[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Soluções VPN

Obrigado pela atenção.

Dei uma olhada por algumas dessas soluções, mas o que acontece

o openVPN é uma solução SSL/TLS, criptografia em user-space,
ipsec no kernel tem maior performance(eu espero) e me parece que só dá
para configurar um simples túnel por uma porta. E o bacana dele é que
usa o openSSL.

No caso do vtun achei mais sério, eles usam uma implementação própria
dos algoritmos criptográficos, ao invés de usarem um código mais testado
e maduro do openssl como o openvpn.

Embora o ipsec seja mais complexo, ele é mais robusto que uma solução apenas
SSL. Além de acomodar várias conexões e ser padronizado permitindo a
interoperabilidade.


Alguém tem alguma experiência com ipsec no debian para tirar minhas
dúvidas em relação aos pacotes?

Desde já agradeço

> Olá,, blz neh??
> Desculpa ai o pitaco,, mas vc ja deu uma olhada sobre
> o vtun? utilizamos ele em temos poucos problemas..
>
>
> []'s
> Ricardo
>
>
> --- Fabio Serpa <fs3rp4@yahoo.com.br> escreveu:
>
>> Tanto o Ipsec quanto o pptp apresentam alguns
>> problemas de segurança...
>>
>> Se vc estiver interessando dê uma olhada nesse
>> hau-tu com o Openvpn
>> usado o comp-lzo
>>
>> --------
>> Fabio Serpa
>>
>>
>>
>> Fabio Henrique wrote:
>>
>> > Senhores estou verificando algumas soluções de VPN
>> no debian,
>> > mas percebi que existe no caso do ipsec, algumas
>> soluções:
>> > freeswan (ferramentas para o freeswan)
>> > openswan (ferramentas para o openswan)
>> > ipsec-tools
>> >
>> > Além do kernel patch para os dois. Sei que o
>> freeswan foi
>> > descontinuado e vi
>> > uns módulos para ipsec no kernel 2.4. do sarge,
>> mas aih vem minhas
>> > dúvidas,
>> > qual usar? os módulos são do free ou openswan?
>> Tenho que aplicar os
>> > patchs?
>> > E o ipsec-tools nesta estória?
>> >
>> > Tudo bem, posso usar o kernel26(port do openswan)
>> que jah vem com
>> > suporte nativo, mas não sei se está tão estável ou
>> tem todas as
>> > funcionalidades dos anteriores.
>> >
>> > E então, vcs podem me ajudar?
>> >
>> >
>> > Desde já agradeço,
>> >
>> > Fábio.
>> >
>> >
>> > Hau-tu para criar uma VPN entre 2 redes usando
>> Debian e OpenVPN
>>
>> As configurações devem ser feitas no servidor e
>> cliente:
>>
>>
>> SERVIDOR
>>
>> Instale o OpenVPN
>> #apt-get install openvpn
>>
>> Gere uma chave criptográfica
>> #openvpn --genkey --secret /etc/openvpn/chave
>>
>> Crie o grupo nobody
>> # addgroup nobody
>>
>> Crie o arquivo de configração da VPN local
>> #editor /etc/openvpn/local.conf
>>
>> #inicio do arquivo
>>
>> # Usar como interface o driver TUN
>> dev tun
>>
>> # 10.0.0.1 ip que será assumido no local
>> # 10.0.0.2 ip remoto, ou seja, esse será o ip d
>> remoto
>> ifconfig 10.0.0.1 10.0.0.2
>>
>> # Entra no diretório onde se encontram os arquivos
>> de configuração
>> cd /etc/openvpn
>>
>> # Indica que esse túnel possui uma chave de
>> criptografia
>> secret chave
>>
>> # OpenVPN usa a porta 5000/UDP por padrão.
>> # Cada túnel do OpenVPN deve usar
>> # uma porta diferente.
>> # O padrão é a porta 5000
>> port 5000
>>
>> # Usuário que rodará o daemon do OpenVPN
>> user nobody
>>
>> # Grupo que rodará o daemon do OpenVPN
>> group nobody
>>
>> #Usa a biblioteca lzo
>> comp-lzo
>>
>> # Envia um ping via UDP para a parte
>> # remota a cada 15 segundos para manter
>> # a conexão de pé em firewall statefull
>> # Muito recomendado, mesmo se você não usa
>> # um firewall baseado em statefull.
>> ping 15
>>
>> #fim do arquivo
>>
>> Inicíe o openVPN
>> #/etc/init.d/openvpn start
>>
>> Se funcionou a interface tun0 deve estar ativa
>> #ifconfig tun0
>>
>> Se não funcionou. Dê uma olhada no log
>> #cat /var/log/daemon
>>
>>
>>
>>
>> CLIENTE
>>
>> Você executar praticamente as mesmas tarefas, com
>> alguns passos a mais.
>> Vou colocar um * nesses passos...
>>
>> Instale o OpenVPN
>> #apt-get install openvpn
>>
>> *Você deve copiar a chave criada no servidor para o
>> cliente.
>> O método mais seguro é através do comando scp.
>> Execute no servidor o seguinte comando:
>> #scp /etc/openvpn/chave IP_DO_CIENTE:/etc/openvpn
>>
>> Crie o grupo nobody
>> # addgroup nobody
>>
>> Crie o arquivo de configração da VPN local
>> #editor /etc/openvpn/local.conf
>>
>> #inicio do arquivo
>>
>> # Usar como interface o driver TUN
>> dev tun
>>
>> # 10.0.0.1 ip que será assumido no local
>> # 10.0.0.2 ip remoto, ou seja, esse será o ip d
>> remoto
>> #* Note que é o inverso do servidor
>> ifconfig 10.0.0.2 10.0.0.1
>>
>> #* Indica o ip válido do servidor
>> remote 200.217.222.222
>>
>> # Entra no diretório onde se encontram os arquivos
>> de configuração
>> cd /etc/openvpn
>>
>> # Indica que esse túnel possui uma chave de
>> criptografia
>> secret chave
>>
>> # OpenVPN usa a porta 5000/UDP por padrão.
>> # Cada túnel do OpenVPN deve usar
>> # uma porta diferente.
>> # O padrão é a porta 5000
>> port 5000
>>
>> # Usuário que rodará o daemon do OpenVPN
>> user nobody
>>
>> # Grupo que rodará o daemon do OpenVPN
>> group nobody
>>
>> #Usa a biblioteca lzo
>> comp-lzo
>>
>> # Envia um ping via UDP para a parte
>> # remota a cada 15 segundos para manter
>> # a conexão de pé em firewall statefull
>> # Muito recomendado, mesmo se você não usa
>> # um firewall baseado em statefull.
>> ping 15
>>
>> #fim do arquivo
>>
>> Inicíe o openVPN
>> #/etc/init.d/openvpn start
>>
>> Se funcionou a interface tun0 deve estar ativa
>> #ifconfig tun0
>>
>> Se não funcionou. Dê uma olhada no log
>> #cat /var/log/daemon
>>
>>
>> Use o comando ping para testar o funcionamento da
>> VPN
>> # ping 10.0.0.1
>> PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
>> 64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=2.40
>> ms
>> 64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=1.05
>> ms
>> 64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=1.00
>> ms
>> 64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.942
>> ms
>> 64 bytes from 10.0.0.1: icmp_seq=5 ttl=64 time=0.994
>> ms
>> 64 bytes from 10.0.0.1: icmp_seq=6 ttl=64 time=0.947
>> ms
>>
>> Se pingou então tudo está funcionando...
>> Agora adicione as rotas para as redes internas se
>> enxergarem.
>>
>> ##Parte não revisada, ainda!!!
>>
>> # echo 1 > /proc/sys/net/ipv4/ip_forward
>>
>> Para adicionar a rota com destino a rede da Filial,
>> execute de dentro do servidor da Matriz o seguinte
>> comando:
>>
>> # route add -net 192.168.2.0/24 gw 10.0.0.2
>>
>> Para adicionar a rota com destino a rede da Matriz,
>> execute de dentro do servidor da Filial o seguinte
>> comando:
>>
>> # route add -net 192.168.1.0/24 gw 10.0.0.1
>>
>> Bom, agora é só testar. Tente pingar de dentro de
>> uma máquina da LAN da Matriz com destino a LAN da
>> Filial. Vale lembrar também que temos que colocar
>> toda a seqüência de comandos acima no rc.local de
>> sua distro, para que a mesma carregue as
>> configurações ao iniciar o sistema operacional.
>>
>> ##Fim da parte não revisada
>>
>>
>> Baseado no script do Guilherme Rezende
>>
> http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2602&pagina=1&PHPSESSID=c5f133964c44c311ad6d6cbe0d356023
>>
> === message truncated ===
>
>
>
> Ricardo Martins Moreira
>
>
>
>
>
>
>
>
> _______________________________________________________
> Yahoo! Acesso Grátis - Internet rápida e grátis.
> Instale o discador agora! http://br.acesso.yahoo.com/
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
Reply to: