| VPN em Linux com OpenVPN
|
guilhermerezende
04/06/2005 |
Esse é um exemplo
totalmente prático para implementação de uma
segurança a mais para qualquer tipo de rede,
usando o OpenVPN como uma solução simples,
segura e um benefício a mais para interligação
de redes distantes, sendo estas, localizadas na
internet. |
| Por: Guilherme Rezende de Almeida
|
[ Hits: 197641
] |
|
| | | |
|
|
|
Configuração da Matriz
Configurando nossa VPN na
Matriz:
O OpenVPN pode operar com 3
tipos de criptografia. Nenhuma criptografia
(apenas o túnel), criptografia com chaves
estáticas e no modo TLS, em que as chaves são
trocadas periodicamente. No nosso exemplo,
usaremos criptografia com chaves estáticas.
1 - Execute os seguintes comandos:
# mkdir /etc/openvpn
Criamos o diretório onde estarão todos
os arquivos de configuração.
#
openvpn --genkey -secret /etc/openvpn/chave
Foi gerada uma chave de criptografia com
o nome de chave (pode ser qualquer nome de
arquivo) dentro do diretório /etc/openvpn.
# cat /etc/openvpn/chave
Só para visualizarmos o conteúdo da
chave que geramos.
# touch
/etc/openvpn/matriz.conf
Crie esse
arquivo com o seguinte conteúdo:
|
# Usar como
interface o driver TUN
dev tun
# 10.0.0.1 ip que será
assumido na matriz
# 10.0.0.2 ip remoto, ou seja,
esse será o ip da filial
ifconfig
10.0.0.1 10.0.0.2
#
Entra no diretório onde se encontram os arquivos
de configuração
cd /etc/openvpn
# Indica que esse túnel
possui uma chave de
criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por
padrão.
# Cada
túnel do OpenVPN deve usar
# uma porta
diferente.
# O
padrão é a porta 5000
port 5000
# Usuário que rodará o
daemon do OpenVPN
user nobody
# Grupo que rodará o
daemon do OpenVPN
group nobody
Usa a biblioteca
lzo
comp-lzo
#
Envia um ping via UDP para a
parte
# remota a
cada 15 segundos para manter
# a conexão de pé em firewall
statefull
# Muito
recomendado, mesmo se você não
usa
# um firewall
baseado em statefull.
ping 15
# Nível de
log
verb 3 |
Em seguida, vamos iniciar
a conexão no servidor, faltando apenas
configurar a filial. Execute o seguinte comando
no servidor da Matriz:
# openvpn
--config /etc/openvpn/matriz.conf -daemon
#
ifconfig tun0 tun0 Link encap:Point-to-Point Protocol
inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1255 Metric:1
RX packets:1383257 errors:0 dropped:0 overruns:0 frame:0
TX packets:1144968 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:82865921 (79.0 Mb) TX bytes:383951667 (366.1 Mb)
Se aparecer algo assim ou parecido, o
túnel na Matriz já está pronto e a espera da
conexão da filial.
|
|
|
1.
Introdução
2.
Instalação
3.
Configuração da Matriz
4.
Configuração
da Filial
5. Adicionando
rotas
 Configurando
logout automático para conta
root
Como
assinar digitalmente um documento criado no
Br/OpenOffice
PaX:
Solução eficiente para segurança em
Linux
Ubuntu
pendrive TrueCrypt
Implementação
de um sistema de arquivos criptografado
transparente ao usuário
|
|
|
Comentário enviado por fabio
em 04/06/2005 - 13:50h:
Belo artigo, foi
para minha pastinha + Favoritos
:)
[]'s,
Fábio
|
|
|
Comentário enviado por tucs
em 04/06/2005 - 16:53h:
Belo artigo,
parabens.
Eduardo Assis.
|
|
|
Comentário enviado por unistd
em 04/06/2005 - 19:18h:
Só uma coisa...
está faltando um "-" no parâmetro -secret no
comando 'openvpn --genkey -secret
/etc/openvpn/chave', ele ficaria da seguinte
forma:
# openvpn --genkey --secret
/etc/openvpn/chave
|
|
|
Comentário enviado por +JC+
em 04/06/2005 - 23:23h:
show, vo testar
no meu novo projeto
|
|
|
Comentário enviado por lcrdias
em 05/06/2005 - 09:05h:
Muito bem
explicado...nota 10
|
|
|
Comentário enviado por peregrino
em 05/06/2005 - 17:12h:
opa gostaria de
saber sobre o openldap x o openswan que seria a
continuidade do freeswan que foi descontinuado
queria saber qual seia a melhor opção e porque
|
|
|
Comentário enviado por patrickbrandao
em 05/06/2005 - 17:31h:
Muito bom o
artigo!
Tive o prazer de ler o beta e é
bom ver que vc ja terminou!
continue
assim.
Patrick Brandão
|
|
|
Comentário enviado por darvin
denmian em 05/06/2005 - 21:02h:
Parabéns pelo artigo ... de forma clara,
prática e fácil vc conseguiu explicar um tema
algumas vezes tido como "cabeludo"...
hahah
Parabens...
|
|
|
Comentário enviado por y2h4ck
em 05/06/2005 - 22:47h:
Caro
peregrino
OpenLDAP nao e um protocolo para
VPNs e sim um controlador para gerenciamento de
Diretorios.
:)
|
|
|
Comentário enviado por guilhermerezende
em 06/06/2005 - 22:14h:
Caro peregrino,
não cheguei usar o openswan e o openldap até
onde sei não se enquadra em projeto de VPN, ou
até mesmo alguma ligação com alguma ferramenta
de VPN. O OpenVPN para mim é a melhor solução de
VPN para Linux. Ja o Ipsec segue normas em
projetos de VPN e é muito ultizado para vc fazer
VPN entre servidores Linux e roteadores que
prove serviços de VPN. Recentemente tive que
ingressar um servidor Linux em uma VPN em São
Paulo, sendo que tive que estabelecer conexão de
VPN com um roteador cisco. Nesse caso tive que
ultilizar o protocolo Ipsec.
|
|
|
Comentário enviado por xleonardox
em 07/06/2005 - 10:38h:
Oi guilherme.
Você está de parabéns pela forma didática com
que escreveu seu tutorial. Eu já havia
implementado aqui uma solução semelhante entre 2
servidores linux (inclusive consegui bom
funcionamento entre implementações empacotadas
para diferentes distros - no caso Fedora Core 2
e Conectiva).
A dúvida na verdade tem a
ver com uma situação específica de uma máquina
remota rodando Windows XP precisando ter acesso
à rede privada (o que nos tempos do FreeSWAN era
conhecido como "road warrior") por trás de 1
desses servidores que comentei acima. Eu teria
então 2 servidores falando-se entre si (com 2
redes por trás), e mais 1 máquina Windows
acessando um desses servidores. Andei
pesquisando este site (http://openvpn.se/),
e vou começar a fazer alguns testes. Você por
acaso teria alguma experiência nesta área? Ou
mesmo alguns dos colegas que acessa o VOL?
Qualquer sugestão de tutorial, howto ou site
informativo seria muito bem vindo.
|
|
|
Comentário enviado por Bique
em 08/06/2005 - 10:15h:
Beleza...Parabens pelo artigo e um
abracao do outro canto do Mundo em
Mocambique---Kanimambo(obrigado) na lingua do
meu Pais
|
|
|
Comentário enviado por integra
em 09/06/2005 - 23:07h:
Caro Guilherme,
Faço dos comentarios positivos dos
colegas os meus. Fantastico, pois ja alguns dias
estava tentando criar uma vpn com o freeswan e
sem sucesso. Voce tem alguma dica pra me dar
para que eu consiga enxergar todas as maquinas
das 2 redes via ambiente de rede do windows.
Desde já agradeço
Att.
Marinaldo F. Franca
|
|
|
Comentário enviado por flaviotux
em 08/10/2005 - 10:26h:
Caro
Guilherme,
Parabéns pelo artigo.
Eu
tenho uma dúvida.
Quanto você pede para ditar
o comando abaixo, você está pegando conf
"matriz.conf" que você deu mastigado,
ok?
#openvpn --config
/etc/openvpn/matriz.conf --daemon
Pelo
seu artigo, iremos criar uma VPN pela rede
interna, certo?
Agora, se eu quizer
estabelecer uma VPN de minha casa por link ADSL
com a minha empresa. Como você me
orientaria?
Um abraço,
Flávio Roberto
|
|
|
Comentário enviado por guilhermerezende
em 10/10/2005 - 14:17h:
Caro Roberto, o
exemplo usado no artigo foi baseado em duas
conexöes ADSL. O artigo tem como propósito a
interligacao de duas redes internas de um
hipotético exeplo(matriz filial). A artigo trata
exatamente o que voce quer fazer. Leia com
atencao
Abs.....
|
|
|
Comentário enviado por tuxlinuxbr2
em 19/10/2005 - 09:02h:
como faço p/
adicionar rotas usando o cliente openvpn para
windows?
|
|
|
Comentário enviado por guilhermerezende
em 19/10/2005 - 09:38h:
Eis um exemplo
de configuração de um arquivo e configuração de
um clientes Windows. Lembrando que a rede remota
no qual o cliente windows quer acessar é
192.168.0.0/24.
dev tun
remote
200.x.x.x
ifconfig 10.10.10.2
10.10.10.1
route 192.168.0.0 255.255.255.0
10.10.10.1
secret chave
port 5006
ping
15
verb 3
|
|
|
Comentário enviado por jonathanrock
em 19/10/2005 - 18:34h:
Cara, show de
bola seu artigo, mas fiquei com uma
duvida..
para as maquinas da rede matriz
"enxergarem" as maquinas da rede filial.. basta
adicionar como gateway nas maquinas da rede
matriz o ip do servidor matriz ?? e vice-versa
??
Abraços
Jonathan Roque
|
|
|
Comentário enviado por xevandro
em 25/11/2005 - 10:03h:
Estou com um
problema, a VPN nao levanta após o
comando:
#openvpn --config
/etc/openvpn/matriz.conf --daemon
Estou
usando o Debian Sarg.
Abraços
Evandro
Silva
|
|
|
Comentário enviado por eddiepreto
em 26/11/2005 - 03:05h:
Amigo Evandro,
Boa Noite. Acabei de seguir o artigo; que vale
ser MUUUITO ELOGIADO, pois está perfeito e me
deu o caminho das pedras sem problemas;e tive o
mesmo problema que você. Analizando o problema
cheguei ao seguinte:
Sat Nov 26 05:37:09 2005
failed to find GID for group nobody
Sat Nov
26 05:37:09 2005 Exiting
Para solucionar isso
apenas dei o seguinte comando: #groupadd nobody
Funcionou, continuei o artigo e
"milagrosamente as duas redes estão quase se
falando". Digo quase pois estou achando apenas o
ip dos clientes da vpn o restante da rede ainda
não...mas tenho toda a madrugada para descobrir
o que acontece. Quando descubrir postarei aqui
também.
Obrigado ao Guilherme pelo
artigo.
|
|
|
Comentário enviado por xevandro
em 26/11/2005 - 15:09h:
Valew
Eddiepreto, acabei resolvendo o problema usando
o conectiva 10, inclusive fiz um script que
automatiza quase toda a instalação, depois que
estivere tudo certinho postarei aqui o script.
|
|
|
Comentário enviado por fcmelo
em 02/12/2005 - 16:58h:
Olá Guilherme,
meus parabéns pelo artigo está muito bom, tenho
somente uma dúvida, como que fica o arquivo de
configuração de Matriz no caso de adicionarmos
mais uma filial nesta topologia?
A VPN
ficaria com a Matriz e 02 Filiais.
Obrigado.
|
|
|
Comentário enviado por marileof
em 09/12/2005 - 10:44h:
Olá Guuilherme,
meus parabéns , você está ajudando muito pessoas
iniciantes como eu. Mais gostaria de saber como
faço para istalar o drive TUN/TAN, pois não sei
onde fica essa opção "Network device Support" no
fedora core 2. Desde de Já agradeço pela força.
|
|
|
Comentário enviado por guilhermerezende
em 12/12/2005 - 10:37h:
Não precisa se
preocupar em compilar kernel no Fedora não. O
drive TUN/TAP ja está por padrão ativo no kernel
do Fedora. Siga em diante com artigo que
consiguirá!!!
|
|
|
Comentário enviado por marileof
em 12/12/2005 - 19:30h:
Olá Amigo, estou
aqui novamente pedindo sua grande ajuda, pois
não estou conseguindo iniciar a conexão ,
apresenta o seguinte erro:
[root@marileo
openvpn]# openvpn --config
/etc/openvpn/matriz.conf
--daemon
Unrecognized option or missing
parameter(s) in /etc/openvpn/matriz.conf:19:
Usa
Use --help for more
information.
[root@marileo
openvpn]#
Também gostaria de saber se não
é necessario incluir uma rota para as redes
remotas?
Também encontrei artigos em outros
sites, não tão bem como o seu artigo mais vale
apena dar uma olhadinha. o site
é:http://www.altoriopreto.com.br/artigos_3rd/howto.html
Muito
obrigado Guilherme.
|
|
|
Comentário enviado por guilhermerezende
em 13/12/2005 - 08:44h:
Caro amigo, seu
arquivo de configuração possui erros. Como vc
pode ver, seu arquivo possui em erro na linha
19, onde possívelmente está usando parâmetros
errados, ou variáveis inexistentes.
|
|
|
Comentário enviado por marileof
em 13/12/2005 - 10:03h:
Obrigado,
copiei o arquivo da pagina,
pois na pagina, a linha 19 estava faltando um #
comentario.
Agora só falta configurar a
filial, quando terminar darei um ok.Desde Já ,
obrigado novamente.
|
|
|
Comentário enviado por marileof
em 13/12/2005 - 20:02h:
olá Guilherme
Consegui configurar tudo conforme no artigo,
chave da matriz para filial,rodar o script tanto
na matriz como na filial. Também adicionei no
script da filial remote e o IP_da_Filial.No
entanto a vpn não funcionou, quer dizer não
pingou nada.
matriz:
[root@marileo /]#
ifconfig tun0
tun0 Encapsulamento do Link:
Protocolo Ponto-a-Ponto
inet end.: 10.0.0.1
P-a-P:10.0.0.2 Masc:255.255.255.255
UP
POINTOPOINT RUNNING NOARP MULTICAST MTU:1255
Métrica:1
RX packets:0 errors:0 dropped:0
overruns:0 frame:0
TX packets:390 errors:0
dropped:0 overruns:0 carrier:0
colisões:0
txqueuelen:10
RX bytes:0 (0.0 b) TX
bytes:32530 (31.7 Kb)
agora a
filial:
[root@casa etc]# ifconfig
tun0
tun0 Encapsulamento do Link: Protocolo
Ponto-a-Ponto
inet end.: 10.0.0.2
P-a-P:10.0.0.1 Masc:255.255.255.255
UP
POINTOPOINT RUNNING NOARP MULTICAST MTU:1255
Métrica:1
RX packets:0 errors:0 dropped:0
overruns:0 frame:0
TX packets:29 errors:0
dropped:0 overruns:0 carrier:0
colisões:0
txqueuelen:10
RX bytes:0 (0.0 b) TX
bytes:2436 (2.3 Kb)
obs: estou usando
duas conexôes adsl -
velox.
Obrigado!!!!!!!
Att: Marileo
Fontenele
|
|
|
Comentário enviado por scavenger
em 14/12/2005 - 19:57h:
Olá guilherme
parabens pelo seu artigo! ele é simples e
direto! .. mas tive um probleminha na minha
VPN.
Depois de tudo configurado quando eu
tento pingar da Filial para matriz me retorna o
seguinte:
PING 10.0.0.1 (10.0.0.1): 56
data bytes
ping: sendto: Operation not
permitted
ping: wrote 10.0.0.1 64 chars,
ret=-1e
e quando eu faço o inverso(da
matraz para a filial) nao me retorna nada! Voce
já passou por isso? sabe o que pode estar
acontecendo .. lembrando que as chaves são as
mesmas .. passadas pelo comando scp, achei que
era permissão de acesso mais tambem nao é =T se
souber o que pode estar acontecido me de um
toque
Abraço!
Rodrigo Spillere
|
|
|
Comentário enviado por demagermani_big
em 17/12/2005 - 20:41h:
Olá Guilherme
Rezende, você de parabéns pelo seu
artigo!
Estava precisando montar uma VPN
e seu artigo foi a luz no fim do
tunel...
Minha VPN está da seguinte
maneira:
Matriz = Link de 2Mb e up de 512kb,
dentro da rede da matriz tenho um servidor onde
esta o banco de dados da empresa e todas as
impressoras (tanto as da matriz quanto as da
filial).
Filial = Link de 1Mb e up de 512kb,
com 3 terminais.
Estou precisando de uma
ajuda no seguinte problema:( na Filial)
-
tem horas do dia que o usuário manda uma
impressão do sistema e não imprime nada. (a
impressão é enviada remotamente pelo servidor da
matriz)
- e os usuários da filial estão
reclamando da "Lentidão do Sistema"(o sistema é
instalado no terminal buscando dados no servidor
Firebird remoto).
- e algumas vezes a vpn
cai, cheguei a trocar de provedor em uma das
empresas.
Andei Pesquisando e me disseram
para instalar algum software de QoS para
garantir banda para as impressoras e para a
VPN.
Encontrei um software e estou testando
CBQ só que tenho a seguinte dúvida:
- para
garantir banda para VPN é so definir banda para
porta que estou usando no ip do roteador? ex:
definir down 512kb e up 400kb no ip
192.168.1.1:5000 ou 10.0.0.1:5000
- ou devo
garantir banda para o servidor principal para a
porta do firebird e/ou como definir banda para
as impressoras???
Estou precisando muito
resolver esse meu problema, sei que você tem
suas obrigações, mas se pudesse me ajudar ou
alguém que estiver lendo essa dúvida....Ficaria
muito Grato!
Desde já agradeço a
Atenção!
Demetrius
Germani
[email protected]
|
|
|
Comentário enviado por guilhermerezende
em 18/12/2005 - 17:20h:
Não sei de sabe,
mas o OpenVPN trabalha em cima do protocolo UDP
no qual se torna difícil uma implementação de
QoS. O que você pode fazer é otimizar parte do
seu link para serviços comuns, deixando o
restante que iria sobrar para o uso da VPN. Um
execelente qdisc para fazer isso é o HTB. Por
isso, esqueça o CBQ e estude o HTB.
|
|
|
Comentário enviado por jmarcosrueda
em 21/12/2005 - 13:33h:
dá uma mensagem
qdo tento rodar
"unrecognized option or
missing parameter(s) in [cmd-line]:1:
d(2.0.5)"
algue´m sabe o qq é ?
|
|
|
Comentário enviado por carlosgustavo
em 07/02/2006 - 13:27h:
O caso é o
seguinte, estou configurando uma VPN com IPs
válidos nas duas pontas. Optei pelo Openvpn,
está funcionando nas duas pontas, ele criou a
interface "tun0" nas 2 pontas como 10.0.2.1 e
10.0.2.2 - Eu consigo pingar as duas interfaces
tranquilamente, esta fase já consegui configurar
o Firewall (que a propósito é a mesma máquina) -
o que eu não consigo é fazer a regra para que o
10.0.2.1 pingue as interfaces da rede
interna(10.0.0.0/24) da outra ponta (10.0.2.2) e
nas estações abaixo da minha Nat pingue a
interface 10.0.2.1 e vice-versa.
Se alguém
puder me auxiliar agradeço.
|
|
|
Comentário enviado por Bique
em 07/02/2006 - 15:46h:
Ao
Gustavo
Para comecar acho que o teu erro esta
no principio antes da VPN isto e, em cada
sub-rede pelo que entendi estas com o mesmo
endereco de cada uma delas e assim o conceito
Routing nao funciona, o que para teres terias de
ter numa rede os enderecos(Rede A- 10.0.2.0,
Rede B-10.0.1.0) por exemplo. A partir dai
provavelmente ja poderas ter a rede como um
unico.
Espero ter-te ajudado.
Um abraco.
|
|
|
Comentário enviado por mardonio
em 14/02/2006 - 19:23h:
Guilherme,
Parabéns pelo artigo.
Quero emplementar está
mesma estrutura em um
cliente e gostaria da sua ajuda para tirar
algumas dúvidas.
Dúvidas:
1)
Como faço para saber o Kernel do sistema já tem
suporte para
TUN/TAP?
2) Após tudo
instalado e funcionando é possível executar
aplicativo
(clipper) que estão no servidor
da matriz em uma estação da filial? e
como
fica a questão da velocidade de acesso, é rápida
ou lenta?
3) É possível implementar isso
no Conectiva Linux 10?
Acho que é só
isso... Muito obrigado pela sua atenção e
aguardo
retorno.
|
|
|
Comentário enviado por scavenger
em 14/02/2006 - 23:56h:
Posso dar minha
colaboração?
1) procure pelo arquivo
if_tun.h (ex. locate if_tun.h) se o arquivo
existir entao seu Kernel tem suporte, voce só
precisa carregar o modulo com o comando
"modprobe tun".
3) É possivel ser
implementado em quarquer Linux e em outros *nix
como por exemplo o FreeBSD.
Espero ter
esclarecido suas duvidas!
[]`s
|
|
|
Comentário enviado por mardonio
em 15/02/2006 - 16:54h:
Beleza!
Obrigado pela atenção
scavenger.
Então posso emplementar o
OpenVPN até mesmo no Debian 3.1? E aonde posso
encontar os *.deb do OpenVNP?
Obrigado
mais uma vez e aguardo qualquer ajuda
complementar.
|
|
|
Comentário enviado por leandrotec
em 16/02/2006 - 15:34h:
Bom sou
iniciante ainda mais ja posso dizer que realmete
é um otimo artigo
E aproveitando , gostaria
de peir uma informação sobre o madrake 10.1
utilizando o openvpn
Funciona ?
Estou com
dificuldades na compilação
|
|
|
Comentário enviado por jgama
em 25/02/2006 - 09:08h:
Amigos,
implantei como teste o openvpn v2 seguindo este
otimo tutorial, mas acho que faltou mais um
detalhe para deixa-lo completo. as regras de
fariwall que terão que incluir no firewall para
liberação da portas UPD.
Pois sabemos que
existem muitas pessoas com vontade de aprender a
lidar com Linux "Sou um exemplo" humanamente é
impossível saber de tudo". no mundo
Linux.
Pegunto quais são as regras de
iptables que liberam a conexão para este tipo de
configuração do openvpn, ouvir dizer que na
versão V2 usa UPD 1194, estou um pouco
confuso.
Abraço
|
|
|
Comentário enviado por joao4linux
em 24/03/2006 - 16:52h:
Olá
Guilherme!
Parabéns pelo material, foi e
é de grande ajuda!
Uma pergunta, você já
utilizou com multiplas conexões de sites
diferentes? Estou tentando fazer isso mais ianda
sem sucesso, ou seja duas filiais conectando
simultaneamente no servidor.
Grande
abraço!
|
|
|
Comentário enviado por joao4linux
em 24/03/2006 - 16:54h:
Ola
mardomio
para instalar no Debian é so
fazer " apt-get install openvpn"
abração!
|
|
|
Comentário enviado por mardonio
em 24/03/2006 - 17:56h:
Beleza
João,
vou tentar e qualquer coisa volto
por aqui...
Obrigado.
|
|
|
Comentário enviado por wandergreison
em 06/04/2006 - 16:32h:
Cara parabéns
pelo artigo,consegui configurar 100% com as
devidas alterações no meu firewall.Só queria
saber se você poderia me ajudar em um aspecto:
Estou querendo diminuir a chave de criptografia
para diminuir o tráfego, mas não estou
conseguindo fazer isso com o atributo -
-keysize. Você pode me ajudar???
|
|
|
Comentário enviado por sluiz
em 14/04/2006 - 17:05h:
Oi Guilherme
muito legal seu artigo. Agora preciso de uma
dica. O que acrescentar para interligar três
filiais à matriz simultaneamente?
|
|
|
Comentário enviado por sribas
em 21/04/2006 - 17:15h:
Grande
artigo!!!! Parabéns pela inciativa, clareza do
texto e explicações. Agora uma dica para quem
teve problemas com o device /dev/net/tun. Caso o
seu sistema não tenha este arquivo de
dispositivo criado por padrão, basta executar os
comandos abaixo para criá-lo:
mkdir
/dev/net/
mknod /dev/net/tun c 10
200
Até mais,
Samuel Ribas
|
|
|
Comentário enviado por mardonio
em 25/04/2006 - 20:22h:
Shoooooooooooooooooow!
Segui o
artigo ao "pé-da-letra" e deu tudo
certinho.
Agora como faço para conectar
mais duas filiais a matriz, dentro dessa
estrutura atual.
Parabéns pelo artigo e
aguardo qualquer orientação.
|
|
|
Comentário enviado por venon_dark
em 26/04/2006 - 11:39h:
Muito bom o
artigo, bem explicado.
É o seguinte, a
consegui criar a VPN na boa, mas não consigo
fazer a lan1 pingar a lan2. Alguém ja teve este
mesmo problema e poderia me
orientar???
Desde já agradeço pela
atenção.
Novamente parabéns pelo
artigo.
Abraço
Rafael
|
|
|
Comentário enviado por guilhermerezende
em 26/04/2006 - 13:47h:
Respondendo ao
usuário mardonio:
Vc deve rodar dois processo
do openvpn no servidor com arquivo de
configuração de cada um diferente. Normalmente
vc vai mudar alguns parâmetros no arquivo como
porta e ip. Na segunda matriz é quase tudo igual
a primeira matriz, com diferença de ip e porta
tbm. Acredito q ja tem comentários sobre esse
assunto aqui no artigo
Abs e espero q
consiga!!1111
|
|
|
Comentário enviado por guilhermerezende
em 26/04/2006 - 13:49h:
Respondendo ao
usuário venon_dark
No seu caso, é
problema de rota!! No artigo eu deixei esse
tópico bem explicado. Da uma lida novamente no
tópico adicionando
rotas!!
Abs
|
|
|
Comentário enviado por mardonio
em 26/04/2006 - 14:53h:
Guilherme,
Acho que entendi o que
você quis dizer. Então quando eu rodar o segundo
processo na matriz aonde já existe um túnel
(tun0) para a filial - 1, vai ser criado um
segundo túnel (tun1) para a filial - 2, é isso
mesmo?
Quanto as configurações acho que da
pra "desenrolar", e em seguida é só criar as
rotas, correto?
Há... Agora se possível
me tive outras dúvidas: por que é que eu não
consigo ver as duas redes no "ambiente de rede"
das estações Windows (Win98 e WinXP)? Configurei
um servidor WINS em ambas as redes, criei as
rotas, tudo certinho, mas as redes não se vêem.
Da pra resolver isso?
Como é que eu instalo
um cliente OpenVPN para aquelas estações (Win98,
WinXP e Linux) que estão fora de ambas as redes
e que necessitam se conectar a
elas?
Muitíssimo obrigado pela sua pronta
atenção e espero que você possa me ajudar mais
uma vez.
|
|
|
Comentário enviado por venon_dark
em 28/04/2006 - 12:21h:
Valeu pela
ajuda.
Funcionou muito bem aqui nos meus
testes, mas na hora de implantar no cliente não
consigo criar o tunel em um dos
servers(slackware - kernel-2.4.22), já
recompilei o kernel com o modulo TUN/TAP, mas
continua não criando o tunel. No outro
server(fedora4 - kernel-2.6.11) está funcionando
perfeitamente). O q pode estar acontecendo??
Alguém pode me dar uma
ajuda.
Abraço
Rafael
|
|
|
Comentário enviado por enioha
em 28/04/2006 - 19:34h:
Parabéns pelo
artigo,
Configurei uma VPN com estes
configurações entre cidades diferentes e IP FIXO
E IP DINAMICO. ESTÁ FUNCIONANDO
REDONDO!!
SHOW DE BOLA... SÃO ESTES
ARTIGOS QUE FAZEM COM QUE O LINUX TOME PODER NO
MUNDO..
|
|
|
Comentário enviado por cedrimendes
em 04/05/2006 - 12:38h:
amigo guilherme
parabens pelo artigo
somente gostaria de
saber mais a respeito das chaves de criptografia
sera que voce conhece um artigo em linguagem
portuguesa que demonstre mais a fundo os
detalhes da OPENVPN que possa me
ajudar
quero aprender mais detalhadamente
[email protected]
|
|
|
Comentário enviado por cefssilva
em 04/05/2006 - 13:59h:
Parabéns pelo
Artigo, show.
Consegui configurar matriz
<=> filial blz.
mais preciso de uma
ajuda
mais agora estou tentando
configurar mais um cliente nessa rede, acho q
nao estou acertando a rota para configurar esse
cliente pra acessar a openvpn da matriz
e a
matriz acessar o cliente
ip da matriz :
200.200.200.201
criei mais um arquivo .conf
no servidor da matriz e subi mais uma vpn, para
esperar a conexao desse novo
cliente
ficou assim na matriz :
tun1 Link encap:Não Especificado
Endereço de HW
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet
end.: 11.0.0.1 P-a-P:11.0.0.2
Masc:255.255.255.255
UP POINTOPOINT RUNNING
NOARP MULTICAST MTU:1500 Métrica:1
RX
packets:0 errors:0 dropped:0 overruns:0
frame:0
TX packets:44 errors:0 dropped:0
overruns:0 carrier:0
colisões:0
txqueuelen:100
RX bytes:0 (0.0 b) TX
bytes:3694 (3.6 KiB)
no o novo
cliente tem somente 1 maq. ligada com um
speedy:
ip do cliente :
200.207.200.200
o arquivo .conf ficou
assim :
dev tun
remote
200.200.200.201
ifconfig 11.0.0.2
11.0.0.1
secret chave
port 5001
ping
15
verb 3
quando executo o
openvpn no windows ele conecta na matriz
reconhece a chave blz,
ele liga a outra
interface TAP criada no ambiente de rede, da pra
ela o ip 11.0.0.2,
mais no sistema da matriz
nao estou sabendo fazer o roteamento para poder
ver a maquina do cliente que esta com
speedy
por favor se alguem puder me
ajudar ?
desde já
agradeço
|
|
|
Comentário enviado por cefssilva
em 09/05/2006 - 22:22h:
Consegui
solucionar o problema do windows,
realmente o
problema era a biblioteca lzo que nao funcionava
com o windows e a rota que estava errada no
arquivo conf da maquina windows
solucao :
comentei a biblioteca no arquivo conf da vpn da
matriz e
o arquivo conf do windows ficou
assim :
dev tun
remote
200.200.200.201
ifconfig 11.0.0.2
11.0.0.1
route 192.168.0.0 netmask
255.255.255.0 11.0.0.1
secret chave
port
5001
ping 15
verb
3
|
|
|
Comentário enviado por dexters
em 11/05/2006 - 23:20h:
Olá guilherme,
parabens pelo artigo, bem explicado, mas estou
tento um probleminha, executei tudo certinho
passo-a-passo mas quando vou executar o comanda
recebo a seguinte mensagem [root@VPNB root]#
ifconfig tun0
tun0: erro obtendo informações
da interface: %s: dispositivo não
encontrado
A versão que estou utilizando do
open openvpn-1.6.0-2mdk.i586.rpm meu kernel
2.6.8.1-12mdk linux mandrake 10.1 oficial, não
sei se preciso compilar o kernel para resolver
isso, se for, peço ajuda de alguem que possa me
explicar como eu poderia fazer
isso...
Agradeço desde já, e mais uma vez
parabens pelo artigo show...
|
|
|
Comentário enviado por guilhermerezende
em 12/05/2006 - 12:48h:
Primeiro tente
instalar o openvpn a partir dos fontes conforme
explicado no aritgo. Vc tbm não precisa tentar
configurar a interface tun0 com ifconfig, pois
quando vc inicializa o openvpn, ele mesmo ja
cria a interface tun0 conforme configurado no
artigo. Não é preciso recompilar seu kernel tbm
não. Vc tem q iniciar o daemon do OpenVPN e ele
mesmo se encarrega de configurar as interfaces
tun0.
Abs
|
|
|
Comentário enviado por dexters
em 12/05/2006 - 16:09h:
Guilherme olha
eu de novo aqui, estou tentando instalar como vc
falou, seguindo o procedimento, porem quando vou
instalar o openvpn ./configure ele me da o
seguinte erro..
hecking for memset...
yes
checking for vsnprintf...
yes
configure: checking for LZO Library and
Header files...
checking lzo1x.h usability...
yes
checking lzo1x.h presence...
yes
checking for lzo1x.h... yes
checking
for lzo1x_1_15_compress in -llzo...
yes
configure: checking for OpenSSL Crypto
Library and Header files...
checking
openssl/evp.h usability... no
checking
openssl/evp.h presence... no
checking for
openssl/evp.h... no
configure: error: OpenSSL
Crypto headers not found.
Ai fica desativado
o make, acho que é pq ele não conseguiu terminar
certo? o que eu posso fazer para resolver isso,
o openssl já está instalado..
|
|
|
Comentário enviado por guilhermerezende
em 15/05/2006 - 11:28h:
Bom,
provavelmente seu sistema está sem o pacote
OpenSSL instalado. Vc pode resolver esse
problema usando o seguinte parâmetro na de
preparar sua compilação
#./configure
--disable-ssl
|
|
|
Comentário enviado por nilson_mga
em 22/05/2006 - 21:44h:
root@server:/etc/openvpn# openvpn
--config filial.conf --daemon
Unrecognized
option or missing parameter(s) in filial.conf:3:
remoto
Use --help for more
information.
root@server:/etc/openvpn#
root@server:/etc/openvpn#
cat filial.conf
dev tun
ifconfig 10.0.0.2
10.0.0.1
remoto 200.138.148.81
cd
/etc/openvpn
secret chave
port
5000
user nobody
group
nobody
comp-lzo
ping 15
verb
3
root@server:/etc/openvpn#
alguem
pode me ajudar
|
|
|
Comentário enviado por guilhermerezende
em 22/05/2006 - 21:49h:
Bom, esse erro
está na cara!!!!!!!!!!
repara q sua linha 3
está escrito "remoto" e não "remote" como
escrito no artigo. Repara tbm q o próprio
Openvpn diz a vc em qual linha está o
erro.
Fique atento!!!!!!!!
abs...
|
|
|
Comentário enviado por mardonio
em 25/05/2006 - 11:02h:
Aonde é que eu
consigo o OpenVPN para clientes
WINXP?
Obrigado.
|
|
|
Comentário enviado por nathan_levy
em 31/05/2006 - 15:56h:
É possível ter
os pontos (matriz + filial) com ip's dinamicos,
bastando somente colocar o nome dos hosts na
cláusula remote de cada linux, após ter
configurado serviços como o no-ip ou dyndns?
Alguém tem alguma implementação desse que
funcione bem?
|
|
|
Comentário enviado por ealvarenga_f
em 13/06/2006 - 13:25h:
Colega, fiz a
instalação e configuração do openvpn, consegui
levantar o openvpn na matriz e filial, porém não
consigo pingar o ip dentro da propria vpn!! tipo
ping 10.10.10.1 e ping 10.10.10.2, somente
consigo pignar localmente, mas do servidor para
o cliente e cliente para servidor não consigo. O
que pode estar errado??
Estou usando em modo
seguro ssl/tls
|
|
|
Comentário enviado por venon_dark
em 13/06/2006 - 13:47h:
vc adicionou as
rotas????
|
|
|
Comentário enviado por pentax
em 23/06/2006 - 14:53h:
Hola.. muito bom
artigo., pude conectar 2 pcs con adsl pppoe c/u
, a minha duda e que con pc da red da matriz con
la rede 192.168.2.0/24 con una makina con ss.oo
windows, com podria instalar isso. ya que baxei
o openvpn pra windows mas al terminar de
instalar defectar uma nova interfaz mas con una
cruz que significa que nao tem conexaçao, estare
errado en minha configuraçao,
alguna
sugerencia al conectar una makina linux con
windows
atte Mauricio Muñoz
|
|
|
Comentário enviado por adilima28
em 02/08/2006 - 10:48h:
Guilherme, muito
bom o teu artigo, tudo está rodando bém nas duas
rede só não consigo que as mq. das duas redes
apareção no ambiente de rede (browser), como
faço?
O nome de domínio é o mesmo para as
duas redes.
Ex. IPs:
Rede 1:
192.168.0.0/24
Rede 2:
192.168.1.0/24
Servidores Linus (Samba) e
estações win98se e winxp.
Obs: Mesmo sem
ambiente de rede consigo pingas transferir
arquivos e ver os compartilhamentos nas
estações.
|
|
|
Comentário enviado por tatototino
em 07/08/2006 - 06:50h:
muito bom,
sinceramente foi o melhor artigo que vi por
aki
e só tenhu umas criticas vc esqueceu
de umas "-" no seu artigo mas tá muito legal seu
artigo muito bem explicado
flw
|
|
|
Comentário enviado por Mr
John em 14/08/2006 - 13:56h:
Olha eu
estou começando meu TCC na faculdade e pretendo
desenvolver esse sistema na minha empresa sendo
que a sede esta localizada em Brasilia e
constantemente precisamos trocar informações
seguras.Vou estudar muito esse assunto pois
muito me interessa.
|
|
|
Comentário enviado por jgama
em 20/08/2006 - 02:48h:
Olá amigo, nem
precisa dizer mais nada sobe o seu tutorial,
todos já disseram.
Agora tenho ducidas
sobre quais regras de firewall devo ter no
firewall, pois não estou conseguindo pingar
nenhum dos lados.
No momento incluir esta
regra para abrir a porta no script de firewall
na filial e na matriz.
# Abre portas para
a vpn
/sbin/iptables -A INPUT -i ppp0 -p udp
--dport 5000 -j ACCEPT
Está
correta esta
regra?
Abraço
|
|
|
Comentário enviado por nhoj
em 23/08/2006 - 11:24h:
Cara!
Parabens. O artigo é ótimo. Funcionou de
primeira. Só tive que fazer algumas modificações
nos endereços de rede em função dos endereços
que uso na minha rede!
Show de
bola!
Parabens.
Nelson
|
|
|
Comentário enviado por rafaelrls
em 24/08/2006 - 10:43h:
Senhores, Bom
dia.
Bom, este artigo é ótimo, foi por
ele que consegui aprender
openvpn...
rsrsrsrs... Bom mais estou tendo
um probleminha....
Acontece o seguinte,
estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp.
Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de
bola... faço a "devassa" com
a conexão... O
problema é quando misturo Linux com Windows. O
meu Firewall
fica na mesma máquina linux e
praticamente deixei-o sem proteção
nenhuma,
tudo aberto mesmo só pra testar a
Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro
nenhum, este é o problema....
Abaixo
segue as ultimas linhas exibidas após rodar o
comando(Cliente Windows)
Thu Aug 24
10:24:33 2006 us=435757 OpenVPN 2.0.7
Win32-MinGW [SSL] [LZO] built on Apr 12
2006
Thu Aug 24 10:24:33 2006 us=438514
******* WARNING *******: all encryption and
authentication featur
es disabled -- all data
will be tunnelled as cleartext
Thu Aug 24
10:24:33 2006 us=568392 TAP-WIN32 device
[ConexÒo local 3] opened:
\\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu
Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver
Version 8.1
Thu Aug 24 10:24:33 2006
us=568766 TAP-Win32 MTU=1500
Thu Aug 24
10:24:33 2006 us=568859 Notified TAP-Win32
driver to set a DHCP IP/netmask of
10.0.0.2/25
5.255.255.252 on interface
{15074DE0-C6C7-4BF8-8453-D556CB106A06}
[DHCP-serv: 10.0.0.1,
lease-time:
31536000]
Thu Aug 24 10:24:33
2006 us=570944 Successful ARP Flush on interface
[3]
{15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu
Aug 24 10:24:33 2006 us=572218 Data Channel MTU
parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0
]
Thu Aug 24 10:24:33 2006 us=572426 Local
Options String: 'V4,dev-type tun,link-mtu
1500,tun-mtu 1500
,proto UDPv4,ifconfig
10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006
us=572564 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1500,tu
n-mtu
1500,proto UDPv4,ifconfig 10.0.0.2
10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653
Local Options hash (VER=V4): 'ba8d4fae'
Thu
Aug 24 10:24:33 2006 us=582892 Expected Remote
Options hash (VER=V4): '153dea2d'
Thu Aug 24
10:24:33 2006 us=583051 Socket Buffers:
R=[8192->8192] S=[8192->8192]
Thu Aug
24 10:24:33 2006 us=583162 UDPv4 link local
(bound): [undef]:5000
Thu Aug 24 10:24:33
2006 us=583240 UDPv4 link remote: < MEU IP
EXTERNO >:5000
os arquivos de
configuração são
respectivamente:
Windows:
proto
udp
dev tun
remote <MEU IP
EXTERNO>
ifconfig 10.0.0.2
10.0.0.1
route 192.168.0.0 255.255.255.0
10.0.0.1
port 5000
verb
5
LINUX:
dev tun2
ifconfig
10.0.0.1 10.0.0.2
route 192.168.0.0
255.255.255.0 10.0.0.1
port 5000
verb
5
Estou tentando abrir uma conexão
bem simples mesmo, sem chave... Apenas para
teste.
Tenho outras Openvpns rodando neste
mesmo server (todas linux-linux),
porém,
especificamente com esta estou tendo o
problema.
Já tentei até trocar de
porta... E no linux não aparece erro
algum...
Aguardo o retorno... De ante
mão, Muito Obrigado.
|
|
|
Comentário enviado por ggarauj
em 24/08/2006 - 11:03h:
Bom dia
Guilherme, este aritgo foi para o meus
favoritos, cara nao demorei 15 minutos para
fazer minha matriz conversar com a filial, estou
enxergando dos as maquinas por de tras dos meus
servidores.
De uma estacao na matriz acesso
via vnc pelo ip local da rede da matriz.
Cara
SHOWWWW DE BOLA!!! PARABENS.
Tenho so uma
duvida. Tenho outra Filial para fazer o mesmo
procedimento, la na filial esta pronto, agora
nao sei como faco aqui na matriz. Tentei criar
outro arquivo no /etc/openvpn/matrizp5.conf
# Usar como interface o driver TUN
dev
tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip
da Filial - Posto4
# 10.0.0.5 ip da Filial -
Posto5
ifconfig 10.0.0.3 10.0.0.5
cd
/etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a
biblioteca lzo
comp-lzo
ping 15
verb
3
dai tentei fazer outro tunel, so que
nao deu certo pelo comando:
# openvpn
--config /etc/openvpn/matrizp5.conf -daemon
#
ifconfig tun1
se digito
#ifconfig
tun0
logicamente vai me aparecer o primeiro
tunel que fiz.
Pergunta:
Como faço
para resolver este
problema????
Abraços
Glaucio
E-mail / MSN:
[email protected]
|
|
|
Comentário enviado por claudivino
em 24/08/2006 - 11:23h:
Instalei os
pacotes usando o YUM, e foi blz. O mesmo na
configuração do matriz.conf, o problema está
quando eu rodo o comando: openvpn --config
/etc/openvpn/matriz.conf -daemon, veja o erro
abaixo:
[root@cd openvpn]# openvpn
--config /etc/openvpn/cd_unisoap.conf
-daemon
Thu Aug 24 11:25:37 2006 OpenVPN
2.1_beta14 i386-redhat-linux-gnu [SSL] [LZO1]
[EPOLL] built on Apr 14 2006
Thu Aug 24
11:25:37 2006 WARNING: --ping should normally be
used with --ping-restart or --ping-exit
Thu
Aug 24 11:25:37 2006 WARNING: you are using
user/group/chroot without persist-tun -- this
may cause restarts to fail
Thu Aug 24
11:25:37 2006 WARNING: you are using
user/group/chroot without persist-key -- this
may cause restarts to fail
Thu Aug 24
11:25:37 2006 Static Encrypt: Cipher 'BF-CBC'
initialized with 128 bit key
Thu Aug 24
11:25:37 2006 Static Encrypt: Using 160 bit
message hash 'SHA1' for HMAC
authentication
Thu Aug 24 11:25:37 2006
Static Decrypt: Cipher 'BF-CBC' initialized with
128 bit key
Thu Aug 24 11:25:37 2006 Static
Decrypt: Using 160 bit message hash 'SHA1' for
HMAC authentication
Thu Aug 24 11:25:37 2006
LZO compression initialized
Thu Aug 24
11:25:37 2006 TUN/TAP device tun0 opened
Thu
Aug 24 11:25:37 2006 TUN/TAP TX queue length set
to 100
Thu Aug 24 11:25:37 2006 /sbin/ip link
set dev tun0 up mtu 1500
Thu Aug 24 11:25:37
2006 /sbin/ip addr add dev tun0 local 10.0.0.1
peer 10.0.0.2
Thu Aug 24 11:25:37 2006 Data
Channel MTU parms [ L:1545 D:1450 EF:45 EB:135
ET:0 EL:0 AF:3/1 ]
Thu Aug 24 11:25:37 2006
Local Options hash (VER=V4): '099d04aa'
Thu
Aug 24 11:25:37 2006 Expected Remote Options
hash (VER=V4): 'f1025742'
Thu Aug 24 11:25:37
2006 GID set to nobody
Thu Aug 24 11:25:37
2006 UID set to nobody
Thu Aug 24 11:25:37
2006 Socket Buffers: R=[107520->131072]
S=[107520->131072]
Thu Aug 24 11:25:37
2006 UDPv4 link local (bound):
[undef]:5000
Thu Aug 24 11:25:37 2006 UDPv4
link remote: [undef]
E fica parado sem
finalizar.
|
|
|
Comentário enviado por rafaelrls
em 24/08/2006 - 11:25h:
Olá Glaucio, eu
resolvi este problema colocando um TUN + um
seqüêncial para cada VPN, sendo que cada TUN
deve estar em cada arquivo de configuração, ou
seja, vc deve criar um arquivo de configuração
para cada conexão.
EX:
Conexão 1
: TUN0
Conexão 2 : TUN1
Conexão 3 :
TUN2
e por aí vai.... espero poder ter
ajudado...
Att.
|
|
|
Comentário enviado por rafaelrls
em 24/08/2006 - 11:34h:
Pelo Amor de
Deus, me ajudem!!!!
Bom, este artigo é
ótimo, foi por ele que consegui aprender
openvpn...
rsrsrsrs... Bom mais estou tendo
um probleminha....
Acontece o seguinte,
estou tentando estabelecer uma conexão entre um
servidor Linux Red Hat 9 e o windows xp.
Quando estabeleço uma conexão
Windows-Windows e Linux-Linux fica show de
bola... faço a "devassa" com
a conexão... O
problema é quando misturo Linux com Windows. O
meu Firewall
fica na mesma máquina linux e
praticamente deixei-o sem proteção
nenhuma,
tudo aberto mesmo só pra testar a
Openvpn mais de jeito nenhum eu consigo
fechar a conexão, e ele não retorna erro
nenhum, este é o problema....
Abaixo
segue as ultimas linhas exibidas após rodar o
comando(Cliente Windows)
Thu Aug 24
10:24:33 2006 us=435757 OpenVPN 2.0.7
Win32-MinGW [SSL] [LZO] built on Apr 12
2006
Thu Aug 24 10:24:33 2006 us=438514
******* WARNING *******: all encryption and
authentication featur
es disabled -- all data
will be tunnelled as cleartext
Thu Aug 24
10:24:33 2006 us=568392 TAP-WIN32 device
[ConexÒo local 3] opened:
\\.\Global\{15074DE0-C
6C7-4BF8-8453-D556CB106A06}.tap
Thu
Aug 24 10:24:33 2006 us=568683 TAP-Win32 Driver
Version 8.1
Thu Aug 24 10:24:33 2006
us=568766 TAP-Win32 MTU=1500
Thu Aug 24
10:24:33 2006 us=568859 Notified TAP-Win32
driver to set a DHCP IP/netmask of
10.0.0.2/25
5.255.255.252 on interface
{15074DE0-C6C7-4BF8-8453-D556CB106A06}
[DHCP-serv: 10.0.0.1,
lease-time:
31536000]
Thu Aug 24 10:24:33
2006 us=570944 Successful ARP Flush on interface
[3]
{15074DE0-C6C7-4BF8-8453-D5
56CB106A06}
Thu
Aug 24 10:24:33 2006 us=572218 Data Channel MTU
parms [ L:1500 D:1450 EF:0 EB:4 ET:0 EL:0
]
Thu Aug 24 10:24:33 2006 us=572426 Local
Options String: 'V4,dev-type tun,link-mtu
1500,tun-mtu 1500
,proto UDPv4,ifconfig
10.0.0.1 10.0.0.2'
Thu Aug 24 10:24:33 2006
us=572564 Expected Remote Options String:
'V4,dev-type tun,link-mtu 1500,tu
n-mtu
1500,proto UDPv4,ifconfig 10.0.0.2
10.0.0.1'
Thu Aug 24 10:24:33 2006 us=582653
Local Options hash (VER=V4): 'ba8d4fae'
Thu
Aug 24 10:24:33 2006 us=582892 Expected Remote
Options hash (VER=V4): '153dea2d'
Thu Aug 24
10:24:33 2006 us=583051 Socket Buffers:
R=[8192->8192] S=[8192->8192]
Thu Aug
24 10:24:33 2006 us=583162 UDPv4 link local
(bound): [undef]:5000
Thu Aug 24 10:24:33
2006 us=583240 UDPv4 link remote: < MEU IP
EXTERNO >:5000
os arquivos de
configuração são
respectivamente:
Windows:
proto
udp
dev tun
remote <MEU IP
EXTERNO>
ifconfig 10.0.0.2
10.0.0.1
route 192.168.0.0 255.255.255.0
10.0.0.1
port 5000
verb
5
LINUX:
dev tun2
ifconfig
10.0.0.1 10.0.0.2
route 192.168.0.0
255.255.255.0 10.0.0.1
port 5000
verb
5
Estou tentando abrir uma conexão
bem simples mesmo, sem chave... Apenas para
teste.
Tenho outras Openvpns rodando neste
mesmo server (todas linux-linux),
porém,
especificamente com esta estou tendo o
problema.
Já tentei até trocar de
porta... E no linux não aparece erro
algum...
Será que pode ser a versão do
openvpn no linux??? Como faço pra descobrir a
versão no linux, pois no Windows é a mais
recente???
Aguardo o retorno... De ante
mão, Muito Obrigado.
|
|
|
Comentário enviado por ggarauj
em 24/08/2006 - 14:37h:
Cara achei como
que faz,
no /etc/openvpn/matriz1.conf ,
cujo qual vai conversa com a minha filial1
ficará
assim:
#############################################
dev
tun
# 10.0.0.3 ip da Matriz
# 10.0.0.4 ip
da Filial - Posto4
ifconfig 10.0.0.3
10.0.0.4
cd /etc/openvpn
secret chave
port 5000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb
3
#############################################
Agora
no /etc/openvpn/matriz2.conf, cujo qual vai
conversa com a minha filial2 ficará
assim:
#############################################
dev
tun1
# 10.0.0.3 ip da Matriz
# 10.0.0.5
ip da Filial - Posto5
ifconfig 10.0.0.3
10.0.0.5
cd /etc/openvpn
secret chave
port 6000
user nobody
group nobody
Usa a biblioteca lzo
comp-lzo
ping 15
verb
3
#############################################
entao
a cada novo arquivo criado tem que mudar a porta
e o tun
no meu caso, usei para o primeiro
aquivo tun e porta 5000 e no segunto tun1 e
porta 6000, sendo que este tun e esta porta
devera ser utilizada no arquivo
filial2.conf
Valeu muito obrigado,
resolveu meu
problem´s.
Abraços......
|
|
|
Comentário enviado por mjdois
em 30/08/2006 - 14:28h:
Boa tarde, para
quem já faz uso do OpenVPN queria saber de
existe alguma configuração especial nas regras
do Iptables ou se o mesmo utiliza algum
protocolo especial para
trabalhar.
Obrigado.
|
|
|
Comentário enviado por dcyrillo
em 05/09/2006 - 19:58h:
Parabéns
Guilherme pelo excelente artigo. A vpn funcionou
beleza, consigo pingar os servers, o tunel tá
certinho. Porém só consigo pingar alguma maquina
da rede da matriz pelo servidor linux, se eu
tentar pingar por alguma maquina da rede da
filial nao funciona.
Aconteceu com alguém
este problema?
Obrigado.
|
|
|
Comentário enviado por joabes
em 21/09/2006 - 23:55h:
Boa
noite.
Consegui criar as conexões, só que
não consigo pingar em nenhuma das pontas, a
conexão se estabelece, mais não
pinga.
Cordialmente
Joabes
|
|
|
Comentário enviado por estefancaique
em 22/09/2006 - 09:05h:
Olá amigos
instalei um openvpn mas ela não esta pinnga a
outra estremidade jár verifiquei as portas
troque a porta padrão de 5000 para 5001 mas não
deu certo alguel tem alguma solução obrigado
estou usando fedora core 5 instalei via yum mas
acho que não tem nada a ver
gostaria de um
resposta obrigado.
|
|
|
Comentário enviado por mardonio
em 22/09/2006 - 14:11h:
Algum dos
colegas conseguiu implementar essa solução no
Debian Sarge? Tenho essa solução implementada
com uma matriz e duas filiais no CL 10, mas
tentei no Debian Sarge e não funcionou. Instala
tudo certinho, mas quando tento levantar o
serviço não ocorre nada.
