« Active Directory: Configurando pasta pessoal dos usuários

OpenVPN – Servidor Ubuntu e Clientes Windows e Linux

10 meses atrás

por Nerd em Linux, Tutoriais, Windows

Sem votos

Loading ...

Compartilhar / Favoritos

O OpenVPN é uma ferramenta extremamente poderosa para permitir o acesso seguro à rede de sua empresa ou residência.

Você pode utilizá-lo para permitir que os funcionários da empresa trabalhem de casa ou de qualquer lugar com acesso a Internet, de forma segura e transparente.

Outro uso bastante comum é permitir a conexão de filiais à matriz da empresa, de forma a permitir o acesso das filiais aos arquivos e serviços disponibilizados pela matriz. Muitas empresas utilizam links dedicados justamente para fazer isso. Uma opção é, além de utilizar o link dedicado, usar um link ADSL como redundância e só conectar a VPN - pelo link ADSL - quando o link principal apresentar algum problema.

Este tutorial irá ensiná-lo a instalar e configurar um servidor OpenVPN no sistema operacional Ubuntu 12.04 LTS ou superior e também como configurar clientes Windows e Linux para acessar o servidor de VPN.

A topologia que estamos interessados esta ilustrada na figura abaixo, com um computador ligado à Internet e conectado à rede da empresa através da VPN, de forma que esse computador opere como se estivesse fisicamente conectado na rede da matriz.

Para a conexão OpenVPN é necessário a criação de chaves criptográficas, um par de chaves (pública e privada) para cada cliente, onde a chave pública fica no servidor de OpenVPN e a chave privada fica de posse do cliente. Para isso iremos criar nossa própria Autoridade Certificadora (CA).

Em outro tutorial irei ensinar como utilizar um certificado digital emitido por uma Autoridade Certificadora pública como Certisign, Verisign, Caixa Econômica Federal ou outra.

Você não precisa se preocupar em entender a fundo a questão da criptografia, mas se tiver interesse no tema, um bom começo é a Cartilha de Segurança disponibilizada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.

Pré-Requisitos

O OpenVPN está disponível em duas versões: Access Server e Community. A versão Access Server necessita de uma licença paga para funcionar. Já a versão Community é gratuita e não oferece suporte. Este tutorial está focado na versão gratuita Community.

Você precisará:

Servidor com Ubuntu 10.04/12.04 LTS ou superior (x86 ou amd64). Você pode utilizar a distribuição linux de sua preferência, inclusive utilizar um servidor Windows se desejar, pois o OpenVPN é muito versátil, porém, terá que fazer as adaptações necessárias para seu ambiente. Este tutorial vai focar na instalação do OpenVPN server no Ubuntu 12.04 LTS amd64. Este servidor pode ser - e é até recomendável que seja - o seu firewall.
Cliente com Windows XP, Vista, 7, ou superior instalado. O cliente também pode ser uma estação Linux. Este tutorial irá tratar dos passos necessário para instalar e configurar o cliente da VPN em um computador executando WIndows.
Endereço IP da rede VPN a ser criada. Você pode definir a rede que julgar mais apropriada, porém é bom que esta rede seja diferente da rede dos usuários. As redes mais comuns de uso doméstico são 192.168.0.0/24, 192.168.1.0/24 e 10.0.0.0/24. É melhor você escolher uma faixa diferente dessas, porém dentro da faixa de endereços privados. Neste tutorial vou usar o endereço da rede VPN como sendo 10.15.0.0/24. Você pode usar outra máscara de sub-rede, de acordo com suas necessidades. Optei pela máscara 24 (255.255.255.0) por ser uma das mais usuais.
Definir qual a porta e protocolo (UDP ou TCP) a ser utilizado para a conexão VPN. A porta e protocolos padrão para o OpenVPN são 1194 e UDP. Neste tutorial irei utilizar esta porta e protocolo. Recomendo que o protocolo utilizado seja UDP, pois encapsular uma conexão TCP dentro de outra TCP pode trazer alguns problemas de desempenho devido aos algoritmos de retransmissão de pacotes e de janelas deslizantes do TCP. Vai funcionar, porém você poderá experimentar algum tipo de lentidão.
Definir o tipo de interface a ser utilizada TUN ou TAP. A interface mais comum é a TUN, que opera em camada 3 do modelo OSI em modo roteamento. A Interface TAP trabalho em camada 2 do modelo OSI e é utilizada para modo bridge. Neste tutorial iremos usar modo roteamento com interface TUN.
IP público de seu roteador de Internet. Se você não possui um IP fixo, pode utilizar algum serviço de DNS dinâmico para manter seu IP atualizado e permitir a conexão VPN. O que costumo usar é o No-IP.
Regra de redirecionamento (NAT) em seu roteador Internet, encaminhando os pacotes destinados ao IP público de seu roteador na porta 1194 e protocolo UDP para o IP interno de seu servidor OpenVPN. A forma de fazer o NAT difere de roteador para roteador. Você pode pesquisar no Google por "como abrir portas" para o modelo de seu roteador. Se o seu servidor OpenVPN já estiver usando um IP público então esse NAT não é necessário.
OpenVPN Community Windows - Cliente Windows com interface gráfica para o OpenVPN. Você pode obtê-lo aqui.
A versão server do OpenVPN Community será obtida via apt-get no Ubuntu. Você pode obter o instalador ou código fonte para outras distribuições na página do OpenVPN Community.
Privilégios administrativos no servidor Linux e no cliente Windows, permitindo a instalação de softwares e configuração dos equipamentos.

Resumo

São esses os passos que iremos seguir:

Instalação do Servidor OpenVpn e Criação da CA Local
Criação do Certificado do Servidor
Configuração do Servidor OpenVPN
Regras de Firewall
Criando Certificados para Clientes
Instalando e configurando o OpenVPN nos Clientes
Revogando Certificados de Clientes
Informações Adicionais

Tutorial

Depois de conferido todos os pré-requisitos, vamos por a mão na massa.

1. Instalação do Servidor OpenVPN e Criação da CA Local

Para instalar o OpenVPN no Ubuntu execute:

apt-get install openvpn

Após a instalação, copie os arquivos de exemplo de configuração da pasta /usr/share/doc/openvpn/examples/easy-rsa/2.0/ para a pasta /etc/openvpn.

cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn

Renomeie ou crie uma cópia do arquivo /etc/openvpn/openssl-1.0.0.cnf para /etc/openvpn/openssl.cnf.

cp /etc/openvpn/openssl-1.0.0.cnf /etc/openvpn/openssl.cnf

Edite o arquivo /etc/openvpn/vars ajustando as últimas linhas iniciadas por KEY para refletir o seu ambiente.

É interessante, porém não obrigatório, que o parâmetro KEY_CN tenha o mesmo valor que o hostname do servidor OpenVPN.

Se existir, remova as últimas linhas referentes as chaves PKCS11_MODULE_PATH e PKCS11_PIN. Se existir uma chave duplicada KEY_EMAIL, remova-a também.

O tempo padrão para a expiração do certificado da CA e das chaves a serem geradas é de 10 anos (3650 dias). Se preferir altere estes valores editando os parâmetros CA_EXPIRE e KEY_EXPIRE.

O tamanho da chave de criptografia está definido como 1024 bits. Se quiser mudar este valor edite o parâmetro KEY_SIZE.O conteúdo de meu /etc/openvpn/vars segue abaixo:

# easy-rsa parameter settings
# NOTE: If you installed from an RPM,
# don't edit this file in place in
# /usr/share/openvpn/easy-rsa --
# instead, you should copy the whole
# easy-rsa directory to another location
# (such as /etc/openvpn) so that your
# edits will not be wiped out by a future
# OpenVPN package upgrade.

# This variable should point to
# the top level of the easy-rsa
# tree.
export EASY_RSA="`pwd`"

#
# This variable should point to
# the requested executables
#
export OPENSSL="openssl"
export PKCS11TOOL="pkcs11-tool"
export GREP="grep"

# This variable should point to
# the openssl.cnf file included
# with easy-rsa.
export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

# Edit this variable to point to
# your soon-to-be-created key
# directory.
#
# WARNING: clean-all will do
# a rm -rf on this directory
# so make sure you define
# it correctly!
export KEY_DIR="$EASY_RSA/keys"

# Issue rm -rf warning
echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

# PKCS11 fixes
export PKCS11_MODULE_PATH="dummy"
export PKCS11_PIN="dummy"

# Increase this to 2048 if you
# are paranoid.  This will slow
# down TLS negotiation performance
# as well as the one-time DH parms
# generation process.
export KEY_SIZE=1024

# In how many days should the root CA key expire?
export CA_EXPIRE=3650

# In how many days should certificates expire?
export KEY_EXPIRE=3650

# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="BR"
export KEY_PROVINCE="SP"
export KEY_CITY="São Paulo"
export KEY_ORG="Blog do Nerd"
export KEY_EMAIL="nerd@blogdonerd.email.com"
export KEY_CN="openvpn"
export KEY_NAME="Blog do Nerd CA"
export KEY_OU="Divisão de TI"

Agora execute os comandos abaixo:

source /etc/openvpn/vars
/etc/openvpn/clean-all
/etc/openvpn/build-ca
/etc/openvpn/build-dh

Confirme os valores solicitados pelo build-ca, que serão os mesmos definidos no arquivo /etc/openvpn/vars.

A saída dos comandos será semelhante a abaixo:

root@openvpn:/etc/openvpn# source /etc/openvpn/vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys
root@openvpn:/etc/openvpn# /etc/openvpn/clean-all
root@openvpn:/etc/openvpn# /etc/openvpn/build-ca
Generating a 1024 bit RSA private key
...........++++++
............++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [BR]:
State or Province Name (full name) [SP]:
Locality Name (eg, city) [São Paulo]:
Organization Name (eg, company) [Blog do Nerd]:
Organizational Unit Name (eg, section) [Divisão de TI]:
Common Name (eg, your name or your server's hostname) [openvpn]:
Name [Blog do Nerd CA]:
Email Address [nerd@blogdonerd.email.com]:
root@openvpn:/etc/openvpn# /etc/openvpn/build-dh
Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
...............+.........................+..................................
.................................+..........................................
.......+....................................................................
....................+............................................+..........
+............+..............................................................
................................+.................................+.........
..................+......................+...........+.....+................
............................................................................
+....................................+................+.....+...............
.............................+............................................+.
......................+.............+..+....................................
................+...................................................+......+
.......+..............................+.....................................
..................................................+.++*++*++*
root@openvpn:/etc/openvpn#

A pasta /etc/openvpn/keys será gerada e dentro dela, 5 arquivos referentes a nova CA criada:

ca.crt - Certificado Público de sua CA.
ca.key - Chave Privada de sua CA.
dh1024.pem - Parâmetros do Diffie-Hellman.
index.txt - Controle das chaves geradas pela nova CA.
serial - Controle de número serial das chaves geradas pela nova CA.

2. Criação do Certificado do Servidor

É necessário a geração de um certificado para o servidor OpenVPN.

Para fazer isso execute:

/etc/openvpn/build-key-server server

Você pode substituir a palavra server por outra que desejar, só que se fizer isso, lembre-se de fazer os devidos ajustes no arquivo /etc/openvpn/server.conf que será configurado no próximo passo.

A saída do comando será semelhante a abaixo.

Ajuste o parâmetro Name para o nome que julgar mais apropriado para seu servidor.

Recomendo não atribuir um challenge password.

Confirme a assinatura e a atualização do certificado com a tecla 'y'.

root@openvpn:/etc/openvpn# /etc/openvpn/build-key-server server
Generating a 1024 bit RSA private key
...............++++++
..++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [BR]:
State or Province Name (full name) [SP]:
Locality Name (eg, city) [São Paulo]:
Organization Name (eg, company) [Blog do Nerd]:
Organizational Unit Name (eg, section) [Divisão de TI]:
Common Name (eg, your name or your server's hostname) [server]:
Name [Blog do Nerd CA]:Blog do Nerd - OpenVPN Server
Email Address [nerd@blogdonerd.email.com]:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           : PRINTABLE:'BR'
stateOrProvinceName   : PRINTABLE:'SP'
localityName          : T61STRING:'Sao Paulo'
organizationName      : PRINTABLE:'Blog do Nerd'
organizationalUnitName: T61STRING:'Divisao de TI'
commonName            : PRINTABLE:'server'
name                  : PRINTABLE:'Blog do Nerd - OpenVPN Server'
emailAddress          : IA5STRING:'nerd@blogdonerd.email.com'
Certificate is to be certified until Jun 18 18:57:10 2022 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@openvpn:/etc/openvpn#

Dois arquivos serão gerados na pasta /etc/openvpn/keys:

server.crt - Certificado público do servidor OpenVPN.
server.key - Chave privada do servidor OpenVPN.

3. Configuração do Servidor OpenVPN

Gere uma chave TLS (opcional) para aumentar ainda mais a segurança da conexão VPN, permitindo a verificação de integridade de cada pacote TLS, digitando o seguinte comando:

openvpn --genkey --secret /etc/openvpn/keys/ta.key

A configuração do OpenVPN é realizada em qualquer arquivo que termine em .conf, localizado na pasta /etc/openvpn/. Neste tutorial iremos usar o arquivo /etc/openvpn/server.conf. Você pode alterar este arquivo para o nome que desejar, desde que ele termine em .conf. Você pode inclusive ter mais de um serviço OpenVPN ouvindo em outras portas, basta configurar outro arquivo .conf.

Crie um /etc/openvpn/server.conf vazio e preencha-o conforme segue.

Se preferir, você pode iniciar usando o arquivo de configuração de exemplo do OpenVPN, bastando para isso copiar e descomprimir o arquivo /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz para /etc/openvpn/server.conf:

zcat /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz &gt; /etc/openvpn/server.conf

Ajuste o arquivo /etc/openvpn/server.conf conforme abaixo, tomando o cuidado de alterar as linhas destacadas para refletir a realidade de seu ambiente.

A linha local 10.0.0.1 indica o IP local do servidor em que OpenVPN irá ouvir por novas conexões.
A configuração server 10.15.0.0 255.255.255.0 informa ao servidor OpenVPN que a rede VPN será 10.15.0.0/24. Altere para a rede que definiu durante a fase de pré-requisitos. O primeiro IP dessa rede será o IP do servidor OpenVPN.
Se desejar você pode ajustar a linha push "route 10.0.0.0 255.0.0.0" informando ao OpenVPN para adicionar uma rota na tabela de rotas dos clientes VPN no momento da conexão. Neste caso todo o tráfego para a rede 10.0.0.0/8 será redirecionado pela VPN. Você pode ser mais radical e direcionar todo o tráfego de rede pela VPN, incluindo o tráfego de Internet. Para fazer isso, substitua a linha push "route 10.0.0.0 255.0.0.0" por push "redirect-gateway def1".
As configurações push "dhcp-option" são opcionais e relativas aos parâmetros de DNS a serem informados para o computador cliente. Você pode informar os servidores de DNS locais da rede da sede para que os clientes possam resolver nomes de domínio e acessar os serviços internos com maior facilidade.

Muitos dos parâmetros são opcionais e o OpenVPN é extremamente versátil e se adapta a praticamente qualquer ambiente. Você pode verificar o manual do OpenVPN para explorar outras configurações.

O arquivo /etc/openvpn/server.conf sugerido é o seguinte:

######################################################################################
# OpenVPN 2.0 - Arquivo de configuração do servidor
######################################################################################

# Which local IP address should OpenVPN
# listen on? (optional)
local 10.0.0.1

# Which TCP/UDP port should OpenVPN listen on?
port 1194

# TCP or UDP server?
proto udp

# "dev tun" will create a routed IP tunnel,
# "dev tap" will create an ethernet tunnel.
dev tun0

# SSL/TLS root certificate (ca), certificate
# (cert), and private key (key).  Each client
# and the server must have their own cert and
# key file.  The server and all clients will
# use the same ca file.
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key  # This file should be kept secret

# Diffie hellman parameters.
dh /etc/openvpn/keys/dh1024.pem

# Configure server mode and supply a VPN subnet
# for OpenVPN to draw client addresses from.
server 10.15.0.0 255.255.255.0

# Maintain a record of client  virtual IP address
# associations in this file.  If OpenVPN goes down or
# is restarted, reconnecting clients can be assigned
# the same virtual IP address from the pool that was
# previously assigned.
ifconfig-pool-persist ipp.txt

# Push routes to the client to allow it
# to reach other private subnets behind
# the server.  Remember that these
# private subnets will also need
# to know to route the OpenVPN client
# address pool (10.8.0.0/255.255.255.0)
# back to the OpenVPN server.
push "route 10.0.0.0 255.0.0.0"

# Certain Windows-specific network settings
# can be pushed to clients, such as DNS
# or WINS server addresses.  CAVEAT:
# http://openvpn.net/faq.html#dhcpcaveats
push "dhcp-option DNS 10.0.0.10"
push "dhcp-option DNS 10.0.0.11"
push "dhcp-option DOMAIN blogdonerd.com.br"

# The keepalive directive causes ping-like
# messages to be sent back and forth over
# the link so that each side knows when
# the other side has gone down.
# Ping every 10 seconds, assume that remote
# peer is down if no ping received during
# a 120 second time period.
keepalive 10 120

# For extra security beyond that provided
# by SSL/TLS, create an "HMAC firewall"
# to help block DoS attacks and UDP port flooding.
tls-auth /etc/openvpn/keys/ta.key 0 # This file is secret

# Select a cryptographic cipher.
# This config item must be copied to
# the client config file as well.
cipher AES-128-CBC   # AES

# Enable compression on the VPN link.
# If you enable it here, you must also
# enable it in the client config file.
comp-lzo

# The maximum number of concurrently connected
# clients we want to allow.
max-clients 100

# It's a good idea to reduce the OpenVPN
# daemon's privileges after initialization.
user nobody
group nogroup

# The persist options will try to avoid
# accessing certain resources on restart
# that may no longer be accessible because
# of the privilege downgrade.
persist-key
persist-tun

# Output a short status file showing
# current connections, truncated
# and rewritten every minute.
status /var/log/openvpn/openvpn-status.log

# By default, log messages will go to the syslog (or
# on Windows, if running as a service, they will go to
# the "\Program Files\OpenVPN\log" directory).
log-append /var/log/openvpn/openvpn.log

# Set the appropriate level of log
# file verbosity.
verb 3

Crie a pasta /var/log/openvpn para manter os logs do OpenVPN:

mkdir /var/log/openvpn

Se desejar crie o arquivo /etc/logrotate.d/openvpn com o conteúdo a seguir para fazer uma rotação automática dos logs do OpenVPN:

/var/log/openvpn/*.log {
    daily
    rotate 365
    compress
    missingok
    create 0640 root adm
    missingok
    postrotate
        service openvpn reload
    endscript
}

Inicie o OpenVPN executando:

service openvpn start

Verifique se o serviço está em execução com o comando:

 service openvpn status

Se tudo ocorreu com sucesso, a saída será semelhante a seguinte:

root@openvpn:/etc/openvpn# service openvpn start
 * Starting virtual private network daemon(s)...
 *   Autostarting VPN 'server'
root@openvpn:/etc/openvpn# service openvpn status
 * VPN 'server' is running
root@openvpn:/etc/openvpn#

Se ocorreu algum problema, verifique o arquivo /var/log/openvpn.log:

root@openvpn:/etc/openvpn# cat /var/log/openvpn/openvpn.log
Wed Jun 20 16:16:40 2012 OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Wed Jun 20 16:16:40 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Wed Jun 20 16:16:40 2012 Diffie-Hellman initialized with 1024 bit key
Wed Jun 20 16:16:40 2012 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Wed Jun 20 16:16:40 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 20 16:16:40 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Jun 20 16:16:40 2012 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Wed Jun 20 16:16:40 2012 Socket Buffers: R=[229376-&gt;131072] S=[229376-&gt;131072]
Wed Jun 20 16:16:40 2012 ROUTE default_gateway=10.0.0.1
Wed Jun 20 16:16:40 2012 TUN/TAP device tun0 opened
Wed Jun 20 16:16:40 2012 TUN/TAP TX queue length set to 100
Wed Jun 20 16:16:40 2012 do_ifconfig, tt-&gt;ipv6=0, tt-&gt;did_ifconfig_ipv6_setup=0
Wed Jun 20 16:16:40 2012 /sbin/ifconfig tun0 10.15.0.1 pointopoint 10.15.0.2 mtu 1500
Wed Jun 20 16:16:40 2012 /sbin/route add -net 10.15.0.0 netmask 255.255.255.0 gw 10.15.0.2
Wed Jun 20 16:16:40 2012 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Jun 20 16:16:40 2012 GID set to nogroup
Wed Jun 20 16:16:40 2012 UID set to nobody
Wed Jun 20 16:16:40 2012 UDPv4 link local (bound): [AF_INET]10.9.0.172:1194
Wed Jun 20 16:16:40 2012 UDPv4 link remote: [undef]
Wed Jun 20 16:16:40 2012 MULTI: multi_init called, r=256 v=256
Wed Jun 20 16:16:40 2012 IFCONFIG POOL: base=10.15.0.4 size=62, ipv6=0
Wed Jun 20 16:16:40 2012 IFCONFIG POOL LIST
Wed Jun 20 16:16:40 2012 Initialization Sequence Completed

Uma nova interface de rede (tun0) será criada, conforme ilustra a execução do comando ifconfig abaixo.

root@openvpn:/etc/openvpn# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:50:56:be:46:45
          inet addr:10.0.0.1  Bcast:10.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:febe:4645/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:135820 errors:0 dropped:0 overruns:0 frame:0
          TX packets:58093 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:149189479 (149.1 MB)  TX bytes:5400632 (5.4 MB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1176 (1.1 KB)  TX bytes:1176 (1.1 KB)

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:10.15.0.1  P-t-P:10.15.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root@openvpn:/etc/openvpn#

O servidor já está no ar. Agora precisamos configurar regras de firewall, se necessário, criar as chaves para os clientes e configurá-los.

4. Regras de Firewall

Se seu servidor OpenVPN está configurado no mesmo equipamento que seu firewall, ou se a comunicação precisa atravessar por um firewall para chegar até o servidor OpenVPN, é importante configurar as regras adequadamente.

Não vou ensinar aqui a criar as regras para um ambiente específico, pois existe uma diversidade enorme de ferramentas para gerenciar regras de firewall e cada caso é um caso.

Vou tratar apenas de regras de uma forma genérica.

Vamos ao pontos importantes:

O primeiro IP definido no parâmetro server do /etc/openvpn/server.conf é o IP local do OpenVPN e o segundo IP é o endereço considerado remoto. No exemplo deste tutorial:
1. O endereço da rede é 10.15.0.0 com máscara 255.255.255.0.
2. O endereço 10.15.0.0 é o endereço da rede e, por definição, não pode ser atribuído a nenhum equipamento.
3. O IP 10.15.0.1 é o IP atribuído a interface tun0 local
4. O IP 10.15.0.2 é um IP lógico, atribuído genericamente ao gateway dos clientes. Você pode utilizar este IP para fazer regras de roteamento, por exemplo, se seu cliente está na rede 10.2.0.0/24, você pode criar uma regra de roteamento que encaminhe todos os pacotes destinados a rede 10.2.0.0/24 para o gateway 10.15.0.2: route add -net 10.2.0.0/24 gw 10.15.0.2 dev tun0
É necessário criar uma regra que permita que comunicação oriundas da internet e destinadas ao IP do seu servidor OpenVPN na porta 1194 UDP sejam aceitas. Uma regra iptables seria: iptables -A INPUT -i eth0 -d 10.0.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
Uma vez permitida a conexão é necessário criar regras que permitam que seu cliente converse com os serviços de sua rede e vice-versa. Neste caso, cada rede vai ter suas particularidades. Por exemplo, para permitir que qualquer cliente da rede OpenVPN (10.15.0.0/24) acesse um servidor de DNS de IP 10.0.0.15 em sua rede, as regras iptables seriam:
1. iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT
2. iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p udp -m udp --dport 53 -j ACCEPT
Lembre-se de que para estas regras funcionarem é importante permitir o roteamento entre as interfaces. Isto pode ser feito atribuindo o valor 1 ao parâmetro /proc/sys/net/ipv4/ip_forward. Você pode colocar uma linha com o comando a seguir em algum script de inicialização de seu servidor, ou ajustar este parâmetro diretamente no seu firewall, se ele assim o permitir: echo 1 > /proc/sys/net/ipv4/ip_forward

5. Criando Certificados para Clientes

Para cada novo cliente VPN de sua rede, é necessário criar um certificado exclusivo. Isto é feito através do comando /etc/openvpn/build-key ou /etc/openvpn/build-key-pass:

/etc/openvpn/build-key-pass nome-do-cliente

Troque nome-do-cliente por um nome único e exclusivo para cada cliente. Ele será o Common Name do certificado gerado. É importante que no nome-do-cliente não haja espaços em branco, nem caracteres especiais ou acentuados. Até é possível, mas se você não usá-los, terá menos problemas. Você pode usar números, a matricula dos funcionários, CPF, ou o Nome completo, lembrando de trocar o separador do nome por _ ou simplesmente suprimi-lo. Por exemplo, a Caixa Econômica Federal costuma emitir seus certificados usando o nome completo do solicitante, seguido do caracter : e dos números do CPF.

Antes de executar o build-key é importante executar source /etc/openvpn/vars para atribuir as informações de sua CA às variáveis de ambiente da sessão corrente.

Lembre-se de responder as perguntas adequadamente. Elas já virão pré-preenchidas pelos valores de /etc/openvpn/vars. Você pode colocar qualquer informação no campo name, inclusive espaços em branco e caracteres acentuados.

É recomendável usar o build-key-pass ao invés do build-key, visto que o primeiro irá solicitar uma senha secreta para cada cliente. Essa senha sera utilizada em cada conexão OpenVPN. Isso é importante pois caso um notebook que contenha as configurações e certificados de determinado usuário seja perdido ou furtado um meliante não seria capaz de fechar a conexão VPN sem ter a senha. É claro que nestes casos recomenda-se ainda revogar o certificado do cliente.

Para gerar um novo certificado para o usuário João da Silva você pode digitar o seguinte:

root@openvpn:/etc/openvpn# source /etc/openvpn/vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/keys
root@openvpn:/etc/openvpn# /etc/openvpn/build-key joao_da_silva
Generating a 1024 bit RSA private key
..............++++++
.........................++++++
writing new private key to 'joao_da_silva.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [BR]:
State or Province Name (full name) [SP]:
Locality Name (eg, city) [São Paulo]:
Organization Name (eg, company) [Blog do Nerd]:
Organizational Unit Name (eg, section) [Divisão de TI]:
Common Name (eg, your name or your server's hostname) [joao_da_silva]:
Name [Blog do Nerd CA]:João da Silva
Email Address [nerd@blogdonerd.email.com]:joao@blogdonerd.email.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Using configuration from /etc/openvpn/openssl.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           : PRINTABLE:'BR'
stateOrProvinceName   : PRINTABLE:'SP'
localityName          : T61STRING:'S&#92;&#48;xFFFFFFC3&#92;&#48;xFFFFFFA3o Paulo'
organizationName      : PRINTABLE:'Blog do Nerd'
organizationalUnitName: T61STRING:'Divis&#92;&#48;xFFFFFFC3&#92;&#48;xFFFFFFA3o de TI'
commonName            : T61STRING:'joao_da_silva'
name                  : T61STRING:'Jo&#92;&#48;xFFFFFFC3&#92;&#48;xFFFFFFA3o da Silva'
emailAddress          : IA5STRING:'joao@blogdonerd.email.com'
Certificate is to be certified until Jun 19 14:04:54 2022 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
root@openvpn:/etc/openvpn#

Três novos arquivos serão gerados na pasta /etc/openvpn/keys:

joao_da_silva.csr - Solicitação do novo certificado
joao_da_silva.crt - Certificado público
joao_da_silva.key - Chave privada

Será necessário copiar estes arquivos para o computador do cliente no próximo passo.

6. Instalando e configurando o OpenVPN nos Clientes Windows ou Linux

Baixe e instale a versão mais recente do OpenVPN. Para clientes Ubuntu basta executar apt-get install openvpn.

No Windows se aparecer uma mensagem solicitando para sua permissão para instalar um novo adaptador de rede TAP-Win32 (conforme abaixo), clique no botão Instalar.

No Windows, um ícone do OpenVPN GUI será instalado na área de trabalho.

Se seu sistema operacional for Windows Vista ou 7, clique com o botão direito do mouse nesse ícone e escolha Propriedades. Na guia Atalho clique no botão Avançados e na nova janela marque a opção Executar como administrador.

Isto é importante porque as regras de roteamento enviadas pelo servidor OpenVPN só serão atribuídas se o cliente OpenVPN possuir privilégios administrativos.

Se o sistema operacional for Windows XP execute o seguinte procedimento para que a resolução de DNS funcione corretamente:

Clique em Iniciar, clique em Executar..., digite regedit na caixa de diálogo aberta e então clique OK.
Navegue até a chave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage
No painel da direita, clique duas vezes no item Bind.
Na caixa que se abre selecione o item "\Device\NdisWanIp", pressione CTRL + X, clique no topo da lista de dispositivos, e pressione CTRL + V. Em outras palavras: o que deve ser feito é passar o item "\Device\NdisWanIp" para o primeiro da lista.
Clique OK e feche o Editor do Registro.
Reinicialize o computador.

Agora vamos configurar o cliente OpenVPN.

Vá até o servidor e copie os seguintes arquivos da pasta /etc/openvpn/keys:

ca.crt - Certificado público de sua CA
ta.key - Chave privada para assinatura de pacotes TLS de forma a aumentar a segurança na comunicação
joao_da_silva.crt - Certificado público do usuário a ser configurado
joao_da_silva.key - Certificado privado do usuário a ser configurado

Talvez você tenha dificuldades para copar os arquivos .key que são privados e não possuem permissão de leitura para usuários comuns. Se necessário, copie os arquivos para uma pasta temporária (/tmp por exemplo) e altere as permissões com o comando chmod: chmod 644 /tmp/joao_da_silva.key.

ATENÇÃO: Lembre-se o arquivo joao_da_silva.key contém a chave privada do João e não deve ser distribuida livremente para não comprometer a segurança, especialmente se ele não possuir uma challenge password.

Copie estes arquivos para a pasta C:\Program Files\OpenVPN\config para o cliente Windows ou para /etc/openvpn no caso de um cliente Linux.

Renomeie os arquivos joao_da_silva.crt e joao_da_silva.key no cliente, conforme segue:

joao_da_silva.crt -> client.crt
joao_da_silva.key -> client.key

Se preferir, ao invés de renomear estes arquivos, você pode ajustar os parâmetros cert e key no arquivo openvpn.conf (Linux) ou openvpn.ovpn (Windows) que será configurado no próximo passo.

7.1. Particularidades do Cliente Windows

Para um cliente Windows, crie o arquivo C:\Program Files\OpenVPN\config\openvpn.ovpn com o conteúdo abaixo.

Ajuste o parâmetro remote para o endereço público IP ou FQDN se seu servidor OpenVPN seguido da porta de conexão com o servidor. No meu exemplo usei o FQDN blogdonerd.no-ip.com. Se você configurou o servidor como TCP, então ajuste o parâmetro proto.

#####################################################################&lt;/pre&gt;
# OpenVPN 2.0 - Arquivo de configuração do cliente Windows
#####################################################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
dev tun

script-security 2

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote blogdonerd.no-ip.com 1194

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca ca.crt
cert client.crt
key client.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-128-CBC

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

A pasta C:\Program Files\OpenVPN\config ficará assim:

Execute o OpenVPN GUI. Um ícone de dois computadores com uma tela vermelha aparecerá no canto próximo ao relógio.

Clique duas vezes neste ícone ou clique com o botão direito no ícone e em seguida clique em Connect.

A tela de conexão e logs do OpenVPN será mostrada. Se você configurou uma challenge password para o certificado do cliente ela deveria ser solicitada agora. Se tudo ocorreu bem o ícone passara de vermelho para verde e uma mensagem informando que a conexão foi bem sucedida será apresentada.

Para desconectar é só clicar com o direito no ícone dos computadores verdes e escolher a opção Disconnect.

7.2. Particularidades do Cliente Linux

Crie o arquivo /etc/openvpn/openvpn.conf com o conteúdo abaixo.

#####################################################################&lt;/pre&gt;
# OpenVPN 2.0 - Arquivo de configuração do cliente Linux
#####################################################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
dev tun0

script-security 2

# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote blogdonerd.no-ip.com 1194

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server. Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here. See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets. Set this flag
# to silence duplicate packet warnings.
mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description. It's best to use
# a separate .crt/.key file pair
# for each client. A single ca
# file can be used for all clients.
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key

# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server". This is an
# important precaution to protect against
# a potential attack discussed here:
# http://openvpn.net/howto.html#mitm
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
tls-auth /etc/openvpn/ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
cipher AES-128-CBC

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

A pasta /etc/openvpn ficará assim:

root@openvpn:/etc/openvpn# ls /etc/openvpn/
ca.crt       client.crt        client.key      openvpn.conf       ta.key
root@openvpn:/etc/openvpn#

Agora basta executar service openvpn start para que a conexão com o servidor seja realizada.
Para encerrar a conexão execute service openvpn stop.
Para controlar se a conexão será executada automaticamente na inicialização do computador, edite o arquivo /etc/default/openvpn.
Descomente ou inclua a linha abaixo para que a conexão seja realizada automaticamente na inicialização:

AUTOSTART="all"

Para impedir a inicialização automática do openvpn descomente ou inclua a seguinte linha:

AUTOSTART="none"

7. Revogando Certificados de Clientes

Caso um computador contendo um certificado seja perdido, ou ainda para impedir que determinado usuário realize a conexão VPN você deve revogar o certificado.

Uma vez revogado, não há volta, você terá que gerar um novo certificado para permitir a conexão de detreminado cliente.

A lista de certificados revogados é armazenada no arquivo /etc/openvpn/keys/crl.pem. O problema é que o OpenVPN, após entrar em execução, não possui permissão de leitura para essa pasta. Então teremos ainda que copiar o arquivo /etc/openvpn/keys/crl.pem para a pasta /etc/openvpn, que é o motivo da última linha dos comandos abaixo.

Para revogar o certificado de joao_da_silva execute os seguintes comandos:

source /etc/openvpn/vars
/etc/openvpn/revoke-full joao_da_silva
cp /etc/openvpn/keys/crl.pem /etc/openvpn

A saída será a seguinte:

root@openvpn:/etc/openvpn# /etc/openvpn/revoke-full joao_da_silva
Using configuration from /etc/openvpn/openssl.cnf
Revoking Certificate 04.
Data Base Updated
Using configuration from /etc/openvpn/openssl.cnf
joao_da_silva.crt: C = BR, ST = SP, L = Sao Paulo, O = Blog do Nerd, OU = Divisao de TI, CN = joao3, name = Joao da Silva, emailAddress = joao@blogdonerd.email.com
error 23 at 0 depth lookup:certificate revoked
root@openvpn:/etc/openvpn# cp /etc/openvpn/keys/crl.pem /etc/openvpn/
root@openvpn:/etc/openvpn#

Precisamos ainda informar ao servidor OpenVPN para considerar esse arquivo na verificação das conexões.

Para fazer isso, edite o arquivo /etc/openvpn/server.conf e inclua a seguinte linha no final do arquivo:

crl-verify /etc/openvpn/crl.pem

Reinicie o OpenVPN para que esta nova configuração entre em ação:

service opevpn reload

Você não precisará reiniciar ou recarregar o OepnVPN a cada vez que revogar um certificado. Somente na primeira vez em que configurar a diretiva crl-verify.

Para gerar um arquivo crl.pem inicial você pode executar o comando revoke-full com um nome qualquer:

/etc/openvpn/revoke-full teste

8. Informações Adicionais

Para controlar se o servidor OpenVPN será inicializado automaticamente junto com a inicialização do computador, edite o arquivo /etc/default/openvpn.

Descomente ou inclua a linha abaixo para que o servidor OpenVPN inicie automaticamente na inicialização:

AUTOSTART="all"

Para impedir a inicialização automática do OpenVPN descomente ou inclua a seguinte linha:

AUTOSTART="none"

Desculpe pelo artigo extremamente longo. Espero que ele seja útil. Qualquer dúvida, sugestão ou relato de erros é só postar nos comentários.

Referências

OpenVPN How To - http://openvpn.net/index.php/open-source/documentation/howto.html

Compartilhar / Favoritos

criptografia Linux OpenVPN Ubuntu VPN Windows

Este artigo foi publicado por Nerd em 21 de junho de 2012 às 16:15, nas categorias Linux, Tutoriais, Windows. Siga os comentários deste artigo através do RSS 2.0. Você pode pular para o fim e deixar um comentário. Fazer ping não é permitido no momento.

Comentários (88)
Artigos Relacionados

#1 escrito por Carlos 10 meses atrás

Boa tarde.

Excelente tutorial, muito bem escrito e realmente passo a passo como deve ser.

Desde já agradeço por compartilhar.

Me tire uma dúvida, fiz todo o procedimento, mas na hora de verificar se o serviço está rodando, aparece a seguinte mensagem:

* Could not access PID file for VPN 'server'

Sabe o que pode estar ocorrendo?
Obrigado.

Responder Citar
- #2 escrito por Nerd 10 meses atrás
  
  Carlos,
  Essa mensagem indica que a vpn configurada em /etc/openvpn/server.conf não está em execução.
  Procure no /var/log/openvpn/openvpn.log para ver se encontra alguma mensagem de erro.
  
  Obrigado pelos elogios.
  
  Nerd.
  
  Responder Citar
#3 escrito por Carlos 10 meses atrás

Já resolvi, vlw!

Tinha dois problemas, meu arquivo .pem por algum motivo não tinha sido criado. E eu tinha setado ip errado no arquivo server.conf

Responder Citar
#4 escrito por Greyson 9 meses atrás

meu brother nesse trecho: "a regra iptables seria: iptables -A -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT" depois do APPEND vc não citou qual é a chain. Seria FORWARD?

Responder Citar
- #5 escrito por Nerd 9 meses atrás
  
  Greyson,
  Valeu pela observação.
  O chain seria o INPUT se o destino das mensagens for o IP do firewall, que é o que deve ser o caso:
  iptables -A INPUT -i eth0 -d 10.0.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
  
  Se o firewall iptables estiver em um computador diferente do OpenVPN dai sim o chain seria o FORWARD:
  iptables -A FORWARD -i eth0 -d 10.0.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
  Qualquer problema é só falar.
  Abraços.
  
  Nerd.
  
  Responder Citar
  - #6 escrito por Greyson 9 meses atrás
    
    Obrigado Nerd, agora sobre isso:
    "iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT" é a regra pra redirecionar conexões vindas da rede da VPN para a rede local, confere? no meu caso tenho 2 servidores DNS na rede. então entendo que devo fazer a regra duas vezes apontando para cada um. Agora não é necessário fazer uma regra para que o servidor de dentro da rede responda para o cliente a requisição? um NAT?
    
    Responder Citar
    - #7 escrito por Nerd 9 meses atrás
      
      Greyson,
      Essa regra diz para o firewall fazer o seguinte:
      -A FORWARD: Pacotes que atravessem o firewall
      -i tun0: que venham pela interface tun0
      -s 10.15.0.0/24: com IP de origem 10.15.0.0/24
      -d 10.0.0.15/32: destinados para o IP 10.0.0.15
      -p tcp: protocolo TCP
      -m tcp --dport 53: porta 53 (DNS)
      -j ACCEPT: devem ser aceitos pelo firewall.
      
      Se você tem dois servidores de DNS, então precisa de uma regra para cada IP de destino.
      Não precisa de NAT: O servidor de dentro da rede conhece os computadores de fora pois o tráfego passa pelo firewall e o próprio OpenVPN vai ter a rota na interface tun0. Consulte as rotas com "route -n"
      Eu sugiro criar regras que liberam todo o tráfego para e da VPN e depois que tudo estiver funcionado, bloqueia o que não precisar.
      
      Sugestão de regras para liberar todo o tráfego proveniente da VPN:
      iptables -A FORWARD -i tun0 -j ACCEPT
      
      Nerd.
      
      Responder Citar
      - #8 escrito por Greyson 9 meses atrás
        
        Okay nerd, quanto as regras de firewall em si eu conheço. Tenho um conhecimento intermediário de iptables (sei me virar). O que eu quero dizer é aqui "10.0.0.15/32" vc exemplifica uma faixa de rede com o seu CIDR o que me confundiu um pouco. O que eu acho correto é colocar o endereço IP do host sem a máscara de sub-rede, não acha? não estou querendo tumultuar nem trollar, estou só trocando uma idéia contigo parceiro.
        
        Responder Citar
#9 escrito por Carlos 9 meses atrás

Bom dia.

Estou com algumas dúvidas em relação ao VPN.

Estou configurando o VPN aqui na empresa para que alguns funcionários possam acessar a rede aqui da empresa em suas casas.

Consegui configurar o servidor e o cliente. Consigo conectar pelo VPN pego a faixa de ip que defini 10.15.0.x. O problema é que não estou conseguindo pingar os servidores da minha rede interna.

Utilizo aqui na empresa o Endian Firewall. Tentei executar essas comandos da parte 4 do tutorial "Regras de Firewall" no servidor endian mas o comando "iptables -A -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT" não foi aceito pois ele não encontra a interface tun0.

Outra coisa que percebi, foi que quando conecto com o client, não aparece nenhum ip definido para o gateway.

Não manjo muito de redes, por isso estou levando uma sova desse servidor VPN. Estou procurando tutorias na internet que possam me dar um luz, mas esta muito difícil.

Se puder me dar uma luz, ou me passar um link de um bom tutorial eu agradeço.

Obrigado.
Carlos Messias.

Responder Citar
- #10 escrito por Nerd 9 meses atrás
  
  Carlos,
  Troca o comando iptables por "iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT"
  Para poder pingar os equipamentos da sua rede duas coisas são necessárias:
  1- Regra de firewall
  2- Rota para a rede de sua empresa.
  
  As regras de firewall para ping seria algo assim: "iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -p icmp -j ACCEPT". Talvez queira restringir mais ainda, defindo ips de destino e o tipo de icmp com a opção --icmp-type.
  As rotas são dadas pela opção "push route". Se ela estiver bem configurada vai poder verificar as rotas executando route --print após conectar a VPN.
  
  VPN não é uma coisa trivial de se fazer. Depende de um conhecimento um pouco mais aprimorado de redes.
  
  Estou pensando em publicar um curso de redes aqui no blog. Aguarde que em breve teremos novidades.
  Qualquer dúvida sinta-se a vontade para perguntar.
  Abraços.
  
  Nerd.
  
  Responder Citar
#11 escrito por Michel Hespanha 9 meses atrás

Ola Nerd,

Boa tarde,

A implementação da VPN aqui em minha empresa ficou beleza, mas tive a seguinte duvida,
Configurei o servidor e o Cliente windows, consigo fechar a VPN e configo pingar as clientes,
na minha Matriz eu tenho um AD, queria saber como eu faço para fazer a resolução das maquinas de minha casa na minha matriz por nome (DNS), exemplo,

//Srv1, pois somente consigo chamar as maquinas atravez do //10.0.0.1...

Tem como fazer esta configuração? Tenho o DNS funcionando perfeitamente na Matriz,

Abração!

Responder Citar
- #12 escrito por Nerd 9 meses atrás
  
  Michel,
  As configurações de DNS são fornecidas pelas opções dhcp-option. Configure "dhcp-option DNS" e "dhcp-option DOMAIN" para conseguir resolver os endereços internos de sua empresa.
  Não se esqueça de colocar regra no firewall permitindo o acesso, a partir da VPN, para a porta 53 dos servidores de DNS. É interessante liberar TCP e UDP para evitar dores de cabeça.
  Outra coisa importante é configurar os clientes OpenVPN para executar como Administrador (conforme explicado no tutorial), caso contrário, o Windows poderá não adicionar estas opções nas configurações de rede do cliente local.
  Se seu cliente for Windows XP o procedimento abaixo poderá ser necessário:
  1. Clique em Iniciar, clique em Executar..., digite regedit na caixa de diálogo aberta e então clique OK.
  2. Navegue até a chave de registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage
  3. No painel da direita, clique duas vezes no item Bind.
  4. Na caixa que se abre selecione o item "\Device\NdisWanIp", pressione CTRL + X, clique no topo da lista de dispositivos, e pressione CTRL + V. Em outras palavras: o que deve ser feito é passar o item "\Device\NdisWanIp" para o primeiro da lista.
  5. Clique OK e feche o Editor do Registro.
  6. Reinicialize o computador.
  
  Abraços.
  
  Nerd
  
  Responder Citar
  - #13 escrito por Michel Hespanha 9 meses atrás
    
    Beleza Nerd,
    
    fiz as alterações de DHCP, DNS, e Dominio,
    
    e funcionou perfeitamente,
    
    Obrigado!
    
    Responder Citar
#14 escrito por Greyson 9 meses atrás

Nerd, tenho outra pergunta, você por acaso já executou o OpenVPN em uma máquina sendo que ela age como servidor e cliente de outra VPN ao mesmo tempo?

Responder Citar
- #15 escrito por Nerd 9 meses atrás
  
  Greyson,
  Nunca executei, mas acredito que deva funcionar. Só tem que ajustar as interfaces corretamente, criando uma tun0 para o servidor e outra tun1 para a VPN cliente, por exemplo.
  
  Nerd.
  
  Responder Citar
#16 escrito por Carlos 9 meses atrás

Nerd, boa tarde!

O comando rodou dessa vez. Mas mesmo assim o ping não foi liberado. Meu firewall deve estar bloqueando alguma coisa que ainda não sei o que é.

Quanto as rotas, reparei em meu log de conexão VPN os seguintes erros:

Thu Jul 26 13:17:43 2012 OpenVPN 2.2.2 Win32-MSVC++ [SSL] [LZO2] [PKCS11] built on Dec 15 2011
Thu Jul 26 13:17:43 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Thu Jul 26 13:17:44 2012 Control Channel Authentication: using 'ta.key' as a OpenVPN static key file
Thu Jul 26 13:17:44 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 26 13:17:44 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 26 13:17:44 2012 LZO compression initialized
Thu Jul 26 13:17:44 2012 Control Channel MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Jul 26 13:17:44 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Thu Jul 26 13:17:44 2012 Data Channel MTU parms [ L:1558 D:1450 EF:58 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Jul 26 13:17:44 2012 Local Options hash (VER=V4): '272f1b58'
Thu Jul 26 13:17:44 2012 Expected Remote Options hash (VER=V4): 'a2e63101'
Thu Jul 26 13:17:44 2012 UDPv4 link local: [undef]
Thu Jul 26 13:17:44 2012 UDPv4 link remote: exx.exx.exx.exx:1194
Thu Jul 26 13:17:44 2012 TLS: Initial packet from exx.exx.exx.exx:1194, sid=49bb9b03 cbea53fb
Thu Jul 26 13:17:48 2012 VERIFY OK: depth=1, /C=BR/ST=SP/L=S_xC3_xA3o_Paulo/O=Antlia/OU=Antlia/CN=vmsvopenvpn/name=Antlia/emailAddress=suporte@antlia.com.br
Thu Jul 26 13:17:48 2012 VERIFY OK: nsCertType=SERVER
Thu Jul 26 13:17:48 2012 VERIFY OK: depth=0, /C=BR/ST=SP/L=S_xC3_xA3o_Paulo/O=Antlia/OU=Antlia/CN=vmsvvpn/name=Antlia/emailAddress=suporte@antlia.com.br
Thu Jul 26 13:17:53 2012 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Jul 26 13:17:53 2012 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 26 13:17:53 2012 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key
Thu Jul 26 13:17:53 2012 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Jul 26 13:17:53 2012 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Thu Jul 26 13:17:53 2012 [vmsvvpn] Peer Connection Initiated with exx.exx.exx.exx:1194
Thu Jul 26 13:17:56 2012 SENT CONTROL [vmsvvpn]: 'PUSH_REQUEST' (status=1)
Thu Jul 26 13:17:57 2012 PUSH: Received control message: 'PUSH_REPLY,route 10.0.0.0 255.0.0.0,dhcp-option DNS 192.168.1.1,dhcp-option DOMAIN antlia.local,route 10.15.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.15.0.6 10.15.0.5'
Thu Jul 26 13:17:57 2012 OPTIONS IMPORT: timers and/or timeouts modified
Thu Jul 26 13:17:57 2012 OPTIONS IMPORT: --ifconfig/up options modified
Thu Jul 26 13:17:57 2012 OPTIONS IMPORT: route options modified
Thu Jul 26 13:17:57 2012 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Thu Jul 26 13:17:57 2012 ROUTE default_gateway=177.110.30.202
Thu Jul 26 13:17:57 2012 TAP-WIN32 device [Conexão local 2] opened: \\.\Global\{BEC90CA1-9B30-48C3-AB6A-A7AA25B43A65}.tap
Thu Jul 26 13:17:57 2012 TAP-Win32 Driver Version 9.9
Thu Jul 26 13:17:57 2012 TAP-Win32 MTU=1500
Thu Jul 26 13:17:57 2012 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.15.0.6/255.255.255.252 on interface {BEC90CA1-9B30-48C3-AB6A-A7AA25B43A65} [DHCP-serv: 10.15.0.5, lease-time: 31536000]
Thu Jul 26 13:17:57 2012 Successful ARP Flush on interface [24] {BEC90CA1-9B30-48C3-AB6A-A7AA25B43A65}
Thu Jul 26 13:18:02 2012 TEST ROUTES: 2/2 succeeded len=2 ret=1 a=0 u/d=up
Thu Jul 26 13:18:02 2012 C:\WINDOWS\system32\route.exe ADD 10.0.0.0 MASK 255.0.0.0 10.15.0.5
Thu Jul 26 13:18:02 2012 ROUTE: route addition failed using CreateIpForwardEntry: Um ou mais argumentos não estão corretos. [status=160 if_index=24]
Thu Jul 26 13:18:02 2012 Route addition via IPAPI failed [adaptive]
Thu Jul 26 13:18:02 2012 Route addition fallback to route.exe
OK!
Thu Jul 26 13:18:02 2012 C:\WINDOWS\system32\route.exe ADD 10.15.0.1 MASK 255.255.255.255 10.15.0.5
Thu Jul 26 13:18:02 2012 ROUTE: route addition failed using CreateIpForwardEntry: Um ou mais argumentos não estão corretos. [status=160 if_index=24]
Thu Jul 26 13:18:02 2012 Route addition via IPAPI failed [adaptive]
Thu Jul 26 13:18:02 2012 Route addition fallback to route.exe
OK!
Thu Jul 26 13:18:02 2012 Initialization Sequence Completed

Isso é por causa do firewall tbm?

Outra detalhe que li em seu procedimento: "O IP 10.15.0.2 é um IP lógico, atribuído genericamente ao gateway dos clientes."

Meu cliente não esta pegando nenhum gateway. É por causa desses erros acima?

Responder Citar
- #17 escrito por Nerd 9 meses atrás
  
  Carlos,
  É estranho esse problema da rota. O comando está correto.
  O OpenVPN está executando como administrador no cliente?
  Se não tiver ele não vai conseguir adicionar a rota.
  Execute um ifconfig para ver se a interface tun0 ficou configurada com o IP 10.15.0.6
  Pode haver algum conflito com a faixa de ip 10.15.0.0 e outro IP de seu computador cliente.
  Isto não tem a ver com o firewall.
  É provável que o ping não esteja funcionando justamente devido a falta da rota.
  O máximo que vai conseguir pingar é o 10.15.0.5 que é a outra ponta da conexão OpenVPN para seu caso específico.
  
  Nerd.
  
  Responder Citar
#18 escrito por Neimar 9 meses atrás

no XP o open connecta automaticamente mas no wind 7 64 bits eleconnecta manualmente

como faço para que ele connecte automaticamente no w7 64 bts

Responder Citar
- #19 escrito por Nerd 9 meses atrás
  
  Neimar,
  Executa services.msc e verifique se tem um serviço OpenVPN. Basta você colocar este serviço para executar automaticamente.
  
  Nerd.
  
  Responder Citar
#20 escrito por Marcos 9 meses atrás

Nerd, boa noite!

Primeiro parabéns pelo seu tutorial que está muito bem explicado. Não obstante, mesmo seguindo os seus passos ainda assim tenho problemas para conseguir conectar com a matriz na Europa desde uma maquina Linux (Ubuntu 12.04). O servidor da matriz é Windows.

Testei uma conexão Windows e funciona corretamente, mas na conexão Ubuntu pede uma "Private key" que não tenho e segundo a minha matriz não é nem necessária, pois eles também utilizam maquinas linux e esta senha não é requerida.

Estou fazendo algo mal? Como posso fazer para saltar a obrigatóriedade da "private key"?

Este é o meu cliente.conf :

client
dev tap
proto udp
nobind
remote taurus.saiwall.net 1195
persist-tun
persist-key
persist-local-ip
explicit-exit-notify
auth-user-pass
ns-cert-type server
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key
cipher AES-256-CBC
comp-lzo
route-method exe
route-delay 2
pull

Este é o log da conexão:

ul 29 21:31:26 ubuntu ovpn-client[10439]: Error: private key password verification failed
Jul 29 21:31:26 ubuntu ovpn-client[10439]: Exiting
Jul 29 21:32:42 ubuntu ovpn-client[10481]: OpenVPN 2.2.1 x86_64-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Jul 29 21:32:58 ubuntu ovpn-client[10481]: NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Jul 29 21:32:59 ubuntu ovpn-client[10481]: WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Jul 29 21:32:59 ubuntu ovpn-client[10481]: Cannot load private key file /etc/openvpn/client.key: error:0906A068:PEM routines:PEM_do_header:bad password read: error:140B0009:SSL routines:SSL_CTX_use_PrivateKey_file:PEM lib
Jul 29 21:32:59 ubuntu ovpn-client[10481]: Error: private key password verification failed
Jul 29 21:32:59 ubuntu ovpn-client[10481]: Exiting
Jul 29 21:35:35 ubuntu NetworkManager[968]: Policy set 'Auto MVAVTV' (eth1) as default for IPv4 routing and DNS.
Jul 29 21:35:40 ubuntu NetworkManager[968]: VPN service 'openvpn' disappeared

Desde já obrigado pela ajuda.

Sds.,

Marcos

Responder Citar
- #21 escrito por Nerd 9 meses atrás
  
  Marcos,
  Interessante. Se as configurações são exatamente as mesmas, deveria funcionar da mesma forma tanto no Linux quando no Windows.
  Não parece ser o caso, mas de uma olhada nas permissões do arquivo client.key (ls -la /etc/openvpn). Pode ser que o Openvpn não esteja conseguindo abrir o arquivo.
  Mude para 755 (chmod 755 /etc/openvpn/client.key).
  Verifique também o conteúdo do client.key. Pode ser que ele esteja corrompido no Linux.
  Abraços.
  
  Nerd.
  
  Responder Citar
  - #22 escrito por Victor 4 meses atrás
    
    Acredito que seja por conta do route-method.
    Na sua conf está indo como exe, padrão windows..
    
    Responder Citar
#23 escrito por gilberto dos santos alves 8 meses atrás

excelente tutorial! parabéns pela precisão e funcionou legal! tenho bastante conhecimento em maquinas virtuais (qemu, virtualbox, grml (boot live)) estou pronto a colaborar para gerarmos como o grml.org (só que contendo seu openvpn) para um server e um client onde o pessoal baixaria o .iso e boot e poderia experimentar tudo em maquina virtua inclusive no mac. saudações debian opensource no dna! valeu.

Responder Citar
- #24 escrito por Nerd 8 meses atrás
  
  Oi Gilberto,
  Desculpe a demora em responder.
  A ideia é interessante. Basicamente é uma instalação padrão, só precisaria fazer alguns scripts para gerar os certificados iniciais de forma automatizada.
  
  Nerd.
  
  Responder Citar
#25 escrito por Daniel Crestani 7 meses atrás

Olá!! Muito bom suas explicações! Estou montando um servidor Ubuntu em casa e será de muita valia esse seu blog! Parabéns! O melhor que já encontrei!

Responder Citar
- #26 escrito por Nerd 7 meses atrás
  
  Valeu Daniel!
  Qualquer dúvida é só perguntar.
  
  Nerd.
  
  Responder Citar
#27 escrito por Cledir Justo 7 meses atrás

Muito bom seu blog! está nos meus favoritos!

Responder Citar
- #28 escrito por Nerd 7 meses atrás
  
  Valeu Cledir!
  
  Responder Citar
#29 escrito por Vinícius Ribeiro 7 meses atrás

Boa noite,
Estou usando seu tutorial para um trabalho da facul Não entendo muito sobre redes.
Um dúvida, no arquivo de configuração para cliente windows, onde vc fala em colocar um endereço público IP em remote. Eu coloco o endereço atribuido pelo provedor no caso?
Por que fiz isso e quando conecto no openvpn fica aparecendo "connection reset by peer".
No Ubuntu está rodando beleza, mas parei nessa parte.

Obrigado.

Responder Citar
- #30 escrito por Nerd 7 meses atrás
  
  Vinicius,
  É isso mesmo. O endereço remote é seu endereço público.
  Não esqueça de configurar um NAT em seu modem ADSL. Veja o item 7 dos pré-requisitos.
  
  Nerd.
  
  Responder Citar
#31 escrito por Vinícius Ribeiro 7 meses atrás

Esqueci de falar, estou usando VM tanto Windows quanto Ubuntu, no virtualbox...

Responder Citar
- #32 escrito por Nerd 7 meses atrás
  
  Vinicius,
  Se você está fazendo testes em uma rede local, então o IP remote será o IP do servidor OpenVPN.
  Verifique se o firewall está desativado, ou se está liberado a conexão UDP na porta 1194.
  
  Nerd
  
  Responder Citar
#33 escrito por djtornados 7 meses atrás

Bom dia
Segui a risca seu tutorial mas na hora de fazer certificado ta.key o comando nao deu certo então desmarquei o tls no config mas quando mando o cliente conectar veja o resultado

Enter Management Password:
Fri Oct 19 10:30:03 2012 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.10:25341
Fri Oct 19 10:30:03 2012 Need hold release from management interface, waiting...
Fri Oct 19 10:30:09 2012 MANAGEMENT: Client connected from [AF_INET]127.0.0.10:25341
Fri Oct 19 10:30:09 2012 MANAGEMENT: CMD 'state on'
Fri Oct 19 10:30:09 2012 MANAGEMENT: CMD 'log all on'
Fri Oct 19 10:30:09 2012 MANAGEMENT: CMD 'hold off'
Fri Oct 19 10:30:09 2012 MANAGEMENT: CMD 'hold release'
Fri Oct 19 10:30:09 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Fri Oct 19 10:30:13 2012 MANAGEMENT: CMD 'password [...]'
Fri Oct 19 10:30:13 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Oct 19 10:30:13 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Oct 19 10:30:13 2012 MANAGEMENT: >STATE:1350653413,RESOLVE,,,
Fri Oct 19 10:30:13 2012 UDPv4 link local: [undef]
Fri Oct 19 10:30:13 2012 UDPv4 link remote: [AF_INET]x.x.x.x:1194
Fri Oct 19 10:30:13 2012 MANAGEMENT: >STATE:1350653413,WAIT,,,
Fri Oct 19 10:31:13 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Oct 19 10:31:13 2012 TLS Error: TLS handshake failed
Fri Oct 19 10:31:13 2012 SIGTERM[soft,tls-error] received, process exiting
Fri Oct 19 10:31:13 2012 MANAGEMENT: >STATE:1350653473,EXITING,tls-error,,

Obs : O openvpn server esta em um servidor centos+proxy+iptables

Responder Citar
- #34 escrito por Nerd 7 meses atrás
  
  djtornados,
  Isso tem cara de firewall bloqueando as conexões UDP na porta 1194 do servidor. Verifique se você liberou o acesso no iptables do servidor.
  Certifique-se também que o serviço OpenVPN está em execução no servidor.
  
  Nerd.
  
  Responder Citar
#35 escrito por djtornados 7 meses atrás

Nerd
Creio que sim pois nao manjo de iptables a fundo posso te passar meu iptables ? inclusive tenho duas situações esta que estamos falando e um outro server com fedora+proxy+iptables este conecta mas não tem acesso a rede do servidor e quando conecto a internet cai.

