Muitas vezes precisamos interligar de forma segura diversos pontos que nao estao próximos fisicamente, ou, devido a algum imprevisto acabamos tendo que acessar remotamente e de forma segura os servidores de algum cliente.
Vou explicar aqui como configurar um servidor OpenVPN para aceitar conexões de múltiplos clientes utilizando certificados gerados com o OpenSSL.
- Download e instalaçao do OpenVPN
- Modelo do arquivo openssl.cnf
- Gerando os certificados
- Modelo do arquivo servidor.conf
- Modelo do arquivo cliente.conf
Download e Instalaçao do OpenVPN
Aqui temos aquele mamao com açúcar que a grande maioria sabe de cor e salteado.
## Download do OpenVPN
$wget http://openvpn.net/release/openvpn-2.0.9.tar.gz
## Descompactar o conteúdo do arquivo
$tar -zxvf openvpn-2.0.9.tar.gz
## Isto é só para a organizaçao
#mv openvpn-2.0.9/ /usr/src/
## Compilar e pronto
#cd /usr/src/openvpn-2.0.9
#./configure --prefix=/usr/local/openvpn
#make && make install ## Ou ainda mais simples que tudo isso...
#apt-get install openvpn
Sou usuário do Debian e do Ubuntu, entao por questões de comodidade própria 
vou prosseguir como se tivesse instalado via apt.
Modelo do arquivo openssl.cnf
Vou assumir que você já possui o OpenSSL instalado.
Você pode alterar ou até mesmo usar o seu próprio openssl.cnf, estou fornecendo este pra deixar tudo bem completo =).
Geralmente este arquivo encontra-se em /etc/ssl/openssl.cnf.
#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
RANDFILE = /dev/arandom
[ca]
default_ca = CA_default
[CA_default]
dir = /etc/openvpn
certificate = $dir/xx.crt
private_key = $dir/xx.key
serial = $dir/serial
database = $dir/index.txt
new_certs_dir = $dir/
default_md = md5
policy = policy_match
default_days = 3500
[policy_match]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
####################################################################
[ req ]
default_bits = 1024
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
#countryName_default = AU
countryName_min = 2
countryName_max = 2
stateOrProvinceName = State or Province Name (full name)
#stateOrProvinceName_default = Some-State
localityName = Locality Name (eg, city)
0.organizationName = Organization Name (eg, company)
#0.organizationName_default = Internet Widgits Pty Ltd
# we can do this but it is not needed normally 
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = CryptSoft Pty Ltd
organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =
commonName = Common Name (eg, fully qualified host name)
commonName_max = 64
emailAddress = Email Address
emailAddress_max = 64
[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20
unstructuredName = An optional company name
[ x509v3_extensions ]
nsCaRevocationUrl = http://www.cryptsoft.com/ca-crl.pem
nsComment = “This is a comment”
# under ASN.1, the 0 bit would be encoded as 80
nsCertType = 0×40
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName
#nsCertSequence
#nsCertExt
#nsDataType
Gerando os certificados
Certificado da entidade certificadora (apenas um)
openssl req -nodes -new -x509 -keyout my-ca.key -out my-ca.crt -days 3650
Certificado do cliente (um para cada cliente)
openssl req -nodes -new -keyout xx.key -out xx.csr
openssl ca -out xx.crt -in xx.csr
Parametros Diffie Hellman no servidor.
openssl dhparam -out dh1024.pem 1024
Modelo do arquivo servidor.conf
Como o próprio nome diz, este é o arquivo de configuraçao do servidor. Este arquivo deve ficar localizado em /etc/openvpn.
Lembrando que no servidor devemos ter os certificados da unidade certificadora, do servidor e as chaves públicas dos clientes.
port 443 #modifiquei a porta padrao do openvpn
proto tcp
dev tun
ca pmg.crt #certificado da unidade certificadora
cert xx.crt #chave pública do cliente
key xx.key #chave privada do cliente
dh dh1024.pem
client-config-dir ccd #criar o diretorio ccd diretorio no /etc/openvpn
route 10.0.1.0 255.255.255.0
server 10.0.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
Modelo do arquivo cliente.conf
Hum… em qual das máquinas vai este arquivo ?? Claro que é na máquina cliente, no diretorio /etc/openvpn.
Lembrando que no cliente devemos ter a chave publica da unidade certificadora, do servidor e as chaves publica e privada do proprio cliente.
dev tun0
proto tcp
remote 111.111.111.11 443 #endereco IP do servidor
nobind
persist-key
persist-tun
ca xx.crt #certificado do orgao certificador
cert xx.crt #certificado publico do cliente
key xx.key #chave privada do cliente
comp-lzo
verb 3
Com essas configurações podemos iniciar o openvpn e sair conectando os clientes. Os endereços IP serao atribuados dinamicamente.
#openvpn --config /etc/openvpn/servidor.conf --daemon
setembro 17th, 2007 at 13:03
Olá, gostaria de saber se o openvpn funciona bem no Ubuntu como servidor e windows como estação.
Abraços
julho 10th, 2008 at 10:56
Realmente faltou configurar um cliente Windows.
julho 10th, 2008 at 11:04
Fala Marcelo!
Foi para a pauta. Esta semana devo estar postando um artigo de como configurar o cliente openvpn no windows.
abraços!
julho 13th, 2008 at 22:55
cara muito bom é tudo q preciso so q n saquei nada. preciso muito fazer isso aqui. tenho um mini-provedor wireless e isso ajudaria mt so q n to sacando mt alguema pode me ajuda com a configuracao? seria mt bom tbm se o Ricardo coloque a conf do cliente windows
julho 13th, 2008 at 23:03
Pessoal, já encontra-se disponível um artigo sobre como configurar o cliente do OpenVPN no Windows…
http://www.rebit.com.br/2008/07/10/como-configurar-o-cliente-openvpn-no-windows-xp/
Abraços!
agosto 14th, 2008 at 11:57
Kara, antes de td, parabéns pelos artigos…
Então, gostaria se possível que vc me esclarecesse sobre alguns pontos. Quero dizer q não entendo nada de VPN, portanto, desculpa alguna ignorância da minha parte.
