[FUG-BR] Varios túneis com OpenVPN

mantunes mantunes.listas em gmail.com
Terça Março 18 05:33:47 BRT 2008


Daniel,

Aproveitando.. vc notou alguma diferença em usar a opção de "comp-lzo" ?
Melhou alguma coisa no trafego ?

Em 17/03/08, Daniel Bristot de Oliveira<danielbristot at gmail.com> escreveu:
> Opa,
>
>  Confirmando meu caro amigo Thiago,
>
>  Sim cristina, ele é um servidor que aceita vários clientes, então com
>  um único serviço ele atende todos os clientes.
>
>  Ter um daemon para cada cliente fica complicado para trabalhar né? imagina :D
>
>  Então, como o Thiago falou, o openvpn nesta forma trabalha como
>  servidor, e os clientes se autenticam nele.
>
>  A autenticação é feita via certificados digitais, que você pode fazer
>  com o scripts que vem  no openvpn, no qual o Mateus cita em seu
>  artigo.
>
>  O que falta no artigo do Mateus é que ele mostra apenas como um host
>  acessa uma rede. Voce precisa ligar duas redes, então, voce precisa
>  adicionar uma regra de roteamento para cada cliente, aí que entram as
>  configurações específicas por cliente.
>
>  Estas configurações expecificas adicionam e removem as rotas, e
>  definem endereços para cada roteador cliente.
>
>  As configurações de cada cliente são feitas com o diretório CCD, cujo
>  adicionei o link no outro e-mail.
>
>  Isto facilita o gerenciamento da VPN, visto que tudo está em só uma maquina,
>
>  att
>
>  Em 17/03/08, Thiago J. Ruiz<thiagojruiz at gmail.com> escreveu:
>
> > Vou tentar responder pelo Daniel!
>  >
>  >  sim somente numa porta, o OpenVPN no modo SERVER ( server 10.10.10.0
>  >  255.255.255.0 ) pode ouvir em apenas uma porta e ter vários clientes
>  >  conectados a ele por meio de certificados digitais (unicos para da
>  >  node), tal como o Daniel descreveu acima.
>  >
>  >  o Tutorial do Matheus Cucoloto tá nesse link.
>  >
>  >
>  >  http://www.fug.com.br/content/view/173/60/
>  >
>  >  paga uma beer depois aih Matheus!
>  >
>  >  abraço, espero que ajude
>  >
>  >
>  >  Em 17/03/08, Cristina Fernandes Silva<cristinafs.listas at gmail.com> escreveu:
>  >
>  > > daniel.. mas somente numa porta ?? neste caso 1194 ? mesmo assim
>  >  >  terei que ter varias portas.. essa é minha dúvida.
>  >  >
>  >  >  Em 17/03/08, Daniel Bristot de Oliveira<danielbristot at gmail.com> escreveu:
>  >  >
>  >  > > Olá cristina
>  >  >  >
>  >  >  >  Eu tenho isto rodando, um servidor OpenVPN, com vários clientes em um
>  >  >  >  único servidor, cada cliente é um firewall, que dá rota para uma
>  >  >  >  subrede, assim eu faço com que a rede do cliente alcance a rede do
>  >  >  >  servidor e vice-versa.
>  >  >  >
>  >  >  >  A chaves são certificados digitais, o que aumenta a segurança, se
>  >  >  >  comparado a uma chave.
>  >  >  >
>  >  >  >  Suponha que tenha criado o servidor, e dois clientes, com DN
>  >  >  >  gw.empresa.com.br e gw.empresa2.com.br.
>  >  >  >
>  >  >  >  Abaixo a configuração do servidor.
>  >  >  >
>  >  >  >  -----
>  >  >  >  # Interface que o OpenVPN esparara conexoes
>  >  >  >  local 201.XX.XX.XXX
>  >  >  >  port 1194
>  >  >  >  proto udp
>  >  >  >  dev tun0
>  >  >  >  management localhost 7505
>  >  >  >
>  >  >  >  #Certificado do ca
>  >  >  >  ca keys/ca.crt
>  >  >  >  # certificado do servidor
>  >  >  >  cert keys/server.crt
>  >  >  >  # Mantenha esta chave em segredo
>  >  >  >  key keys/server.key
>  >  >  >  # arquivo dh
>  >  >  >  dh keys/dh1024.pem
>  >  >  >  # Servidor
>  >  >  >  # Ele automaticamente pegara o IP 10.10.10.1
>  >  >  >  server 10.10.10.0 255.255.255.0
>  >  >  >  ifconfig-pool-persist ipp.txt
>  >  >  >  client-config-dir ccd
>  >  >  >
>  >  >  >  # Rotas para serem servidas as clientes
>  >  >  >  push "route 192.168.0.0 255.255.0.0"
>  >  >  >
>  >  >  >  keepalive 10 120
>  >  >  >  ping-timer-rem
>  >  >  >
>  >  >  >
>  >  >  >  # Chave criptografica
>  >  >  >  cipher AES-256-CBC
>  >  >  >  status openvpn-status.log
>  >  >  >
>  >  >  >  # Roteamento para clientes
>  >  >  >  # Rede da empresa1
>  >  >  >  route 172.16.100.0 255.255.255.0
>  >  >  >  # Rede da empresa2
>  >  >  >  route 172.16.200.0 255.255.255.0
>  >  >  >
>  >  >  >  log  openvpn.log
>  >  >  >  cd /usr/local/etc/openvpn
>  >  >  >  user openvpn
>  >  >  >  group openvpn
>  >  >  >  comp-lzo
>  >  >  >  verb 1
>  >  >  >  ---
>  >  >  >
>  >  >  >  Dentro do diretório /usr/local/etc/openvpn eu tenho o diretorio ccd
>  >  >  >  que possui as configurações de rede de cada cliente, neste diretório
>  >  >  >  teremos os arquivos que informam as redes dos clientes e quais IPs os
>  >  >  >  clientes pegarão do servidor.
>  >  >  >
>  >  >  >  para cada cliente, devemos ter um arquivo com o nome dado ao seu DN,
>  >  >  >  no exemplo,
>  >  >  >
>  >  >  >  # cat gw.empresa1.com.br
>  >  >  >
>  >  >  >  iroute 172.16.100.0 255.255.255.0
>  >  >  >  ifconfig-push 10.10.10.5 10.10.10.6
>  >  >  >
>  >  >  >  # cat gw.empresa2.com.br
>  >  >  >
>  >  >  >  iroute 172.16.200.0 255.255.255.0
>  >  >  >  ifconfig-push 10.10.10.9 10.10.10.10
>  >  >  >
>  >  >  >
>  >  >  >
>  >  >  >  Configuração dos clientes
>  >  >  >
>  >  >  >  -- /usr/local/etc/openvpn/openvpn.conf
>  >  >  >  cd /usr/local/etc/openvpn
>  >  >  >  client
>  >  >  >  dev tun0
>  >  >  >  proto udp
>  >  >  >  remote 201.xxx.xxx.xxx 1194
>  >  >  >  nobind
>  >  >  >  user openvpn
>  >  >  >  group openvpn
>  >  >  >  persist-tun
>  >  >  >  ca keys/ca.crt
>  >  >  >  cert keys/nova.crt
>  >  >  >  key keys/nova.key
>  >  >  >  comp-lzo
>  >  >  >  verb 2
>  >  >  >  log openvpn.log
>  >  >  >  cipher AES-256-CBC
>  >  >  >  ---
>  >  >  >
>  >  >  >  Desculpa a pressa, mas esta terminando o horário de almoço,
>  >  >  >
>  >  >  >  A criação de certificados segue o exemplo do mateus coculoto no site da fug,
>  >  >  >  O esquema do diretorio ccd e as configurações por cliente estão neste link:
>  >  >  >  http://openvpn.net/index.php/documentation/howto.html#policy
>  >  >  >
>  >  >  >  Quando configurei este servidor, só usei dois documentos, o openVPN
>  >  >  >  How-to e o artigo do coculoto...
>  >  >  >
>  >  >  >  Sobre a estabilidade do openvpn, maravilha...
>  >  >  >
>  >  >  >  Caso queira usar o esquema que mostrei, posso falar mais.... de volta
>  >  >  >  ao trabalho.
>  >  >  >
>  >  >  >  Att
>  >  >  >
>  >  >  >  --
>  >  >  >
>  >  >  > Daniel Bristot de Oliveira
>  >  >  >
>  >  >  > -------------------------
>  >  >  >  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  >  >  >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >  >  >
>  >  >  -------------------------
>  >  >  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  >  >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >  >
>  >
>  >
>  >
>  > --
>  >  Thiago J. Ruiz
>  >  http://thiagoruiz.blogspot.com
>  >
>  > -------------------------
>  >  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  >
>
>
>
> --
>
> Daniel Bristot de Oliveira
>  -------------------------
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


-- 
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"


Mais detalhes sobre a lista de discussão freebsd