VPN em Linux com OpenVPN

Belo artigo, foi para minha pastinha + Favoritos :)

[]'s,
Fábio

Belo artigo, parabens.

Eduardo Assis.

Só uma coisa... está faltando um "-" no parâmetro -secret no comando 'openvpn --genkey -secret /etc/openvpn/chave', ele ficaria da seguinte forma:

# openvpn --genkey --secret /etc/openvpn/chave

show, vo testar no meu novo projeto

Muito bem explicado...nota 10

opa gostaria de saber sobre o openldap x o openswan que seria a continuidade do freeswan que foi descontinuado queria saber qual seia a melhor opção e porque

Muito bom o artigo!

Tive o prazer de ler o beta e é bom ver que vc ja terminou!
continue assim.

Patrick Brandão

Parabéns pelo artigo ... de forma clara, prática e fácil vc conseguiu explicar um tema algumas vezes tido como "cabeludo"... hahah
Parabens...

Caro peregrino
OpenLDAP nao e um protocolo para VPNs e sim um controlador para gerenciamento de Diretorios.

:)

Caro peregrino, não cheguei usar o openswan e o openldap até onde sei não se enquadra em projeto de VPN, ou até mesmo alguma ligação com alguma ferramenta de VPN. O OpenVPN para mim é a melhor solução de VPN para Linux. Ja o Ipsec segue normas em projetos de VPN e é muito ultizado para vc fazer VPN entre servidores Linux e roteadores que prove serviços de VPN. Recentemente tive que ingressar um servidor Linux em uma VPN em São Paulo, sendo que tive que estabelecer conexão de VPN com um roteador cisco. Nesse caso tive que ultilizar o protocolo Ipsec.

Oi guilherme. Você está de parabéns pela forma didática com que escreveu seu tutorial. Eu já havia implementado aqui uma solução semelhante entre 2 servidores linux (inclusive consegui bom funcionamento entre implementações empacotadas para diferentes distros - no caso Fedora Core 2 e Conectiva).

A dúvida na verdade tem a ver com uma situação específica de uma máquina remota rodando Windows XP precisando ter acesso à rede privada (o que nos tempos do FreeSWAN era conhecido como "road warrior") por trás de 1 desses servidores que comentei acima. Eu teria então 2 servidores falando-se entre si (com 2 redes por trás), e mais 1 máquina Windows acessando um desses servidores. Andei pesquisando este site (http://openvpn.se), e vou começar a fazer alguns testes. Você por acaso teria alguma experiência nesta área? Ou mesmo alguns dos colegas que acessa o VOL? Qualquer sugestão de tutorial, howto ou site informativo seria muito bem vindo.

Beleza...Parabens pelo artigo e um abracao do outro canto do Mundo em Mocambique---Kanimambo(obrigado) na lingua do meu Pais

Caro Guilherme,

Faço dos comentarios positivos dos colegas os meus. Fantastico, pois ja alguns dias estava tentando criar uma vpn com o freeswan e sem sucesso. Voce tem alguma dica pra me dar para que eu consiga enxergar todas as maquinas das 2 redes via ambiente de rede do windows.

Desde já agradeço

Att.

Marinaldo F. Franca

Caro Guilherme,

Parabéns pelo artigo.
Eu tenho uma dúvida.
Quanto você pede para ditar o comando abaixo, você está pegando conf "matriz.conf" que você deu mastigado, ok?
#openvpn --config /etc/openvpn/matriz.conf --daemon

Pelo seu artigo, iremos criar uma VPN pela rede interna, certo?
Agora, se eu quizer estabelecer uma VPN de minha casa por link ADSL com a minha empresa. Como você me orientaria?

Um abraço,
Flávio Roberto

Caro Roberto, o exemplo usado no artigo foi baseado em duas conexöes ADSL. O artigo tem como propósito a interligacao de duas redes internas de um hipotético exeplo(matriz filial). A artigo trata exatamente o que voce quer fazer. Leia com atencao

Abs.....

como faço p/ adicionar rotas usando o cliente openvpn para windows?

Eis um exemplo de configuração de um arquivo e configuração de um clientes Windows. Lembrando que a rede remota no qual o cliente windows quer acessar é 192.168.0.0/24.

dev tun
remote 200.x.x.x
ifconfig 10.10.10.2 10.10.10.1
route 192.168.0.0 255.255.255.0 10.10.10.1
secret chave
port 5006
ping 15
verb 3

Cara, show de bola seu artigo, mas fiquei com uma duvida..

para as maquinas da rede matriz "enxergarem" as maquinas da rede filial.. basta adicionar como gateway nas maquinas da rede matriz o ip do servidor matriz ?? e vice-versa ??

Abraços

Jonathan Roque

Estou com um problema, a VPN nao levanta após o comando:
#openvpn --config /etc/openvpn/matriz.conf --daemon
Estou usando o Debian Sarg.

Abraços
Evandro Silva

Amigo Evandro, Boa Noite. Acabei de seguir o artigo; que vale ser MUUUITO ELOGIADO, pois está perfeito e me deu o caminho das pedras sem problemas;e tive o mesmo problema que você. Analizando o problema cheguei ao seguinte:
Sat Nov 26 05:37:09 2005 failed to find GID for group nobody
Sat Nov 26 05:37:09 2005 Exiting
Para solucionar isso apenas dei o seguinte comando: #groupadd nobody
Funcionou, continuei o artigo e "milagrosamente as duas redes estão quase se falando". Digo quase pois estou achando apenas o ip dos clientes da vpn o restante da rede ainda não...mas tenho toda a madrugada para descobrir o que acontece. Quando descubrir postarei aqui também.

Obrigado ao Guilherme pelo artigo.

Valew Eddiepreto, acabei resolvendo o problema usando o conectiva 10, inclusive fiz um script que automatiza quase toda a instalação, depois que estivere tudo certinho postarei aqui o script.

Olá Guilherme, meus parabéns pelo artigo está muito bom, tenho somente uma dúvida, como que fica o arquivo de configuração de Matriz no caso de adicionarmos mais uma filial nesta topologia?
A VPN ficaria com a Matriz e 02 Filiais.
Obrigado.

Olá Guuilherme, meus parabéns , você está ajudando muito pessoas iniciantes como eu. Mais gostaria de saber como faço para istalar o drive TUN/TAN, pois não sei onde fica essa opção "Network device Support" no fedora core 2. Desde de Já agradeço pela força.

Não precisa se preocupar em compilar kernel no Fedora não. O drive TUN/TAP ja está por padrão ativo no kernel do Fedora. Siga em diante com artigo que consiguirá!!!

Olá Amigo, estou aqui novamente pedindo sua grande ajuda, pois não estou conseguindo iniciar a conexão , apresenta o seguinte erro:
[root@marileo openvpn]# openvpn --config /etc/openvpn/matriz.conf --daemon
Unrecognized option or missing parameter(s) in /etc/openvpn/matriz.conf:19: Usa
Use --help for more information.
[root@marileo openvpn]#

Também gostaria de saber se não é necessario incluir uma rota para as redes remotas?
Também encontrei artigos em outros sites, não tão bem como o seu artigo mais vale apena dar uma olhadinha. o site é:http://www.altoriopreto.com.br/artigos_3rd/howto.html

Muito obrigado Guilherme.

Caro amigo, seu arquivo de configuração possui erros. Como vc pode ver, seu arquivo possui em erro na linha 19, onde possívelmente está usando parâmetros errados, ou variáveis inexistentes.

Obrigado,
copiei o arquivo da pagina, pois na pagina, a linha 19 estava faltando um # comentario.
Agora só falta configurar a filial, quando terminar darei um ok.Desde Já , obrigado novamente.

olá Guilherme
Consegui configurar tudo conforme no artigo, chave da matriz para filial,rodar o script tanto na matriz como na filial. Também adicionei no script da filial remote e o IP_da_Filial.No entanto a vpn não funcionou, quer dizer não pingou nada.
matriz:
[root@marileo /]# ifconfig tun0
tun0 Encapsulamento do Link: Protocolo Ponto-a-Ponto
inet end.: 10.0.0.1 P-a-P:10.0.0.2 Masc:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1255 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:390 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:32530 (31.7 Kb)
agora a filial:
[root@casa etc]# ifconfig tun0
tun0 Encapsulamento do Link: Protocolo Ponto-a-Ponto
inet end.: 10.0.0.2 P-a-P:10.0.0.1 Masc:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1255 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:2436 (2.3 Kb)

obs: estou usando duas conexôes adsl - velox.
Obrigado!!!!!!!
Att: Marileo Fontenele

Olá guilherme parabens pelo seu artigo! ele é simples e direto! .. mas tive um probleminha na minha VPN.
Depois de tudo configurado quando eu tento pingar da Filial para matriz me retorna o seguinte:

PING 10.0.0.1 (10.0.0.1): 56 data bytes
ping: sendto: Operation not permitted
ping: wrote 10.0.0.1 64 chars, ret=-1e

e quando eu faço o inverso(da matraz para a filial) nao me retorna nada! Voce já passou por isso? sabe o que pode estar acontecendo .. lembrando que as chaves são as mesmas .. passadas pelo comando scp, achei que era permissão de acesso mais tambem nao é =T se souber o que pode estar acontecido me de um toque

Abraço!

Rodrigo Spillere

Olá Guilherme Rezende, você de parabéns pelo seu artigo!

Estava precisando montar uma VPN e seu artigo foi a luz no fim do tunel...
Minha VPN está da seguinte maneira:
Matriz = Link de 2Mb e up de 512kb, dentro da rede da matriz tenho um servidor onde esta o banco de dados da empresa e todas as impressoras (tanto as da matriz quanto as da filial).
Filial = Link de 1Mb e up de 512kb, com 3 terminais.

Estou precisando de uma ajuda no seguinte problema:( na Filial)

- tem horas do dia que o usuário manda uma impressão do sistema e não imprime nada. (a impressão é enviada remotamente pelo servidor da matriz)

- e os usuários da filial estão reclamando da "Lentidão do Sistema"(o sistema é instalado no terminal buscando dados no servidor Firebird remoto).

- e algumas vezes a vpn cai, cheguei a trocar de provedor em uma das empresas.

Andei Pesquisando e me disseram para instalar algum software de QoS para garantir banda para as impressoras e para a VPN.
Encontrei um software e estou testando CBQ só que tenho a seguinte dúvida:
- para garantir banda para VPN é so definir banda para porta que estou usando no ip do roteador? ex: definir down 512kb e up 400kb no ip 192.168.1.1:5000 ou 10.0.0.1:5000
- ou devo garantir banda para o servidor principal para a porta do firebird e/ou como definir banda para as impressoras???

Estou precisando muito resolver esse meu problema, sei que você tem suas obrigações, mas se pudesse me ajudar ou alguém que estiver lendo essa dúvida....Ficaria muito Grato!

Desde já agradeço a Atenção!
Demetrius Germani
demagermani@yahoo.com.br

Não sei de sabe, mas o OpenVPN trabalha em cima do protocolo UDP no qual se torna difícil uma implementação de QoS. O que você pode fazer é otimizar parte do seu link para serviços comuns, deixando o restante que iria sobrar para o uso da VPN. Um execelente qdisc para fazer isso é o HTB. Por isso, esqueça o CBQ e estude o HTB.

dá uma mensagem qdo tento rodar
"unrecognized option or missing parameter(s) in [cmd-line]:1: d(2.0.5)"

algue´m sabe o qq é ?

