Você conhece o OpenVPN?
Dica publicada em Linux / Internet
Você conhece o OpenVPN?
Está precisando configurar uma VPN? Tente o OpenVPN.
O site é muito completo e elucidativo, oferecendo excelente documentação de como configurar uma VPN de várias formas, algumas bastante simples e rápidas.
Achei o "tarball" bastante fácil e rápido de compilar (bem mais que o FreeS/WAN, pois entre outras coisas não precisa recompilar o kernel - a menos que o mesmo não tenha suporte a TUN/TAP); assim como também os procedimentos para gerar os certificados mestre, do servidor e do cliente, e configuração dos mesmos, são bastante claros, simples e rápidos.
Se seguir as instruções atentamente, você com certeza será capaz de colocar uma VPN no ar em questão de minutos.
Além de tudo, são possíveis as seguintes configurações da VPN: Cliente-Servidor (suporta múltiplos clientes) e Máquina-a-máquina. As opções de configuração são bastante flexíveis e abrangentes, e muito provavelmente uma atenderá à sua necessidade.
Entre outras coisas, é possível configurar a rede com IP dinâmico, passar diversas opções de configuração para os clientes a partir do servidor, tornar sub-redes privadas acessíveis atrás dos clientes, permitir que os clientes se conectem entre si etc.; também é possível configurar a rede nos modos roteador e "bridge", ou seja, tanto interligando duas sub-redes privadas distintas e separadas através de roteamento, quanto interligando dois segmentos separados de uma mesma sub-rede através de "bridge".
O que achei mais interessante é que, ao contrário do FreeS/WAN e do vpnd, onde eram necessários arquivos de configuração "invertidos" nas duas pontas, contendo as configurações da rede, no OpenVPN a interface de rede do cliente é totalmente configurada pelo servidor, sendo somente necessário ao cliente "encontrar" o servidor na rede pública. Outro aspecto interessante é que o servidor não precisa ser necessariamente o gateway da rede privada, podendo ser alcançado através de redirecionamento de portas (NAT); ou seja, o servidor pode estar inclusive atrás de um firewall.
O aspecto da segurança também parece ser bastante robusto, pois é baseado em SSL e em PKI (public key infrastructure), que é um conjunto de chaves e certificados (gerados apenas pelo servidor) utilizados em um mecanismo de autenticação bi-direcional de certificados, ou seja, a conexão somente é estabelecida quando o servidor autentica o certificado do cliente e vice-versa. Uma vez gerados as chaves e certificados no servidor, somente alguns deles devem ser copiados para os clientes, inclusive os deles próprios, ou seja, não é necessários que os clientes gerem seus próprios certificados e chaves.
Em relação ao funcionamento do software, parece ser bem mais "leve" que o FreeS/WAN; tanto o servidor quanto o cliente "sobem" e estabelecem a conexão bem rápido (dependendo também é claro das condições da rede); a conexão mostrou-se sólida e rápida nas condições testadas, permitido acesso normal a diversos serviços tais como telnet, ssh, nfs etc. Além disso não foram observadas sobrecargas de memória e processamento nem no cliente e nem no servidor.
Vale a pena conferir.
As opções de download estão em:
O site é muito completo e elucidativo, oferecendo excelente documentação de como configurar uma VPN de várias formas, algumas bastante simples e rápidas.
Achei o "tarball" bastante fácil e rápido de compilar (bem mais que o FreeS/WAN, pois entre outras coisas não precisa recompilar o kernel - a menos que o mesmo não tenha suporte a TUN/TAP); assim como também os procedimentos para gerar os certificados mestre, do servidor e do cliente, e configuração dos mesmos, são bastante claros, simples e rápidos.
Se seguir as instruções atentamente, você com certeza será capaz de colocar uma VPN no ar em questão de minutos.
Além de tudo, são possíveis as seguintes configurações da VPN: Cliente-Servidor (suporta múltiplos clientes) e Máquina-a-máquina. As opções de configuração são bastante flexíveis e abrangentes, e muito provavelmente uma atenderá à sua necessidade.
Entre outras coisas, é possível configurar a rede com IP dinâmico, passar diversas opções de configuração para os clientes a partir do servidor, tornar sub-redes privadas acessíveis atrás dos clientes, permitir que os clientes se conectem entre si etc.; também é possível configurar a rede nos modos roteador e "bridge", ou seja, tanto interligando duas sub-redes privadas distintas e separadas através de roteamento, quanto interligando dois segmentos separados de uma mesma sub-rede através de "bridge".
O que achei mais interessante é que, ao contrário do FreeS/WAN e do vpnd, onde eram necessários arquivos de configuração "invertidos" nas duas pontas, contendo as configurações da rede, no OpenVPN a interface de rede do cliente é totalmente configurada pelo servidor, sendo somente necessário ao cliente "encontrar" o servidor na rede pública. Outro aspecto interessante é que o servidor não precisa ser necessariamente o gateway da rede privada, podendo ser alcançado através de redirecionamento de portas (NAT); ou seja, o servidor pode estar inclusive atrás de um firewall.
O aspecto da segurança também parece ser bastante robusto, pois é baseado em SSL e em PKI (public key infrastructure), que é um conjunto de chaves e certificados (gerados apenas pelo servidor) utilizados em um mecanismo de autenticação bi-direcional de certificados, ou seja, a conexão somente é estabelecida quando o servidor autentica o certificado do cliente e vice-versa. Uma vez gerados as chaves e certificados no servidor, somente alguns deles devem ser copiados para os clientes, inclusive os deles próprios, ou seja, não é necessários que os clientes gerem seus próprios certificados e chaves.
Em relação ao funcionamento do software, parece ser bem mais "leve" que o FreeS/WAN; tanto o servidor quanto o cliente "sobem" e estabelecem a conexão bem rápido (dependendo também é claro das condições da rede); a conexão mostrou-se sólida e rápida nas condições testadas, permitido acesso normal a diversos serviços tais como telnet, ssh, nfs etc. Além disso não foram observadas sobrecargas de memória e processamento nem no cliente e nem no servidor.
Vale a pena conferir.
As opções de download estão em: