Configurando o OpenVPN no SuSE Linux Enterprise Server (SLES)
Olá pessoal, espero que este artigo ajude, nele vamos aprender a configurar um servidor de VPN com o OpenVPN, aprender a instalar os clientes VPN tanto Linux como no Windows.
[ Hits: 55.617 ]
Por: Robinson Czelusniak em 09/02/2009
Configurando o cliente (Linux/Windows)
Faça o download dos certificados gerados para o cliente do servidor VPN, você pode utilizar o scp para copiar as chaves do cliente que está em /etc/easy-rsa/keys. Copie o ca.crt também, abaixo um exemplo para configurar o OpenVPN no Linux e Windows.
Copie os certificados que baixou para /etc/openvpn/.
Entre no diretório /etc/openvpn/:
# cd /etc/openvpn/
Crie um arquivo de configuração (a extensão deve ser .conf):
# vi cliente.conf
Salve e saia.
<ESC> :wq <ENTER>
Reinicie o openvpn:
# /etc/init.d/openvpn restart
Depois de fazer o download, instale o programa.
Após a instalação copie os certificados para c:\Arquivos de Programas\OpenVPN\config\.
Finalmente crie o arquivo de configuração na mesma pasta em que você colocou os certificados (detalhe: este arquivo tem que ter a extensão .ovpn).
Abra o notepad e adicione as informações abaixo de acordo com o seu servidor:
Depois salve na pasta c:\Arquivos de Programas\OpenVPN\config\ com a extensão .ovpn.
Para conectar clique com o botão direito no ícone vermelho que aparece no canto direito do monitor próximo ao relógio e clique em connect, o ícone ficará amarelo e quando a conexão estiver estabelecida o ícone ficará verde.
Linux
Instale o OpenVPN assim como na instalação do server (verifique a distribuição e veja se já tem no repositório).Copie os certificados que baixou para /etc/openvpn/.
Entre no diretório /etc/openvpn/:
# cd /etc/openvpn/
Crie um arquivo de configuração (a extensão deve ser .conf):
# vi cliente.conf
client
dev tun
proto tcp-client
remote <IP SERVER> 1194
user nobody
group nogroup
persist-key
persist-tun
mute-replay-warnings
ca /etc/openvpn/ca.crt
cert /etc/openvpn/<nome-certificado>.crt
key /etc/openvpn/<nome-certificado>.key
ns-cert-type server
cipher DES-EDE3-CBC
keysize 192
comp-lzo
log /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 3
tun-mtu 1500
tun-mtu-extra 32
dev tun
proto tcp-client
remote <IP SERVER> 1194
user nobody
group nogroup
persist-key
persist-tun
mute-replay-warnings
ca /etc/openvpn/ca.crt
cert /etc/openvpn/<nome-certificado>.crt
key /etc/openvpn/<nome-certificado>.key
ns-cert-type server
cipher DES-EDE3-CBC
keysize 192
comp-lzo
log /var/log/openvpn.log
status /var/log/openvpn-status.log
verb 3
tun-mtu 1500
tun-mtu-extra 32
Salve e saia.
<ESC> :wq <ENTER>
Reinicie o openvpn:
# /etc/init.d/openvpn restart
Windows
Baixe e instale o cliente para Windows: openvpn-2.0.9-install.exe (link para baixar a última versão - fevereiro de 2009)Depois de fazer o download, instale o programa.
Após a instalação copie os certificados para c:\Arquivos de Programas\OpenVPN\config\.
Finalmente crie o arquivo de configuração na mesma pasta em que você colocou os certificados (detalhe: este arquivo tem que ter a extensão .ovpn).