O caso é o seguinte, estou configurando uma VPN com IPs válidos nas duas pontas. Optei pelo Openvpn, está funcionando nas duas pontas, ele criou a interface "tun0" nas 2 pontas como 10.0.2.1 e 10.0.2.2 - Eu consigo pingar as duas interfaces tranquilamente, esta fase já consegui configurar o Firewall (que a propósito é a mesma máquina) - o que eu não consigo é fazer a regra para que o 10.0.2.1 pingue as interfaces da rede interna(10.0.0.0/24) da outra ponta (10.0.2.2) e nas estações abaixo da minha Nat pingue a interface 10.0.2.1 e vice-versa.
Se alguém puder me auxiliar agradeço.

Ao Gustavo
Para comecar acho que o teu erro esta no principio antes da VPN isto e, em cada sub-rede pelo que entendi estas com o mesmo endereco de cada uma delas e assim o conceito Routing nao funciona, o que para teres terias de ter numa rede os enderecos(Rede A- 10.0.2.0, Rede B-10.0.1.0) por exemplo. A partir dai provavelmente ja poderas ter a rede como um unico.
Espero ter-te ajudado.
Um abraco.

Guilherme,

Parabéns pelo artigo. Quero emplementar está
mesma estrutura em um cliente e gostaria da sua ajuda para tirar
algumas dúvidas.

Dúvidas:

1) Como faço para saber o Kernel do sistema já tem suporte para
TUN/TAP?

2) Após tudo instalado e funcionando é possível executar aplicativo
(clipper) que estão no servidor da matriz em uma estação da filial? e
como fica a questão da velocidade de acesso, é rápida ou lenta?

3) É possível implementar isso no Conectiva Linux 10?

Acho que é só isso... Muito obrigado pela sua atenção e aguardo
retorno.

Posso dar minha colaboração?

1) procure pelo arquivo if_tun.h (ex. locate if_tun.h) se o arquivo existir entao seu Kernel tem suporte, voce só precisa carregar o modulo com o comando "modprobe tun".

3) É possivel ser implementado em quarquer Linux e em outros *nix como por exemplo o FreeBSD.

Espero ter esclarecido suas duvidas!

[]`s

Beleza!

Obrigado pela atenção scavenger.

Então posso emplementar o OpenVPN até mesmo no Debian 3.1? E aonde posso encontar os *.deb do OpenVNP?

Obrigado mais uma vez e aguardo qualquer ajuda complementar.

Bom sou iniciante ainda mais ja posso dizer que realmete é um otimo artigo
E aproveitando , gostaria de peir uma informação sobre o madrake 10.1 utilizando o openvpn
Funciona ?
Estou com dificuldades na compilação

Amigos, implantei como teste o openvpn v2 seguindo este otimo tutorial, mas acho que faltou mais um detalhe para deixa-lo completo. as regras de fariwall que terão que incluir no firewall para liberação da portas UPD.

Pois sabemos que existem muitas pessoas com vontade de aprender a lidar com Linux "Sou um exemplo" humanamente é impossível saber de tudo". no mundo Linux.

Pegunto quais são as regras de iptables que liberam a conexão para este tipo de configuração do openvpn, ouvir dizer que na versão V2 usa UPD 1194, estou um pouco confuso.

Abraço

Olá Guilherme!

Parabéns pelo material, foi e é de grande ajuda!

Uma pergunta, você já utilizou com multiplas conexões de sites diferentes? Estou tentando fazer isso mais ianda sem sucesso, ou seja duas filiais conectando simultaneamente no servidor.

Grande abraço!

Ola mardomio

para instalar no Debian é so fazer " apt-get install openvpn"

abração!

Beleza João,

vou tentar e qualquer coisa volto por aqui...

Obrigado.

Cara parabéns pelo artigo,consegui configurar 100% com as devidas alterações no meu firewall.Só queria saber se você poderia me ajudar em um aspecto: Estou querendo diminuir a chave de criptografia para diminuir o tráfego, mas não estou conseguindo fazer isso com o atributo - -keysize. Você pode me ajudar???

Oi Guilherme muito legal seu artigo. Agora preciso de uma dica. O que acrescentar para interligar três filiais à matriz simultaneamente?

Grande artigo!!!! Parabéns pela inciativa, clareza do texto e explicações. Agora uma dica para quem teve problemas com o device /dev/net/tun. Caso o seu sistema não tenha este arquivo de dispositivo criado por padrão, basta executar os comandos abaixo para criá-lo:

mkdir /dev/net/
mknod /dev/net/tun c 10 200

Até mais,
Samuel Ribas

Shoooooooooooooooooow!

Segui o artigo ao "pé-da-letra" e deu tudo certinho.

Agora como faço para conectar mais duas filiais a matriz, dentro dessa estrutura atual.

Parabéns pelo artigo e aguardo qualquer orientação.

Muito bom o artigo, bem explicado.

É o seguinte, a consegui criar a VPN na boa, mas não consigo fazer a lan1 pingar a lan2. Alguém ja teve este mesmo problema e poderia me orientar???

Desde já agradeço pela atenção.

Novamente parabéns pelo artigo.

Abraço
Rafael

Respondendo ao usuário mardonio:
Vc deve rodar dois processo do openvpn no servidor com arquivo de configuração de cada um diferente. Normalmente vc vai mudar alguns parâmetros no arquivo como porta e ip. Na segunda matriz é quase tudo igual a primeira matriz, com diferença de ip e porta tbm. Acredito q ja tem comentários sobre esse assunto aqui no artigo

Abs e espero q consiga!!1111

Respondendo ao usuário venon_dark

No seu caso, é problema de rota!! No artigo eu deixei esse tópico bem explicado. Da uma lida novamente no tópico adicionando rotas!!

Abs

Guilherme,

Acho que entendi o que você quis dizer. Então quando eu rodar o segundo processo na matriz aonde já existe um túnel (tun0) para a filial - 1, vai ser criado um segundo túnel (tun1) para a filial - 2, é isso mesmo?
Quanto as configurações acho que da pra "desenrolar", e em seguida é só criar as rotas, correto?

Há... Agora se possível me tive outras dúvidas: por que é que eu não consigo ver as duas redes no "ambiente de rede" das estações Windows (Win98 e WinXP)? Configurei um servidor WINS em ambas as redes, criei as rotas, tudo certinho, mas as redes não se vêem. Da pra resolver isso?
Como é que eu instalo um cliente OpenVPN para aquelas estações (Win98, WinXP e Linux) que estão fora de ambas as redes e que necessitam se conectar a elas?

Muitíssimo obrigado pela sua pronta atenção e espero que você possa me ajudar mais uma vez.

Valeu pela ajuda.

Funcionou muito bem aqui nos meus testes, mas na hora de implantar no cliente não consigo criar o tunel em um dos servers(slackware - kernel-2.4.22), já recompilei o kernel com o modulo TUN/TAP, mas continua não criando o tunel. No outro server(fedora4 - kernel-2.6.11) está funcionando perfeitamente). O q pode estar acontecendo?? Alguém pode me dar uma ajuda.

Abraço
Rafael

Parabéns pelo artigo,

Configurei uma VPN com estes configurações entre cidades diferentes e IP FIXO E IP DINAMICO. ESTÁ FUNCIONANDO REDONDO!!

SHOW DE BOLA... SÃO ESTES ARTIGOS QUE FAZEM COM QUE O LINUX TOME PODER NO MUNDO..

amigo guilherme parabens pelo artigo

somente gostaria de saber mais a respeito das chaves de criptografia sera que voce conhece um artigo em linguagem portuguesa que demonstre mais a fundo os detalhes da OPENVPN que possa me ajudar

quero aprender mais detalhadamente

cedrimendes@hotmail.com

Parabéns pelo Artigo, show.
Consegui configurar matriz <=> filial blz.

mais preciso de uma ajuda

mais agora estou tentando configurar mais um cliente nessa rede, acho q nao estou acertando a rota para configurar esse cliente pra acessar a openvpn da matriz
e a matriz acessar o cliente

ip da matriz : 200.200.200.201
criei mais um arquivo .conf no servidor da matriz e subi mais uma vpn, para esperar a conexao desse novo cliente

ficou assim na matriz :

tun1 Link encap:Não Especificado Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet end.: 11.0.0.1 P-a-P:11.0.0.2 Masc:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:3694 (3.6 KiB)


no o novo cliente tem somente 1 maq. ligada com um speedy:

ip do cliente : 200.207.200.200

o arquivo .conf ficou assim :
dev tun
remote 200.200.200.201
ifconfig 11.0.0.2 11.0.0.1
secret chave
port 5001
ping 15
verb 3



quando executo o openvpn no windows ele conecta na matriz reconhece a chave blz,
ele liga a outra interface TAP criada no ambiente de rede, da pra ela o ip 11.0.0.2,
mais no sistema da matriz nao estou sabendo fazer o roteamento para poder ver a maquina do cliente que esta com speedy

por favor se alguem puder me ajudar ?
desde já agradeço

Consegui solucionar o problema do windows,
realmente o problema era a biblioteca lzo que nao funcionava com o windows e a rota que estava errada no arquivo conf da maquina windows

solucao : comentei a biblioteca no arquivo conf da vpn da matriz e
o arquivo conf do windows ficou assim :

dev tun
remote 200.200.200.201
ifconfig 11.0.0.2 11.0.0.1
route 192.168.0.0 netmask 255.255.255.0 11.0.0.1
secret chave
port 5001
ping 15
verb 3

Olá guilherme, parabens pelo artigo, bem explicado, mas estou tento um probleminha, executei tudo certinho passo-a-passo mas quando vou executar o comanda recebo a seguinte mensagem [root@VPNB root]# ifconfig tun0
tun0: erro obtendo informações da interface: %s: dispositivo não encontrado
A versão que estou utilizando do open openvpn-1.6.0-2mdk.i586.rpm meu kernel 2.6.8.1-12mdk linux mandrake 10.1 oficial, não sei se preciso compilar o kernel para resolver isso, se for, peço ajuda de alguem que possa me explicar como eu poderia fazer isso...
Agradeço desde já, e mais uma vez parabens pelo artigo show...

Primeiro tente instalar o openvpn a partir dos fontes conforme explicado no aritgo. Vc tbm não precisa tentar configurar a interface tun0 com ifconfig, pois quando vc inicializa o openvpn, ele mesmo ja cria a interface tun0 conforme configurado no artigo. Não é preciso recompilar seu kernel tbm não. Vc tem q iniciar o daemon do OpenVPN e ele mesmo se encarrega de configurar as interfaces tun0.

Abs

Guilherme olha eu de novo aqui, estou tentando instalar como vc falou, seguindo o procedimento, porem quando vou instalar o openvpn ./configure ele me da o seguinte erro..
hecking for memset... yes
checking for vsnprintf... yes
configure: checking for LZO Library and Header files...
checking lzo1x.h usability... yes
checking lzo1x.h presence... yes
checking for lzo1x.h... yes
checking for lzo1x_1_15_compress in -llzo... yes
configure: checking for OpenSSL Crypto Library and Header files...
checking openssl/evp.h usability... no
checking openssl/evp.h presence... no
checking for openssl/evp.h... no
configure: error: OpenSSL Crypto headers not found.
Ai fica desativado o make, acho que é pq ele não conseguiu terminar certo? o que eu posso fazer para resolver isso, o openssl já está instalado..

