OpenVPN - Instalação e configuração

a.mendesaguiar

Este artigo demonstra como podemos fechar uma VPN Site-to-Site entre 2 redes. Todas as configurações utilizadas foram feitas em ambiente de teste e produção.

[ Hits: 116.772 ]

Por: Adriano em 20/03/2009 | Blog: http://www.mendes-it.com.br

2 0
Denuncie   Favoritos   Indicar   Impressora

Criando as rotas e liberando portas na matriz e filial



Criando as rotas

Para adicionar a rota com destino a rede da filial, execute de dentro do servidor da matriz o seguinte comando:

# ip route add 10.2.40.0/24 dev tun0 via 10.2.60.2

Para adicionar a rota com destino a rede da matriz, execute de dentro do servidor da filial o seguinte comando:

# ip route add 10.2.30.0/24 dev tun0 via 10.2.60.1

Bom, agora é só testar. Tente pingar de dentro de uma máquina da LAN da matriz com destino a LAN da filial. Vale lembrar também que temos que colocar toda a sequência de comandos acima no rc.local de sua distro, para que a mesma carregue as configurações ao iniciar o sistema operacional.

Librando porta 5000 e 1194 UDP matriz

Na sua regra de iptables no servidor matriz você de adicionar estas regras para permitir o tráfego UDP na porta 5000:

Obs.: Você deve autorizar apenas o IP do servidor filial.

#########################################

FILIAL=200.201.202.203

###Liberando porta 5000

##########################################################
############### Liberando acesso OPENVPN ####################
###########################################################
echo ""
echo "$COLOR[44;37m Liberando Acesso OPENVPN$COLOR[0m"
echo ""

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A OUTPUT -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --sport 1194 -j ACCEPT

iptables -A INPUT -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --sport 1194 -j ACCEPT

iptables -A OUTPUT -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --sport 1194 -j ACCEPT

Liberando porta 5000 e 1194 UDP filial

Está regra vai no servidor filial, liberando apenas o IP do servidor matriz:

MATRIZ=200.201.202.200

###Liberando porta 5000 e 1194 UDP

##########################################################
############### Liberando acesso OPENVPN ####################
###########################################################
echo ""
echo "$COLOR[44;37m Liberando Acesso OPENVPN$COLOR[0m"
echo ""

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A OUTPUT -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --sport 1194 -j ACCEPT

iptables -A INPUT -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --sport 1194 -j ACCEPT

iptables -A OUTPUT -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --sport 1194 -j ACCEPT

Página anterior     Próxima página

Páginas do artigo
   1. Download e instalação
   2. Configurando a matriz
   3. Iniciando o serviço
   4. Configurando a filial
   5. Iniciando o serviço - filial
   6. Criando as rotas e liberando portas na matriz e filial
   7. Verificando o LOG
Outros artigos deste autor

Squid autenticado - Instalar e configurar

Squid como proxy transparente: Instalando e configurando

DNS Cache no Bind9

Leitura recomendada

Incrementando seu Firewall com o Layer 7 Filter

Iptables em modo gráfico

Monitorando e bloqueando P2P com IPTABLES e IPP2P

Um poderoso firewall para a sua rede wireless com IP x MAC

Port Scan Attack Detector (PSAD) com iptables

  
Comentários
[1] Comentário enviado por POTIGUAR em 21/03/2009 - 21:22h

Muito bom!

Utilizo o openVPN em alguns clientes p/ interligar matriz-filial e é muito show! gostei bastante da sua dica do roteamento automático, eu ja tinha notado que quando reiniciava o openvpn ele perdia as rotas e depois eu executava um script p/ refazer a rota novamente! com sua dica não vou mais precisar!

Parabéns!

[2] Comentário enviado por removido em 24/03/2009 - 20:30h

Muito Show - D+

Abraco!

[3] Comentário enviado por gostt em 03/09/2009 - 11:07h

Muito bom, prabens!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Flatpak: remover runtimes não usados e pacotes

Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

Como deixar as abas do Firefox mais fininhas

Tópicos

Wifi não funciona no Aspire ES 15 com o Debian (11)

Teclado não funciona no Debian (1)

Como atualizar o Debian 8 para o 10 (10)

Dica sobre iptables ACCEPT e DROP (6)

NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: