO compression initialized
Thu Aug 24 11:25:37 2006 TUN/TAP device tun0 opened
Thu Aug 24 11:25:37 2006 TUN/TAP TX queue length set to 100
Thu Aug 24 11:25:37 2006 /sbin/ip link set dev tun0 up mtu 1500
Thu Aug 24 11:25:37 2006 /sbin/ip addr add dev tun0 local 10.0.0.1 peer 10.0.0.2
Thu Aug 24 11:25:37 2006 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug 24 11:25:37 2006 Local Options hash (VER=V4): '099d04aa'
Thu Aug 24 11:25:37 2006 Expected Remote Options hash (VER=V4): 'f1025742'
Thu Aug 24 11:25:37 2006 GID set to nobody
Thu Aug 24 11:25:37 2006 UID set to nobody
Thu Aug 24 11:25:37 2006 Socket Buffers: R=[107520->131072] S=[107520->131072]
Thu Aug 24 11:25:37 2006 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 11:25:37 2006 UDPv4 link remote: [undef]
[75] Comentário enviado por rafaelrls em 24/08/2006 - 11:25h
Olá Glaucio, eu resolvi este problema colocando um TUN + um seqüêncial para cada VPN, sendo que cada TUN deve estar em cada arquivo de configuração, ou seja, vc deve criar um arquivo de configuração para cada conexão.
[76] Comentário enviado por rafaelrls em 24/08/2006 - 11:34h
Pelo Amor de Deus, me ajudem!!!!
Bom, este artigo é ótimo, foi por ele que consegui aprender openvpn...
rsrsrsrs... Bom mais estou tendo um probleminha....
Acontece o seguinte, estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp. Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de bola... faço a "devassa" com
a conexão... O problema é quando misturo Linux com Windows. O meu Firewall
fica na mesma máquina linux e praticamente deixei-o sem proteção nenhuma,
tudo aberto mesmo só pra testar a Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro nenhum, este é o problema....
Abaixo segue as ultimas linhas exibidas após rodar o comando(Cliente Windows)
Thu Aug 24 10:24:33 2006 us=435757 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Aug 24 10:24:33 2006 us=438514 ******* WARNING *******: all encryption and authentication featur
es disabled -- all data will be tunnelled as cleartext
Thu Aug 24 10:24:33 2006 us=568392 TAP-WIN32 device [ConexÒo local 3] opened: \\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver Version 8.1
Thu Aug 24 10:24:33 2006 us=568766 TAP-Win32 MTU=1500
Thu Aug 24 10:24:33 2006 us=568859 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/25
5.255.255.252 on interface {15074DE0-C6C7-4BF8-8453-D556CB106A06} [DHCP-serv: 10.0.0.1, lease-time:
31536000]
Thu Aug 24 10:24:33 2006 us=570944 Successful ARP Flush on interface [3] {15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu Aug 24 10:24:33 2006 us=572218 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Thu Aug 24 10:24:33 2006 us=572426 Local Options String: 'V4,dev-type tun,link-mtu 1500,tun-mtu 1500
,proto UDPv4,ifconfig 10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006 us=572564 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1500,tu
n-mtu 1500,proto UDPv4,ifconfig 10.0.0.2 10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653 Local Options hash (VER=V4): 'ba8d4fae'
Thu Aug 24 10:24:33 2006 us=582892 Expected Remote Options hash (VER=V4): '153dea2d'
Thu Aug 24 10:24:33 2006 us=583051 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Aug 24 10:24:33 2006 us=583162 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 10:24:33 2006 us=583240 UDPv4 link remote: < MEU IP EXTERNO >:5000
os arquivos de configuração são respectivamente:
Windows:
proto udp
dev tun
remote <MEU IP EXTERNO>
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5
LINUX:
dev tun2
ifconfig 10.0.0.1 10.0.0.2
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5
Estou tentando abrir uma conexão bem simples mesmo, sem chave... Apenas para teste.
Tenho outras Openvpns rodando neste mesmo server (todas linux-linux), porém,
especificamente com esta estou tendo o problema.
Já tentei até trocar de porta... E no linux não aparece erro algum...
Será que pode ser a versão do openvpn no linux??? Como faço pra descobrir a versão no linux, pois no Windows é a mais recente???
[77] Comentário enviado por ggarauj em 24/08/2006 - 14:37h
Cara achei como que faz,
no /etc/openvpn/matriz1.conf , cujo qual vai conversa com a minha filial1 ficará assim:
#############################################
dev tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip da Filial - Posto4
ifconfig 10.0.0.3 10.0.0.4
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3
#############################################
Agora no /etc/openvpn/matriz2.conf, cujo qual vai conversa com a minha filial2 ficará assim:
#############################################
dev tun1
# 10.0.0.3 ip da Matriz
# 10.0.0.5 ip da Filial - Posto5
ifconfig 10.0.0.3 10.0.0.5
cd /etc/openvpn
secret chave
port 6000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3
#############################################
entao a cada novo arquivo criado tem que mudar a porta e o tun
no meu caso, usei para o primeiro aquivo tun e porta 5000 e no segunto tun1 e porta 6000, sendo que este tun e esta porta devera ser utilizada no arquivo filial2.conf
[78] Comentário enviado por mjdois em 30/08/2006 - 14:28h
Boa tarde, para quem já faz uso do OpenVPN queria saber de existe alguma configuração especial nas regras do Iptables ou se o mesmo utiliza algum protocolo especial para trabalhar.
[79] Comentário enviado por dcyrillo em 05/09/2006 - 19:58h
Parabéns Guilherme pelo excelente artigo. A vpn funcionou beleza, consigo pingar os servers, o tunel tá certinho. Porém só consigo pingar alguma maquina da rede da matriz pelo servidor linux, se eu tentar pingar por alguma maquina da rede da filial nao funciona.
Aconteceu com alguém este problema?
Obrigado.
[81] Comentário enviado por estefancaique em 22/09/2006 - 09:05h
Olá amigos instalei um openvpn mas ela não esta pinnga a outra estremidade jár verifiquei as portas troque a porta padrão de 5000 para 5001 mas não deu certo alguel tem alguma solução obrigado estou usando fedora core 5 instalei via yum mas acho que não tem nada a ver
gostaria de um resposta obrigado.
[82] Comentário enviado por aprendiz_ce em 22/09/2006 - 14:11h
Algum dos colegas conseguiu implementar essa solução no Debian Sarge? Tenho essa solução implementada com uma matriz e duas filiais no CL 10, mas tentei no Debian Sarge e não funcionou. Instala tudo certinho, mas quando tento levantar o serviço não ocorre nada.