Bom, provavelmente seu sistema está sem o pacote OpenSSL instalado. Vc pode resolver esse problema usando o seguinte parâmetro na de preparar sua compilação
#./configure --disable-ssl

root@server:/etc/openvpn# openvpn --config filial.conf --daemon
Unrecognized option or missing parameter(s) in filial.conf:3: remoto
Use --help for more information.
root@server:/etc/openvpn#

root@server:/etc/openvpn# cat filial.conf
dev tun
ifconfig 10.0.0.2 10.0.0.1
remoto 200.138.148.81
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
comp-lzo
ping 15
verb 3
root@server:/etc/openvpn#


alguem pode me ajudar

Bom, esse erro está na cara!!!!!!!!!!
repara q sua linha 3 está escrito "remoto" e não "remote" como escrito no artigo. Repara tbm q o próprio Openvpn diz a vc em qual linha está o erro.

Fique atento!!!!!!!!
abs...

Aonde é que eu consigo o OpenVPN para clientes WINXP?

Obrigado.

É possível ter os pontos (matriz + filial) com ip's dinamicos, bastando somente colocar o nome dos hosts na cláusula remote de cada linux, após ter configurado serviços como o no-ip ou dyndns? Alguém tem alguma implementação desse que funcione bem?

Colega, fiz a instalação e configuração do openvpn, consegui levantar o openvpn na matriz e filial, porém não consigo pingar o ip dentro da propria vpn!! tipo ping 10.10.10.1 e ping 10.10.10.2, somente consigo pignar localmente, mas do servidor para o cliente e cliente para servidor não consigo. O que pode estar errado??
Estou usando em modo seguro ssl/tls

vc adicionou as rotas????

Hola.. muito bom artigo., pude conectar 2 pcs con adsl pppoe c/u , a minha duda e que con pc da red da matriz con la rede 192.168.2.0/24 con una makina con ss.oo windows, com podria instalar isso. ya que baxei o openvpn pra windows mas al terminar de instalar defectar uma nova interfaz mas con una cruz que significa que nao tem conexaçao, estare errado en minha configuraçao,

alguna sugerencia al conectar una makina linux con windows
atte Mauricio Muñoz

Guilherme, muito bom o teu artigo, tudo está rodando bém nas duas rede só não consigo que as mq. das duas redes apareção no ambiente de rede (browser), como faço?
O nome de domínio é o mesmo para as duas redes.
Ex. IPs:
Rede 1: 192.168.0.0/24
Rede 2: 192.168.1.0/24

Servidores Linus (Samba) e estações win98se e winxp.

Obs: Mesmo sem ambiente de rede consigo pingas transferir arquivos e ver os compartilhamentos nas estações.

muito bom, sinceramente foi o melhor artigo que vi por aki

e só tenhu umas criticas vc esqueceu de umas "-" no seu artigo mas tá muito legal seu artigo muito bem explicado

flw

Olha eu estou começando meu TCC na faculdade e pretendo desenvolver esse sistema na minha empresa sendo que a sede esta localizada em Brasilia e constantemente precisamos trocar informações seguras.Vou estudar muito esse assunto pois muito me interessa.

Olá amigo, nem precisa dizer mais nada sobe o seu tutorial, todos já disseram.

Agora tenho ducidas sobre quais regras de firewall devo ter no firewall, pois não estou conseguindo pingar nenhum dos lados.

No momento incluir esta regra para abrir a porta no script de firewall na filial e na matriz.

# Abre portas para a vpn
/sbin/iptables -A INPUT -i ppp0 -p udp --dport 5000 -j ACCEPT



Está correta esta regra?

Abraço

Cara!

Parabens. O artigo é ótimo. Funcionou de primeira. Só tive que fazer algumas modificações nos endereços de rede em função dos endereços que uso na minha rede!

Show de bola!

Parabens.

Nelson

Senhores, Bom dia.

Bom, este artigo é ótimo, foi por ele que consegui aprender openvpn...
rsrsrsrs... Bom mais estou tendo um probleminha....

Acontece o seguinte, estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp. Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de bola... faço a "devassa" com
a conexão... O problema é quando misturo Linux com Windows. O meu Firewall
fica na mesma máquina linux e praticamente deixei-o sem proteção nenhuma,
tudo aberto mesmo só pra testar a Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro nenhum, este é o problema....

Abaixo segue as ultimas linhas exibidas após rodar o comando(Cliente Windows)

Thu Aug 24 10:24:33 2006 us=435757 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Aug 24 10:24:33 2006 us=438514 ******* WARNING *******: all encryption and authentication featur
es disabled -- all data will be tunnelled as cleartext
Thu Aug 24 10:24:33 2006 us=568392 TAP-WIN32 device [ConexÒo local 3] opened: \\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver Version 8.1
Thu Aug 24 10:24:33 2006 us=568766 TAP-Win32 MTU=1500
Thu Aug 24 10:24:33 2006 us=568859 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/25
5.255.255.252 on interface {15074DE0-C6C7-4BF8-8453-D556CB106A06} [DHCP-serv: 10.0.0.1, lease-time:
31536000]
Thu Aug 24 10:24:33 2006 us=570944 Successful ARP Flush on interface [3] {15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu Aug 24 10:24:33 2006 us=572218 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Thu Aug 24 10:24:33 2006 us=572426 Local Options String: 'V4,dev-type tun,link-mtu 1500,tun-mtu 1500
,proto UDPv4,ifconfig 10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006 us=572564 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1500,tu
n-mtu 1500,proto UDPv4,ifconfig 10.0.0.2 10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653 Local Options hash (VER=V4): 'ba8d4fae'
Thu Aug 24 10:24:33 2006 us=582892 Expected Remote Options hash (VER=V4): '153dea2d'
Thu Aug 24 10:24:33 2006 us=583051 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Aug 24 10:24:33 2006 us=583162 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 10:24:33 2006 us=583240 UDPv4 link remote: < MEU IP EXTERNO >:5000

os arquivos de configuração são respectivamente:

Windows:

proto udp
dev tun
remote <MEU IP EXTERNO>
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5

LINUX:

dev tun2
ifconfig 10.0.0.1 10.0.0.2
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5


Estou tentando abrir uma conexão bem simples mesmo, sem chave... Apenas para teste.
Tenho outras Openvpns rodando neste mesmo server (todas linux-linux), porém,
especificamente com esta estou tendo o problema.

Já tentei até trocar de porta... E no linux não aparece erro algum...

Aguardo o retorno... De ante mão, Muito Obrigado.

Bom dia Guilherme, este aritgo foi para o meus favoritos, cara nao demorei 15 minutos para fazer minha matriz conversar com a filial, estou enxergando dos as maquinas por de tras dos meus servidores.
De uma estacao na matriz acesso via vnc pelo ip local da rede da matriz.
Cara SHOWWWW DE BOLA!!! PARABENS.
Tenho so uma duvida. Tenho outra Filial para fazer o mesmo procedimento, la na filial esta pronto, agora nao sei como faco aqui na matriz. Tentei criar outro arquivo no /etc/openvpn/matrizp5.conf
# Usar como interface o driver TUN
dev tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip da Filial - Posto4
# 10.0.0.5 ip da Filial - Posto5
ifconfig 10.0.0.3 10.0.0.5
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3

dai tentei fazer outro tunel, so que nao deu certo pelo comando:

# openvpn --config /etc/openvpn/matrizp5.conf -daemon
# ifconfig tun1

se digito

#ifconfig tun0
logicamente vai me aparecer o primeiro tunel que fiz.

Pergunta:

Como faço para resolver este problema????


Abraços

Glaucio
E-mail / MSN: ggarauj@hotmail.com

Instalei os pacotes usando o YUM, e foi blz. O mesmo na configuração do matriz.conf, o problema está quando eu rodo o comando: openvpn --config /etc/openvpn/matriz.conf -daemon, veja o erro abaixo:

[root@cd openvpn]# openvpn --config /etc/openvpn/cd_unisoap.conf -daemon
Thu Aug 24 11:25:37 2006 OpenVPN 2.1_beta14 i386-redhat-linux-gnu [SSL] [LZO1] [EPOLL] built on Apr 14 2006
Thu Aug 24 11:25:37 2006 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Thu Aug 24 11:25:37 2006 WARNING: you are using user/group/chroot without persist-tun -- this may cause restarts to fail
Thu Aug 24 11:25:37 2006 WARNING: you are using user/group/chroot without persist-key -- this may cause restarts to fail
Thu Aug 24 11:25:37 2006 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 24 11:25:37 2006 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 11:25:37 2006 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Thu Aug 24 11:25:37 2006 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Aug 24 11:25:37 2006 LZO compression initialized
Thu Aug 24 11:25:37 2006 TUN/TAP device tun0 opened
Thu Aug 24 11:25:37 2006 TUN/TAP TX queue length set to 100
Thu Aug 24 11:25:37 2006 /sbin/ip link set dev tun0 up mtu 1500
Thu Aug 24 11:25:37 2006 /sbin/ip addr add dev tun0 local 10.0.0.1 peer 10.0.0.2
Thu Aug 24 11:25:37 2006 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Aug 24 11:25:37 2006 Local Options hash (VER=V4): '099d04aa'
Thu Aug 24 11:25:37 2006 Expected Remote Options hash (VER=V4): 'f1025742'
Thu Aug 24 11:25:37 2006 GID set to nobody
Thu Aug 24 11:25:37 2006 UID set to nobody
Thu Aug 24 11:25:37 2006 Socket Buffers: R=[107520->131072] S=[107520->131072]
Thu Aug 24 11:25:37 2006 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 11:25:37 2006 UDPv4 link remote: [undef]

E fica parado sem finalizar.

Olá Glaucio, eu resolvi este problema colocando um TUN + um seqüêncial para cada VPN, sendo que cada TUN deve estar em cada arquivo de configuração, ou seja, vc deve criar um arquivo de configuração para cada conexão.

EX:

Conexão 1 : TUN0
Conexão 2 : TUN1
Conexão 3 : TUN2

e por aí vai.... espero poder ter ajudado...

Att.

Pelo Amor de Deus, me ajudem!!!!

Bom, este artigo é ótimo, foi por ele que consegui aprender openvpn...
rsrsrsrs... Bom mais estou tendo um probleminha....

Acontece o seguinte, estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp. Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de bola... faço a "devassa" com
a conexão... O problema é quando misturo Linux com Windows. O meu Firewall
fica na mesma máquina linux e praticamente deixei-o sem proteção nenhuma,
tudo aberto mesmo só pra testar a Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro nenhum, este é o problema....