Abra o notepad e adicione as informações abaixo de acordo com o seu servidor:
client
dev tun
proto tcp-client
remote <IP SERVER> 1194
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert <nome-certificado>.crt
key <nome-certificado>.key
ns-cert-type server
cipher DES-EDE3-CBC
keysize 192
comp-lzo
verb 3
tun-mtu 1500
tun-mtu-extra 32
dev tun
proto tcp-client
remote <IP SERVER> 1194
persist-key
persist-tun
mute-replay-warnings
ca ca.crt
cert <nome-certificado>.crt
key <nome-certificado>.key
ns-cert-type server
cipher DES-EDE3-CBC
keysize 192
comp-lzo
verb 3
tun-mtu 1500
tun-mtu-extra 32
Depois salve na pasta c:\Arquivos de Programas\OpenVPN\config\ com a extensão .ovpn.
Para conectar clique com o botão direito no ícone vermelho que aparece no canto direito do monitor próximo ao relógio e clique em connect, o ícone ficará amarelo e quando a conexão estiver estabelecida o ícone ficará verde.
Páginas do artigo
1. Instalação do OpenVPN2. Configurando o servidor
3. Configurando o cliente (Linux/Windows)
4. Gerando novos certificados
5. Script para gerar certificados e enviar por email
Outros artigos deste autor
CBQ (Controlador de banda) no Conectiva 10
SUSE Linux - Squid autenticando no Active Directory (AD)
Instalando Postfix e Dovecot no SLES 11 e autenticando em um diretório da Novell (Edir)
Squid autenticando no Windows utilizando grupos do AD
Leitura recomendada
Fundamentos da criptografia assimétrica
Gerenciando logs do Linux pela WEB com o PHPSYSLOG-NG (parte 1)
Detectando possíveis trojans e lkms em seu servidor
Comentários
[1] Comentário enviado por czelusniak em 09/02/2009 - 18:00h
Pessoal peço desculpas mas faltou um detalhe, o script /usr/local/bin/criacertificado.sh deve ter os atributos para execução, chmod +x /usr/local/bin/criacertificado.sh
Pessoal peço desculpas mas faltou um detalhe, o script /usr/local/bin/criacertificado.sh deve ter os atributos para execução, chmod +x /usr/local/bin/criacertificado.sh
[2] Comentário enviado por fernandoborges em 09/02/2009 - 20:36h
Muito bom o artigo. Porém...
Não é recomendado o envio de certificados de acesso à VPN por um meio inseguro como o e-mail.
Saudações!
Muito bom o artigo. Porém...
Não é recomendado o envio de certificados de acesso à VPN por um meio inseguro como o e-mail.
Saudações!
[3] Comentário enviado por czelusniak em 09/02/2009 - 22:18h
Obrigado Fernando,
A idéia de receber por email é para que você receba em sua conta e repasse para a pessoa que vai utilizar eliminando o acesso por scp oou ftp para baixar os certificados, mas muito boa observação.
Obrigado Fernando,
A idéia de receber por email é para que você receba em sua conta e repasse para a pessoa que vai utilizar eliminando o acesso por scp oou ftp para baixar os certificados, mas muito boa observação.
[4] Comentário enviado por nariz em 10/02/2009 - 12:45h
opa.. belo artigo.
parabéns !!!
alguém pode me ajudar numa estrutura onde tenho matriz e filiais
tenho maquinas com linux na matriz e nas filias.. todas rodando OpenVPN
fazendo as regras do roteamento eu consigo das filiais pingar maquinas da rede da matriz... porém da matriz eu nao consigo ir até as maquinas das filiais... isso só acontece se eu implementar a VPN usando certificados...se eu uso chaves estáticas isso não acontece.
alguém sabe o que pode seR ?
opa.. belo artigo.
parabéns !!!
alguém pode me ajudar numa estrutura onde tenho matriz e filiais
tenho maquinas com linux na matriz e nas filias.. todas rodando OpenVPN
fazendo as regras do roteamento eu consigo das filiais pingar maquinas da rede da matriz... porém da matriz eu nao consigo ir até as maquinas das filiais... isso só acontece se eu implementar a VPN usando certificados...se eu uso chaves estáticas isso não acontece.
alguém sabe o que pode seR ?
[5] Comentário enviado por fernandoborges em 10/02/2009 - 21:00h
Nariz,
Observe as configuracoes do ccd (client-config-dir), configure esta opcao corretamente no servidor, indicando o arquivo correspondente do certificado do cliente e neste as suas configuracoes de rede. Asssim o proprio OpenVPN fara o roteamento nos kerneis tanto do cliente quanto do servidor. Da uma pesquisada que vc vai conseguir, valew!
Nariz,
Observe as configuracoes do ccd (client-config-dir), configure esta opcao corretamente no servidor, indicando o arquivo correspondente do certificado do cliente e neste as suas configuracoes de rede. Asssim o proprio OpenVPN fara o roteamento nos kerneis tanto do cliente quanto do servidor. Da uma pesquisada que vc vai conseguir, valew!
[6] Comentário enviado por rudielle em 14/04/2010 - 10:21h
Bom dia amigo, estou com dúvida no seguinte. Na empresa em que trabalho, estou implementando vpn na matriz e nas filiais. a dúvida fica por conta desse arquivo de configuração. Tenho o seguinte cenário:
Matriz: a internet chega no roteador com ip fixo (201.26.75.xx), do roteador sai um cabo de rede pro meu servidor, que tem uma placa de rede apenas. Meu servidor tem o ip 192.168.1.100, mascara de rede 255.255.255.0, gateway 192.168.1.1 (que é o ip do meu roteador) e os dns 201.138.10.xx e 201.138.10.xx). Instalei o Suse Server 11.2.
Filial: a internet chega no roteador com ip dinamico, e de la sai cabo de rede pro terminal, a única coisa que muda é o ip da máquina que é 192.168.1.10. Nessa máquina é XP.
A dúvida é, nesse arquivo de configuração: o que eu preenche na linha server, nalinha push "route" e por ser xp os terminais, essa linha client-dir-conf nao terá que ser diferente?
port 1194
proto tcp-server
dev tun
ca /etc/easy-rsa/keys/ca.crt
cert /etc/easy-rsa/keys/<certificado server>.crt
key /etc/easy-rsa/keys/<certificado server>.key # This file should be kept secret
dh /etc/easy-rsa/keys/dh1024.pem
server <rede para a VPN> <Mascara de rede> # Aqui é definido a rede para a conexão VPN
ifconfig-pool-persist ipp.txt
push "route <rota da sua rede> <Mascara de rede>" # Aqui Adicione a rede da sua empresa ou a rede que sera acessada pela VPN
client-config-dir /etc/openvpn/clientconf
keepalive 10 120
cipher DES-EDE3-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
Bom dia amigo, estou com dúvida no seguinte. Na empresa em que trabalho, estou implementando vpn na matriz e nas filiais. a dúvida fica por conta desse arquivo de configuração. Tenho o seguinte cenário:
Matriz: a internet chega no roteador com ip fixo (201.26.75.xx), do roteador sai um cabo de rede pro meu servidor, que tem uma placa de rede apenas. Meu servidor tem o ip 192.168.1.100, mascara de rede 255.255.255.0, gateway 192.168.1.1 (que é o ip do meu roteador) e os dns 201.138.10.xx e 201.138.10.xx). Instalei o Suse Server 11.2.
Filial: a internet chega no roteador com ip dinamico, e de la sai cabo de rede pro terminal, a única coisa que muda é o ip da máquina que é 192.168.1.10. Nessa máquina é XP.
A dúvida é, nesse arquivo de configuração: o que eu preenche na linha server, nalinha push "route" e por ser xp os terminais, essa linha client-dir-conf nao terá que ser diferente?