[83] Comentário enviado por robertinhofur em 02/10/2006 - 11:33h
Pessoal, algum de vcs aí teve algum problema com velocidade apóss implantação da VPN? Qdo me conecto via ssh da filial para a matriz usando o ip interno fica impossivel, mto lento, e tenho q matar o processo... Agora qdo me conecto fora da VPM usando o IP válido da matriz 200.x .x .x .x funciona normal.. Please me ajudem....
[85] Comentário enviado por juliocest em 13/10/2006 - 17:14h
Tutorial excelente..
Funcionou tudo entre os dois servidores, isto 'e, matriz e filal.
Quando tento pingar uma maquina da filial para uma outra da matriz, nada aparece. Fiz tudo conforme o tutorial, mas nao consigo fazer uma maquina de uma rede local do servidor da matriz acessar outra outra maquina da rede local da filial.
[86] Comentário enviado por removido em 17/10/2006 - 17:59h
Caso na compilação do openvpn (./configure) ocorrer o erro: "OpenSSL Crypto headers not found" e parar a instalação, você precisa instalar os seguintes pacotes:
openssl
openssl-devel-static
com isto resolverá, pois no meu caso foi apenas isto.
[87] Comentário enviado por rogeriogma em 18/10/2006 - 01:16h
linux-rogerio:/home/rogerio/Desktop/openvpn-1.6.0 # openvpn --genkey --secret /etc/openvpn/chave
Unrecognized option or missing parameter(s) in [CMD-LINE]:1: genkey
Use --help for more information.
[90] Comentário enviado por removido em 19/10/2006 - 13:09h
veja no --help as opções que possue, e qual a sintaxe correta.
tente dar o comando: openvpn --help |grep gen ou key para filtrar as opções ou, veja de 1 em um.
[91] Comentário enviado por bartanha em 19/10/2006 - 15:53h
Pessoal não consigo subir a segunda interface tun1, quando executo o comando:
#ifconfig tun1
Aparece a seguinte mensagem de erro:
tun1: error fetching interface information: Device not found
Alguém sabe como resolver esse problema???
[92] Comentário enviado por removido em 26/10/2006 - 17:40h
Guilherme,
segui o teu tutorial e a princípio tudo funcionou, porem não há comunicação entre os servidores e nem entre as redes internas.
No site openvpn.net há uma configuração básica que utilizei para verificar se estava ocorrendo algum problema porem mesmo assim não houve comunicação.
Abaixo o log da matriz:
Oct 26 18:53:41 localhost ovpn-express[16897]: WARNING: --ping should normally be used with --ping-restart or --ping-exit
Oct 26 18:53:41 localhost ovpn-express[16897]: WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Oct 26 18:53:41 localhost ovpn-express[16897]: ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Oct 26 18:53:41 localhost ovpn-express[16897]: TUN/TAP device tun0 opened
Oct 26 18:53:41 localhost ovpn-express[16897]: /sbin/ifconfig tun0 172.1.12.2 pointopoint 172.1.12.1 mtu 1500
Oct 26 18:53:41 localhost ovpn-express[16897]: ./rota.sh tun0 1500 1500 172.1.12.2 172.1.12.1 init
Oct 26 18:53:41 localhost ovpn-express[16908]: GID set to nobody
Oct 26 18:53:41 localhost ovpn-express[16908]: UID set to nobody
Oct 26 18:53:41 localhost ovpn-express[16908]: UDPv4 link local (bound): [undef]:5000
Oct 26 18:53:41 localhost ovpn-express[16908]: UDPv4 link remote: [undef]
Oct 26 18:53:51 localhost ovpn-express[16908]: Peer Connection Initiated with (ipadsl-filial):5000
Oct 26 18:53:53 localhost ovpn-express[16908]: Initialization Sequence Completed
A seguir tcpdump da filial mostrando a conexão:
18:44:36.968379 IP (ip adsl da filial).5000 > (ip adsl matriz).5000: UDP, length: 16
Estou usando o seguinte esquema:
rede interna matriz--->Gateway(172.1.12.2)->adsl<-Gateway(172.1.12.1)<--rede interna filial
[93] Comentário enviado por mpestana em 31/10/2006 - 22:06h
Caros amigos, sou novato nesta area, e estou com uma grande duvida. Gostaria de saber como eu posso melhorar a velocidade de impressão em DOS ? Quando coloco para imprimir demora muito, posso levantar, tomar um cafe, ir ao banheiro e nao terminou a impressao de uma simples nota fiscal.
No caso acima, estou numa filial em SP buscando os dados no RJ, usando o OpenVPN.
[94] Comentário enviado por crisrede em 18/11/2006 - 12:37h
guilerme estou usando no mandriva 2006 host a host com cross-over com instalação rpm e vi na sua configuração que esta configurado com Usa a biblioteca lzo
ele me da s seguinte erro
[root@mandriva15 Documentation]# openvpn -config /etc/openvpn/matriz.conf
Options error: I'm trying to parse "-config" as an --option parameter but I don't see a leading '--'
Use --help for more information.
[97] Comentário enviado por antraz em 16/12/2006 - 14:44h
Guilherme, meus parabéns pelo artigo ficou otimo, consegui montar a vpn com facilidade.
Só esta acontecendo que eu não estou conseguindo pingar nas maquinas nas redes.
Quando eu adiciono as rotas eu consigo da o ping nas interfaces dos servidores, mas não consigo pingar fora dela.
Por explento:
MATRIZ
ETH0 201.X.X.X.
ETH1 10.0.0.10
TUN 10.10.10.3
FILIAL
ETHO 10.10.0.3
TUN 10.10.10.4
Da matriz eu ping 10.10.10.4 e 10.10.0.3 e nada mais.
Da Filial eu ping 10.0.0.10 e 10.10.10.3 e também nada mais.
Ou seja entre elas esta tudo bem, mas o problemas são as maquinas das redes.
[98] Comentário enviado por heberbd em 29/01/2007 - 23:23h
Boa noite,
Guilerme, não consigo dar ping nos computadores da rede da matriz nos computadores da filial nem vice-versa, só consigo até nos micros que fazem a vpn. Fiz igual no artigo e não funciona, será o que está acontecendo???
[101] Comentário enviado por Ruy_Go em 21/02/2007 - 16:40h
aps167
Facil brother, cria ai um dns reverso com o no-ip. Por exemplo.
www.noip.com Crie la uma conta no ip, instale o no-ip em sua maquina, configure ele bonitinho e na filial voce vai setar o remote com o endereço no-ip que vc criou. EX:
remote aps167.no-ip.org
Isso tou exemplificando caso as duas ADSL sejam dinamicas!