Abaixo segue as ultimas linhas exibidas após rodar o comando(Cliente Windows)

Thu Aug 24 10:24:33 2006 us=435757 OpenVPN 2.0.7 Win32-MinGW [SSL] [LZO] built on Apr 12 2006
Thu Aug 24 10:24:33 2006 us=438514 ******* WARNING *******: all encryption and authentication featur
es disabled -- all data will be tunnelled as cleartext
Thu Aug 24 10:24:33 2006 us=568392 TAP-WIN32 device [ConexÒo local 3] opened: \\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver Version 8.1
Thu Aug 24 10:24:33 2006 us=568766 TAP-Win32 MTU=1500
Thu Aug 24 10:24:33 2006 us=568859 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.2/25
5.255.255.252 on interface {15074DE0-C6C7-4BF8-8453-D556CB106A06} [DHCP-serv: 10.0.0.1, lease-time:
31536000]
Thu Aug 24 10:24:33 2006 us=570944 Successful ARP Flush on interface [3] {15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu Aug 24 10:24:33 2006 us=572218 Data Channel MTU parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0 ]
Thu Aug 24 10:24:33 2006 us=572426 Local Options String: 'V4,dev-type tun,link-mtu 1500,tun-mtu 1500
,proto UDPv4,ifconfig 10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006 us=572564 Expected Remote Options String: 'V4,dev-type tun,link-mtu 1500,tu
n-mtu 1500,proto UDPv4,ifconfig 10.0.0.2 10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653 Local Options hash (VER=V4): 'ba8d4fae'
Thu Aug 24 10:24:33 2006 us=582892 Expected Remote Options hash (VER=V4): '153dea2d'
Thu Aug 24 10:24:33 2006 us=583051 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Aug 24 10:24:33 2006 us=583162 UDPv4 link local (bound): [undef]:5000
Thu Aug 24 10:24:33 2006 us=583240 UDPv4 link remote: < MEU IP EXTERNO >:5000

os arquivos de configuração são respectivamente:

Windows:

proto udp
dev tun
remote <MEU IP EXTERNO>
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5

LINUX:

dev tun2
ifconfig 10.0.0.1 10.0.0.2
route 192.168.0.0 255.255.255.0 10.0.0.1
port 5000
verb 5


Estou tentando abrir uma conexão bem simples mesmo, sem chave... Apenas para teste.
Tenho outras Openvpns rodando neste mesmo server (todas linux-linux), porém,
especificamente com esta estou tendo o problema.

Já tentei até trocar de porta... E no linux não aparece erro algum...

Será que pode ser a versão do openvpn no linux??? Como faço pra descobrir a versão no linux, pois no Windows é a mais recente???

Aguardo o retorno... De ante mão, Muito Obrigado.

Cara achei como que faz,

no /etc/openvpn/matriz1.conf , cujo qual vai conversa com a minha filial1 ficará assim:

#############################################
dev tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip da Filial - Posto4
ifconfig 10.0.0.3 10.0.0.4
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3
#############################################

Agora no /etc/openvpn/matriz2.conf, cujo qual vai conversa com a minha filial2 ficará assim:

#############################################
dev tun1
# 10.0.0.3 ip da Matriz
# 10.0.0.5 ip da Filial - Posto5
ifconfig 10.0.0.3 10.0.0.5
cd /etc/openvpn
secret chave
port 6000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb 3
#############################################


entao a cada novo arquivo criado tem que mudar a porta e o tun
no meu caso, usei para o primeiro aquivo tun e porta 5000 e no segunto tun1 e porta 6000, sendo que este tun e esta porta devera ser utilizada no arquivo filial2.conf

Valeu muito obrigado, resolveu meu problem´s.

Abraços......

Boa tarde, para quem já faz uso do OpenVPN queria saber de existe alguma configuração especial nas regras do Iptables ou se o mesmo utiliza algum protocolo especial para trabalhar.

Obrigado.

Parabéns Guilherme pelo excelente artigo. A vpn funcionou beleza, consigo pingar os servers, o tunel tá certinho. Porém só consigo pingar alguma maquina da rede da matriz pelo servidor linux, se eu tentar pingar por alguma maquina da rede da filial nao funciona.
Aconteceu com alguém este problema?
Obrigado.

Boa noite.

Consegui criar as conexões, só que não consigo pingar em nenhuma das pontas, a conexão se estabelece, mais não pinga.

Cordialmente
Joabes

Olá amigos instalei um openvpn mas ela não esta pinnga a outra estremidade jár verifiquei as portas troque a porta padrão de 5000 para 5001 mas não deu certo alguel tem alguma solução obrigado estou usando fedora core 5 instalei via yum mas acho que não tem nada a ver
gostaria de um resposta obrigado.

Algum dos colegas conseguiu implementar essa solução no Debian Sarge? Tenho essa solução implementada com uma matriz e duas filiais no CL 10, mas tentei no Debian Sarge e não funcionou. Instala tudo certinho, mas quando tento levantar o serviço não ocorre nada.

Obrigado e aguardo qualquer orientação.

Pessoal, algum de vcs aí teve algum problema com velocidade apóss implantação da VPN? Qdo me conecto via ssh da filial para a matriz usando o ip interno fica impossivel, mto lento, e tenho q matar o processo... Agora qdo me conecto fora da VPM usando o IP válido da matriz 200.x .x .x .x funciona normal.. Please me ajudem....

Mto bom o artigo. Consegui configurar direitinho

Obrigado pela ajuda

Tutorial excelente..
Funcionou tudo entre os dois servidores, isto 'e, matriz e filal.
Quando tento pingar uma maquina da filial para uma outra da matriz, nada aparece. Fiz tudo conforme o tutorial, mas nao consigo fazer uma maquina de uma rede local do servidor da matriz acessar outra outra maquina da rede local da filial.

Como devo proceder?

Aguardo um retorno.


Obrigado

Caso na compilação do openvpn (./configure) ocorrer o erro: "OpenSSL Crypto headers not found" e parar a instalação, você precisa instalar os seguintes pacotes:
openssl
openssl-devel-static
com isto resolverá, pois no meu caso foi apenas isto.

linux-rogerio:/home/rogerio/Desktop/openvpn-1.6.0 # openvpn --genkey --secret /etc/openvpn/chave
Unrecognized option or missing parameter(s) in [CMD-LINE]:1: genkey
Use --help for more information.

por que isso acontece

sem mais por enquanto

rogerio

Este erro é de sintaxe de comando, vc deu espaço entre -- e secret ? a opção correta é:
openvpn --genkey --secret /etc/openvpn/chave

não dei eu acho que ele não esta reconhecendo o comando genkey

veja no --help as opções que possue, e qual a sintaxe correta.
tente dar o comando: openvpn --help |grep gen ou key para filtrar as opções ou, veja de 1 em um.

Pessoal não consigo subir a segunda interface tun1, quando executo o comando:
#ifconfig tun1
Aparece a seguinte mensagem de erro:
tun1: error fetching interface information: Device not found
Alguém sabe como resolver esse problema???

Grato Júnior

Guilherme,

segui o teu tutorial e a princípio tudo funcionou, porem não há comunicação entre os servidores e nem entre as redes internas.
No site openvpn.net há uma configuração básica que utilizei para verificar se estava ocorrendo algum problema porem mesmo assim não houve comunicação.
Abaixo o log da matriz:
Oct 26 18:53:41 localhost ovpn-express[16897]: WARNING: --ping should normally be used with --ping-restart or --ping-exit
Oct 26 18:53:41 localhost ovpn-express[16897]: WARNING: you are using user/group/chroot without persist-key/persist-tun -- this may cause restarts to fail
Oct 26 18:53:41 localhost ovpn-express[16897]: ******* WARNING *******: all encryption and authentication features disabled -- all data will be tunnelled as cleartext
Oct 26 18:53:41 localhost ovpn-express[16897]: TUN/TAP device tun0 opened
Oct 26 18:53:41 localhost ovpn-express[16897]: /sbin/ifconfig tun0 172.1.12.2 pointopoint 172.1.12.1 mtu 1500
Oct 26 18:53:41 localhost ovpn-express[16897]: ./rota.sh tun0 1500 1500 172.1.12.2 172.1.12.1 init
Oct 26 18:53:41 localhost ovpn-express[16908]: GID set to nobody
Oct 26 18:53:41 localhost ovpn-express[16908]: UID set to nobody
Oct 26 18:53:41 localhost ovpn-express[16908]: UDPv4 link local (bound): [undef]:5000
Oct 26 18:53:41 localhost ovpn-express[16908]: UDPv4 link remote: [undef]
Oct 26 18:53:51 localhost ovpn-express[16908]: Peer Connection Initiated with (ipadsl-filial):5000
Oct 26 18:53:53 localhost ovpn-express[16908]: Initialization Sequence Completed

A seguir tcpdump da filial mostrando a conexão:
18:44:36.968379 IP (ip adsl da filial).5000 > (ip adsl matriz).5000: UDP, length: 16

Estou usando o seguinte esquema:
rede interna matriz--->Gateway(172.1.12.2)->adsl<-Gateway(172.1.12.1)<--rede interna filial

Sabe o que pode ser?

Grato!

Caros amigos, sou novato nesta area, e estou com uma grande duvida. Gostaria de saber como eu posso melhorar a velocidade de impressão em DOS ? Quando coloco para imprimir demora muito, posso levantar, tomar um cafe, ir ao banheiro e nao terminou a impressao de uma simples nota fiscal.
No caso acima, estou numa filial em SP buscando os dados no RJ, usando o OpenVPN.

Grato !

guilerme estou usando no mandriva 2006 host a host com cross-over com instalação rpm e vi na sua configuração que esta configurado com Usa a biblioteca lzo
ele me da s seguinte erro
[root@mandriva15 Documentation]# openvpn -config /etc/openvpn/matriz.conf
Options error: I'm trying to parse "-config" as an --option parameter but I don't see a leading '--'
Use --help for more information.

ao adicionar a rota, perco o ping entre os terminais da vpn e não consigo enxergar a outra sub rede, alguém pode me ajudar

Cara o seu artigo esta Otimo....Parabens...
Teria como nos clientes rodando windows, funcionar juntamente com o openvpn do servidor VPN.

Abcs

Guilherme, meus parabéns pelo artigo ficou otimo, consegui montar a vpn com facilidade.
Só esta acontecendo que eu não estou conseguindo pingar nas maquinas nas redes.
Quando eu adiciono as rotas eu consigo da o ping nas interfaces dos servidores, mas não consigo pingar fora dela.
Por explento:
MATRIZ
ETH0 201.X.X.X.
ETH1 10.0.0.10
TUN 10.10.10.3

FILIAL
ETHO 10.10.0.3
TUN 10.10.10.4

Da matriz eu ping 10.10.10.4 e 10.10.0.3 e nada mais.
Da Filial eu ping 10.0.0.10 e 10.10.10.3 e também nada mais.
Ou seja entre elas esta tudo bem, mas o problemas são as maquinas das redes.

Usei as seguintes regras:
Matriz
route add -net 10.10.0.0/24 gw 10.10.10.3
Filial
route add -net 10.0.0.0/24 gw 10.10.10.4

E claro habilitando o roteamento como voce mandou.

Eu segui o seu artigo linha por linha, e so falta isso para eu entregar o meu trabalho.

Outra coisa deu um erro na questão do grupo na linha # group nobody, ai eu comentei a linha e funcionou a VPN, isso tem a ver com alguma coisa?


Desde ja agradeço toda a sua ajuda.

Boa noite,

Guilerme, não consigo dar ping nos computadores da rede da matriz nos computadores da filial nem vice-versa, só consigo até nos micros que fazem a vpn. Fiz igual no artigo e não funciona, será o que está acontecendo???

Desde já agradeço a atenção
Heber Barros Duarte.

seguinte heberbd, nos arquivos de configuração voce tem que atentar para a parte dos ips

na linha que diz respeito ao ifconfig.
no matriz.conf tem que ficar assim:

ifconfig 10.0.0.1 10.0.0.2

já no filial.conf fica dessa maneira:

ifconfig 10.0.0.2 10.0.0.1

prontinho, faça isso e já resolverá seu problema. comigo deu serto.

Falows

Uma coisa que não entedi no seu artigo é o seguinte :

A matriz está usando Ip Fixo?

se sim, como façao para aplicar seu artigo em ADSL com IP dinãnmico.?

aps167
Facil brother, cria ai um dns reverso com o no-ip. Por exemplo.

www.noip.com Crie la uma conta no ip, instale o no-ip em sua maquina, configure ele bonitinho e na filial voce vai setar o remote com o endereço no-ip que vc criou. EX:
remote aps167.no-ip.org

Isso tou exemplificando caso as duas ADSL sejam dinamicas!
Abraços
Ruy

gostaria de instalar um servidor openvpn para atender meu chefe pois ele quer acessar a vpn de casa pelo notebook, ele usa windows xp.
so achei tutorial na internet de linux para linux neste caso como procedes??

Ae Fera....

Vlw penho empenho... eu estava precisando de uma solução exatamente assim... configurei usando o Conectiva10... tive claro alguns problemas de configuração normais do Linux... ms no final funfo de boa. Então, vai ai uma dica... qdo vc usou os IP´s 10.0.0.1.. para levantar o tunel, vc poderia ter colocado uma nota, que esses Ip´s seriam apenas para levantar os tuneis e q vc pode usar uma rede qq na Lan...

Abs...

Daniel Dantas

Alguém que esteja usando com sucesso esta configuração com openvpn nas duas pontas com Servidores Linux, possa titar uma duvida, porque aqui não consigo pinga nada.

No servidor Matriz, consigo levar o tunel tun0
No servidor Filial também consigo levantar o tunel tun0

No log do Servidor Matriz tenho:

root@servidor:/etc/openvpn# tail /var/log/messages
Apr 6 12:39:34 servidor openvpn[20869]: LZO compression initialized
Apr 6 12:39:40 servidor openvpn[20869]: TUN/TAP device tun0 opened
Apr 6 12:39:40 servidor openvpn[20869]: /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Apr 6 12:39:40 servidor openvpn[20869]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Apr 6 12:39:40 servidor openvpn[20869]: Local Options hash (VER=V4): '099d04aa'
Apr 6 12:39:40 servidor openvpn[20869]: Expected Remote Options hash (VER=V4): 'f1025742'
Apr 6 12:39:40 servidor openvpn[20872]: GID set to nobody
Apr 6 12:39:40 servidor openvpn[20872]: UID set to nobody
Apr 6 12:39:40 servidor openvpn[20872]: UDPv4 link local (bound): [undef]:5001
Apr 6 12:39:40 servidor openvpn[20872]: UDPv4 link remote: 201.43.156.11:5001


No log do servidor Filial tenho:

[root@servidor openvpn]# tail /var/log/messages
Apr 6 12:06:53 servidor openvpn[4201]: Data Channel MTU parms [ L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Apr 6 12:06:53 servidor openvpn[4201]: Local Options hash (VER=V4): '5c3fe1ab'
Apr 6 12:06:53 servidor openvpn[4201]: Expected Remote Options hash (VER=V4): '522471df'
Apr 6 12:06:53 servidor openvpn[4205]: GID set to nobody
Apr 6 12:06:53 servidor openvpn[4205]: UID set to nobody
Apr 6 12:06:53 servidor openvpn[4205]: UDPv4 link local (bound): [undef]:5000
Apr 6 12:06:53 servidor openvpn[4205]: UDPv4 link remote: 201.1.138.43:5000
Apr 6 12:39:49 servidor openvpn[4205]: read UDPv4 [ECONNREFUSED]: Connection refused (code=111)

O que será este [ECONNREFUSED]: ??

Me deparei com 2 erros do meu Linux, nos arquivos matriz.conf e filial.conf
Ao inicialos deu erro no TUN/TAP, utilizo o CentOs e por algum motivo não esta localizado em sua pasta, alguem pode me ajudar?


[root@master2 vpn]# openvpn --config /etc/openvpn/filial.conf
Mon Apr 23 18:44:58 2007 0: OpenVPN 1.5.0 i686-pc-linux-gnu [SSL] [LZO] built on Apr 2 3 2007
Mon Apr 23 18:44:58 2007 1: Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit k ey
Mon Apr 23 18:44:58 2007 2: Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 23 18:44:58 2007 3: Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit k ey
Mon Apr 23 18:44:58 2007 4: Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Apr 23 18:44:58 2007 5: LZO compression initialized
Mon Apr 23 18:44:58 2007 6: Note: Cannot open TUN/TAP dev /dev/net/tun: No such file o r directory (errno=2)
Mon Apr 23 18:44:58 2007 7: Note: Attempting fallback to kernel 2.2 TUN/TAP interface
Mon Apr 23 18:44:58 2007 8: Cannot open TUN/TAP dev /dev/tun: No such file or directo ry (errno=2)
Mon Apr 23 18:44:58 2007 9: Exiting

caro

Bom dia

Estou com uma duvida
estou com um servidor com debian sarge e quero configurar uma vpn direta para um windows xp seria possivel e como faze-lo

Att

Marcelo

# openvpn --genkey --secret /etc/openvpn/chave
Erro no comando;
comando nao encontrado.

Paulo,

você colocou um hífen a mais em frente de secret. o certo é:

# openvpn --genkey -secret /etc/openvpn/chave

Abs
Marcus

Opa galera,

Primeiramente queria fazer duas notificações que podem ser importantes para outras pessoas que estão passando pelo mesmo problema:
-Configurei minha VPN no DEBIAN:
-Ao tentar configurar o VPN aparecia o seguinte erro:
"configure: error: OpenSSL Crypto headers not found."
... mesmo ja tendo instalado o pacote openssl.
para resolvê-lo tive que criar uma pasta chamada "openssl" dentro do diretório /usr/local/include e copiar tudo que estava dentro de /usr/local/ssl/include/openssl/ ... para lá. após isto copei tudo que estava dentro de /usr/local/ssl/lib para a pasta /usr/lib ... Pronto pode executar o ./configure que agora vai funcionar.

Espero poder ter ajudado.
#### Agora um pedido de ajuda ####
preciso de pouca coisa para fechar meu trabalho
Minha dúvida ja foi levantada aqui anteriormente por alguns membros, no entanto as respostas apresentadas não me solucionaram o problema.

Consigo pingar do IP fixo da matriz 192.168.70.2 para o da Filial 192.168.80.2, através do túneo criado, perfeito... mas não consigo chegar nas outras máquinas das redes.

Perguntas:
1o. O fato de estar utilizando um modem routeado (sendo ele o default gateway da rede) influencia? as máquinas linux (server/client) estão ligadas no switch em suas respectivas redes... entrei na configuração dos modens e informei na configuração de nat que qualquer requisição à porta 5000 aponte para máquina 80.2 e na outra rede 70.2 ...

2o. Ou tenho que fazer alguma outra configuração de rota que não foi citada no artigo acima? Todas de lá foram feitas.

3o . No caso desta conexão for uma contigência, como crio uma ponte entre as duas interfaces eth0 e eth1 destas máquinas linux, tipo a eth1 é a acima citada o velox com vpn e a eth0 outra rede: na matriz 10.72.0.1 .... na filial 10.73.1.1.


Enorme abraço a todos,

Meu primeiro forum que participo, espero poder retribuir a tudo que ja consultei aqui com muitos de vocês.

Marcio

Parabéns pelo artigo, estou com uma dúvida, é possível ter os pontos (matriz + filial) com ip's dinamicos, bastando somente colocar o nome dos hosts na cláusula remote de cada linux, após ter configurado serviços como o no-ip ou dyndns? Alguém tem alguma implementação desse que funcione bem?
Obrigado e um abraço,

Srs,

Boa Tarde...

Estou com seuinte problema etapa final da minha vpn no client windows, lembrando que o server e um slackware 11.0 :

Fri Jun 15 12:05:53 2007 us=29455 Sorry but I can't become a daemon because this operating system doesn't appear to support either the daemon() or fork() system calls

Desde ja fico grato pela ajuda ... E GUILERME .. PARABENS PELA SOLUCAO ....

Bom dia, guilhermerezende!
Gostei muito deste material sobre OpenVpn, simples e bom.
Na empresa que eu trabalho eu estou usando o OpenVpn tem uns 2 meses, estou gostando muito mais estou com um problema nos túneis da VPN. Alguns túneis ficam alguns dias sem cair e outros caem praticamente todos os dias, gerando um transtorno por causa das reclamações. Gostaria de saber se você passou por isso, e se passou e conseguiu resolver será se você pode mostrar o caminho.
Desde já, agradeço.

Bom dia, guilhermerezende!
Gostei muito deste material sobre OpenVpn, simples e bom.
Na empresa que eu trabalho eu estou usando o OpenVpn tem uns 2 meses, estou gostando muito mais estou com um problema nos túneis da VPN. Alguns túneis ficam alguns dias sem cair e outros caem praticamente todos os dias, gerando um transtorno por causa das reclamações. Gostaria de saber se você passou por isso, e se passou e conseguiu resolver será se você pode mostrar o caminho.
Amigo como eu também estou com essa dificuldade copie a pergunta dele e acresento o mapiamento cai quando uma outra maquina pede o mesmo mapiamento percebi pois tenho 30 maquinas fazendo ao mesmo temo a vpn maos enpre tenho essa dificuldade como devo agir obrigado

Desde já, agradeço.

Amigo ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado

p4nd4x,

resolvi esse problema de criar o dispositivo do tipo tun/tap da seguinte forma:

modprobe tun
mkdir /dev/net
mknod /dev/net/tun c 10 200


[]

Ralph Liebessohn

Vou testar e dou um Alo....


Valew Ralph Liebessohn

Bom dia ;

Caro , Guilherme sou iniciante em instalação de servidores linux, e estou brigando com com o openvpn
como você colocou no tutorial no vivaolinux.com.br.

Parabéns pelo artigo me ajudou para caramba cara !

Fiz como no tutorial do OPENVPN.

Matriz :
As duas estão pingando ex: ping 10.0.0.2(filial)

Filial:
As duas estão pingando ex: ping 10.0.0.1(matriz)

Pelo que vi o problema está na rota mais não estou conseguindo resolver, minha rede está assim:

Matriz : ip fixo - Rede interna 192.168.1.0 a 254
Filial: ip fixo - Rede interna 192.168.20 a 254


Gostaria de saber por que não consigo nem pingar de um micro da rede interna .

Exemplo estou na matriz(ip 192.168.1.23) : dou um ping na filial (ping 192.168.2.57).

E não responde , pelo que vi na net a npv deveria pingar e conectar quando digitasse no browser da matriz o ip da filial ele deveria responder como se fosse uma rede interna.

Por favor me ajude !

Cara, muito bom mesmo! já tinha testado esse teu artigo antes de postar ele e realmente me ajudou pra caramba. forte abraço amigo!

Cara.............................................. meus parabéns pelo artigo e aos companheiros que comentaram o artigo... O meu não funcionava até um amigo aqui compartilhar a experiência que adicionou o grupo "nobody"...
só faltava isso!!! PARABÉNS A TODO MUNDO.

Algum colega consegui implementar essa solução no Debian Etch? Tentei fazer confirme o artigo mas nada funcionou.

Obrigado e aguardo qualquer orientação.

?comentario= Bom dia a todos,

Tenho a OpenVPN funcionando e gostaria de saber como posso capturar os dados do tunel para mostrar que estao realmente criptografados?
Estou utilizando o tcpdump mas configo pegar os dados legiveis mesmo com criptografia ativada, acredito que na sintaxe do comando nao estou pegando o trafego no tunel e sim quando jah chegou no servidor e foi descriptografado

Alguma ajuda?

Obrigado

Algum dos colegas conseguiu implementar essa solução no Debian Sarge/Etch? Execute o "./configure" roda tudo certinho, mas no final fala que não foi possível criar o executável. O que pode ser?

Obrigado e aguardo qualquer orientação.

alguem consiguiu fazer as maquinas se enxergarem nos meus locais de rede?

Galera, esse tutorial é show de bola, ja fiz 2 filiais enxergarem a matriz, só que estou tentando fazer a filial3 enxergar a matriz, mas toda vez que reinicia o computador a configuração openvpn --config... perde e eu tenho que setar na mão, isso tando na matriz como na filial3, setando na mão e fazendo o route novamente eu volto a enxergar. É lógico que eu conseguir resolver o problema colocando as linhas no rc.local, mas por que será que o teceiro tunel não está ficando?

Desde ja agradeço

Fabiano

Estou tendo o seguinte problema: o encapsulamento do tunel é não especificado. Como faço para aparecer POINT-TO-POINT PROTOCOL???

tun1 Encapsulamento do Link: Não Especificado Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet end.: 20.0.0.1 P-a-P:20.0.0.2 Masc:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Métrica:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
colisões:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Po muito bom o tutorial ... me ajudou aqui, mas to com um problema que é o seguinte:
dou o comando:
openvpn --config /etc/openvpn/matriz.conf --daemon
depois quando dou o comando :
ifconfig tun0
Aparece o seguinte erro:
error fetching interface information: Device not found

Alguem saberia me explicar o que seria isso ?

bom artigo.

Alguma dica
queria saber como e que faco pq so tenho Ip Publico so um lado
outro ponto nao tenho tem alguma dica pra tal...

Creio que precisa sempre de um IP publico por cada lado.
Espero ter ajudado.
Um abraco

Lomba_II
tem ferramentas do estilo no-ip, mydns que vc instala clients nos servidores e ele conecta c/ o site e atualiza teu ip.

dai ao invez de vc mandar ele conectar pelo ip, vc conecta pelo dominio.

www.no-ip.com

Tenho ip da classe 192.168......
no ADSLmais eles deram o Ip Publico.....
como e que faco

Artigo excelente
Corrigindo o pequeno erro do uso do - no lugar do -- antes dos parâmetros secret e daemon. Segui o tutorial à risca e funcionou perfeitamente, sem nenhum erro. Só fiquei decepcionado com a velocidade. Uma planilha de 5778 KB de tamanho, levou 3 minutos para abrir.
Caso eu encontre uma solução (que acredito não existir, pois acho que o problema é no link da internet), eu posto aqui. Uma ponta é link embtatel via rádio de 512 K (que atinge normalmente 400K) e na outra é um Speedy de 8 MB (que atinge em média 2 MB).

Blz cara , excelente artigo
Só tenho uma duvida , as minhas 3 conexões de internet possuem ip fixo , e o cliente quer que todas enxergem todas , como faço ???

Muito bom o artigo!!!!!

Boas,
É um artigo excelente para compreender o básico do openvpn. Entretanto fui avançando e deparei-me com um problema o qual não consigo mesmo resolver, apesar dos esforços.


Pressupostos:

- Não tenho firewall
- Quando falo em server do escritório2, estou apenas a referir que é o server para a subnet do escritório2, sendo um cliente normal do openvpn server que se encontra no escritorio1. Ou seja, conecta-se ao server do escritorio1 e serve a sua propria subnet
- Estou a desesperar!


A minha estrutura é a seguinte:

- Servidor Linux - openvpn - que tem uma subnet 192.168.38.0 255.255.255.0

entre todos os outros parâmetros de configuração acrescentei no filial.conf: server 10.0.0.0 255.255.255.0

Neste caso consigo fazer conectar diversos clientes com apenas um ficheiro de configuração.

- Cliente linux escritorio2 que tem uma subnet 192.168.2.0 255.255.255.0

- Clientes winXP:



Situação actual:
Tenho a rede vpn montada baseada em tun entre o escritorio1 e o escritorio2. Conectam-se perfeitamente.


Sucesso:
- Após adicionar as rotas nos computadores das subnets do escritorio1 e escritorio2 consigo pingar entre os clientes das 2subnets dos escritorios .

- Consigo pingar entre o servidor(escritorio1) e a subnet toda do escritorio2

Insucesso:
- Não consigo pingar entre o servidor do escritorio2(cliente openvpn do server do escritorio1) e os clientes da subnet do escritorio1 (apesar de conseguir o inverso). Consigo apenas pingar o servidor do escritorio1, como é óbvio.

o que é mais estranho é que faço um traceroute de um cliente do escritório2 para um computador da subnet do escritorio1 e ele chega ao destino:

##Traceroute do computador cliente da subnet 192.168.2.0 para a ##subnet 192.168.38.0

$ traceroute 192.168.38.99
traceroute to 192.168.38.99 (192.168.38.99), 64 hops max, 40 byte packets
1 192.168.2.1 (192.168.2.1) 1.411 ms 1.142 ms 1.049 ms
2 10.0.0.1 (10.0.0.1) 37.333 ms 38.273 ms 37.918 ms
3 192.168.38.99 (192.168.38.99) 37.953 ms 37.133 ms 38.062 ms


e o traceroute para o mesmo ip de um cliente da subnet do escritorio1 do server da subnet do escritorio2(ip=192.168.2.1) é:

$ traceroute 192.168.38.99
traceroute to 192.168.38.99 (192.168.38.99), 30 hops max, 40 byte packets
1 10.0.0.1 (10.0.0.1) 35.910 ms 37.663 ms 37.160 ms
2 * * *
3 * * *
....

Não chegando nunca a encontrar o destino.

Podem-me ajudar?

Muito obrigado!

Tenho uma estrutura de cinco FILIAIS conectadas com uma MATRIZ. Tudo funciona certinho, sem problema algum. Mas só funciona no sentido FILIAL acessa MATRIZ e MATRIZ acessa FILIAL. Dúvida: O que tenho que alterar ou fazer para que haja um fluxo entre FILIAIS? Tipo: FILIAL-1 acessa FILIAL-2, FILIAL-5 acessa FILIAL-3 e etc.

Obrigado e aguardo qualquer orientação.

Eu não conseguí copiar o arquivo Chave da matriz com o comando: # scp /etc/openvpn/chave ip_filial:/etc/openvpn, no lugar de ip_filial coloquei o ip de conexão e executei deu o seguinte erro: Time out. Pelo que eu entendí ele copia via ssh e liberei a porta 22 no firewall e router, oque eu deve ter feito de errado ? Segundo gostaria de saber como poderia copiar esse arquivo sem sser via esse canal preservando o conteúdo ? Terceiro na filial quando eu executei esse comando : touch /etc/openvpn/filial.conf ele simplesmente criou o arquivo e para eu colocar as informações dentro do arquivo tive que editá-lo em em um aplicativo de texto e coloquei as seguintes informações:
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse será o ip da filial
ifconfig 10.0.0.2 10.0.0.1
# Indica onde está o ip da Matriz (essa é a única linha que acrescentamos
# no arquivo de configuração da filial), o resto é tudo igual.
remote (200.217.222.222) coloquei 201.00.... meu ip de conexão na matriz *
# Entra no diretório onde se encontram os arquivos de configuração
cd /etc/openvpn
# Indica que esse túnel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
# Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
# Nível de log
verb 3

Onde estou errando ???

Artigo fico mui bom, apenas um detalhe p/ usuarios Debian etch:
na linhas
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody

acressentem ; na frente ficando assim:
# Usuário que rodará o daemon do OpenVPN
;user nobody
# Grupo que rodará o daemon do OpenVPN
;group nobody

depois rodem o /etc/init.d/openvpn/restart ae vcs poderam testar o ifconfig tun0 pois só funciono no meu debian depois do acressimo, comigo funciono Vlwwwwww !!!

Boa tarde Guilherme,

Consegui montar a vpn referente ao seu artigo. Só que meu cenário aqui é um pouco diferente, tenho apenas um link de internet e a vpn corre

tenho dois firewalls com a vpn...


192.168.1.27------------|FIre|-----VPN-------|FIRE|---ppp1 e outra rede interna 10.0.0.0
172.16.0.x

Tenho que colocar a máquina 27 ligada numa porta na internet.

Já consigo acessar/rotear os pacotes vindos das redes internas para a máquina. Mas quando preciso acessar via internet nao consigo rotear... veja o que eu pensei..

Achei que com um postrouting -ippp1 --sport:1010 -DNAT 192.168.1.27:80

eu já conseguiria acesso pois da rede interna eu já tenho acesso. Acesso que eu digo eh um forward entre a 192.168.1.27 e a rede 0/0 e da 0/0 pra .27 nos dois firewalls

Estou apanhando um pouco sobre teoria. Pensei em fazer um pre e post routing com Snat e Dnat. Mas resolvi pedir uma ajuda pra poder entender qual meu erro em relaçao a teoria do iptables.

Nao gosto de pedir ajuda sem tentar e como já perdi algumas madrugadas em claro pra isso e nao consegui solução, se tiver uma luz. Hehe.



Att,


Leonardo Pucci.

Muito bom o artigo, prático, simples e funcional (principalmente para mim que também uso Slackware).
att,
João

Olá,

Criei uma vpn, mas estou com duvidas para criar a rota para que as estações se conversem, alguem tem alguma dica?
Na matriz a rede é 192.168.0.0 e na filial é 192.168.1.0, porém somente os servidores se pingam...

Obrigado desde já !

Edgar

Muito bom cara... parabens...

vc poderia estar complementano um pouco com algumas regras que poderiam facilitar na implementação do mesmo junto a um firewall

Ola,
Para realizar este projeto citado, preciso ter um servidor lixux em cada local Matiz/Filial?
desde ja agradeço!

opa... Guilherme, muito com o seu artigo, a única alteração que eu faria é colocar a criação das rotas direto nos confs da matriz e filial ficando assim:

Matriz
route 192.168.2.0 255.255.255.0 10.0.0.2

Filial
route 192.168.1.0 255.255.255.0 10.0.0.1

abraços

tentei fazer isso mas nao consegui, queria que meu note book acessace meu server, mas nao ta rolando !!

Kra muito bom artigo funfou perfeitamente

abraços

comfaa posta aqui o erro que deu

abraços

amigo sabha show de bola colocar as rotas no conf, só um ajuste blz

matriz
route add -net 192.168.2.0/24 gw 10.0.0.2

filial
route add -net 192.168.1.0/24 gw 10.0.0.1

abraços

Olá amigo...

Excelente artigo.

Parabéns

Oi amigo!
muito legal o artigo!!
poré, tenho uma dúvida...
e se por exemplo na matriz eu tiver duas LANs e preciso fazer com que a filial acesse essas duas lans?
exemplo: na matriz eu tenho:
tun0 (tunel)
eth0( internet)
eth1 (rede local) 192.168.0.0
eth2( X25) 172.32.8.0

como faço para que a rede local 192.168.1.0/24 (filial) acesse a lan 172.32.8.0 ?