port 1194
proto tcp-server
dev tun
ca /etc/easy-rsa/keys/ca.crt
cert /etc/easy-rsa/keys/<certificado server>.crt
key /etc/easy-rsa/keys/<certificado server>.key # This file should be kept secret
dh /etc/easy-rsa/keys/dh1024.pem
server <rede para a VPN> <Mascara de rede> # Aqui é definido a rede para a conexão VPN
ifconfig-pool-persist ipp.txt
push "route <rota da sua rede> <Mascara de rede>" # Aqui Adicione a rede da sua empresa ou a rede que sera acessada pela VPN
client-config-dir /etc/openvpn/clientconf
keepalive 10 120
cipher DES-EDE3-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
[7] Comentário enviado por czelusniak em 15/04/2010 - 00:12h
Boa noite Fernando,
Na linha push route você deve colocar "192.168.1.0 255.255.255.0" mas não vai funcionar neste modelo que você passou você tem que ter uma rede diferente na sua filial, Ex.: 192.168.0.0/24 , porque da forma que esta você vai conseguir acessar sua matriz pois toda vez que as máquinas da filial(192.168.1.xxx) tentarem acessar a matriz (192.168.1.xxx) o roteador da filial vai procurar nas tabelas de roteamento e vai tentar procurar o ip localmente pois a rede é a mesma.
Boa noite Fernando,
Na linha push route você deve colocar "192.168.1.0 255.255.255.0" mas não vai funcionar neste modelo que você passou você tem que ter uma rede diferente na sua filial, Ex.: 192.168.0.0/24 , porque da forma que esta você vai conseguir acessar sua matriz pois toda vez que as máquinas da filial(192.168.1.xxx) tentarem acessar a matriz (192.168.1.xxx) o roteador da filial vai procurar nas tabelas de roteamento e vai tentar procurar o ip localmente pois a rede é a mesma.
[8] Comentário enviado por rondinellepqd em 15/08/2012 - 16:32h
Amigo me tire uma duvida, tenho q criar todos os certificados caso coloque mais um cliente, ou somente a criacao do certificado do cliente já basta enviando para ele o ca.crt, cliente.crt e cliente.key?
é isso mesmo, ou vou ter que criar todos os certificados novamente e enviar para os clientes?
Amigo me tire uma duvida, tenho q criar todos os certificados caso coloque mais um cliente, ou somente a criacao do certificado do cliente já basta enviando para ele o ca.crt, cliente.crt e cliente.key?
é isso mesmo, ou vou ter que criar todos os certificados novamente e enviar para os clientes?
[9] Comentário enviado por rondinellepqd em 15/08/2012 - 16:51h
eu fui criar os certificados ta dando esse erro:
pkitool: Need a readable ca.crt and ca.key in /etc/easy-rsa/keys
Try pkitool --initca to build a root certificate/key.
pode me dizer o q fiz errado, digitei os comandos:
. ./vars
./clean-all
./build-key cliente000
???
eu fui criar os certificados ta dando esse erro:
pkitool: Need a readable ca.crt and ca.key in /etc/easy-rsa/keys
Try pkitool --initca to build a root certificate/key.
pode me dizer o q fiz errado, digitei os comandos:
. ./vars
./clean-all
./build-key cliente000
???
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
A produção de áudio e vídeo no Linux e as distribuições dedicadas a esse fim
Criptografando sua Home com Gocryptfs para tristeza do meliante
A Involução do Linux e as Lambanças Desnecessárias desde o seu Lançamento
O Journal no Linux para a guarda e consulta de logs do sistema
A evolução do Linux e as mudanças que se fazem necessárias desde o seu lançamento
Dicas
Cursor do mouse gigante no KDE Plasma
Integração do Flatpak e Flathub no Kubuntu (KDE Discover)
Habilitando suporte ao Flatpak e Flathub no Ubuntu
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 158.367 pts -
Fábio Berbert de Paula
2° lugar - 80.612 pts -
Buckminster
3° lugar - 45.646 pts -
Alberto Federman Neto.
4° lugar - 45.435 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 36.992 pts -
edps
6° lugar - 33.321 pts -
Sidnei Serra
7° lugar - 26.233 pts -
Mauricio Ferrari (LinuxProativo)
8° lugar - 25.902 pts -
Daniel Lara Souza
9° lugar - 23.942 pts -
Andre (pinduvoz)
10° lugar - 22.979 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