Responder Citar
- #36 escrito por Nerd 7 meses atrás
  
  djtornados,
  Tem que verificar a tua estrutura de rede, e os endereçamentos.
  Com relação ao segundo servidor conectar e não navegar é muito provável que sejam regras de firewall também.
  De uma estudada na seção 4. Regras de Firewall do tutorial. Lá tem respostas para seus dois problemas.
  
  Nerd
  
  Responder Citar
#37 escrito por djtornados 7 meses atrás

Nerd eu ja li e reli mas nao estou vendo onde estou errando estou correndo contra o tempo para resolver esta questao se puder me ajudar fico muito grato pois terei bagagen para resolver o outro server tambem

server centos+iptables+proxy
link virtua
duas placas de rede
eth0 link dinamico internet
eth1 rede local com ip fixo 192.168.1.100

Obs:no servidor vpn nao deu erro nehum e criou o tun0
Veja :
> ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:5F:31:D9:CE
inet addr:192.168.0.180 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:91099 errors:0 dropped:0 overruns:0 frame:0
TX packets:54400 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:45516927 (43.4 MiB) TX bytes:10637973 (10.1 MiB)
Interrupt:209 Base address:0xec00

eth1 Link encap:Ethernet HWaddr 00:11:5B:B5:91:F2
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27050 errors:0 dropped:0 overruns:0 frame:0
TX packets:38595 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3568719 (3.4 MiB) TX bytes:39260705 (37.4 MiB)
Interrupt:217 Base address:0xe800

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:40651 errors:0 dropped:0 overruns:0 frame:0
TX packets:40651 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7821776 (7.4 MiB) TX bytes:7821776 (7.4 MiB)

tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:10.15.0.1 P-t-P:10.15.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

E o iptalbes :

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i eth1 -o tun0 -j ACCEPT
-A FORWARD -m state -i eth0 -o tun0 --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p udp -m udp -d 10.0.0.1/32 -i eth0 --dport 1194 -j ACCEPT
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -p tcp -m tcp -s 10.15.0.0/24 -d 10.0.0.15/32 -i tun0 --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state -m udp --dport 137 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state -m udp --dport 138 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 139 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 445 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
# Kinect VÃdeo
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 1863 --state NEW -j ACCEPT
# Kinect VÃdeo
-A RH-Firewall-1-INPUT -p udp -m udp -m state --dport 1863 --state NEW -j ACCEPT
# XBOX360
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 3074 --state NEW -j ACCEPT
# XBOX360
-A RH-Firewall-1-INPUT -p udp -m udp -m state --dport 3074 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 3128 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 443 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp -m state --dport 443 --state NEW -j ACCEPT
# XBOX360
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 53 --state NEW -j ACCEPT
# XBOX360
-A RH-Firewall-1-INPUT -p udp -m udp -m state --dport 53 --state NEW -j ACCEPT
# XBOX360
-A RH-Firewall-1-INPUT -p udp -m udp -m state --dport 88 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 25 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT
# Gmail pop3
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 995 --state NEW -j ACCEPT
# Gmail smtp
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 587 --state NEW -j ACCEPT
# Gmail smtp
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 465 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p udp -m udp -s 10.15.0.0/24 -d 10.0.0.15/32 -i tun0 --dport 53 -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]
:REDXBOX360 - [0:0]
OSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed

desde ja Obrigado

Responder Citar
- #38 escrito por Nerd 7 meses atrás
  
  djtornados,
  Parece que você está se perdendo nos endereços IP's para as regras iptables.
  
  Você vai precisar ajustar a regra que permite acesso da rede externa (eth0) para o OpenVPN:
  No lugar de
  iptables -A INPUT -i eth0 -d 10.0.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT
  
  Use
  iptables -A INPUT -i eth0 -d 192.168.0.180/32 -p udp -m udp --dport 1194 -j ACCEPT
  
  Além disso, se quiser acesso ilimitado da OpenVPN para qualquer máquina interna e externa e também ao firewall, coloque a seguinte regra:
  
  iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -j ACCEPT
  
  Já vi que tem essa regra no seu iptables.
  Use-a somente para testar e se estiver tudo funcionando, coloque regras permitindo somente acesso para aquilo que deseja.
  A regra acima é muito permissiva e portanto insegura.
  
  Nerd.
  
  Responder Citar
  - #39 escrito por djtornados 7 meses atrás
    
    Eu mudei o itables mas continua dando erro veja o log:
    
    Enter Management Password:
    Fri Oct 19 13:48:51 2012 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.10:25341
    Fri Oct 19 13:48:51 2012 Need hold release from management interface, waiting...
    Fri Oct 19 13:48:58 2012 MANAGEMENT: Client connected from [AF_INET]127.0.0.10:25341
    Fri Oct 19 13:48:58 2012 MANAGEMENT: CMD 'state on'
    Fri Oct 19 13:48:58 2012 MANAGEMENT: CMD 'log all on'
    Fri Oct 19 13:48:58 2012 MANAGEMENT: CMD 'hold off'
    Fri Oct 19 13:48:58 2012 MANAGEMENT: CMD 'hold release'
    Fri Oct 19 13:48:58 2012 NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
    Fri Oct 19 13:49:02 2012 MANAGEMENT: CMD 'password [...]'
    Fri Oct 19 13:49:02 2012 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Fri Oct 19 13:49:02 2012 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri Oct 19 13:49:02 2012 MANAGEMENT: >STATE:1350665342,RESOLVE,,,
    Fri Oct 19 13:49:03 2012 UDPv4 link local: [undef]
    Fri Oct 19 13:49:03 2012 UDPv4 link remote: [AF_INET]X.X.X.X:1194
    Fri Oct 19 13:49:03 2012 MANAGEMENT: >STATE:1350665343,WAIT,,,
    Fri Oct 19 13:50:03 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
    Fri Oct 19 13:50:03 2012 TLS Error: TLS handshake failed
    Fri Oct 19 13:50:03 2012 SIGTERM[soft,tls-error] received, process exiting
    Fri Oct 19 13:50:03 2012 MANAGEMENT: >STATE:1350665403,EXITING,tls-error,,
    
    Responder Citar
    - #40 escrito por Nerd 6 meses atrás
      
      djtornados,
      Na verdade o ip de sua interface eth0 é 192.168.0.180, então o correto seria:
      
      iptables -A INPUT -i eth0 -d 192.168.0.180/32 -p udp -m udp --dport 1194 -j ACCEPT
      
      Configure o cliente para se conectar com 192.168.0.180.
      Além disso não esqueça da regra de NAT em seu roteador ADSL para pode se conectar pelo IP da Internet.
      
      Nerd.
      
      Responder Citar
      - #41 escrito por djtornados 6 meses atrás
        
        Opa ogora com esta regra :
        iptables -A INPUT -i eth0 -d 192.168.0.180/32 -p udp -m udp --dport 1194 -j ACCEPT
        conectou agora estou com a mesma situação nos dois servidores conecto mas nao nao vejo nada na rede acho que ainda é no iptables que surra estou tomando
        
        Responder Citar
- #42 escrito por wagner 3 meses atrás
  
  ola me passa o seu arquivo server.conf para eu dar uma olhada
  
  wagner@fioritec.com.br
  
  Responder Citar
#43 escrito por djtornados 6 meses atrás

O gateway default é 192.168.1.1

Responder Citar
- #44 escrito por Nerd 6 meses atrás
  
  djtornados,
  Como o gateway não é o firewall, você tem duas opções:
  1- Fazer um NAT no firewall para que todo o tráfego proveniente da VPN seja enviado com o IP do firewall, ao invés do IP original da VPN.
  iptables -t nat -A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
  iptables -t nat -A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
  
  ou
  
  2- Adicionar rota para a rede VPN no seu gateway default (192.168.1.1):
  route add -net 10.15.0.0 netmask 255.255.255.0 gw 192.168.1.100
  
  Não se esqueça de informar a rota para a rede 192.168.1.0/24 no seu arquivo de configuração do OpenVPN (/etc/openvpn/server.conf)
  A linha 049 deveria ser
  push "route 192.168.1.0 255.255.255.0"
  
  Ajuste também os servidores de DNS nas linhas 55,56 e 57.
  
  Nerd.
  
  Responder Citar
#45 escrito por Murilo (Manaus) 6 meses atrás

Gostaria de PARABENIZA-LO pelo EXCELENTE artigo, digno de um artigo acadêmico!!! Parabéns.

Apresentou a configuração, explicou os parâmetros, cobriu o servidor, cliente linux, cliente Windows e dicas pro Firewall!!... ficou extenso MAS COMPLETO!!! queria que todos os artigos publicados na NET fossem com esta qualidade!

Agradecemos sua colaboração!

Responder Citar
- #46 escrito por Nerd 6 meses atrás
  
  Obrigado pelos elogios Murilo.
  Gostaria de ter maior disponibilidade de tempo para escrever mais artigos. Devagar a gente vai incrementando o blog.
  
  Abraços.
  
  Nerd
  
  Responder Citar
#47 escrito por Wilians Antunes 6 meses atrás

Ajudou muito ... obrigado !!!!

Responder Citar
#48 escrito por Ricardo montenegro 6 meses atrás

Boa tarde, sigo tutorial crio o primeiro usuário e tudo certo, mas depois de um tempo quando vou criar outro cliente dá erro tipo:
/etc/openvpn/bulida-key-pass : 7

Pode me ajudar

Responder Citar
- #49 escrito por Nerd 6 meses atrás
  
  Ricardo,
  Difícil dizer o que pode ser.
  De uma olhada no log (/var/log/openvpn/openvpn.log) para ver se acha alguma informação mais precisa.
  
  Nerd.
  
  Responder Citar
#50 escrito por Gleidson 5 meses atrás

Ao tentar subir o servidor OpenVPN, recebo a seguinte mensagem:

Starting virtual private network daemon: servidor failed!

Abaixo, o registro do log da última tentativa de ativar o servidor:

Tue Nov 20 02:50:27 2012 OpenVPN 2.1.3 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [MH] [PF_INET6] [eurephia] built on Feb 20 2012
Tue Nov 20 02:50:27 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Nov 20 02:50:27 2012 Diffie-Hellman initialized with 1024 bit key
Tue Nov 20 02:50:28 2012 /usr/bin/openssl-vulnkey -q -b 1024 -m
Tue Nov 20 02:50:28 2012 Control Channel Authentication: using '/etc/openvpn/2.0/keys/chave.key' as a OpenVPN static key file
Tue Nov 20 02:50:28 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 20 02:50:28 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Nov 20 02:50:28 2012 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Tue Nov 20 02:50:28 2012 Socket Buffers: R=[112640->131072] S=[112640->131072]
Tue Nov 20 02:50:28 2012 ROUTE default_gateway=10.64.64.64
Tue Nov 20 02:50:28 2012 TUN/TAP device tun0 opened
Tue Nov 20 02:50:28 2012 TUN/TAP TX queue length set to 100
Tue Nov 20 02:50:28 2012 /sbin/ifconfig tun0 10.5.0.1 pointopoint 10.5.0.2 mtu 1500
Tue Nov 20 02:50:28 2012 /sbin/route add -net 10.5.0.0 netmask 255.255.255.0 gw 10.5.0.2
Tue Nov 20 02:50:28 2012 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Tue Nov 20 02:50:28 2012 failed to find GID for group nobody
Tue Nov 20 02:50:28 2012 Exiting
Tue Nov 20 02:50:28 2012 /sbin/route del -net 10.5.0.0 netmask 255.255.255.0
Tue Nov 20 02:50:28 2012 Closing TUN/TAP interface
Tue Nov 20 02:50:28 2012 /sbin/ifconfig tun0 0.0.0.0

Responder Citar
- #51 escrito por Nerd 5 meses atrás
  
  Gleidson,
  Pela mensagem o problema parece estar na inexistência do grupo nobody.
  Tente criá-lo:
  
  groupadd nobody
  
  Qualquer problema é só perguntar.
  
  Nerd.
  
  Responder Citar
  - #52 escrito por Gleidson 5 meses atrás
    
    Exatamente isso, Nerd, com a adição do grupo "nobody" o servidor foi inicializado com sucesso! muito obrigado!
    