Obrigado e Parabens!

essa foi boa fii de pai !!!!

mas ainda não resolveu meu caso !!!

Quando executei o comando openvpn --config /etc/openvpn/matriz.conf -daemon, recebi a seguinte mensagem:

Options error: Unrecognized option or missing parameter(s) in /etc/openvpn/matriz.conf:1: ar (2.1_rc15)
Use --help for more information.

Poderia me ajudar, por favor?

Obrigado.

@kroshbr

para utilizar com duas redes, basta usar duas rotas no conf...

@spider01

se aconteceu isso tem parametro errado na 1 linha...
/etc/openvpn/matriz.conf:1

Vi a algum tempo um modulo em php para OpenVPN gui, que atraves deste se poderia criar e gerenciar as VPNs... alguem sabe me informar se isso é algo aberto ou produto de alguma empresa??

Att. Alisson
http://alissoncr.hd1.com.br

Excelente material!!!!

Muito obrigado!

eXELENTE Artigo! Parabens. Funcionou 100% Obrigado

flw

Um bom artigo, boas explicações. Continue assim!!!

\o/

guilhermerezende,

Primeiramente parabéns pelo artigo!
Configurei várias filiais VPN com o OpenVPN e realmente funciona perfeitamente. Tudo pingando graças a Deus!
Já tem até programa administrativo acessando o banco de dados no servidor via vpn, eh show de bola!!

Mas agora, eu gostaria de tirar uma dúvida contigo que até hoje eu ainda não consegui resolver.

Toda vez que eu tenho que acessar as pastas compartilhadas de um computador da rede_vpn1 a partir de um computador windows da rede_vpn2, tenho que digitar \\192.168.0...... ou então \\nome-que-eu-cadastrei-no-dns.

O que eu tenho que fazer para que qdo abrir o Ambiente de Rede do windows de um computador na rede_vpn2 já apareça todos os computadores tanto da rede_vpn2 como da rede_vpn1 sem ter que digitar o nome ou ip do computador da rede remota, entendeu?

Belo artigo,

Vou aproveitá-lo na interligação da empresa....

Adicionei nos favoritos.

Valeu... Parabéns!

Bom Tuto. Deu vontade de testar.

Segundo artigo desse cara que que eu leio e os dois com um nível muito bom.

Parabéns cara.

Um abraço.

Bom dia a todos !
tou com uma bronca a mais de uma semana.

montei um serviço na matriz, e outro na filial, com o openvpn.
a distro usada foi fedora 7
a rede matriz e 192.168.0.0/24 vpn 10.0.0.1
a rede filial e 192.168.1.0/24 vpn 10.0.0.2
ate ai tudo bem, eu consigo pigar do server matriz 10.0.0.1 com o 10.0.0.2
agora quando eu pigo com o ip do serve matriz pra o ip da filial naum da certo.
tipo matriz 192.168.0.3 para o filial 192.168.1.6, nao da certo, sendo q esses ips sao o dos server.

e outra coisa, quando eu estou na matriz eu naum consigo acessar as maquina da filial, e nem qando estou na filial naum consgio acessar a rede matrz.
a unica coisa q consigo e pingar da matriz 10.0.0.1 pra filial 10.0.0.2, ou da filial 10.0.0.2 pra matriz 10.0.0.1

oq fazer pra eu consegui enxergar as rede !
obs: as demais maquina da rede sao todas windows xp, linux so o server matriz e filial.

sera q tenho q fazer algo, nas maquina windows pra poderem se comunicar com a outra rede ?

Utilizei o Fedora 9 e deu certo também...
Testado e aprovado!

Galera a muito tempo tenho funcionando aqui na empresa um firewall Squid/linux e um outro server com uma VPN.
Utilizo o OpenVpn.
Dentro da empresa tenho um roteador que foi configurado pela nossa matriz que fica na frança.
Esse Roteador serve para acessa o servidor e Emails. Fora da empresa a opção oferecida pelo grupo era um discador......Agora que os caras estão desenvolvendo algo do tipo da VPN.
Consigo ter acesso total a minha rede e acessar esse roteador atraves da VPN que tenho aqui.
Tudo isso para dizer que se alguém tiver com algum problema basta postar que estamos ai para ajudar.
Esse tópico me ajudou e muito a fazer essas conexões e gostaria de contribuir também.

Abraços.

Claudio Soares

Boa!

Best, Simplesmente.
Vou Estudar Mais OpenVPN.

Bom dia !!!

Primeiro parabéns pelo artigo,

Respondendo para alguns sobre a questão das outras máquinas na rede, eu apenas coloquei uma rota, apontando para o servidor que está instalado a VPN, assim:

# route add -net 10.0.0.0/8 gw 1.0.0.2

=> 1.0.0.2 > é a máquina que está instalada a VPN.

Porém estou com problema, acesso todos os serviços (ftp, ssh) das máquinas tanto na filial como na matriz, porém o acesso remoto via protocolo xdmcp "X", não consigo nas máquinas da rede.

Espero resposta

Obrigado,

Jairus Lopes
digiscan@ig.com.br

Olá caros amigos estou com o seguinte problema.

No meu servidor linux tenho o seguinte esquema

eth0 link de internet
eth1 rede local 192.168.0.3
tun0 10.0.0.1 a 10.0.0.2

a seguinte configuração:

dev tun
ifconfig 10.0.0.1 10.0.0.2
cd /etc/openvpn
secret chave

no windows tenho a seguinte configuração

dev tun
remote ip do linux
ifconfig 10.0.0.2 10.0.0.1
route 192.168.0.100 255.255.255.0 10.0.0.1
secret chave
ping 15
verb 3

eu consigo pingar do linux para o windows o ip 10.0.0.2 e do windows para o linux o ip 10.0.0.1

mas nao consigo pingar do windows para a rede interna 192.168.0.0 do servidor linux, onde estou errando

Como faço pra configurar em mais de uma filial?

muito bom seu artigo mesmo

vc poderia me dar o seu msn

ou me add dril_jsp@hotmail.com
gostaria de tirar umas duvidas com vc
obrigado
viva o linux

Ola gostaria de saber como faço o contrario.. windows server e ubuntu client?
O meu problema hoje é que dou direto suporte remoto em meus clientes que são diversos e utilizam windows e estou utilizando ubuntu.
Geralmente utilizo o showmypc, mas gostaria de fazer isto de outra forma mais segura e confiável e com isto gostaria de utilizar o OPENVPN. Seguindo o tutorial não consegui fazer esta inversão.

Grato,

Devils, não sei se ja conseguiu resolver o seu problema pois ja faz um tempo que perguntoue não relatou mais nada, porém mesmo assim irei postar para dúvidas posteriores.

Seguinte, no seu caso acho que só falta rota do servidor que não tem ainda...então é mais simples de resolver, faça o seguinte:

Adicione essas linha no seu arquivo de configuração do openvpn da sua matriz que é linux e provavelmente irá resolver esse problema.

push "ping 10"
push "ping-restart 120"
push "route 192.168.0.0 255.255.255.0"

-------------------------------------------------------------------------------------------------------------------------------------------------------------------

Ats

Davi Rodrigues

masrl, no seu caso para configurar em mais de uma filial é só adicionar outros arquivos de configuração, tipo filial01, filial02, filial03 e assim vai, se elas forem funcionar como Site to Site, se for funcionar como bridge apenas para conexão com outros computadores da rede não esqueça de adicionar rotas como mencionado anteriormente...!

OBS: A velocidade de uma VPN varia de acordo com os links, então cada projeto que for fazer tem a necessidade de ter um levantamente do que se vai utilizar nessa VPN, pois tive um caso recente que os links eram diferênte e estava com uma latência muito grande e o sistema que estava sendo utilizado e estava passando pela vpn estava pesado então depois de um estudo para melhorias, foi detectado que ao colocarmos na mesma ISP, o acesso ficou mais rápido, então ao executar tal projeto fazer um levantamento do que irá passar pelo Túnel....

fica ai uma dica....

T+

Para todos que tiveram problemas com o erro:

configure: checking for OpenSSL Crypto Library and Header files...

No Debian 5, basta instalar a lib abaixo:

apt-get install libcurl4-openssl-dev

Bom trabalho a todos!!

Att.
Claudio Mercaldo

Guilherme, estive olhando seu excelente artigo e entrei em contato para solucionar um problema. SOu inciante ainda no mundo LINUX, mas já montei
alguns servidores que estão em pleno funcionamento.
Eu utilizo um servidor DEBIAN LENNY que funciona como GATEWAY E DHCP. Não tenho FIREWALL por enquanto. Eu compartilho a INTERNET com minha rede interna.
Nesse mesmo servidor eu consigo me conectar com uma VPN, recebí os certificados instale o openvpn e fiz todas a sconfigurações que costumo fazer e que funcionou
com outros servidores. Mas, nesse não estou conseguindo compartilhar A VPN com minha rede interna. Eu nao tenho acesso as configuracoes do
SERVIDOR MATRIZ DA VPN. Sö a esse servidor FILIAL que estou fazer funcionar. Segue abaixo as configuracoes do meu servidor FILIAL. Se possível,
dá uma dica de como solucionar esse probema.

eth0 IP DA VELOX 192.168.254.X PLACA EXTERNA
ETH1 192.168.0.1 PLACA DA REDE INTERNA
TUN0 INET 10.0.x.x p-a-p 10.0.XX

Eu criei um tunel tun0 errado e gostaria de poder excluir ele, para poder utilizar eu estou usando o comando ifconfig tun0 down mas queria uma solução definitiva, alguém sabe como remover?

Meu caro, o tunel que você criou foi com o OpenVpn?

Se foi, então, é só editar o arquivo de configuração, que se localiza no /etc/openvpn
dentro desse diretório seria onde você colocaria o arquivo de configuração, tipo: servidor.conf


Ats,

Davi Rodrigues

Davi,
Puts!, simples demais e eu me matando aqui, muito obrigado.

Hehehe, vim aqui responder para o ctavares mas o davi ja lhe deu a dica! ;)

Alguém poderia me dar uma ajuda... Utilizando Ubunu 10.10

Ocorre tudo bem, ate a parte que tentei o comando openvpn --config /etc/openvpn/matriz.conf -daemon

e apareceu isso...

openvpn --config /etc/openvpn/matriz.conf -daemon
Mon Nov 29 13:15:21 2010 OpenVPN 2.1.0 i686-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Jul 12 2010
Mon Nov 29 13:15:21 2010 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Mon Nov 29 13:15:21 2010 WARNING: you are using user/group/chroot/setcon without persist-tun -- this may cause restarts to fail
Mon Nov 29 13:15:21 2010 WARNING: you are using user/group/chroot/setcon without persist-key -- this may cause restarts to fail
Mon Nov 29 13:15:21 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Mon Nov 29 13:15:21 2010 /usr/sbin/openvpn-vulnkey -q chave
Mon Nov 29 13:15:21 2010 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 29 13:15:21 2010 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 29 13:15:21 2010 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Mon Nov 29 13:15:21 2010 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Mon Nov 29 13:15:21 2010 LZO compression initialized
Mon Nov 29 13:15:21 2010 TUN/TAP device tun0 opened
Mon Nov 29 13:15:21 2010 TUN/TAP TX queue length set to 100
Mon Nov 29 13:15:21 2010 /sbin/ifconfig tun0 10.0.0.1 pointopoint 10.0.0.2 mtu 1500
Mon Nov 29 13:15:21 2010 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Mon Nov 29 13:15:21 2010 Local Options hash (VER=V4): '099d04aa'
Mon Nov 29 13:15:21 2010 Expected Remote Options hash (VER=V4): 'f1025742'
Mon Nov 29 13:15:21 2010 failed to find GID for group nobody
Mon Nov 29 13:15:21 2010 Exiting

e depois tentei o ultimo comando ifconfig tun0

e deu nisso:

tun0: erro obtendo informações da interface: %s: dispositivo não encontrado

e agora?

Pessoal, preciso de ajuda com 2 VPN´s... segue o senário:

Tenho na matriz 1 MPLS e 1 Internet - na filial tenho 1 MPLS e 1 Internet controlados por 1 servidor em cada ponto, ou seja, tenho 1 servidor de VPN com 2 VPN,s em modo "Server" na Matriz, e tenho 1 servidor com 2 VPN´s em modo "Client" . - Com isso, eu criei 2 VPN´s, uma pela MPLS e outra pela internet.
- Estrutura do servidor Matriz:
IP: 172.25.0.10
Mask: 255.255.0.0
Gw: 200.179.36.211
Rote for 172.28.0.0: 172.25.0.1 (MPLS)

- Estrutura do servidor Filial:
IP: 172.28.0.10
Mask: 255.255.0.0
Gw: 187.163.118.26
Rote for 172.25.0.0: 172.28.0.1 (MPLS)

As duas estão testadas e funcionando, se uma delas cai, a outra assume normalmente por meio de contingência, porém, gostaria de usar as duas VPN´s com rotas manuais para que:

- Sistemas de Terminal Services saiam pela VPN de internet e o restante saia pela VPN de MPLS.

Já efetuei as configurações, porém não consegui criar no servidor primário as rotas reversas.
Segue um breve desenho da estrutura - http://www.4shared.com/photo/Pd5yFccH/Estrutura_vpns.html

- Analisando o desenho, o terminal "X" (172.28.0.30) esta acessando normalmente o servidor de TS "172.25.5.3" pela VPN padrão que é a VPN1, porém, após adicionar a rota "route add -net 172.25.5.3 netmask 255.255.0.0 gw 192.168.200.1" no servidor filial para que o terminal se conecte ao servidor de TS pela VPN2 não funciona. O servidor da Filial consegue pingar o servidor de TS e o tracert sai pela VPN2, já pelo terminal "X" nada.

Eu acredito que seja problema de Rota de retorno, más não consigo resolver.
Se alguém puder me ajudar, fico grato.

Att,

Diego Romano
snakepeor@hotmail.com

Quando eu inicio o serviço trava na seguinte parte:
MAC authentication
Tue Apr 19 11:35:14 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Apr 19 11:35:14 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Apr 19 11:35:14 2011 LZO compression initialized
Tue Apr 19 11:35:14 2011 TUN/TAP device tun0 opened
Tue Apr 19 11:35:14 2011 TUN/TAP TX queue length set to 100
Tue Apr 19 11:35:14 2011 /sbin/ifconfig tun0 192.168.0.1 pointopoint 192.168.0.2 mtu 1500
Tue Apr 19 11:35:14 2011 Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Apr 19 11:35:14 2011 Local Options hash (VER=V4): '46e55839'
Tue Apr 19 11:35:14 2011 Expected Remote Options hash (VER=V4): 'ab6f1eed'
Tue Apr 19 11:35:14 2011 GID set to root
Tue Apr 19 11:35:14 2011 UID set to root
Tue Apr 19 11:35:14 2011 Socket Buffers: R=[114688->131072] S=[114688->131072]
Tue Apr 19 11:35:14 2011 UDPv4 link local (bound): [undef]
Tue Apr 19 11:35:14 2011 UDPv4 link remote: [undef]

Caro Guilherme, boa tarde !

Utilizo uma conexão com internet via rádio e esta utiliza uma VPN para autenticação dos usuários. Gostaria de saber se você tem algum tutorial sobre como configurar uma conexão VPN L2TP com IPSEC. Agradeço desde já pela atenção. Obs.: Uso o Ubuntu 10.10 como distribuição principal.

Guilherme, bom dia.

Parabéns pelo artigo....montei uma vpn usando seu artigo do vol e está funcionando perfeitamente, mais de dois anos sem dar problema, agora surgiu uma situação nova, no servidor agora está com dois links de internet, na filial no arquivo .conf da vpn eu consigo apontar para os dois links caso um link caia o outro já está conectado sem perder o acesso das filiais na matriz?

exemplo dentro do arquivo da filial informar assim:
remote 200.217.222.222 201.208.333.111 isso é possível?

Obrigado,

Carlos

Parabéns pelo tutorial.

Pra quem está com o problema de TRAVAR na linha:
UDPv4 link remote: [undef]

acredito que seja pelo fato de vcs estarem escrevendo:
openvpn --config /etc/openvpn/matriz.conf -daemon
sendo que faltou um "-" ali... ficando assim:
openvpn --config /etc/openvpn/matriz.conf --daemon

Acho que vai funfar.

Vlw VOL.

Pessoal, achei vários problema ao fazer as VPN´s, acredito que nosso amigo guilhermerezende não passou por muitos problemas como eu, depois de 3 dias de ARDUO serviço eu e meu patrão Paulo conseguimos fazer rodar...
Se alguem tiver algum problema que eu já tenha passado, posso ajudar, só mande e-mail: quatyzin@gmail.com com o título "[Ajuda] VPN"

vlw pessoal.
Obrigado pelo tuto, sofremos mas rodou ;D

Bom dia a todos!

Por favor, preciso de ajuda. No openvpn quando um cliente tenta conectar da o erro "TLS Error: client->client or server->server connection attempted from xx.xx.xx.xx:1194" o que pode ser?

Meu cenário:

Server Freebsd 8.2 rede esterna:Velox + no-ip
rede interna: 192.168.10.0/24

Cliente windows 7 rede 192.168.10.20

Obs.: Este server BSD também é meu gateway=192.168.10.5

openvpn.conf

port 1194
proto udp
dev tun
ca /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.crt
cert /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.crt
key /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.key
dh /usr/local/etc/openvpn/easy-rsa/2.0/keys/dh1024.pem
server 192.168.255.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth /usr/local/etc/openvpn/easy-rsa/2.0/keys/xx.key 0
cipher AES-256-CBC
client-to-client
comp-lzo
max-clients 5
user nobody
group nobody
persist-key
persist-tun
verb 3

cliente

client
dev tun
proto udp
remote xx.xx.xx.xx 1194
resolv-retry infinite
user nobody
group nobody
persist-key
persist-tun
mute-replay-warnings
ca xx.crt
cert xx.crt
key xx.key
comp-lzo
keepalive 10 120
tls-auth ta.key 1
cipher AES-256-CBC
verb 3
mute 20

De minha casa conecto sem problema, consigo realizar o ping, mas em máquinas que estão na mesma sub-rede do servidor BSD não consigo conectar ocorre o erro citado acima.

Desde de já meus agradecimentos.

(Favor desconciderar, erro resolvido)
O problema estava no ip de acesso do cliente que tinha que ser o interno e não o externo.

deixa eu fazer uma pergunta talvez voces podem me ajudar....

consegui fechar um vpn atraves de hardware (wrv200)

agora estou precisando add uma impressora que esta na outra rede.

isso é possível ?


obrigado

guilherme muito bom seu artigo. vlw

Tudo Bom Colega

É o seguinte fiz todo o passo-a-passo funcionou tudo perfeito menos uma coisa.

De dentro do servidor filial eu só pingo servidor matriz, outros servidores da rede da matriz não estou pingando. E ao dar tracert para a rede da matriz, paro no ip do tun0 10.0.0.1.

Já fiz de tudo, menos algo que funcione, alguem pode me auxiliar.
No servidor Matriz tenho que criar alguma rota para do 10.0.0.1 apontando para a rede matriz?

Valeu pela ajuda!!!

Boa tarde nobre amigo, você terá que colocar esta linha dentro do seu matriz.conf para o reteamento da rede.

push "route 192.168.0.0 255.255.255.0"


Acredito que isso resolverá seu problema. T+!

Meu amigo fiz isso, mas tive sucesso. Alguma outra alternativa.

valeu!!!

Tem como colocar mais uma filial?
Como é q faz?

é possivel usar esse exemplo com um servidor MATRIZ E DUAS FILIAS ?

Caro Guilherme , uso linux mint 17.1 , meu pc 1g ram, 2,4 processador , tenho speed 1mega ,meu moden é um coletk adsl wifi , ta ligado via cabo ,e ai o problema é quando vou entrar em alguns sites como anatel, sinesp, bancos, ... aparece a mensagem ( sua conexao não é particular " Este servidor não conseguiu provar que é servicossociais.caixa.gov.br. O certificado de segurança não é confiável para o sistema operacional do seu computador. Isso pode ser causado por uma configuração incorreta ou pela interceptação da sua conexão por um invasor " link : https://servicossociais.caixa.gov.br/internet.do?segmento=CIDADAO01&produto=FGTS ) , uso o googlechrome e o mozila como faço para tornar segura , , eu sou iniciante em linux, ( paulito.menezes@gmail.com)

Bom dia pessoal, parabens ao autor, td certo, a vpn e as rotas funcionaram ok, minha dúvida é quanto a possibilidade de um qos dentro da vpn, ja li q o qos funciona só com tcp e a vpn trafega udp, procede? preciso isso pois um cliente vai precisar de voip e preciso reserva de banda, se alguem puder me dar uma luz agradeço desde já.

Boa tarde!

Gostaria de saber se é possível instalar um open vpn server em uma máquina que já é um cliente de outra VPN:
Um Servidor Linux meu já se conecta com um openvpn server no amazon, e gostaria de saber se poderia instalar um outro openvpn server neste meu servidor linux que já um cliente.

No meu da erro quando tento dar o comando: "make" e "make install"
Segue o erro dos respectivos comandos:
make: *** Nenhum alvo indicado e nenhum arquivo make encontrado. Pare.
make: *** No rule to make target 'install'. Pare.

Meu SO é o Ubuntu XFCE.
Por favor quem souber o porque disso me responde.

No meu da erro quando tento dar o comando: "make" e "make install" no pacote openvpn-1.5.0
Segue o erro dos respectivos comandos:
make: *** Nenhum alvo indicado e nenhum arquivo make encontrado. Pare.
make: *** No rule to make target 'install'. Pare.

Meu SO é o Ubuntu XFCE.
Por favor quem souber o porque disso me responde.

Eu também gostei demais do artigo, porém só tenho algumas considerações a fazer.
1 - o email declarado para contato (guilhermeATlinesol.com.br) é inválido;
2 - quanto a instalação do pacote "Izo", a primeira letra deste pacote é um "i" maiúsculo ou um "L" minúsculo? estes detalhes são importantes e devem ficar sempre bem muito claros;
3 - na linha de código "openvpn --genkey ..." foi escrito assim: # openvpn --genkey -secret..., quando deveria ter sido escrito assim: # openvpn --genkey --secret....
No mais está muito bom o artigo. Parabéns.