OpenVPN

Nesta aula inicialmente utilizaremos as seguintes máquinas de nosso

laboratório:

- Gateway
- Intranet
- Datacenter
- Storage
- Samba
- Cliente Interno
- Cliente Externo
Proxy SQUID
 OpenVPN
Um servidor proxy atua como um filtro para WEB. Em servidores que
façam acesso a internet, provê, eles funcionam como um cache de
conteúdo, bloqueando sites e autenticador de acesso.

O principal servidor para cache proxy para Linux é o SQUID.

A instalação deste serviço é muito simples e está disponível para todas as

versões de Linux.

Sua instalação pode ser efetuada de forma automatizada com os

comando de instalação de pacote ou a partir de seu código fonte.
 OpenVPN
A configuração do proxy de cache como já falamos é muito simples. Basta
editar o seu arquivo de configuração, squid.conf.

Seguem abaixo algumas opções importantes para o funcionamento inicial

do squid:

- http_port – Define a porta utilizada pelo squid.

- Cache_mgr – O email do administrador do squid.
- Cache_effective_use – O usuário sob o qual o daemon squid será
executado.
- Cache_effective_group – O grupo sob o qual o daemon squid será
executado.
 OpenVPN
Vamos logar como root diretamente na máquina Gateway
# ssh –p 52001 gateway

Subir a root
# su

Buscar o pacote para instalação do openvpn

# yum search openvpn

Executar a instalação do pacote openvpn

# yum –y install openvpn
 OpenVPN
Após a instalação vamos entrar no diretório em etc
# cd /etc/openvpn

Consultar conteúdo do diretório

# ls

Para iniciar a configuração do nosso cenário vamos instalar o pacote

necessário para a criptografia da comunicação
# yum install easy-rsa
Consular local de instalação do pacote esy-rsa
# whereis easy-rsa
 OpenVPN
Para iniciar nossa configuração devemos iniciar o easy-rsa
# /usr/share/easy-rsa/3/easyrsa init-pki

Consultar conteúdo do diretório /etc/openvpn

# ls /etc/openvpn

Habilitar nosso servidor como uma Autoridade certificadora, será

responsável por emitir certificados
# /usr/share/easy-rsa/3/easyrsa build-ca nopass
Na pergunta que surgir durante a criação devemos coloca o nome
do host
# gateway.asf.com
 OpenVPN
Consultar conteúdo do diretório /etc/openvpn/pki
# ls /etc/openvpn/pki

Gerar o certificado assimétrico Diffie-Helman

# /usr/share/easy-rsa/3/easyrsa gen-dh

Consultar conteúdo do diretório /etc/openvpn/pki

# ls /etc/openvpn/pki
Gerar o certificado de conexão do servidor
# /usr/share/easy-rsa/3/easyrsa build-server-full vpn-server nopass
 OpenVPN
Consultar conteúdo do diretório /etc/openvpn/pki
# ls /etc/openvpn/pki

Gerar o certificado de conexão do cliente

# /usr/share/easy-rsa/3/easyrsa build-client-full vpn-client-01
nopass
Consultar conteúdo do diretório /etc/openvpn/pki/issued
# ls /etc/openvpn/pki/issued
Gerar o certificado de revogação de certificado
# /usr/share/easy-rsa/3/easyrsa gen-crl
 OpenVPN
Gerar chave do servidor
# openvpn –genkey –secret pki/ta.key

Criar pasta Keys dentro do diretório /etc/openvpn

# mkdir /etc/openvpn/keys
Copiar os arquivos que criamos do servidor para dentro da pasta
keys
# cp –a /etc/openvpn/pki/ca.crt /etc/openvpn/keys/
# cp –a /etc/openvpn/pki/dh.pem /etc/openvpn/keys/
# cp –a /etc/openvpn/pki/private/vpn-server.key
/etc/openvpn/keys/
# cp –a /etc/openvpn/pki/ta.key /etc/openvpn/keys/
# cp –a /etc/openvpn/pki/crl.pem /etc/openvpn/keys/
 OpenVPN
Consultar conteúdo pasta keys
# ls /etc/openvpn/keys

Copiar os arquivos que criamos do cliente para dentro da pasta

keys
# cp –a /etc/openvpn/pki/issued/vpn-cliente-01.crt
/etc/openvpn/keys/
# cp –a /etc/openvpn/pki/private/vpn-cliente-01.key
/etc/openvpn/keys/
Habilitar o openvpn para iniciar no boot do servidor
# systemctl –f enable openvpn
 OpenVPN
Criar o arquivo de configuração server.conf
# touch /etc/openvpn/server.conf
 OpenVPN
Continuação arquivo
 OpenVPN
Continuação arquivo
 OpenVPN
Criar pasta onde ficarão as informações do cliente
# mkdir /etc/openvpn/ccd

Consultar a criação da pasta

# ls /etc/openvpn/
Criar pasta de log do openvpn
# mkdir /var/log/openvpn
Iniciar o serviço openvpn
# systemctl start openvpn
 OpenVPN
Verificar se o serviço iniciou com sucesso
# systemctl status openvpn

Consultar o arquivo de log

# cat /var/log/openvpn/SERVER.log
Verificar o conteúdo da pasta keys
# ls /etc/openvpn/keys/
Modificar o conteúdo do arquivo server.conf
# vim /etc/openvpn/server.conf
 OpenVPN
Iniciar o serviço openvpn
# systemctl start openvpn

Consultar configuração de placas de rede

# ip addr sh
Acessar o arquivo de configuração do firewll
# vim /sbin/firewall.sh
Desabilitar a regra 8 da chain input
 OpenVPN
Habilitar o envio de logs para o node storage

Recarregar as configurações de firewall

# firewall.sh
Realizar a configuração dos arquivos do cliente
# cd /etc/openvpn/ccd
Criar o arquivo vpn-client-01
# vim vpn-client-01
 OpenVPN
Conteúdo arquivo vpn-client-01

Criar uma pasta para o cliente de de /etc/openvpn

# mkdir /etc/openvpn/client/vpn-client-01
Copiar os arquivos abaixo para dentro da pasta criada
# cp /etc/openvpn/keys/ca.crt /etc/openvpn/client/vpn-client-01
# cp /etc/openvpn/keys/vpn-client-01.* /etc/openvpn/client/vpn-
client-01
# cp /etc/openvpn/keys/ta.key /etc/openvpn/client/vpn-client-01
 OpenVPN
Configurar arquivo ovpn do cliente
# grep tls-cipher /etc/openvpn/server.conf >
/etc/openvpn/client/client.ovpn
 OpenVPN
Configurar arquivo ovpn do cliente - Continuação
 OpenVPN
Configurar arquivo ovpn do cliente - Continuação
 OpenVPN
Criar uma pasta para as chaves /etc/openvpn/client/vpn-client-01
# mkdir /etc/openvpn/client/vpn-client-01/keys
Mover as chaves e certificados para a pasta /etc/openvpn/client/vpn-
client-01
# mv /etc/openvpn/client/vpn-client-01/*.key
/etc/openvpn/client/vpn-client-01/keys
Criar um arquivo compactado com as configurações necessárias
para o cliente
# tar cvzf vpn-client-01.tar.gz /etc/openvpn/client/vpn-client-01
 OpenVPN
Instalar openvpn no cliente externo
# chattr –i /etc/resolv.conf
Modificar seu conteúdo
# vim /etc/resolv.conf

Retornar com a imutabilidade do arquivo

# chattr +i /etc/resolv.conf
 OpenVPN
Instalar openvpn no cliente externo
# yum install epel-release
# yum install openvpn
Reestabelecer as configurações originais
# vim /etc/resolv.conf

Retornar com a imutabilidade do arquivo

# chattr +i /etc/resolv.conf
 OpenVPN
Verificar configurações do cliente externo
 OpenVPN
Logar com o usuário analista
# analista LinuxForce01

Realizar teste de pin ao domínio asf.com

# ping asf.com
Testar resolução de nomes
# dig –t any asf.com
Acessar o node cliente interno e realizar teste de conexão a partir
do gateway
# nc –v 200.50.100.100 22
 OpenVPN
Enviar o arquivo tar criado anteriormente para o cliente externo
# scp /etc/openvpn/client/vpn-client-01/vpn-clirnt-02.tar.gz
root@200.50.100.100:/etc/openvpn/
Voltar ao cliente externo e verificar se arquivo foi copiado
# ls /etc/openvpn
Descompactar conteúdo do arquivo
# tar vpn-cliente-01.tar.gz
Verificar descompactação
# ls /etc/openvpn
 OpenVPN
Mover todo o conteúdo de vpn-cliente-01 para openvpn
# mv vpn-cliente-01/* /etc/openvpn

Remover pasta vpn-cliente-01

# rm –rf vpn-cliente-01
Iniciar o serviço openvpn
# service openvpn start
Habilitar inicio do serviço no boot
# chkconfig –add openvpn
# chkconfig –on openvpn
# chkconfig –list openvpn
 OpenVPN
Iniciar o serviço openvpn no cliente externo
# openvpn cliente-01.openvpn

Reinicializar o serviço openvpn

# systemctl restart openvpn@server.service
Verificar o status do serviço
# systemctl status openvpn@server.service
Visualizar o log do serviço
# tail –f /var/log/openvpn/SERVER.log
 OpenVPN
Iniciar o serviço openvpn no cliente externo
# openvpn cliente-01.openvpn

Consultar conexões de rede o dispositivo tun0

# ip addr sh tun0
Testar conectividade com a outra ponta do tunel
# ping 10.0.0.100
Por que não esta funcionando...
 OpenVPN
Liberar as seguintes linhas no firewall

Testar conectividade com a outra ponta do tunel

# ping 10.0.0.100
Agora sim!!!!!!!!!
 OpenVPN
Configurar o arquivo hosts do cliente externo

Testar o acesso a página da asf.com no firebird

# https://www.asf.com
Testar o acesso ao thunderbird
# Abrir thunderbird
 OpenVPN
Remover a conta do thunderbird

Reconfigurar acesso a conta no thunderbird

# Abrir thunderbird
 OpenVPN
Conta que será configurada

Reconfigurar acesso a conta no thunderbird

# Abrir thunderbird
 OpenVPN
Clicar em configuração manual

Reconfigurar acesso a conta no thunderbird

# Abrir thunderbird
 OpenVPN
Realizar as seguintes configurações

Reconfigurar acesso a conta no thunderbird

# Abrir thunderbird
 OpenVPN
Aceitar a mensagem seguinte

Reconfigurar acesso a conta no thunderbird

# Abrir thunderbird
 OpenVPN
Acessar o firewall para realizar configuração de acesso a aplicação
da ASF
# vim /sbin/firewall.sh
Criar a variável EXP

Criar variáveis SVP e CVP

 OpenVPN
Permitir o INPUT do TUN0

Liberar ip para conexão com o VPN

Liberar OUTPUT do TUN0

 OpenVPN
Permitir FORWARDING entre VPN e LAN

Regra NAT
 OpenVPN
Recarregar configuração do firewall
# /sbin/firewall.sh
Acessar a máquina cliente externo e acessar o endereço da
aplicação express
# http://express.asf.com/
Parabéns sua VPN já esta funcionando completamente.
 OpenVPN
Atenção para as seguintes configurações no cliente externo.
 OpenVPN
Atenção para as seguintes configurações no cliente externo.
 OpenVPN
Atenção para as seguintes configurações no cliente externo.
 OpenVPN
Atenção para as seguintes configurações no cliente externo.