Obrigado e
aguardo qualquer
orientação.
|
|
|
Comentário enviado por robertinhofur
em 02/10/2006 - 11:33h:
Pessoal, algum
de vcs aí teve algum problema com velocidade
apóss implantação da VPN? Qdo me conecto via ssh
da filial para a matriz usando o ip interno fica
impossivel, mto lento, e tenho q matar o
processo... Agora qdo me conecto fora da VPM
usando o IP válido da matriz 200.x .x .x .x
funciona normal.. Please me ajudem....
|
|
|
Comentário enviado por lorrys
em 06/10/2006 - 21:53h:
Mto bom o
artigo. Consegui configurar
direitinho
Obrigado pela ajuda
|
|
|
Comentário enviado por juliocest
em 13/10/2006 - 17:14h:
Tutorial
excelente..
Funcionou tudo entre os dois
servidores, isto 'e, matriz e filal.
Quando
tento pingar uma maquina da filial para uma
outra da matriz, nada aparece. Fiz tudo conforme
o tutorial, mas nao consigo fazer uma maquina de
uma rede local do servidor da matriz acessar
outra outra maquina da rede local da
filial.
Como devo
proceder?
Aguardo um
retorno.
Obrigado
|
|
|
Comentário enviado por rioges
em 17/10/2006 - 17:59h:
Caso na
compilação do openvpn (./configure) ocorrer o
erro: "OpenSSL Crypto headers not found" e parar
a instalação, você precisa instalar os seguintes
pacotes:
openssl
openssl-devel-static
com
isto resolverá, pois no meu caso foi apenas
isto.
|
|
|
Comentário enviado por rogeriogma
em 18/10/2006 - 01:16h:
linux-rogerio:/home/rogerio/Desktop/openvpn-1.6.0
# openvpn --genkey --secret
/etc/openvpn/chave
Unrecognized option or
missing parameter(s) in [CMD-LINE]:1:
genkey
Use --help for more
information.
por que isso acontece
sem mais por enquanto
rogerio
|
|
|
Comentário enviado por rioges
em 18/10/2006 - 11:37h:
Este erro é de
sintaxe de comando, vc deu espaço entre -- e
secret ? a opção correta é:
openvpn --genkey
--secret /etc/openvpn/chave
|
|
|
Comentário enviado por rogeriogma
em 18/10/2006 - 20:04h:
não dei eu acho
que ele não esta reconhecendo o comando genkey
|
|
|
Comentário enviado por rioges
em 19/10/2006 - 13:09h:
veja no --help
as opções que possue, e qual a sintaxe
correta.
tente dar o comando: openvpn --help
|grep gen ou key para filtrar as opções ou, veja
de 1 em um.
|
|
|
Comentário enviado por bartanha
em 19/10/2006 - 15:53h:
Pessoal não
consigo subir a segunda interface tun1, quando
executo o comando:
#ifconfig tun1
Aparece
a seguinte mensagem de erro:
tun1: error
fetching interface information: Device not
found
Alguém sabe como resolver esse
problema???
Grato Júnior
|
|
|
Comentário enviado por lucioalves
em 26/10/2006 - 17:40h:
Guilherme,
segui o teu tutorial e
a princípio tudo funcionou, porem não há
comunicação entre os servidores e nem entre as
redes internas.
No site openvpn.net há uma
configuração básica que utilizei para verificar
se estava ocorrendo algum problema porem mesmo
assim não houve comunicação.
Abaixo o log da
matriz:
Oct 26 18:53:41 localhost
ovpn-express[16897]: WARNING: --ping should
normally be used with --ping-restart or
--ping-exit
Oct 26 18:53:41 localhost
ovpn-express[16897]: WARNING: you are using
user/group/chroot without
persist-key/persist-tun -- this may cause
restarts to fail
Oct 26 18:53:41 localhost
ovpn-express[16897]: ******* WARNING *******:
all encryption and authentication features
disabled -- all data will be tunnelled as
cleartext
Oct 26 18:53:41 localhost
ovpn-express[16897]: TUN/TAP device tun0
opened
Oct 26 18:53:41 localhost
ovpn-express[16897]: /sbin/ifconfig tun0
172.1.12.2 pointopoint 172.1.12.1 mtu
1500
Oct 26 18:53:41 localhost
ovpn-express[16897]: ./rota.sh tun0 1500 1500
172.1.12.2 172.1.12.1 init
Oct 26 18:53:41
localhost ovpn-express[16908]: GID set to
nobody
Oct 26 18:53:41 localhost
ovpn-express[16908]: UID set to nobody
Oct 26
18:53:41 localhost ovpn-express[16908]: UDPv4
link local (bound): [undef]:5000
Oct 26
18:53:41 localhost ovpn-express[16908]: UDPv4
link remote: [undef]
Oct 26 18:53:51
localhost ovpn-express[16908]: Peer Connection
Initiated with (ipadsl-filial):5000
Oct 26
18:53:53 localhost ovpn-express[16908]:
Initialization Sequence Completed
A
seguir tcpdump da filial mostrando a
conexão:
18:44:36.968379 IP (ip adsl da
filial).5000 > (ip adsl matriz).5000: UDP,
length: 16
Estou usando o seguinte
esquema:
rede interna
matriz--->Gateway(172.1.12.2)->adsl<-Gateway(172.1.12.1)<--rede
interna filial
Sabe o que pode
ser?
Grato!
|
|
|
Comentário enviado por mpestana
em 31/10/2006 - 22:06h:
Caros amigos,
sou novato nesta area, e estou com uma grande
duvida. Gostaria de saber como eu posso melhorar
a velocidade de impressão em DOS ? Quando coloco
para imprimir demora muito, posso levantar,
tomar um cafe, ir ao banheiro e nao terminou a
impressao de uma simples nota fiscal.
No
caso acima, estou numa filial em SP buscando os
dados no RJ, usando o OpenVPN.
Grato !
|
|
|
Comentário enviado por crisrede
em 18/11/2006 - 12:37h:
guilerme estou
usando no mandriva 2006 host a host com
cross-over com instalação rpm e vi na sua
configuração que esta configurado com Usa a
biblioteca lzo
ele me da s seguinte
erro
[root@mandriva15 Documentation]# openvpn
-config /etc/openvpn/matriz.conf
Options
error: I'm trying to parse "-config" as an
--option parameter but I don't see a leading
'--'
Use --help for more information.
|
|
|
Comentário enviado por wesley
eduardo em 28/11/2006 - 16:02h:
ao
adicionar a rota, perco o ping entre os
terminais da vpn e não consigo enxergar a outra
sub rede, alguém pode me ajudar
|
|
|
Comentário enviado por beckher
em 05/12/2006 - 01:02h:
Cara o seu
artigo esta Otimo....Parabens...
Teria como
nos clientes rodando windows, funcionar
juntamente com o openvpn do servidor
VPN.
Abcs
|
|
|
Comentário enviado por antraz
em 16/12/2006 - 14:44h:
Guilherme, meus
parabéns pelo artigo ficou otimo, consegui
montar a vpn com facilidade.
Só esta
acontecendo que eu não estou conseguindo pingar
nas maquinas nas redes.
Quando eu adiciono as
rotas eu consigo da o ping nas interfaces dos
servidores, mas não consigo pingar fora
dela.
Por explento:
MATRIZ
ETH0
201.X.X.X.
ETH1 10.0.0.10
TUN
10.10.10.3
FILIAL
ETHO
10.10.0.3
TUN 10.10.10.4
Da matriz eu
ping 10.10.10.4 e 10.10.0.3 e nada mais.
Da
Filial eu ping 10.0.0.10 e 10.10.10.3 e também
nada mais.
Ou seja entre elas esta tudo bem,
mas o problemas são as maquinas das
redes.
Usei as seguintes
regras:
Matriz
route add -net 10.10.0.0/24
gw 10.10.10.3
Filial
route add -net
10.0.0.0/24 gw 10.10.10.4
E claro
habilitando o roteamento como voce
mandou.
Eu segui o seu artigo linha por
linha, e so falta isso para eu entregar o meu
trabalho.
Outra coisa deu um erro na
questão do grupo na linha # group nobody, ai eu
comentei a linha e funcionou a VPN, isso tem a
ver com alguma coisa?
Desde ja
agradeço toda a sua ajuda.
|
|
|
Comentário enviado por heberbd
em 29/01/2007 - 23:23h:
Boa
noite,
Guilerme, não consigo dar ping nos
computadores da rede da matriz nos computadores
da filial nem vice-versa, só consigo até nos
micros que fazem a vpn. Fiz igual no artigo e
não funciona, será o que está
acontecendo???
Desde já agradeço a
atenção
Heber Barros Duarte.
|
|
|
Comentário enviado por marcoclamor
em 02/02/2007 - 03:11h:
seguinte
heberbd, nos arquivos de configuração voce tem
que atentar para a parte dos ips
na linha
que diz respeito ao ifconfig.
no matriz.conf
tem que ficar assim:
ifconfig 10.0.0.1
10.0.0.2
já no filial.conf fica dessa
maneira:
ifconfig 10.0.0.2
10.0.0.1
prontinho, faça isso e já
resolverá seu problema. comigo deu
serto.
Falows
|
|
|
Comentário enviado por aps167
em 17/02/2007 - 00:41h:
Uma coisa que
não entedi no seu artigo é o seguinte :
A
matriz está usando Ip Fixo?
se sim, como
façao para aplicar seu artigo em ADSL com IP
dinãnmico.?
|
|
|
Comentário enviado por Ruy_Go
em 21/02/2007 - 16:40h:
aps167
Facil
brother, cria ai um dns reverso com o no-ip. Por
exemplo.
http://www.noip.com/
Crie la uma conta no ip, instale o no-ip em sua
maquina, configure ele bonitinho e na filial
voce vai setar o remote com o endereço no-ip que
vc criou. EX:
remote
aps167.no-ip.org
Isso tou exemplificando
caso as duas ADSL sejam dinamicas!
Abraços
Ruy
|
|
|
Comentário enviado por unimedvr
em 14/03/2007 - 18:33h:
gostaria de
instalar um servidor openvpn para atender meu
chefe pois ele quer acessar a vpn de casa pelo
notebook, ele usa windows xp.
so achei
tutorial na internet de linux para linux neste
caso como procedes??
|
|
|
Comentário enviado por daniel_dantas
em 04/04/2007 - 14:39h:
Ae
Fera....
Vlw penho empenho... eu estava
precisando de uma solução exatamente assim...
configurei usando o Conectiva10... tive claro
alguns problemas de configuração normais do
Linux... ms no final funfo de boa. Então, vai ai
uma dica... qdo vc usou os IP´s 10.0.0.1.. para
levantar o tunel, vc poderia ter colocado uma
nota, que esses Ip´s seriam apenas para levantar
os tuneis e q vc pode usar uma rede qq na Lan...
Abs...
Daniel Dantas
|
|
|
Comentário enviado por jgama
em 06/04/2007 - 12:58h:
Alguém que
esteja usando com sucesso esta configuração com
openvpn nas duas pontas com Servidores Linux,
possa titar uma duvida, porque aqui não consigo
pinga nada.
No servidor Matriz, consigo
levar o tunel tun0
No servidor Filial também
consigo levantar o tunel tun0
No log do
Servidor Matriz
tenho:
root@servidor:/etc/openvpn# tail
/var/log/messages
Apr 6 12:39:34 servidor
openvpn[20869]: LZO compression
initialized
Apr 6 12:39:40 servidor
openvpn[20869]: TUN/TAP device tun0
opened
Apr 6 12:39:40 servidor
openvpn[20869]: /sbin/ifconfig tun0 10.0.0.1
pointopoint 10.0.0.2 mtu 1500
Apr 6 12:39:40
servidor openvpn[20869]: Data Channel MTU parms
[ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1
]
Apr 6 12:39:40 servidor openvpn[20869]:
Local Options hash (VER=V4): '099d04aa'
Apr 6
12:39:40 servidor openvpn[20869]: Expected
Remote Options hash (VER=V4): 'f1025742'
Apr
6 12:39:40 servidor openvpn[20872]: GID set to
nobody
Apr 6 12:39:40 servidor
openvpn[20872]: UID set to nobody
Apr 6
12:39:40 servidor openvpn[20872]: UDPv4 link
local (bound): [undef]:5001
Apr 6 12:39:40
servidor openvpn[20872]: UDPv4 link remote:
201.43.156.11:5001
No log do servidor
Filial tenho:
[root@servidor openvpn]#
tail /var/log/messages
Apr 6 12:06:53
servidor openvpn[4201]: Data Channel MTU parms [
L:1544 D:1450 EF:44 EB:4 ET:0 EL:0 ]
Apr 6
12:06:53 servidor openvpn[4201]: Local Options
hash (VER=V4): '5c3fe1ab'
Apr 6 12:06:53
servidor openvpn[4201]: Expected Remote Options
hash (VER=V4): '522471df'
Apr 6 12:06:53
servidor openvpn[4205]: GID set to nobody
Apr
6 12:06:53 servidor openvpn[4205]: UID set to
nobody
Apr 6 12:06:53 servidor openvpn[4205]:
UDPv4 link local (bound): [undef]:5000
Apr 6
12:06:53 servidor openvpn[4205]: UDPv4 link
remote: 201.1.138.43:5000
Apr 6 12:39:49
servidor openvpn[4205]: read UDPv4
[ECONNREFUSED]: Connection refused
(code=111)
O que será este
[ECONNREFUSED]:
??
|
|
|
Comentário enviado por p4nd4x
em 23/04/2007 - 19:49h:
Me deparei com 2
erros do meu Linux, nos arquivos matriz.conf e
filial.conf
Ao inicialos deu erro no TUN/TAP,
utilizo o CentOs e por algum motivo não esta
localizado em sua pasta, alguem pode me
ajudar?
[root@master2 vpn]# openvpn
--config /etc/openvpn/filial.conf
Mon Apr 23
18:44:58 2007 0: OpenVPN 1.5.0 i686-pc-linux-gnu
[SSL] [LZO] built on Apr 2 3 2007
Mon Apr 23
18:44:58 2007 1: Static Encrypt: Cipher 'BF-CBC'
initialized with 128 bit k ey
Mon Apr 23
18:44:58 2007 2: Static Encrypt: Using 160 bit
message hash 'SHA1' for HMAC
authentication
Mon Apr 23 18:44:58 2007 3:
Static Decrypt: Cipher 'BF-CBC' initialized with
128 bit k ey
Mon Apr 23 18:44:58 2007 4:
Static Decrypt: Using 160 bit message hash
'SHA1' for HMAC authentication
Mon Apr 23
18:44:58 2007 5: LZO compression
initialized
Mon Apr 23 18:44:58 2007 6: Note:
Cannot open TUN/TAP dev /dev/net/tun: No such
file o r directory (errno=2)
Mon Apr 23
18:44:58 2007 7: Note: Attempting fallback to
kernel 2.2 TUN/TAP interface
Mon Apr 23
18:44:58 2007 8: Cannot open TUN/TAP dev
/dev/tun: No such file or directo ry
(errno=2)
Mon Apr 23 18:44:58 2007 9:
Exiting
|
|
|
Comentário enviado por tchellos
em 03/05/2007 - 09:49h:
caro
Bom
dia
Estou com uma duvida
estou com
um servidor com debian sarge e quero configurar
uma vpn direta para um windows xp seria possivel
e como faze-lo
Att
Marcelo
|
|
|
Comentário enviado por paulolinux
em 16/05/2007 - 20:59h:
# openvpn
--genkey --secret /etc/openvpn/chave
Erro no
comando;
comando nao encontrado.
|
|
|
Comentário enviado por marcus_quintella
em 22/05/2007 - 09:54h:
Paulo,
você colocou um hífen a
mais em frente de secret. o certo é:
#
openvpn --genkey -secret
/etc/openvpn/chave
Abs
Marcus
|
|
|
Comentário enviado por marciunix
em 01/06/2007 - 03:51h:
Opa
galera,
Primeiramente queria fazer duas
notificações que podem ser importantes para
outras pessoas que estão passando pelo mesmo
problema:
-Configurei minha VPN no
DEBIAN:
-Ao tentar configurar o VPN aparecia
o seguinte erro:
"configure: error: OpenSSL
Crypto headers not found."
... mesmo ja tendo
instalado o pacote openssl.
para resolvê-lo
tive que criar uma pasta chamada "openssl"
dentro do diretório /usr/local/include e copiar
tudo que estava dentro de
/usr/local/ssl/include/openssl/ ... para lá.
após isto copei tudo que estava dentro de
/usr/local/ssl/lib para a pasta /usr/lib ...
Pronto pode executar o ./configure que agora vai
funcionar.
Espero poder ter
ajudado.
#### Agora um pedido de ajuda
####
preciso de pouca coisa para fechar meu
trabalho
Minha dúvida ja foi levantada aqui
anteriormente por alguns membros, no entanto as
respostas apresentadas não me solucionaram o
problema.
Consigo pingar do IP fixo da
matriz 192.168.70.2 para o da Filial
192.168.80.2, através do túneo criado,
perfeito... mas não consigo chegar nas outras
máquinas das redes.
Perguntas:
1o. O
fato de estar utilizando um modem routeado
(sendo ele o default gateway da rede)
influencia? as máquinas linux (server/client)
estão ligadas no switch em suas respectivas
redes... entrei na configuração dos modens e
informei na configuração de nat que qualquer
requisição à porta 5000 aponte para máquina 80.2
e na outra rede 70.2 ...
2o. Ou tenho
que fazer alguma outra configuração de rota que
não foi citada no artigo acima? Todas de lá
foram feitas.
3o . No caso desta conexão
for uma contigência, como crio uma ponte entre
as duas interfaces eth0 e eth1 destas máquinas
linux, tipo a eth1 é a acima citada o velox com
vpn e a eth0 outra rede: na matriz 10.72.0.1
.... na filial 10.73.1.1.
Enorme
abraço a todos,
Meu primeiro forum que
participo, espero poder retribuir a tudo que ja
consultei aqui com muitos de
vocês.
Marcio
|
|
|
Comentário enviado por carlos.renato
em 01/06/2007 - 12:37h:
Parabéns pelo
artigo, estou com uma dúvida, é possível ter os
pontos (matriz + filial) com ip's dinamicos,
bastando somente colocar o nome dos hosts na
cláusula remote de cada linux, após ter
configurado serviços como o no-ip ou dyndns?
Alguém tem alguma implementação desse que
funcione bem?
Obrigado e um
abraço,
|
|
|
Comentário enviado por cyberton
em 15/06/2007 - 12:32h:
Srs,
Boa
Tarde...
Estou com seuinte problema etapa
final da minha vpn no client windows, lembrando
que o server e um slackware 11.0 :
Fri
Jun 15 12:05:53 2007 us=29455 Sorry but I can't
become a daemon because this operating system
doesn't appear to support either the daemon() or
fork() system calls
Desde ja fico grato
pela ajuda ... E GUILERME .. PARABENS PELA
SOLUCAO ....
|
|
|
Comentário enviado por geniocorreia
em 27/06/2007 - 07:54h:
Bom dia,
guilhermerezende!
Gostei muito deste material
sobre OpenVpn, simples e bom.
Na empresa que
eu trabalho eu estou usando o OpenVpn tem uns 2
meses, estou gostando muito mais estou com um
problema nos túneis da VPN. Alguns túneis ficam
alguns dias sem cair e outros caem praticamente
todos os dias, gerando um transtorno por causa
das reclamações. Gostaria de saber se você
passou por isso, e se passou e conseguiu
resolver será se você pode mostrar o
caminho.
Desde já, agradeço.
|
|
|
Comentário enviado por caiquemd
em 13/07/2007 - 19:19h:
Bom dia,
guilhermerezende!
Gostei muito deste material
sobre OpenVpn, simples e bom.
Na empresa que
eu trabalho eu estou usando o OpenVpn tem uns 2
meses, estou gostando muito mais estou com um
problema nos túneis da VPN. Alguns túneis ficam
alguns dias sem cair e outros caem praticamente
todos os dias, gerando um transtorno por causa
das reclamações. Gostaria de saber se você
passou por isso, e se passou e conseguiu
resolver será se você pode mostrar o
caminho.
Amigo como eu também estou com essa
dificuldade copie a pergunta dele e acresento o
mapiamento cai quando uma outra maquina pede o
mesmo mapiamento percebi pois tenho 30 maquinas
fazendo ao mesmo temo a vpn maos enpre tenho
essa dificuldade como devo agir
obrigado
Desde já, agradeço.
|
|
|
Comentário enviado por antonioleite
em 26/08/2007 - 17:46h:
Amigo ja
procurei por diversos artigos e livros e nada é
o seguinte: Quando eu executo o ifconfig tun0 da
o seguinte erro: TUN0: ERRO obtendo informações
da interface: %s dispositivo não
encontrado.
Só que eu ja reinstalei o Debian
etch umas 1000 vezes e carrego o TUN "modprobe
tun" o mesmo esta presente quando dou lsmod e
sempre paro ai. Pergunto o que estou fazendo de
errado se segui todos os passos acima, eu
preciso estar com o outro computador conectado
na filial para o TUN subir? Uma ajudinha por
favor... Obrigado
|
|
|
Comentário enviado por rattus
em 29/08/2007 - 14:22h:
p4nd4x,
resolvi esse problema de
criar o dispositivo do tipo tun/tap da seguinte
forma:
modprobe tun
mkdir
/dev/net
mknod /dev/net/tun c 10
200
[]
Ralph Liebessohn
|
|
|
Comentário enviado por antonioleite
em 29/08/2007 - 20:08h:
Vou testar e dou
um Alo....
Valew Ralph Liebessohn
|
|
|
Comentário enviado por leandro-php
em 31/08/2007 - 12:28h:
Bom dia
;
Caro , Guilherme sou iniciante em
instalação de servidores linux, e estou brigando
com com o openvpn
como você colocou no
tutorial no vivaolinux.com.br.
Parabéns
pelo artigo me ajudou para caramba cara
!
Fiz como no tutorial do
OPENVPN.
Matriz :
As duas estão
pingando ex: ping
10.0.0.2(filial)
Filial:
As duas estão
pingando ex: ping 10.0.0.1(matriz)
Pelo
que vi o problema está na rota mais não estou
conseguindo resolver, minha rede está
assim:
Matriz : ip fixo - Rede interna
192.168.1.0 a 254
Filial: ip fixo - Rede
interna 192.168.20 a 254
Gostaria de
saber por que não consigo nem pingar de um micro
da rede interna .
Exemplo estou na
matriz(ip 192.168.1.23) : dou um ping na filial
(ping 192.168.2.57).
E não responde ,
pelo que vi na net a npv deveria pingar e
conectar quando digitasse no browser da matriz o
ip da filial ele deveria responder como se fosse
uma rede interna.
Por favor me ajude
!
|
|
|
Comentário enviado por eduardo.ramos
em 04/09/2007 - 10:58h:
Cara, muito bom
mesmo! já tinha testado esse teu artigo antes de
postar ele e realmente me ajudou pra caramba.
forte abraço amigo!
|
|
|
Comentário enviado por us1sky
em 15/09/2007 - 17:59h:
Cara..............................................
meus parabéns pelo artigo e aos companheiros que
comentaram o artigo... O meu não funcionava até
um amigo aqui compartilhar a experiência que
adicionou o grupo "nobody"...
só faltava
isso!!! PARABÉNS A TODO MUNDO.
|
|
|
Comentário enviado por MARDONIO
em 20/09/2007 - 18:43h:
Algum colega
consegui implementar essa solução no Debian
Etch? Tentei fazer confirme o artigo mas nada
funcionou.
Obrigado e aguardo qualquer
orientação.
|
|
|
Comentário enviado por denaum
em 19/10/2007 - 07:50h:
?comentario= Bom
dia a todos,
Tenho a OpenVPN funcionando
e gostaria de saber como posso capturar os dados
do tunel para mostrar que estao realmente
criptografados?
Estou utilizando o tcpdump
mas configo pegar os dados legiveis mesmo com
criptografia ativada, acredito que na sintaxe do
comando nao estou pegando o trafego no tunel e
sim quando jah chegou no servidor e foi
descriptografado
Alguma
ajuda?
Obrigado
|
|
|
Comentário enviado por MARDONIO
em 25/10/2007 - 17:29h:
Algum dos
colegas conseguiu implementar essa solução no
Debian Sarge/Etch? Execute o "./configure" roda
tudo certinho, mas no final fala que não foi
possível criar o executável. O que pode
ser?
Obrigado e aguardo qualquer
orientação.
|
|
|
Comentário enviado por sektor
em 01/11/2007 - 16:26h:
alguem consiguiu
fazer as maquinas se enxergarem nos meus locais
de rede?
|
|
|
Comentário enviado por fbssolucoes
em 07/11/2007 - 09:17h:
Galera, esse
tutorial é show de bola, ja fiz 2 filiais
enxergarem a matriz, só que estou tentando fazer
a filial3 enxergar a matriz, mas toda vez que
reinicia o computador a configuração openvpn
--config... perde e eu tenho que setar na mão,
isso tando na matriz como na filial3, setando na
mão e fazendo o route novamente eu volto a
enxergar. É lógico que eu conseguir resolver o
problema colocando as linhas no rc.local, mas
por que será que o teceiro tunel não está
ficando?
Desde ja agradeço
Fabiano
|
|
|
Comentário enviado por carlosolimpio
em 05/12/2007 - 16:01h:
Estou tendo o
seguinte problema: o encapsulamento do tunel é
não especificado. Como faço para aparecer
POINT-TO-POINT PROTOCOL???
tun1
Encapsulamento do Link: Não Especificado
Endereço de HW
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet
end.: 20.0.0.1 P-a-P:20.0.0.2
Masc:255.255.255.255
UP POINTOPOINT RUNNING
NOARP MULTICAST MTU:1500 Métrica:1
RX
packets:0 errors:0 dropped:0 overruns:0
frame:0
TX packets:0 errors:0 dropped:0
overruns:0 carrier:0
colisões:0
txqueuelen:100
RX bytes:0 (0.0 b) TX bytes:0
(0.0 b)
|
|
|
Comentário enviado por blademaster
em 12/12/2007 - 12:15h:
Po muito bom o
tutorial ... me ajudou aqui, mas to com um
problema que é o seguinte:
dou o
comando:
openvpn --config
/etc/openvpn/matriz.conf --daemon
depois
quando dou o comando :
ifconfig tun0
Aparece o seguinte erro:
error fetching
interface information: Device not found
Alguem saberia me explicar o que seria
isso ?
|
|
|
Comentário enviado por edivaldocaj
em 14/12/2007 - 16:59h:
bom artigo.
|
|
|
Comentário enviado por lomba_II
em 20/12/2007 - 16:30h:
Alguma
dica
queria saber como e que faco pq so tenho
Ip Publico so um lado
outro ponto nao tenho
tem alguma dica pra tal...
|
|
|
Comentário enviado por Bique
em 20/12/2007 - 17:03h:
Creio que
precisa sempre de um IP publico por cada
lado.
Espero ter ajudado.
Um abraco
|
|
|
Comentário enviado por justiceiro_df
em 06/01/2008 - 23:17h:
Lomba_II
tem
ferramentas do estilo no-ip, mydns que vc
instala clients nos servidores e ele conecta c/
o site e atualiza teu ip.
dai ao invez de
vc mandar ele conectar pelo ip, vc conecta pelo
dominio.
http://www.no-ip.com/
|
|
|
Comentário enviado por lomba_II
em 07/01/2008 - 08:31h:
Tenho ip da
classe 192.168......
no ADSLmais eles deram o
Ip Publico.....
como e que faco
|
|
|
Comentário enviado por almirpasseto
em 30/01/2008 - 08:50h:
Artigo
excelente
Corrigindo o pequeno erro do uso do
- no lugar do -- antes dos parâmetros secret e
daemon. Segui o tutorial à risca e funcionou
perfeitamente, sem nenhum erro. Só fiquei
decepcionado com a velocidade. Uma planilha de
5778 KB de tamanho, levou 3 minutos para
abrir.
Caso eu encontre uma solução (que
acredito não existir, pois acho que o problema é
no link da internet), eu posto aqui. Uma ponta é
link embtatel via rádio de 512 K (que atinge
normalmente 400K) e na outra é um Speedy de 8 MB
(que atinge em média 2 MB).
|
|
|
Comentário enviado por rodrigoramone
em 04/03/2008 - 16:29h:
Blz cara ,
excelente artigo
Só tenho uma duvida , as
minhas 3 conexões de internet possuem ip fixo ,
e o cliente quer que todas enxergem todas , como
faço ???
|
|
|
Comentário enviado por sg.moises
em 26/03/2008 - 15:22h:
Muito bom o
artigo!!!!!
|
|
|
Comentário enviado por edup
em 15/04/2008 - 13:49h:
Boas,
É um
artigo excelente para compreender o básico do
openvpn. Entretanto fui avançando e deparei-me
com um problema o qual não consigo mesmo
resolver, apesar dos
esforços.
Pressupostos:
- Não
tenho firewall
- Quando falo em server do
escritório2, estou apenas a referir que é o
server para a subnet do escritório2, sendo um
cliente normal do openvpn server que se encontra
no escritorio1. Ou seja, conecta-se ao server do
escritorio1 e serve a sua propria subnet
-
Estou a desesperar!
A minha estrutura
é a seguinte:
- Servidor Linux - openvpn
- que tem uma subnet 192.168.38.0
255.255.255.0
entre todos os outros
parâmetros de configuração acrescentei no
filial.conf: server 10.0.0.0
255.255.255.0
Neste caso consigo fazer
conectar diversos clientes com apenas um
ficheiro de configuração.
- Cliente linux
escritorio2 que tem uma subnet 192.168.2.0
255.255.255.0
- Clientes
winXP:
Situação actual:
Tenho
a rede vpn montada baseada em tun entre o
escritorio1 e o escritorio2. Conectam-se
perfeitamente.
Sucesso:
- Após
adicionar as rotas nos computadores das subnets
do escritorio1 e escritorio2 consigo pingar
entre os clientes das 2subnets dos escritorios .
- Consigo pingar entre o
servidor(escritorio1) e a subnet toda do
escritorio2
Insucesso:
- Não consigo
pingar entre o servidor do escritorio2(cliente
openvpn do server do escritorio1) e os clientes
da subnet do escritorio1 (apesar de conseguir o
inverso). Consigo apenas pingar o servidor do
escritorio1, como é óbvio.
o que é mais
estranho é que faço um traceroute de um cliente
do escritório2 para um computador da subnet do
escritorio1 e ele chega ao
destino:
##Traceroute do computador
cliente da subnet 192.168.2.0 para a ##subnet
192.168.38.0
$ traceroute
192.168.38.99
traceroute to 192.168.38.99
(192.168.38.99), 64 hops max, 40 byte
packets
1 192.168.2.1 (192.168.2.1) 1.411 ms
1.142 ms 1.049 ms
2 10.0.0.1 (10.0.0.1)
37.333 ms 38.273 ms 37.918 ms
3 192.168.38.99
(192.168.38.99) 37.953 ms 37.133 ms 38.062
ms
e o traceroute para o mesmo ip de
um cliente da subnet do escritorio1 do server da
subnet do escritorio2(ip=192.168.2.1)
é:
$ traceroute
192.168.38.99
traceroute to 192.168.38.99
(192.168.38.99), 30 hops max, 40 byte
packets
1 10.0.0.1 (10.0.0.1) 35.910 ms
37.663 ms 37.160 ms
2 * * *
3 * *
*
....
Não chegando nunca a encontrar
o destino.
Podem-me ajudar?
Muito
obrigado!
|
|
|
Versão para
impressora
Indicar para
um amigo
Enviar
artigo