    Responder Citar
#53 escrito por jean 5 meses atrás

o meu deu o seguinte erro amigo pode me ajudar? da primeira vez que executei o comando ele rodou normamente mas na hora de gerar o certificado para clientes da o seguinte erro!
root@ubuntu:/home/jean# source /etc/openvpn/vars
bash: /home/jean/whichopensslcnf: Arquivo ou diretÃ³rio nÃ£o encontrado
NOTE: If you run ./clean-all, I will be doing a rm -rf on /home/jean/keys
root@ubuntu:/home/jean# /etc/openvpn/build-key joao_da_silva
/etc/openvpn/build-key: 7: /etc/openvpn/build-key: /home/jean/pkitool: not found
root@ubuntu:/home/jean#

Responder Citar
- #54 escrito por Nerd 5 meses atrás
  
  Jean,
  Tente fazer
  
  cd /etc/openvpn
  
  antes do source /etc/openvpn/vars
  
  Nerd.
  
  Responder Citar
#55 escrito por Allan 5 meses atrás

Nerd, otimo tutorial..

Uma duvida, quando você descreveu o server.conf da VPN você descreve um arquivo
ip.txt, e não descreveu o conteudo do arquivo...

Obrigado.

Responder Citar
- #56 escrito por Nerd 5 meses atrás
  
  Allan,
  Creio que você esteja se referindo ao ipp.txt.
  Este é só um nome de arquivo para o parametro ifconfig-pool-persist.
  Se este parametro estiver definido, um arquivo será criado e para toda nova conexão, o ip atribuido será registrado neste arquivo, assim, numa nova conexão este mesmo ip será novamente atribuido ao cliente.
  É somente uma forma de um mesmo usuário sempre ganhar o mesmo ip na conexão VPN.
  
  Nerd.
  
  Responder Citar
#57 escrito por Allan 5 meses atrás

Nerd,

Agradeço a primeira explicação sobre o ipp.txt.

Gostaria de saber se você pode me ajudar com este log:

Thu Nov 29 13:54:17 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Thu Nov 29 13:54:17 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Nov 29 13:54:17 2012 Diffie-Hellman initialized with 1024 bit key
Thu Nov 29 13:54:17 2012 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Thu Nov 29 13:54:17 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 29 13:54:17 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 29 13:54:17 2012 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Nov 29 13:54:17 2012 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Nov 29 13:54:17 2012 TCP/UDP: Socket bind failed on local address [AF_INET]10.0.0.1:1194: Cannot assign requested address
Thu Nov 29 13:54:17 2012 Exiting
Thu Nov 29 14:08:38 2012 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Mar 30 2012
Thu Nov 29 14:08:38 2012 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Thu Nov 29 14:08:38 2012 Diffie-Hellman initialized with 1024 bit key
Thu Nov 29 14:08:38 2012 Control Channel Authentication: using '/etc/openvpn/keys/ta.key' as a OpenVPN static key file
Thu Nov 29 14:08:38 2012 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 29 14:08:38 2012 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Thu Nov 29 14:08:38 2012 TLS-Auth MTU parms [ L:1558 D:166 EF:66 EB:0 ET:0 EL:0 ]
Thu Nov 29 14:08:38 2012 Socket Buffers: R=[163840->131072] S=[163840->131072]
Thu Nov 29 14:08:38 2012 TCP/UDP: Socket bind failed on local address [AF_INET]10.0.0.1:1194: Cannot assign requested address
Thu Nov 29 14:08:38 2012 Exiting

A minha grande duvida é que sempre que configurei o OPENVPN sempre setei o ip
da conecção TUN no arquivo serve.com e nesta explicação já estamos realizando diferente.

Responder Citar
#58 escrito por Fabio 5 meses atrás

Amigo , o seu tutorial ficou mto bom. Uma dúvida : Como faco para que todo o trafego da maquina cliente , seja enviaado atraves do tunel criado pela vpn. exempo: Navegar na internet na maquina do cliente sai com o Ip da VPN ? Aba

Responder Citar
- #59 escrito por Nerd 5 meses atrás
  
  Fabio,
  Conforme descrito no item 3 do tutorial (http://blogdonerd.com.br/2012/06/openvpn-servidor-ubuntu-e-clientes-windows-e-linux/#passo3), coloque a seguinte linha no seu /etc/openvpn/server.conf
  push "redirect-gateway def1"
  
  Você também vai precisar fazer um NAT MASQUERADE de saída para seus clientes. Algo assim:
  iptables -t nat -A POSTROUTING -s 10.15.0.0/24 -o eth0 -j MASQUERADE
  
  Além disso deve liberar o acesso a Internet para seus clientes. Esse é uma regra libera geral. Talvez deva fazer algo mais restrito.
  iptables -A FORWARD -i tun0 -s 10.15.0.0/24 -o eth0 -j ACCEPT
  
  Nerd.
  
  Responder Citar
#60 escrito por gleidson 5 meses atrás

Olá Nerd,

Estou com um servidor OpenVPN devidamente configurado e operante; inclusive a interface "tun" foi criada. No entanto, quando um cliente tenta se conectar, ocorre algum problema com a autenticação com a chave simétrica TLS. Abaixo está reproduzido o log da última tentativa de conexão:

Sat Dec 1 22:58:03 2012 us=290215 OpenVPN 2.2.1 i686-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Oct 8 2012
Sat Dec 1 22:58:03 2012 us=291581 NOTE: your local LAN uses the extremely common subnet address 192.168.0.x or 192.168.1.x. Be aware that this might create routing conflicts if you connect to the VPN server from public locations such as internet cafes that use the same subnet.
Sat Dec 1 22:58:03 2012 us=291672 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Dec 1 22:58:03 2012 us=299876 Diffie-Hellman initialized with 1024 bit key
Sat Dec 1 22:58:03 2012 us=303550 WARNING: file '/etc/openvpn/keys/secret.key' is group or others accessible
Sat Dec 1 22:58:03 2012 us=303597 Control Channel Authentication: using '/etc/openvpn/keys/secret.key' as a OpenVPN static key file
Sat Dec 1 22:58:03 2012 us=303672 Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 1 22:58:03 2012 us=303722 Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Dec 1 22:58:03 2012 us=303905 TLS-Auth MTU parms [ L:1542 D:166 EF:66 EB:0 ET:0 EL:0 ]
Sat Dec 1 22:58:03 2012 us=304092 Socket Buffers: R=[163840->131072] S=[163840->131072]
Sat Dec 1 22:58:03 2012 us=304925 ROUTE default_gateway=192.168.0.1
Sat Dec 1 22:58:03 2012 us=313694 TUN/TAP device tun0 opened
Sat Dec 1 22:58:03 2012 us=313872 TUN/TAP TX queue length set to 100
Sat Dec 1 22:58:03 2012 us=313969 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Dec 1 22:58:03 2012 us=314104 /sbin/ifconfig tun0 10.25.0.1 pointopoint 10.25.0.2 mtu 1500
Sat Dec 1 22:58:03 2012 us=365618 /sbin/route add -net 10.25.0.0 netmask 255.255.255.0 gw 10.25.0.2
Sat Dec 1 22:58:03 2012 us=403741 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Dec 1 22:58:03 2012 us=414240 UDPv4 link local (bound): [undef]
Sat Dec 1 22:58:03 2012 us=415448 UDPv4 link remote: [undef]
Sat Dec 1 22:58:03 2012 us=415762 MULTI: multi_init called, r=256 v=256
Sat Dec 1 22:58:03 2012 us=430411 IFCONFIG POOL: base=10.25.0.4 size=62, ipv6=0
Sat Dec 1 22:58:03 2012 us=430590 IFCONFIG POOL LIST
Sat Dec 1 22:58:03 2012 us=431090 Initialization Sequence Completed
Sat Dec 1 22:58:05 2012 us=286692 Authenticate/Decrypt packet error: packet HMAC authentication failed
Sat Dec 1 22:58:05 2012 us=287369 TLS Error: incoming packet authentication failed from [AF_INET]187.122.90.182:47310
Sat Dec 1 22:58:13 2012 us=932964 Authenticate/Decrypt packet error: packet HMAC authentication failed
Sat Dec 1 22:58:13 2012 us=933353 TLS Error: incoming packet authentication failed from [AF_INET]187.122.90.182:47310
Sat Dec 1 22:59:54 2012 us=189977 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]187.122.90.182:36096
Sat Dec 1 22:59:56 2012 us=607391 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]187.122.90.182:36096
Sat Dec 1 23:00:00 2012 us=227384 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]187.122.90.182:36096
Sat Dec 1 23:00:08 2012 us=781460 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]187.122.90.182:36096
Sat Dec 1 23:00:24 2012 us=767423 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]187.122.90.182:36096

Responder Citar
- #61 escrito por Nerd 5 meses atrás
  
  Gleidson,
  Dificil dizer o que está errado.
  Tem um warning avisando sobre erro de pemissão no '/etc/openvpn/keys/secret.key'. Creio que isso não deva causar nenhum problema, mas convém corrigir.
  De uma revisado no conf e nos logs do cliente. Pode ser que tenha alguma coisa errada lá.
  
  Nerd.
  
  Responder Citar
#62 escrito por David Coelho 4 meses atrás

Valeu cara !!! consegui configurar minha VPN com tua ajuda. Obridago

Responder Citar
- #63 escrito por Nerd 4 meses atrás
  
  Legal David!
  Se tiver alguma dúvida é só perguntar.
  Abraços e ótimo 2013.
  
  Nerd.
  
  Responder Citar
#64 escrito por Ricardo 4 meses atrás

Nerd,

O Open VPN não conecta e apresenta o seguinte erro:

Fri Dec 28 17:42:26 2012 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Fri Dec 28 17:42:26 2012 TLS Error: TLS handshake failed

O que pode ser ?

Obrigado,

Ricardo

Responder Citar
- #65 escrito por Nerd 4 meses atrás
  
  Ricardo,
  Pode ser muita coisa. Desde o serviço não inicializado, firewall, até erro de geração dos certificados.
  
  Nerd.
  
  Responder Citar
#66 escrito por Jorge Fernandes 4 meses atrás

Boa tarde Nerd,

Eu estou com o OPENVPN instalado e configurado, consigo me conectar ao cliente, mas não consigo me conectar nos servidores. Me disseram que poderia ser problema de firewall, aí eu desabilitei, mas continuou. Saberia me ajudar?

O erro do arquivo de logs é o seguinte: "Wed Jan 16 17:29:36 2013 ROUTE: route addition failed using CreateIpForwardEntry: Um ou mais argumentos não estão corretos. [if_index=23]"

Desde já, muito obrigado!

Responder Citar
- #67 escrito por Nerd 4 meses atrás
  
  Jorge,
  Pode ser que exista algum problema em seu server.conf
  Você ajustou a linha 'push "route 10.0.0.0 255.0.0.0"' para refletir a realidade de sua rede?
  
  Nerd.
  
  Responder Citar
#68 escrito por wagner 3 meses atrás

ola estou com um problema nao estou conseguindo fazer o serviço subir

minha eth0 192.168.1.1 internet
minhA ETH1 192.168.0.1 LOCAL

COMO CONFIGURO O SERVER.COMF PARA ELE CRIARA tun0

Responder Citar
- #69 escrito por Nerd 2 meses atrás
  
  Wagner,
  De uma olhada nos logs.
  A reposta para seus problemas pode estar lá.
  
  Nerd.
  
  Responder Citar
#70 escrito por greyson 1 mês atrás

Nerd sobre a rede atras do servidor acessar a rede lan do cliente escrevi um post que espero poder ajudar a alguem que tenha passado por issohttp://softwarelivre-ac.org/areas/geral/65-servidores/193-openvpn-acessando-a-rede-local-do-lado-cliente-da-vpn.html

Responder Citar
- #71 escrito por Nerd 1 mês atrás
  
  Valeu pela contribuição greyson!
  
  Responder Citar
#72 escrito por Vinícius Ribeiro 3 semanas atrás

Nerd, a máscara utilizada é 255.255.255.0, mas porque no tun0 aparece 255.255.255.255?
E nos clientes conectados 255.255.255.252?

Obrigado.

