VPN (filial) autenticando e usando o proxy do servidor de VPN (matriz)

Esse artigo mostra como configurar a VPN (filial) para que use autenticação e proxy da da VPN (matriz). Com esse sistema a filial só sairá pela internet pelo link da matriz, não sendo possível acessar o internet sem usar o proxy.

[ Hits: 57.837 ]

Por: Rafael Tomelin em 24/08/2006 | Blog: http://teclinux.no-ip.org:8080


Configurando o servidor VPN da matriz



Servidor (matriz)


Vamos denominar o gateway que tem o IP interno 10.1.0.1 de matriz e o 192.168.0.1 de filial (servidor filial).

# openvpn --genkey --secret key
# vim /etc/openvpn/matriz.conf


remote 200.20.10.1
dev tun
ifconfig 172.16.1.1 172.16.1.2
up /etc/openvpn/up.sh
down /etc/openvpn/down.sh
secret /etc/openvpn/key

# ativa compressão LZO - se desejável. Precisa instalar o pacote LZO
comp-lzo

# Envia um ping a cada 15 segundos
ping 15
port 5002

# Usuários e grupo que devem rodar o processo openvpn
user nobody
group nobody

O conteúdo dos arquivos up.sh e down.sh serão mostrados abaixo.

# vim /etc/openvpn/up.sh

#!/bin/sh
export PATH="/usr/bin:/usr/sbin:/sbin:/usr/local/bin:/usr/local/sbin"

# Definindo variáveis
EXT_IF="eth0"

# Adicionando rotas
route add -net 192.168.0.0/24 gw 172.16.1.2

# criando CHAIN
iptables -N VPN
iptables -A VPN -i tun+ -j ACCEPT
iptables -A VPN -o tun+ -j ACCEPT
iptables -A VPN -I $EXT_IF -p udp -s 200.20.10.1 -j ACCEPT

# Adicionando jumpus a CHAIN
iptables -I INPUT -j VPN
iptables -I FORWARD -j VPN
iptables -I OUTPUT -j VPN

# vim /etc/openvpn/down.sh

#!/bin/sh
export PATH="/usr/bin:/usr/sbin:/sbin:/usr/local/bin:/usr/local/sbin"

# Removendo entrada da tabela de roteamento
route del -net 192.168.0.0/24 ge 172.16.1.2

# Removendo jumps para chain vpn
for x in INPUT FORWARD OUTPUT; do
iptables -D $x 1
done

# limpando e removendo a Chain vpn
iptables -F VPN
iptables -X VPN
Página anterior     Próxima página

Páginas do artigo
   1. Configuração inicial
   2. Configurando o servidor VPN da matriz
   3. Configurando o servidor VPN da FILIAL
   4. Configurações finais
Outros artigos deste autor

Segurança SSH com DenyHosts

Leitura recomendada

Laconica - Twitter? Open source? Sim! Eis nosso microbloging de código aberto

Instalar, configurar e navegar com softmodem no Slackware

Transferindo arquivos com o rsync

Como verificar conexões abertas no Linux

Como fazer NAT com cable modem

  
Comentários
[1] Comentário enviado por removido em 25/08/2006 - 10:52h

Para que autenticar na matriz ? vai congestionar a VPN a nao ser q o link seja de fibra optica. rs. ja q tem linux nas duas pontas faz autenticaçao local na filial tb.

[2] Comentário enviado por c.rafael em 25/08/2006 - 13:50h

Olá NETUNIX,

Isso se for uma empresa pequena que tenha filial ou uma empresa que tenha uma filial pequena.

Tenho essa estrutura sendo que na filial tem apenas 3 micros. Não irei colocar lah um proxy só para eles. E alem disso tenho um sistema de cartão ponto que faço o backup todos os dias da filial.

Tenho um link de 400K tanto na matriz quanto na filial só para vpn, alem de um outro link de 1MB da matriz que é para acesso a internet. Esse link de 400K funciona perfeito, sendo que na matriz o link de 400k é ip fixo e na filial até um tempo atras não era, mas agora estamos com ip fixo por ser o mesmo valor.

Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo), tem que ter um script que apenas conferi se o usuário está autenticado ou não.

[3] Comentário enviado por wrlima em 27/08/2006 - 02:14h

Caro Raphael,

O artigo esta ótimo, porem faltou você informar sobre o pacote lzo, na hora da compilação citada acima dara um erro informando sobre as libs do LZO.

E nao esqueça do grupo nobody

Abs,

[4] Comentário enviado por removido em 27/08/2006 - 02:26h

OK.
Valeu lembrar entao que para se fazer essa estrutura requer bastante banda disponivel so para VPN. Temo pelos usuarios que leem o artigo e ja saem instalando suas VPNs sem saber o basico.
Abraços

[5] Comentário enviado por jmhenrique em 10/09/2006 - 08:16h

Concordo, netunix. Aqui, por exemplo, saiu bem mais em conta contratar links adsl somente para fluxo de internet nas filiais que utilizar a vpn com a matriz, que somente é utilizada para sistemas internos, e gerenciar cada proxy de cada filial independentemente.
(mais de 40 micros em cada... inviável fazer acesso a internet por vpn).
Mas para um ou dois micrinhos, sem muito acesso a internet e sem sistemas muito criticos, e com usuários comportados, porque não? :D

[6] Comentário enviado por antonioleite em 26/08/2007 - 17:59h

Amigos ja procurei por diversos artigos e livros e nada é o seguinte: Quando eu executo o ifconfig tun0 da o seguinte erro: TUN0: ERRO obtendo informações da interface: %s dispositivo não encontrado.
Só que eu ja reinstalei o Debian etch umas 1000 vezes e carrego o TUN "modprobe tun" o mesmo esta presente quando dou lsmod e sempre paro ai. Pergunto o que estou fazendo de errado se segui todos os passos acima, eu preciso estar com o outro computador conectado na filial para o TUN subir? Uma ajudinha por favor... Obrigado

[7] Comentário enviado por mauricio.galindo em 28/09/2007 - 14:16h

Olá gostaria de uma ajuda querio conectar meu servidor via VPN em outro servidor VPN.... aguardando resposta obrigado pessoal.

[8] Comentário enviado por edivaldocaj em 14/12/2007 - 17:03h

muito boa

[9] Comentário enviado por celsopimentel em 21/01/2009 - 22:20h

Rafael, você comentou que "Pode ainda fzer uma regra para apenas se autenticar na matriz e usar a internet na filial (link da filial mesmo)"
Gostaria de mais informações desta opção, de usar a VPN para autenticar no proxy filtrar pelas políticas da Matriz, mas sair para a internet com o link da própria filial. Isso é possivel mesmo, e viável? Se mais colegas puderem me ajudar fico grato. Um grande abraço a todos.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts