Escolar Documentos
Profissional Documentos
Cultura Documentos
OpenVPN
Objetivos
Entender como funciona uma VPN
Configurar uma VPN host to host
O que uma VPN?
VPN Virtual Private Network, uma rede de comunicao particular, geralmente utilizando
canais de comunicao inseguros, como a prpria LAN ou mesmo a Internet. O que torna esta
rede de comunicao particular o fato das ferramentas de VPN empregarem mtodos e
protocolos de criptografia, criando um tnel de criptografia para prover acesso seguro a partes
da rede ou mesmo ligao entre LAN's geograficamente separadas, eliminando a necessidade
de um canal de comunicao privativo de alto custo fornecido pela operadora de
telecomunicaes.
Tambm podemos utilizar uma ferramenta de VPN para implementar ou reforar a segurana
de acesso h algum servio dentro de nossa rede. Voc possui um software de gerao de
notas fiscais, e os funcionrios acessam este terminal via telnet, que um protocolo que no
implementa criptografia.
Para corrigir esta situao e reforar a segurana deste ambiente, voc poderia configurar uma
VPN entre o computador dos usurios e o servidor, melhorando assim a segurana deste
servio.
Por que usar o OpenVPN?
- Simplicidade na configurao;
- Flexvel;
- Muito seguro;
- Possui verses para Linux e Windows, possvel criar tneis entre duas mquinas usando
esses sistemas;
Iremos configurar uma VPN host-to-host.
Ns trabalharemos neste laboratrio com um par de chaves simtricas, ou seja, usaremos a
mesma chave tanto para o servidor VPN quanto para o cliente VPN, logo, a chave deve ser
gerada no servidor e replicada para o cliente via SSH.
# modprobe tun
# echo "tun" >> /etc/modules
Cenrio:
Ips do servidor:
IP remoto: 192.168.1.1 (isso s para testes em uma rede local, o normal usar um endereo
vlido na internet)
IP (interface virtual da VPN): 10.0.0.1
Ips da mquina cliente:
IP remoto: 192.168.1.2 (isso s para testes em uma rede local, o normal usar um endereo
vlido na internet)
IP (interface virtual da VPN): 10.0.0.2
Testando a conexo entre duas mquinas sem encriptao:
Faa na mquina cliente:
# openvpn --remote 192.168.1.1 --dev tun0 --ifconfig 10.0.0.2 10.0.0.1
Esse comando vai gerar um arquivo chamado "chave" em /etc/openvpn, que contm a chave
de encriptao que ser usada para criar a conexo.
"chave" um arquivo de texto simples, que contm uma chave de 2048 bits.
Esse arquivo dever ser copiado para o diretrio /etc/openvpn do cliente.
seguro enviar essa chave ao cliente por e-mail?
No! O e-mail no um meio seguro.
Quais alternativas ento para enviar isso para a mquina cliente?
- sftp;
- scp;
- pendrive, hd externo etc;
# cd /etc/openvpn
# sftp root@192.168.1.1
Digite a senha!
sftp > cd /etc/openvpn
sftp > get chave
sftp > quit
# vim /etc/openvpn/server.conf
# Configurao para servidor
dev tun
# Server -> 10.0.0.1
# Client -> 10.0.0.2
# Definindo os IP's da VPN
ifconfig 10.0.0.1 10.0.0.2
# Definido a chave
secret /etc/openvpn/chave
# Definindo a porta
port 5000
comp-lzo
verb 4
# ping 10.0.0.1
# ping 10.0.0.2