Responder Citar
- #73 escrito por Nerd 2 semanas atrás
  
  Vinícius,
  O tun0 é um túnel virtual e não uma rede completa. Ele é o elo de ligação com a rede que irá criar, que pode usar a máscara que desejar (255.255.2255.0 no exemplo), dependendo do número de clientes que pretende conectar.
  Cada cliente fará um túnel dedicado, com máscara (255.255.255.252), deixando um endereço para o host local, outro para o endereço do servidor openvpn, um para broadcast e outra para endereço de rede.
  Cada cliente conectado pode ou não conversar entre si, dependendo da configuração que fizer.
  Qualquer dúvida é só comentar.
  
  Nerd.
  
  Responder Citar
#74 escrito por Vinícius Ribeiro 3 semanas atrás

E a máscara não teria que ser 255.0.0.0?
Sou um pouco leigo no assunto...

Obrigado.

Responder Citar
- #75 escrito por Nerd 2 semanas atrás
  
  Vinícius,
  Você pode usar a mascara que desejar. Vai depender do número de clientes que prevê para sua rede.
  Lembre-se que cada cliente usará 4 endereços de rede e a máscara 255.255.255.0 lhe fornece 256 endereços distintos, permitindo 64 clientes simultâneos no máximo.
  Com a máscara 255.0.0.0 você terá 16 milhões de endereços, permitindo 2 milhões de clientes simultâneos.
  Creio que você não tenha 2 milhões de clientes, muito menos o hardware utilizado será capaz de manipular este número de conexões simultâneas.
  
  Nerd.
  
  Responder Citar
#76 escrito por Carlos 1 semana atrás

opa! So vim agradecer, usei seu post para estudo e esta funcionando, vim agradecer...
Uma coisa estou tentando fixar ip para um certo certificado, exemplo, filia01 sempre vai pegar o ip "x" estou tentando usar a opção,

client-config-dir ccd
Agora colocar os arquivos de configuração especial no CCD subdiretório para definir o endereço IP fixo para cada cliente VPN não-Funcionário.

ccd/sysadmin1

ifconfig-push 10.8.1.1 10.8.1.2
(link http://openvpn.net/index.php/open-source/documentation/howto.html)

Porém ainda não consegui vou tentando hehe
Mas obrigado

Responder Citar
- #77 escrito por Carlos 1 semana atrás
  
  Já respondendo, pelo que vi para o windows que usa TAP(que ao meu ver ,é muito inferior ao TUN, pois uma é layer 2 e outro layer 3) para funcionar tem que ser um /30 forra disso não funciona....
  
  Abraço
  
  Responder Citar
  - #78 escrito por Nerd 1 semana atrás
    
    Carlos,
    Sim as conexões são realizadas ponto-a-ponto entre o cliente e o servidor, numa rede /30.
    Mas isso não é problema para fixar o ip.
    Utilizo ip fixo em diversas conexões, para poder fazer regras de firewall específicas para cada cliente, e funciona perfeitamente.
    
    Nerd.
    
    Responder Citar
- #79 escrito por Nerd 1 semana atrás
  
  Carlos,
  Precisa da diretiva client-config-dir como você fez e colocar um arquivo personalizado para cada usuário no diretório definido.
  O nome do arquivo deve seguir o nome do usuário e seu conteúdo é simplesmente a linha ifconfig-push como mencionou.
  Não tem muito segredo.
  De uma olhada no log, tanto do cliente quanto do servidor no momento da conexão.
  Verifique também se está utilizando a diretiva ifconfig-pool-persist, e em caso positivo se o ip para o host que deseja fixar o ip já não está no arquivo indicado pela diretiva. O ideal é que não esteja.
  
  Nerd.
  
  Responder Citar
#80 escrito por Leonardo Noshi 4 dias atrás

Bom dia, vi o post e gostei muito atualmente uso como Gateway o Untangle que já possui o Open Vpn integrado, mas ele é aparentemente diferente, sabe me dizer se o tutorial também é aplicável para este?
Abraços.

Responder Citar
- #81 escrito por Nerd 4 dias atrás
  
  Leonadro,
  Não conheço o Untangle.
  Se ele possuir uma versão padrão do OpenVPN deve funcionar sem problemas.
  Sugiro testar e nos avisar se deu certo.
  
  Nerd.
  
  Responder Citar
#82 escrito por W@ly-k 2 dias atrás

Boa tarde!
após vários testes e quebradas de cabeça, consegui estabelecer uma VPN através deste tutorial.
Sou novato no assunto e gostaria de saber se é possível o cenário que estou pretendendo fazer: Estou simulando 2 redes que serão interligadas pela VPN.
- 1º rede local da matriz - 192.168.0.0/24 contém um linux(servidor proxy, firewall e servidor da VPN com ip tun0-10.1.1.1) e possui uma interface direto na internet.
- 2º rede local da filial - 10.15.15.0/24 contém um linux(servidor proxy, firewall. CLIENTE da VPN com ip tun0-10.1.1.6).
Esse linux da 2º rede ao se conectar na VPN consegue acessar os micros da rede da matriz normalmente. O que eu quero é aproveitar essa conexão e fazer os micros atrás desse proxy/firewal da filial, enxergarem a rede da matriz. Há a possibilidade?
Ou todo micro que eu quero que veja a rede da matriz tem que criar uma nova conexão?

Responder Citar
- #83 escrito por Nerd 2 dias atrás
  
  W@ly-k,
  Pode aproveitar a conexão sim.
  Você vai precisar:
  1- Liberar regras nos firewalls para permitir essa conexão. Sugiro começar liberando geral (Tudo da rede local para a interface tun0 e vice-versa)
  2- Colocar rotas nos firewalls para as redes em questão.
  Ex: Firewall da rede 1: route add -net 10.15.15.0 netmask 255.255.255.0 gw 10.1.1.6 dev tun0
  Firewall da rede 2: route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.5 dev tun0
  
  Como o OpenVPN cria uma rede /30 para cada conexão, creio que o IP da conexão para o firewall da rede 1 seja 10.1.1.5.
  Se os firewalls não forem o default gateway de cada rede, dai tem que adicionar as rotas também nestes equipamentos.
  Qualquer dúvida é só perguntar.
  
  Nerd.
  
  Responder Citar
  - #84 escrito por W@ly-k 2 dias atrás
    
    Nerd,
    você me disse para adicionar as rotas:
    Firewall da rede 1: route add -net 10.15.15.0 netmask 255.255.255.0 gw 10.1.1.6 dev tun0
    Firewall da rede 2: route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.5 dev tun0
    No FIREWALL da rede 2 foi adicionada normalmente e consigo pingar a rede 1 mas somente diretamente no firewall, os clientes por trás desse não acessam a rede 1.
    No FIREWALL da rede 1 quando tento adicionar da forma que vc informou da um erro de "Processo inexistente". Nesse caso não seria o gw 10.1.1.2 que eu deveria informar? Mas já adianto que fiz dessa forma e continuo sem sucesso.
    
    Informações da rede:
    MATRIZ: Rede local - 192.168.0.0/24 | GW 192.168.0.10 (Linux1 que é o servidor openvpn, iptables e squid) IPs da VPN (tun0 10.1.1.1 PaP 10.1.1.2) IP da eth0 192.168.2.50 (interface da internet) | Roteador da operadora 192.168.2.1 o que está ligado na eth0 do linux.
    
    FILIAL: Rede local - 10.15.15.0/24 | GW 10.15.15.1 (Linux2 que é o servidor iptables, squid / cliente da VPN da matriz) IPs da VPN (tun0 10.1.1.6 PaP 10.1.1.5) IP da eth0 192.168.3.10 (interface da internet) | Roteador da operadora 192.168.3.1 o que está ligado na eth0 do linux.
    
    OBS: os iptables estão com todas as regras liberadas para teste.
    Estou simulando esse ambiente para colocar em prática posteriormente, por isso estou usando maq virtuais. Como tenho dois links de internet coloquei os Linux em operadoras diferentes. O roteador do Linux1 está redirecionando a porta 1194 UDP para esse Linux.
    O Linux2 que é o cliente está chamando a VPN pelo IP da operadora do Linux1 e a VPN conecta normalmente, porém os micros que estão atrás do linux2 não conseguem nem pingar os micros da rede1 e nem o IP 10.1.1.1 que é do linux1 (servidor da VPN).
    O que notei também é que o linux1 (servidor da VPN) não consegue pingar a rede local 2 nem se eu adicionar a rota: route add -net 10.15.15.0 netmask 255.255.255.0 gw 10.1.1.2 dev tun0
    
    Caso tenha ficado confuso pode perguntar pois estou muito empenhado em realizar esse projeto.
    Desde já agradeço a disposição e empenho.
    
    Responder Citar
    - #85 escrito por Nerd 1 dia atrás
      
      W@ly-k,
      Os sintomas parecem ser típicos de problemas de rotas.
      Com relação ao gateway para o firewall 2 (cliente da VPN e que tem rede local 10.15.15.0), o correto é informar que a outra rede (192.168.0.0/24) é acessível pelo endereço do P-t-P (ifconfig tun0 para verificar). Parece ser 10.1.1.6 no seu caso
      route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.6 dev tun0
      
      Se você utilizou a opção push route no conf do openvpn pode ser que essa rota já foi adicionada quando a vpn foi fechada. De uma verificada na tabela de rotas (route -n)
      
      No caso do firewall 1, que é o servidor da VPN, o gateway é o endereço do PaP, que parece ser 10.1.1.2 no seu caso.
      route add -net 10.15.15.0 netmask 255.255.255.0 gw 10.1.1.2 dev tun0
      
      Qual o default gateway das estações? Se for o firewall de cada rede, então deveria funcionar somente adicionando as rotas.
      Se o default gateway não for o firewall, então vai ser necessário colocar uma regra de NAT Masquerade para os pacotes provenientes da VPN e destinados a rede interna.
      
      Sugiro fazer testes utilizando traceroute e também com tcpdump no firewall. Assim dá para saber se os pacotes estão chegando e passando para as interfaces corretas.
      Utilize a opção -i do tcpdump para exibir os pacotes de uma interface específica.
      Por exemplo: coloque um ping de uma rede para outra e monitore com: tcpdump -i tun0 -n | grep 10.15.15.34
      O tcpdump é bem poderoso é dá para fazer filtros mais complexos, mas creio que com o teste sugerido já dá para matar a charada.
      Publique aqui qual foi o resultado.
      
      Nerd.
      
      Responder Citar
      - #86 escrito por W@ly-k 1 hora atrás
        
        Nerd,
        depois de suas dicas e de muita quebrada de cabeça, finalmente consegui.
        O que você havia me dito acima realmente é necessário mas o openvpn também deve criar a rota para a rede do cliente, no meu caso 10.15.15.0/24.
        Essas rotas que você me informou são criadas no kernel, e pelo o que eu entendi, esse não consegue controlar os pacotes que vem da VPN por estarem criptografados. Por isso a necessidade do openvpn criar uma rota própria.
        
        Segui esse tutorial escrito pelo Greyson informado anteriormente e funcionou:
        http://softwarelivre-ac.org/areas/geral/65-servidores/193-openvpn-acessando-a-rede-local-do-lado-cliente-da-vpn.html
        
        Agradeço o excelente tutorial criado, a disposição e empenho de sua parte e do Greyson também.
        
        Responder Citar
#87 escrito por Nerd 9 meses atrás

Greyson,
É isso mesmo. As duas formas são corretas. Pode-se deixar sem explicitar a mascara para um único host ou utilizar a mascara /32. As duas formas irão ter exatamente o mesmo objetivo.
Abraços.

Nerd.

Responder Citar
#88 escrito por Nerd 6 meses atrás

djtornados,
Seu problema parece ser de NAT ou roteamento. As maquinas de sua rede e seu roteador ADSL não conhecem a rede VPN.
Há varias formas de se resolver isso. Quem é o gateway default de sua rede?
Você pode colocar rotas neste gateway. Ou fazer alguns nats no firewall.

Nerd.

Responder Citar
Digite seu comentário
Você pode utilizar estas tags HTML: <a> <abbr> <acronym> <b> <blockquote> <cite> <code> <del> <em> <i> <pre> <q> <strike> <strong>

Notique-me via e-mail sobre alterações nos comentários desta página.
Feed RSS de comentários para este artigo