Tanto o Ipsec quanto o pptp apresentam alguns
problemas de segurança...
Se vc estiver interessando dê uma olhada nesse
hau-tu com o Openvpn
usado o comp-lzo
--------
Fabio Serpa
Fabio Henrique wrote:
Senhores estou verificando algumas soluções de VPN
no debian,
mas percebi que existe no caso do ipsec, algumas
soluções:
freeswan (ferramentas para o freeswan)
openswan (ferramentas para o openswan)
ipsec-tools
Além do kernel patch para os dois. Sei que o
freeswan foi
descontinuado e vi
uns módulos para ipsec no kernel 2.4. do sarge,
mas aih vem minhas
dúvidas,
qual usar? os módulos são do free ou openswan?
Tenho que aplicar os
patchs?
E o ipsec-tools nesta estória?
Tudo bem, posso usar o kernel26(port do openswan)
que jah vem com
suporte nativo, mas não sei se está tão estável ou
tem todas as
funcionalidades dos anteriores.
E então, vcs podem me ajudar?
Desde já agradeço,
Fábio.
Hau-tu para criar uma VPN entre 2 redes usando
Debian e OpenVPN
As configurações devem ser feitas no servidor e
cliente:
SERVIDOR
Instale o OpenVPN
#apt-get install openvpn
Gere uma chave criptográfica
#openvpn --genkey --secret /etc/openvpn/chave
Crie o grupo nobody
# addgroup nobody
Crie o arquivo de configração da VPN local
#editor /etc/openvpn/local.conf
#inicio do arquivo
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido no local
# 10.0.0.2 ip remoto, ou seja, esse será o ip d
remoto
ifconfig 10.0.0.1 10.0.0.2
# Entra no diretório onde se encontram os arquivos
de configuração
cd /etc/openvpn
# Indica que esse túnel possui uma chave de
criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
#Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
#fim do arquivo
Inicíe o openVPN
#/etc/init.d/openvpn start
Se funcionou a interface tun0 deve estar ativa
#ifconfig tun0
Se não funcionou. Dê uma olhada no log
#cat /var/log/daemon
CLIENTE
Você executar praticamente as mesmas tarefas, com
alguns passos a mais.
Vou colocar um * nesses passos...
Instale o OpenVPN
#apt-get install openvpn
*Você deve copiar a chave criada no servidor para o
cliente.
O método mais seguro é através do comando scp.
Execute no servidor o seguinte comando:
#scp /etc/openvpn/chave IP_DO_CIENTE:/etc/openvpn
Crie o grupo nobody
# addgroup nobody
Crie o arquivo de configração da VPN local
#editor /etc/openvpn/local.conf
#inicio do arquivo
# Usar como interface o driver TUN
dev tun
# 10.0.0.1 ip que será assumido no local
# 10.0.0.2 ip remoto, ou seja, esse será o ip d
remoto
#* Note que é o inverso do servidor
ifconfig 10.0.0.2 10.0.0.1
#* Indica o ip válido do servidor
remote 200.217.222.222
# Entra no diretório onde se encontram os arquivos
de configuração
cd /etc/openvpn
# Indica que esse túnel possui uma chave de
criptografia
secret chave
# OpenVPN usa a porta 5000/UDP por padrão.
# Cada túnel do OpenVPN deve usar
# uma porta diferente.
# O padrão é a porta 5000
port 5000
# Usuário que rodará o daemon do OpenVPN
user nobody
# Grupo que rodará o daemon do OpenVPN
group nobody
#Usa a biblioteca lzo
comp-lzo
# Envia um ping via UDP para a parte
# remota a cada 15 segundos para manter
# a conexão de pé em firewall statefull
# Muito recomendado, mesmo se você não usa
# um firewall baseado em statefull.
ping 15
#fim do arquivo
Inicíe o openVPN
#/etc/init.d/openvpn start
Se funcionou a interface tun0 deve estar ativa
#ifconfig tun0
Se não funcionou. Dê uma olhada no log
#cat /var/log/daemon
Use o comando ping para testar o funcionamento da
VPN
# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=2.40
ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.05
ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=1.00
ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.942
ms
64 bytes from 10.0.0.1: icmp_seq=5 ttl=64 time=0.994
ms
64 bytes from 10.0.0.1: icmp_seq=6 ttl=64 time=0.947
ms
Se pingou então tudo está funcionando...
Agora adicione as rotas para as redes internas se
enxergarem.
##Parte não revisada, ainda!!!
# echo 1 > /proc/sys/net/ipv4/ip_forward
Para adicionar a rota com destino a rede da Filial,
execute de dentro do servidor da Matriz o seguinte
comando:
# route add -net 192.168.2.0/24 gw 10.0.0.2
Para adicionar a rota com destino a rede da Matriz,
execute de dentro do servidor da Filial o seguinte
comando:
# route add -net 192.168.1.0/24 gw 10.0.0.1
Bom, agora é só testar. Tente pingar de dentro de
uma máquina da LAN da Matriz com destino a LAN da
Filial. Vale lembrar também que temos que colocar
toda a seqüência de comandos acima no rc.local de
sua distro, para que a mesma carregue as
configurações ao iniciar o sistema operacional.
##Fim da parte não revisada
Baseado no script do Guilherme Rezende