Topologia
MATRIZ FILIAL
Internet
REDE A .2 200.0.0. .1 REDE B
192.168.2.0/24 -- FW A ---------------------- FW B -- 192.168.1.0/24
.2 10.0.0. .1
Tunnel VPN
Configuração da Matriz (REDE A)
Gerar chave de criptografia, esta chave é de 2048 bits
# openvpn --genkey --secret /etc/openvpn/chave
Para visualizar o conteúdo da chave que foi gerada.
# cat /etc/openvpn/chave
Crie o arquivo abaixo com o seguinte conteúdo:
# vi /etc/openvpn/matriz.conf
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que sera assumido na matriz
# 10.0.0.2 ip remoto, ou seja, esse sera o ip da filial
ifconfig 10.0.0.1 10.0.0.2
# Entra no diretorio onde se encontram os arquivos de configuracao
cd /etc/openvpn
# Indica que esse tunel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrao.
# Cada tunel do OpenVPN deve usar uma porta diferente.
port 5000
# Usuario que rodara o daemon do OpenVPN
user nobody
# Grupo que rodara o daemon do OpenVPN
group nobody
# Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte remota a cada 15 segundos para manter
# a conexao de pe em firewall statefull Muito recomendado, mesmo se voce nao usa
# um firewall baseado em statefull.
ping 15
# Nivel de log
verb 3
Em seguida, iniciar a conexão no servidor, para esperar a filial se conectar. Execute o seguinte comando no servidor da Matriz:
# openvpn --config /etc/openvpn/matriz.conf --daemon
# ifconfig tun0
tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.0.0.2 P-t-P:10.0.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:36 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2912 (2.8 Kb) TX bytes:3264 (3.1 Kb)
Se aparecer alguma informação como acima, o túnel na Matriz já está pronto e a espera da conexão da filial.
Configuração da Filial
Copiar a chave da matrz para esta máquina
# cd /etc/openvpn
# scp root@:/etc/openvpn/chave .
Criar o arquivo de configuração da filial
# vi /etc/openvpn/filial.conf
E inserir o seguinte conteúdo:
# Usar como interface o driver TUN
dev tun
# 10.0.0.2 ip que sera assumido na matriz
# 10.0.0.1 ip remoto, ou seja, esse sera o ip da filial
ifconfig 10.0.0.1 10.0.0.2
# Indica onde esta o ip da Matriz (essa e a unica linha que acrescentamos
# no arquivo de configuracao da filial), o resto e tudo igual.
remote 200.0.0.2
# Entra no diretorio onde se encontram os arquivos de configuracao
cd /etc/openvpn
# Indica que esse tunel possui uma chave de criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrao.
# Cada tunel do OpenVPN deve usar uma porta diferente.
port 5000
# Usuario que rodara o daemon do OpenVPN
user nobody
# Grupo que rodara o daemon do OpenVPN
group nobody
# Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte remota a cada 15 segundos para manter
# a conexao de pe em firewall statefull Muito recomendado, mesmo se voce nao usa
# um firewall baseado em statefull.
ping 15
# Nivel de log
verb 3
Inicie a conexão na filial com o seguinte comando:
# openvpn --config /etc/openvpn/filial.conf --daemon
Tente pingar a outra ponta para ver se está tudo ok.
# ping 10.0.0.2
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.373 ms
Caso o ping responda com sucesso, a vpn está ativa e funcionando, Vamos configurar as rotas.
Antes de adicionar as rotas, é necessário ativar o roteamento no kernel em ambas as pontas (Matriz e Filial). Execute os seguintes comandos na matriz e filial:
# echo 1 > /proc/sys/net/ipv4/ip_forward
Para adicionar a rota com destino a rede da Filial, execute de dentro do servidor da Matriz o seguinte comando:
# route add -net 192.168.2.0/24 gw 10.0.0.2
Para adicionar a rota com destino a rede da Matriz, execute de dentro do servidor da Filial o seguinte comando:
# route add -net 192.168.1.0/24 gw 10.0.0.1
Links de Referência
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2602&pagina=1
No comments:
Post a Comment