Abraços
Ruy
[102] Comentário enviado por vinicius.almeida em 14/03/2007 - 18:33h
gostaria de instalar um servidor openvpn para atender meu chefe pois ele quer acessar a vpn de casa pelo notebook, ele usa windows xp.
so achei tutorial na internet de linux para linux neste caso como procedes??
[103] Comentário enviado por daniel_dantas em 04/04/2007 - 14:39h
Ae Fera....
Vlw penho empenho... eu estava precisando de uma solução exatamente assim... configurei usando o Conectiva10... tive claro alguns problemas de configuração normais do Linux... ms no final funfo de boa. Então, vai ai uma dica... qdo vc usou os IP´s 10.0.0.1.. para levantar o tunel, vc poderia ter colocado uma nota, que esses Ip´s seriam apenas para levantar os tuneis e q vc pode usar uma rede qq na Lan...
[104] Comentário enviado por jgama em 06/04/2007 - 12:58h
Alguém que esteja usando com sucesso esta configuração com openvpn nas duas pontas com Servidores Linux, possa titar uma duvida, porque aqui não consigo pinga nada.
No servidor Matriz, consigo levar o tunel tun0
No servidor Filial também consigo levantar o tunel tun0
No log do Servidor Matriz tenho:
root@servidor:/etc/openvpn# tail /var/log/messages
Apr 6 12:39:34 servidor openvpn[20869]: LZO compression initialized
Apr 6 12:39:40 servidor openvpn[20869]: TUN/TAP device tun0 opened
Apr 6 12:39:40 servidor openvpn[20869]: /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Apr 6 12:39:40 servidor openvpn[20869]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Apr 6 12:39:40 servidor openvpn[20869]: Local Options hash (VER=V4): '099d04aa'
Apr 6 12:39:40 servidor openvpn[20869]: Expected Remote Options hash (VER=V4): 'f1025742'
Apr 6 12:39:40 servidor openvpn[20872]: GID set to nobody
Apr 6 12:39:40 servidor openvpn[20872]: UID set to nobody
Apr 6 12:39:40 servidor openvpn[20872]: UDPv4 link local (bound): [undef]:5001
Apr 6 12:39:40 servidor openvpn[20872]: UDPv4 link remote: 201.43.156.11:5001
No log do servidor Filial tenho:
[root@servidor openvpn]# tail /var/log/messages
Apr 6 12:06:53 servidor openvpn[4201]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Apr 6 12:06:53 servidor openvpn[4201]: Local Options hash (VER=V4): '5c3fe1ab'
Apr 6 12:06:53 servidor openvpn[4201]: Expected Remote Options hash (VER=V4): '522471df'
Apr 6 12:06:53 servidor openvpn[4205]: GID set to nobody
Apr 6 12:06:53 servidor openvpn[4205]: UID set to nobody
Apr 6 12:06:53 servidor openvpn[4205]: UDPv4 link local (bound): [undef]:5000
Apr 6 12:06:53 servidor openvpn[4205]: UDPv4 link remote: 201.1.138.43:5000
Apr 6 12:39:49 servidor openvpn[4205]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)
[105] Comentário enviado por removido em 23/04/2007 - 19:49h
Me deparei com 2 erros do meu Linux, nos arquivos matriz.conf e filial.conf
Ao inicialos deu erro no TUN/TAP, utilizo o CentOs e por algum motivo não esta localizado em sua pasta, alguem pode me ajudar?
[root@master2 vpn]# openvpn --config /etc/openvpn/filial.conf
Mon Apr 23 18:44:58 2007 0: OpenVPN 1.5.0 i686-pc-linux-gnu [SSL] [LZO] built on Apr 2 3 2007
Mon Apr 23 18:44:58 2007 1: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit k ey
Mon Apr 23 18:44:58 2007 2: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 23 18:44:58 2007 3: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit k ey
Mon Apr 23 18:44:58 2007 4: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 23 18:44:58 2007 5: LZO compression initialized
Mon Apr 23 18:44:58 2007 6: Note: Cannot open TUN/TAP dev /dev/net/tun: No such file o r directory (errno=2)
Mon Apr 23 18:44:58 2007 7: Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Mon Apr 23 18:44:58 2007 8: Cannot open TUN/TAP dev /dev/tun: No such file or directo ry (errno=2)
Mon Apr 23 18:44:58 2007 9: Exiting
[109] Comentário enviado por marciunix em 01/06/2007 - 03:51h
Opa galera,
Primeiramente queria fazer duas notificações que podem ser importantes para outras pessoas que estão passando pelo mesmo problema:
-Configurei minha VPN no DEBIAN:
-Ao tentar configurar o VPN aparecia o seguinte erro:
"configure: error: OpenSSL Crypto headers not found."
... mesmo ja tendo instalado o pacote openssl.
para resolvê-lo tive que criar uma pasta chamada "openssl" dentro do diretório /usr/local/include e copiar tudo que estava dentro de /usr/local/ssl/include/openssl/ ... para lá. após isto copei tudo que estava dentro de /usr/local/ssl/lib para a pasta /usr/lib ... Pronto pode executar o ./configure que agora vai funcionar.
Espero poder ter ajudado.
#### Agora um pedido de ajuda ####
preciso de pouca coisa para fechar meu trabalho
Minha dúvida ja foi levantada aqui anteriormente por alguns membros, no entanto as respostas apresentadas não me solucionaram o problema.
Consigo pingar do IP fixo da matriz 192.168.70.2 para o da Filial 192.168.80.2, através do túneo criado, perfeito... mas não consigo chegar nas outras máquinas das redes.
Perguntas:
1o. O fato de estar utilizando um modem routeado (sendo ele o default gateway da rede) influencia? as máquinas linux (server/client) estão ligadas no switch em suas respectivas redes... entrei na configuração dos modens e informei na configuração de nat que qualquer requisição à porta 5000 aponte para máquina 80.2 e na outra rede 70.2 ...
2o. Ou tenho que fazer alguma outra configuração de rota que não foi citada no artigo acima? Todas de lá foram feitas.
3o . No caso desta conexão for uma contigência, como crio uma ponte entre as duas interfaces eth0 e eth1 destas máquinas linux, tipo a eth1 é a acima citada o velox com vpn e a eth0 outra rede: na matriz 10.72.0.1 .... na filial 10.73.1.1.
Enorme abraço a todos,
Meu primeiro forum que participo, espero poder retribuir a tudo que ja consultei aqui com muitos de vocês.
[110] Comentário enviado por carlos.renato em 01/06/2007 - 12:37h
Parabéns pelo artigo, estou com uma dúvida, é possível ter os pontos (matriz + filial) com ip's dinamicos, bastando somente colocar o nome dos hosts na cláusula remote de cada linux, após ter configurado serviços como o no-ip ou dyndns? Alguém tem alguma implementação desse que funcione bem?
Obrigado e um abraço,
[111] Comentário enviado por cyberton em 15/06/2007 - 12:32h
Srs,
Boa Tarde...
Estou com seuinte problema etapa final da minha vpn no client windows, lembrando que o server e um slackware 11.0 :
Fri Jun 15 12:05:53 2007 us=29455 Sorry but I can't become a daemon because this operating system doesn't appear to support either the daemon() or fork() system calls
Desde ja fico grato pela ajuda ... E GUILERME .. PARABENS PELA SOLUCAO ....
[112] Comentário enviado por geniocorreia em 27/06/2007 - 07:54h
Bom dia, guilhermerezende!
Gostei muito deste material sobre OpenVpn, simples e bom.
Na empresa que eu trabalho eu estou usando o OpenVpn tem uns 2 meses, estou gostando muito mais estou com um problema nos túneis da VPN. Alguns túneis ficam alguns dias sem cair e outros caem praticamente todos os dias, gerando um transtorno por causa das reclamações. Gostaria de saber se você passou por isso, e se passou e conseguiu resolver será se você pode mostrar o caminho.
Desde já, agradeço.
[113] Comentário enviado por caiquemd em 13/07/2007 - 19:19h
Bom dia, guilhermerezende!
Gostei muito deste material sobre OpenVpn, simples e bom.
Na empresa que eu trabalho eu estou usando o OpenVpn tem uns 2 meses, estou gostando muito mais estou com um problema nos túneis da VPN. Alguns túneis ficam alguns dias sem cair e outros caem praticamente todos os dias, gerando um transtorno por causa das reclamações. Gostaria de saber se você passou por isso, e se passou e conseguiu resolver será se você pode mostrar o caminho.
Amigo como eu também estou com essa dificuldade copie a pergunta dele e acresento o mapiamento cai quando uma outra maquina pede o mesmo mapiamento percebi pois tenho 30 maquinas fazendo ao mesmo temo a vpn maos enpre tenho essa dificuldade como devo agir obrigado
[114] Comentário enviado por antonioleite em 26/08/2007 - 17:46h
Amigo ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado
[117] Comentário enviado por le-unix em 31/08/2007 - 12:28h
Bom dia ;
Caro , Guilherme sou iniciante em instalação de servidores linux, e estou brigando com com o openvpn
como você colocou no tutorial no vivaolinux.com.br.
Parabéns pelo artigo me ajudou para caramba cara !
Fiz como no tutorial do OPENVPN.
Matriz :
As duas estão pingando ex: ping 10.0.0.2(filial)
Filial:
As duas estão pingando ex: ping 10.0.0.1(matriz)
Pelo que vi o problema está na rota mais não estou conseguindo resolver, minha rede está assim:
Matriz : ip fixo - Rede interna 192.168.1.0 a 254
Filial: ip fixo - Rede interna 192.168.20 a 254
Gostaria de saber por que não consigo nem pingar de um micro da rede interna .
Exemplo estou na matriz(ip 192.168.1.23) : dou um ping na filial (ping 192.168.2.57).
E não responde , pelo que vi na net a npv deveria pingar e conectar quando digitasse no browser da matriz o ip da filial ele deveria responder como se fosse uma rede interna.
[119] Comentário enviado por us1sky em 15/09/2007 - 17:59h
Cara.............................................. meus parabéns pelo artigo e aos companheiros que comentaram o artigo... O meu não funcionava até um amigo aqui compartilhar a experiência que adicionou o grupo "nobody"...
só faltava isso!!! PARABÉNS A TODO MUNDO.
[121] Comentário enviado por denaum em 19/10/2007 - 07:50h
?comentario= Bom dia a todos,
Tenho a OpenVPN funcionando e gostaria de saber como posso capturar os dados do tunel para mostrar que estao realmente criptografados?
Estou utilizando o tcpdump mas configo pegar os dados legiveis mesmo com criptografia ativada, acredito que na sintaxe do comando nao estou pegando o trafego no tunel e sim quando jah chegou no servidor e foi descriptografado
[122] Comentário enviado por aprendiz_ce em 25/10/2007 - 17:29h
Algum dos colegas conseguiu implementar essa solução no Debian Sarge/Etch? Execute o "./configure" roda tudo certinho, mas no final fala que não foi possível criar o executável. O que pode ser?
[124] Comentário enviado por fbssolucoes em 07/11/2007 - 09:17h
Galera, esse tutorial é show de bola, ja fiz 2 filiais enxergarem a matriz, só que estou tentando fazer a filial3 enxergar a matriz, mas toda vez que reinicia o computador a configuração openvpn --config... perde e eu tenho que setar na mão, isso tando na matriz como na filial3, setando na mão e fazendo o route novamente eu volto a enxergar. É lógico que eu conseguir resolver o problema colocando as linhas no rc.local, mas por que será que o teceiro tunel não está ficando?
[126] Comentário enviado por blademaster em 12/12/2007 - 12:15h
Po muito bom o tutorial ... me ajudou aqui, mas to com um problema que é o seguinte:
dou o comando:
openvpn --config /etc/openvpn/matriz.conf --daemon
depois quando dou o comando :
ifconfig tun0
Aparece o seguinte erro:
error fetching interface information: Device not found
[132] Comentário enviado por almirpasseto em 30/01/2008 - 08:50h
Artigo excelente
Corrigindo o pequeno erro do uso do - no lugar do -- antes dos parâmetros secret e daemon. Segui o tutorial à risca e funcionou perfeitamente, sem nenhum erro. Só fiquei decepcionado com a velocidade. Uma planilha de 5778 KB de tamanho, levou 3 minutos para abrir.
Caso eu encontre uma solução (que acredito não existir, pois acho que o problema é no link da internet), eu posto aqui. Uma ponta é link embtatel via rádio de 512 K (que atinge normalmente 400K) e na outra é um Speedy de 8 MB (que atinge em média 2 MB).
[133] Comentário enviado por rodrigoramone em 04/03/2008 - 16:29h
Blz cara , excelente artigo
Só tenho uma duvida , as minhas 3 conexões de internet possuem ip fixo , e o cliente quer que todas enxergem todas , como faço ???
[135] Comentário enviado por edup em 15/04/2008 - 13:49h
Boas,
É um artigo excelente para compreender o básico do openvpn. Entretanto fui avançando e deparei-me com um problema o qual não consigo mesmo resolver, apesar dos esforços.
Pressupostos:
- Não tenho firewall
- Quando falo em server do escritório2, estou apenas a referir que é o server para a subnet do escritório2, sendo um cliente normal do openvpn server que se encontra no escritorio1. Ou seja, conecta-se ao server do escritorio1 e serve a sua propria subnet
- Estou a desesperar!
A minha estrutura é a seguinte:
- Servidor Linux - openvpn - que tem uma subnet 192.168.38.0 255.255.255.0
entre todos os outros parâmetros de configuração acrescentei no filial.conf: server 10.0.0.0 255.255.255.0
Neste caso consigo fazer conectar diversos clientes com apenas um ficheiro de configuração.
- Cliente linux escritorio2 que tem uma subnet 192.168.2.0 255.255.255.0
- Clientes winXP:
Situação actual:
Tenho a rede vpn montada baseada em tun entre o escritorio1 e o escritorio2. Conectam-se perfeitamente.
Sucesso:
- Após adicionar as rotas nos computadores das subnets do escritorio1 e escritorio2 consigo pingar entre os clientes das 2subnets dos escritorios .
- Consigo pingar entre o servidor(escritorio1) e a subnet toda do escritorio2
Insucesso:
- Não consigo pingar entre o servidor do escritorio2(cliente openvpn do server do escritorio1) e os clientes da subnet do escritorio1 (apesar de conseguir o inverso). Consigo apenas pingar o servidor do escritorio1, como é óbvio.
o que é mais estranho é que faço um traceroute de um cliente do escritório2 para um computador da subnet do escritorio1 e ele chega ao destino:
##Traceroute do computador cliente da subnet 192.168.2.0 para a ##subnet 192.168.38.0
$ traceroute 192.168.38.99
traceroute to 192.168.38.99 (192.168.38.99), 64 hops max, 40 byte packets
1 192.168.2.1 (192.168.2.1) 1.411 ms 1.142 ms 1.049 ms
2 10.0.0.1 (10.0.0.1) 37.333 ms 38.273 ms 37.918 ms
3 192.168.38.99 (192.168.38.99) 37.953 ms 37.133 ms 38.062 ms
e o traceroute para o mesmo ip de um cliente da subnet do escritorio1 do server da subnet do escritorio2(ip=192.168.2.1) é:
$ traceroute 192.168.38.99
traceroute to 192.168.38.99 (192.168.38.99), 30 hops max, 40 byte packets
1 10.0.0.1 (10.0.0.1) 35.910 ms 37.663 ms 37.160 ms
2 * * *
3 * * *
....
[136] Comentário enviado por aprendiz_ce em 13/06/2008 - 11:37h
Tenho uma estrutura de cinco FILIAIS conectadas com uma MATRIZ. Tudo funciona certinho, sem problema algum. Mas só funciona no sentido FILIAL acessa MATRIZ e MATRIZ acessa FILIAL. Dúvida: O que tenho que alterar ou fazer para que haja um fluxo entre FILIAIS? Tipo: FILIAL-1 acessa FILIAL-2, FILIAL-5 acessa FILIAL-3 e etc.
[137] Comentário enviado por cabrij em 22/07/2008 - 10:07h
Eu não conseguí copiar o arquivo Chave da matriz com o comando: # scp /etc/openvpn/chave ip_filial:/etc/openvpn, no lugar de ip_filial coloquei o ip de conexão e executei deu o seguinte erro: Time out. Pelo que eu entendí ele copia via ssh e liberei a porta 22 no firewall e router, oque eu deve ter feito de errado ? Segundo gostaria de saber como poderia copiar esse arquivo sem sser via esse canal preservando o conteúdo ? Terceiro na filial quando eu executei esse comando : touch /etc/openvpn/filial.conf ele simplesmente criou o arquivo e para eu colocar as informações dentro do arquivo tive que editá-lo em em um aplicativo de texto e coloquei as seguintes informações:
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse será o ip da filial
ifconfig 10.0.0.2 10.0.0.1
# Indica onde está o ip da Matriz (essa é a única linha que acrescentamos
# no arquivo de configuração da filial), o resto é tudo igual.
remote (200.217.222.222) coloquei 201.00.... meu ip de conexão na matriz *
# Entra no diretório onde se encontram os arquivos de configuração
cd /etc/openvpn
# Indica que esse túnel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
# Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nível de log
verb 3
[138] Comentário enviado por GuE em 13/08/2008 - 17:01h
Artigo fico mui bom, apenas um detalhe p/ usuarios Debian etch:
na linhas
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
acressentem ; na frente ficando assim:
# Usuário que rodará o daemon do OpenVPN
;user nobody
# Grupo que rodará o daemon do OpenVPN
;group nobody
depois rodem o /etc/init.d/openvpn/restart ae vcs poderam testar o ifconfig tun0 pois só funciono no meu debian depois do acressimo, comigo funciono Vlwwwwww !!!
[139] Comentário enviado por leopucci em 14/08/2008 - 14:12h
Boa tarde Guilherme,
Consegui montar a vpn referente ao seu artigo. Só que meu cenário aqui é um pouco diferente, tenho apenas um link de internet e a vpn corre
tenho dois firewalls com a vpn...
192.168.1.27------------|FIre|-----VPN-------|FIRE|---ppp1 e outra rede interna 10.0.0.0
172.16.0.x
Tenho que colocar a máquina 27 ligada numa porta na internet.
Já consigo acessar/rotear os pacotes vindos das redes internas para a máquina. Mas quando preciso acessar via internet nao consigo rotear... veja o que eu pensei..
Achei que com um postrouting -ippp1 --sport:1010 -DNAT 192.168.1.27:80
eu já conseguiria acesso pois da rede interna eu já tenho acesso. Acesso que eu digo eh um forward entre a 192.168.1.27 e a rede 0/0 e da 0/0 pra .27 nos dois firewalls
Estou apanhando um pouco sobre teoria. Pensei em fazer um pre e post routing com Snat e Dnat. Mas resolvi pedir uma ajuda pra poder entender qual meu erro em relaçao a teoria do iptables.
Nao gosto de pedir ajuda sem tentar e como já perdi algumas madrugadas em claro pra isso e nao consegui solução, se tiver uma luz. Hehe.
[141] Comentário enviado por pointer.sp em 22/08/2008 - 12:31h
Olá,
Criei uma vpn, mas estou com duvidas para criar a rota para que as estações se conversem, alguem tem alguma dica?
Na matriz a rede é 192.168.0.0 e na filial é 192.168.1.0, porém somente os servidores se pingam...
[144] Comentário enviado por sabha em 03/10/2008 - 14:12h
opa... Guilherme, muito com o seu artigo, a única alteração que eu faria é colocar a criação das rotas direto nos confs da matriz e filial ficando assim:
[150] Comentário enviado por kroshbr em 28/11/2008 - 16:39h
Oi amigo!
muito legal o artigo!!
poré, tenho uma dúvida...
e se por exemplo na matriz eu tiver duas LANs e preciso fazer com que a filial acesse essas duas lans?
exemplo: na matriz eu tenho:
tun0 (tunel)
eth0( internet)
eth1 (rede local) 192.168.0.0
eth2( X25) 172.32.8.0
como faço para que a rede local 192.168.1.0/24 (filial) acesse a lan 172.32.8.0 ?
[154] Comentário enviado por linuxcr em 27/01/2009 - 13:12h
Vi a algum tempo um modulo em php para OpenVPN gui, que atraves deste se poderia criar e gerenciar as VPNs... alguem sabe me informar se isso é algo aberto ou produto de alguma empresa??
[158] Comentário enviado por rodrigomoschetto em 17/03/2009 - 10:47h
guilhermerezende,
Primeiramente parabéns pelo artigo!
Configurei várias filiais VPN com o OpenVPN e realmente funciona perfeitamente. Tudo pingando graças a Deus!
Já tem até programa administrativo acessando o banco de dados no servidor via vpn, eh show de bola!!
Mas agora, eu gostaria de tirar uma dúvida contigo que até hoje eu ainda não consegui resolver.
Toda vez que eu tenho que acessar as pastas compartilhadas de um computador da rede_vpn1 a partir de um computador windows da rede_vpn2, tenho que digitar \\192.168.0...... ou então \\nome-que-eu-cadastrei-no-dns.
O que eu tenho que fazer para que qdo abrir o Ambiente de Rede do windows de um computador na rede_vpn2 já apareça todos os computadores tanto da rede_vpn2 como da rede_vpn1 sem ter que digitar o nome ou ip do computador da rede remota, entendeu?
[162] Comentário enviado por leandrobrunoo em 27/07/2009 - 09:37h
Bom dia a todos !
tou com uma bronca a mais de uma semana.
montei um serviço na matriz, e outro na filial, com o openvpn.
a distro usada foi fedora 7
a rede matriz e 192.168.0.0/24 vpn 10.0.0.1
a rede filial e 192.168.1.0/24 vpn 10.0.0.2
ate ai tudo bem, eu consigo pigar do server matriz 10.0.0.1 com o 10.0.0.2
agora quando eu pigo com o ip do serve matriz pra o ip da filial naum da certo.
tipo matriz 192.168.0.3 para o filial 192.168.1.6, nao da certo, sendo q esses ips sao o dos server.
e outra coisa, quando eu estou na matriz eu naum consigo acessar as maquina da filial, e nem qando estou na filial naum consgio acessar a rede matrz.
a unica coisa q consigo e pingar da matriz 10.0.0.1 pra filial 10.0.0.2, ou da filial 10.0.0.2 pra matriz 10.0.0.1
oq fazer pra eu consegui enxergar as rede !
obs: as demais maquina da rede sao todas windows xp, linux so o server matriz e filial.
sera q tenho q fazer algo, nas maquina windows pra poderem se comunicar com a outra rede ?
[164] Comentário enviado por klaudiosoares em 05/10/2009 - 11:43h
Galera a muito tempo tenho funcionando aqui na empresa um firewall Squid/linux e um outro server com uma VPN.
Utilizo o OpenVpn.
Dentro da empresa tenho um roteador que foi configurado pela nossa matriz que fica na frança.
Esse Roteador serve para acessa o servidor e Emails. Fora da empresa a opção oferecida pelo grupo era um discador......Agora que os caras estão desenvolvendo algo do tipo da VPN.
Consigo ter acesso total a minha rede e acessar esse roteador atraves da VPN que tenho aqui.
Tudo isso para dizer que se alguém tiver com algum problema basta postar que estamos ai para ajudar.
Esse tópico me ajudou e muito a fazer essas conexões e gostaria de contribuir também.
[167] Comentário enviado por jairus em 08/12/2009 - 08:58h
Bom dia !!!
Primeiro parabéns pelo artigo,
Respondendo para alguns sobre a questão das outras máquinas na rede, eu apenas coloquei uma rota, apontando para o servidor que está instalado a VPN, assim:
# route add -net 10.0.0.0/8 gw 1.0.0.2
=> 1.0.0.2 > é a máquina que está instalada a VPN.
Porém estou com problema, acesso todos os serviços (ftp, ssh) das máquinas tanto na filial como na matriz, porém o acesso remoto via protocolo xdmcp "X", não consigo nas máquinas da rede.
[171] Comentário enviado por mox em 06/05/2010 - 12:03h
Ola gostaria de saber como faço o contrario.. windows server e ubuntu client?
O meu problema hoje é que dou direto suporte remoto em meus clientes que são diversos e utilizam windows e estou utilizando ubuntu.
Geralmente utilizo o showmypc, mas gostaria de fazer isto de outra forma mais segura e confiável e com isto gostaria de utilizar o OPENVPN. Seguindo o tutorial não consegui fazer esta inversão.
[172] Comentário enviado por davirodrigues em 19/05/2010 - 11:09h
[168] Comentário enviado por devils em 15/02/2010 - 18:14h:
Olá caros amigos estou com o seguinte problema.
No meu servidor linux tenho o seguinte esquema
eth0 link de internet
eth1 rede local 192.168.0.3
tun0 10.0.0.1 a 10.0.0.2
a seguinte configuração:
dev tun
ifconfig 10.0.0.1 10.0.0.2
cd /etc/openvpn
secret chave
no windows tenho a seguinte configuração
dev tun
remote ip do linux
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.100 255.255.255.0 10.0.0.1
secret chave
ping 15
verb 3
eu consigo pingar do linux para o windows o ip 10.0.0.2 e do windows para o linux o ip 10.0.0.1
mas nao consigo pingar do windows para a rede interna 192.168.0.0 do servidor linux, onde estou errando
Devils, não sei se ja conseguiu resolver o seu problema pois ja faz um tempo que perguntoue não relatou mais nada, porém mesmo assim irei postar para dúvidas posteriores.
Seguinte, no seu caso acho que só falta rota do servidor que não tem ainda...então é mais simples de resolver, faça o seguinte:
Adicione essas linha no seu arquivo de configuração do openvpn da sua matriz que é linux e provavelmente irá resolver esse problema.
[173] Comentário enviado por davirodrigues em 19/05/2010 - 11:35h
masrl, no seu caso para configurar em mais de uma filial é só adicionar outros arquivos de configuração, tipo filial01, filial02, filial03 e assim vai, se elas forem funcionar como Site to Site, se for funcionar como bridge apenas para conexão com outros computadores da rede não esqueça de adicionar rotas como mencionado anteriormente...!
OBS: A velocidade de uma VPN varia de acordo com os links, então cada projeto que for fazer tem a necessidade de ter um levantamente do que se vai utilizar nessa VPN, pois tive um caso recente que os links eram diferênte e estava com uma latência muito grande e o sistema que estava sendo utilizado e estava passando pela vpn estava pesado então depois de um estudo para melhorias, foi detectado que ao colocarmos na mesma ISP, o acesso ficou mais rápido, então ao executar tal projeto fazer um levantamento do que irá passar pelo Túnel....
[175] Comentário enviado por cabriocarico em 07/09/2010 - 13:23h
Guilherme, estive olhando seu excelente artigo e entrei em contato para solucionar um problema. SOu inciante ainda no mundo LINUX, mas já montei
alguns servidores que estão em pleno funcionamento.
Eu utilizo um servidor DEBIAN LENNY que funciona como GATEWAY E DHCP. Não tenho FIREWALL por enquanto. Eu compartilho a INTERNET com minha rede interna.
Nesse mesmo servidor eu consigo me conectar com uma VPN, recebí os certificados instale o openvpn e fiz todas a sconfigurações que costumo fazer e que funcionou
com outros servidores. Mas, nesse não estou conseguindo compartilhar A VPN com minha rede interna. Eu nao tenho acesso as configuracoes do
SERVIDOR MATRIZ DA VPN. Sö a esse servidor FILIAL que estou fazer funcionar. Segue abaixo as configuracoes do meu servidor FILIAL. Se possível,
dá uma dica de como solucionar esse probema.
eth0 IP DA VELOX 192.168.254.X PLACA EXTERNA
ETH1 192.168.0.1 PLACA DA REDE INTERNA
TUN0 INET 10.0.x.x p-a-p 10.0.XX
[176] Comentário enviado por ctavares em 06/10/2010 - 17:06h
Eu criei um tunel tun0 errado e gostaria de poder excluir ele, para poder utilizar eu estou usando o comando ifconfig tun0 down mas queria uma solução definitiva, alguém sabe como remover?
[177] Comentário enviado por davirodrigues em 06/10/2010 - 17:21h
Meu caro, o tunel que você criou foi com o OpenVpn?
Se foi, então, é só editar o arquivo de configuração, que se localiza no /etc/openvpn
dentro desse diretório seria onde você colocaria o arquivo de configuração, tipo: servidor.conf
[180] Comentário enviado por jeffcba em 29/11/2010 - 13:20h
Alguém poderia me dar uma ajuda... Utilizando Ubunu 10.10
Ocorre tudo bem, ate a parte que tentei o comando openvpn --config /etc/openvpn/matriz.conf -daemon
e apareceu isso...
openvpn --config /etc/openvpn/matriz.conf -daemon
Mon Nov 29 13:15:21 2010 OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Mon Nov 29 13:15:21 2010 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Mon Nov 29 13:15:21 2010 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Mon Nov 29 13:15:21 2010 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Mon Nov 29 13:15:21 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Nov 29 13:15:21 2010 /usr/sbin/openvpn-vulnkey -q chave
Mon Nov 29 13:15:21 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 29 13:15:21 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 29 13:15:21 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 29 13:15:21 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 29 13:15:21 2010 LZO compression initialized
Mon Nov 29 13:15:21 2010 TUN/TAP device tun0 opened
Mon Nov 29 13:15:21 2010 TUN/TAP TX queue length set to 100
Mon Nov 29 13:15:21 2010 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Mon Nov 29 13:15:21 2010 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 29 13:15:21 2010 Local Options hash (VER=V4): '099d04aa'
Mon Nov 29 13:15:21 2010 Expected Remote Options hash (VER=V4): 'f1025742'
Mon Nov 29 13:15:21 2010 failed to find GID for group nobody
Mon Nov 29 13:15:21 2010 Exiting
e depois tentei o ultimo comando ifconfig tun0
e deu nisso:
tun0: erro obtendo informações da interface: %s: dispositivo não encontrado
[181] Comentário enviado por snakepeor em 19/12/2010 - 23:28h
Pessoal, preciso de ajuda com 2 VPN´s... segue o senário:
Tenho na matriz 1 MPLS e 1 Internet - na filial tenho 1 MPLS e 1 Internet controlados por 1 servidor em cada ponto, ou seja, tenho 1 servidor de VPN com 2 VPN,s em modo "Server" na Matriz, e tenho 1 servidor com 2 VPN´s em modo "Client" . - Com isso, eu criei 2 VPN´s, uma pela MPLS e outra pela internet.
- Estrutura do servidor Matriz:
IP: 172.25.0.10
Mask: 255.255.0.0
Gw: 200.179.36.211
Rote for 172.28.0.0: 172.25.0.1 (MPLS)
- Estrutura do servidor Filial:
IP: 172.28.0.10
Mask: 255.255.0.0
Gw: 187.163.118.26
Rote for 172.25.0.0: 172.28.0.1 (MPLS)
As duas estão testadas e funcionando, se uma delas cai, a outra assume normalmente por meio de contingência, porém, gostaria de usar as duas VPN´s com rotas manuais para que:
- Sistemas de Terminal Services saiam pela VPN de internet e o restante saia pela VPN de MPLS.
- Analisando o desenho, o terminal "X" (172.28.0.30) esta acessando normalmente o servidor de TS "172.25.5.3" pela VPN padrão que é a VPN1, porém, após adicionar a rota "route add -net 172.25.5.3 netmask 255.255.0.0 gw 192.168.200.1" no servidor filial para que o terminal se conecte ao servidor de TS pela VPN2 não funciona. O servidor da Filial consegue pingar o servidor de TS e o tracert sai pela VPN2, já pelo terminal "X" nada.
Eu acredito que seja problema de Rota de retorno, más não consigo resolver.
Se alguém puder me ajudar, fico grato.
[183] Comentário enviado por hildejackson em 20/04/2011 - 16:49h
Caro Guilherme, boa tarde !
Utilizo uma conexão com internet via rádio e esta utiliza uma VPN para autenticação dos usuários. Gostaria de saber se você tem algum tutorial sobre como configurar uma conexão VPN L2TP com IPSEC. Agradeço desde já pela atenção. Obs.: Uso o Ubuntu 10.10 como distribuição principal.
[184] Comentário enviado por carlos.renato em 10/05/2011 - 10:04h
Guilherme, bom dia.
Parabéns pelo artigo....montei uma vpn usando seu artigo do vol e está funcionando perfeitamente, mais de dois anos sem dar problema, agora surgiu uma situação nova, no servidor agora está com dois links de internet, na filial no arquivo .conf da vpn eu consigo apontar para os dois links caso um link caia o outro já está conectado sem perder o acesso das filiais na matriz?
exemplo dentro do arquivo da filial informar assim:
remote 200.217.222.222 201.208.333.111 isso é possível?
[186] Comentário enviado por Quaty em 13/10/2011 - 13:54h
Pra quem está com o problema de TRAVAR na linha:
UDPv4 link remote: [undef]
acredito que seja pelo fato de vcs estarem escrevendo:
openvpn --config /etc/openvpn/matriz.conf -daemon
sendo que faltou um "-" ali... ficando assim:
openvpn --config /etc/openvpn/matriz.conf --daemon
[187] Comentário enviado por Quaty em 17/10/2011 - 17:07h
Pessoal, achei vários problema ao fazer as VPN´s, acredito que nosso amigo guilhermerezende não passou por muitos problemas como eu, depois de 3 dias de ARDUO serviço eu e meu patrão Paulo conseguimos fazer rodar...
Se alguem tiver algum problema que eu já tenha passado, posso ajudar, só mande e-mail: quatyzin@gmail.com com o título "[Ajuda] VPN"
vlw pessoal.
Obrigado pelo tuto, sofremos mas rodou ;D
[188] Comentário enviado por jabj em 23/11/2011 - 10:04h
Bom dia a todos!
Por favor, preciso de ajuda. No openvpn quando um cliente tenta conectar da o erro "TLS Error: client->client or server->server connection attempted from xx.xx.xx.xx:1194" o que pode ser?
Meu cenário:
Server Freebsd 8.2 rede esterna:Velox + no-ip
rede interna: 192.168.10.0/24
Cliente windows 7 rede 192.168.10.20
Obs.: Este server BSD também é meu gateway=192.168.10.5
openvpn.conf
port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.crt
cert /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.crt
key /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.key
dh /usr/local/etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 192.168.255.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.key 0
cipher AES-256-CBC
client-to-client
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
verb 3
cliente
client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
user nobody
group nobody
persist-key
persist-tun
mute-replay-warnings
ca xx.crt
cert xx.crt
key xx.key
comp-lzo
keepalive 10 120
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
mute 20
De minha casa conecto sem problema, consigo realizar o ping, mas em máquinas que estão na mesma sub-rede do servidor BSD não consigo conectar ocorre o erro citado acima.
Desde de já meus agradecimentos.
(Favor desconciderar, erro resolvido)
O problema estava no ip de acesso do cliente que tinha que ser o interno e não o externo.
[191] Comentário enviado por penanca2012 em 20/09/2012 - 16:29h
Tudo Bom Colega
É o seguinte fiz todo o passo-a-passo funcionou tudo perfeito menos uma coisa.
De dentro do servidor filial eu só pingo servidor matriz, outros servidores da rede da matriz não estou pingando. E ao dar tracert para a rede da matriz, paro no ip do tun0 10.0.0.1.
Já fiz de tudo, menos algo que funcione, alguem pode me auxiliar.
No servidor Matriz tenho que criar alguma rota para do 10.0.0.1 apontando para a rede matriz?
[196] Comentário enviado por paulitomenezes em 04/04/2015 - 10:46h
Caro Guilherme , uso linux mint 17.1 , meu pc 1g ram, 2,4 processador , tenho speed 1mega ,meu moden é um coletk adsl wifi , ta ligado via cabo ,e ai o problema é quando vou entrar em alguns sites como anatel, sinesp, bancos, ... aparece a mensagem ( sua conexao não é particular " Este servidor não conseguiu provar que é servicossociais.caixa.gov.br. O certificado de segurança não é confiável para o sistema operacional do seu computador. Isso pode ser causado por uma configuração incorreta ou pela interceptação da sua conexão por um invasor " link : https://servicossociais.caixa.gov.br/internet.do?segmento=CIDADAO01&produto=FGTS ) , uso o googlechrome e o mozila como faço para tornar segura , , eu sou iniciante em linux, ( paulito.menezes@gmail.com)
[197] Comentário enviado por josiasrodrigues em 23/04/2015 - 08:25h
Bom dia pessoal, parabens ao autor, td certo, a vpn e as rotas funcionaram ok, minha dúvida é quanto a possibilidade de um qos dentro da vpn, ja li q o qos funciona só com tcp e a vpn trafega udp, procede? preciso isso pois um cliente vai precisar de voip e preciso reserva de banda, se alguem puder me dar uma luz agradeço desde já.
[198] Comentário enviado por calvarioel em 02/10/2015 - 15:55h
Boa tarde!
Gostaria de saber se é possível instalar um open vpn server em uma máquina que já é um cliente de outra VPN:
Um Servidor Linux meu já se conecta com um openvpn server no amazon, e gostaria de saber se poderia instalar um outro openvpn server neste meu servidor linux que já um cliente.
[199] Comentário enviado por kiss_cpp em 22/10/2016 - 18:48h
No meu da erro quando tento dar o comando: "make" e "make install"
Segue o erro dos respectivos comandos:
make: *** Nenhum alvo indicado e nenhum arquivo make encontrado. Pare.
make: *** No rule to make target 'install'. Pare.
Meu SO é o Ubuntu XFCE.
Por favor quem souber o porque disso me responde.
[200] Comentário enviado por kiss_cpp em 22/10/2016 - 18:48h
No meu da erro quando tento dar o comando: "make" e "make install" no pacote openvpn-1.5.0
Segue o erro dos respectivos comandos:
make: *** Nenhum alvo indicado e nenhum arquivo make encontrado. Pare.
make: *** No rule to make target 'install'. Pare.
Meu SO é o Ubuntu XFCE.
Por favor quem souber o porque disso me responde.
[201] Comentário enviado por RubemAlves em 31/05/2018 - 13:02h
Eu também gostei demais do artigo, porém só tenho algumas considerações a fazer.
1 - o email declarado para contato (guilhermeATlinesol.com.br) é inválido;
2 - quanto a instalação do pacote "Izo", a primeira letra deste pacote é um "i" maiúsculo ou um "L" minúsculo? estes detalhes são importantes e devem ficar sempre bem muito claros;
3 - na linha de código "openvpn --genkey ..." foi escrito assim: # openvpn --genkey -secret..., quando deveria ter sido escrito assim: # openvpn --genkey --secret....
No mais está muito bom o artigo. Parabéns.