É o seguinte, inicialmente, gostaria de saber, por exemplo, depois de confugurada a rede VPN posso acessar qualquer máquina da rede “matriz” onde se encontra o servidor?…tipo assim, preciso deixar a rede de matriz e da filial como se fosse uma soh e eu podesse acessar, por exemplo, um dos servidores de sistemas que temos na matriz. Na verdade é apenas um sistema DOS, baseado em clipper, ou eu soh posso ter acesso ao servidor onde estah configurada a VPN, como eh isso???
Eu preciso rodar esse programa DOS na filial, mas mapeando a partir do servidor na matriz, entende, como se fosse local, essa eh a minha necessidade?
RESUMINDO: eu preciso saber o seguinte, depois de configurada e funcianal oq exatamente eu posso fazer a partir da filial com as máquinas da matriz( ou máquina servidora do dito programa DOS)???
agosto 14th, 2008 at 13:00
Fala Joelson! Primeiramente obrigado pela visita.
Sorbe a tua dúvida, se nos seus servidores você configurar uma rota que “ligue” a rede da vpn com a sua rede interna, sim, é possível fazer com que as máquinas se enxerguem de forma “transparente”.
agosto 22nd, 2008 at 17:37
prezado Ricardo
quando fui gererar a segunda cheve do clente no servidor deu o seguinte erro.
root@fwproxy:/home/fabio# openssl ca -out xx.crt -in xx.csr
Using configuration from /usr/lib/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/cakey.pem
4904:error:02001002:system library:fopen:No such file or directory:bss_file.c:35 2:fopen(’./demoCA/private/cakey.pem’,'r’)
4904:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
unable to load CA private key
root@fwproxy:/home/fabio# openssl ca -out xx.crt -in xx.csr
Using configuration from /usr/lib/ssl/openssl.cnf
Error opening CA private key ./demoCA/private/cakey.pem
4905:error:02001002:system library:fopen:No such file or directory:bss_file.c:35 2:fopen(’./demoCA/private/cakey.pem’,'r’)
4905:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
unable to load CA private key
eu uso o ubuntu e debian
agosto 22nd, 2008 at 18:24
Fala Fábio! valeu pela visita…
cara, o problema aí é o seu openssl.cnf que está com as configurações default. Para gerar os certificados você precisa fazer umas alterações nele. Ali no artigo eu mostro um exemplo de arquivo “padrão” que funciona. Confere lá!
Abraços.
agosto 25th, 2008 at 9:17
ok obrigado pela, resposta valeu vou da uma olhada e retorno se deu certo..
agosto 27th, 2008 at 17:51
prezado Ricardo
quando eu dou o comando ifconfig tun0 para levantar a interface da esse erro oq pode ser me dar um luz de resto fou bem
error fetching interface information: Device not found
agosto 27th, 2008 at 18:47
A interface tun0 “sobe” junto com o serviço do openvpn, você não precisa fazer isso manualmente. Dê uma conferida nos logs… se ela não está aparecendo automaticamente quer dizer que tem algo de errado aí…
[]’s
agosto 28th, 2008 at 14:09
Prezado Ricardo
Olhei os lg com o comando ´´ tail /var/log/messages ´´
e apareceu essas Menssagens Aug 28 13:54:10 fwproxy kernel: [ 46.057549] input: ImPS/2 Generic Wheel Mouse as /devices/platform/i8042/serio1/input/input4
Aug 28 13:54:10 fwproxy kernel: [ 48.581911] parport_pc 00:08: reported by Plug and Play ACPI
Aug 28 13:54:10 fwproxy kernel: [ 48.583319] parport0: PC-style at 0×378, irq 7 [PCSPP,TRISTATE]
Aug 28 13:54:10 fwproxy kernel: [ 68.940296] NET: Registered protocol family 10
Aug 28 13:54:10 fwproxy kernel: [ 68.944566] lo: Disabled Privacy Extensions
Aug 28 13:54:10 fwproxy kernel: [ 72.526598] loop: module loaded
Aug 28 13:54:10 fwproxy kernel: [ 72.630611] lp0: using parport0 (interrupt-driven).
Aug 28 13:54:10 fwproxy kernel: [ 73.365581] Adding 979924k swap on /dev/sda1. Priority:-1 extents:1 across:979924k
Aug 28 13:54:10 fwproxy kernel: [ 74.035591] EXT3 FS on sda2, internal journal
Aug 28 13:54:10 fwproxy kernel: [ 76.755192] ip_tables: (C) 2000-2006 Netfilter Core Team
se puder ajudar sobre oq se trata eu agradeço
agosto 29th, 2008 at 0:57
Fabio, não tem nada do openvpn aí.. ehehehe no seu conf, mude o valor do parâmetro “verb” para um número maior (algo como 6.. não me recordo e não tenho como olhar aqui…), reinicie o openvpn… ele vai criar um arquivo de log específico do openvpn. Não me lembro se vai ser na pasta do openvpn (/etc/openvpn) ou no /var/log
nestes logs provavelmente vai mostrar o que está acontecendo de errado pra você conseguir resolver!
[]’s
agosto 29th, 2008 at 12:06
ok valeu deu certo era o driver tun que não estava carregando valeu pela força
setembro 11th, 2008 at 17:34
Boa tarde Ricardo
Blz com vc olha eu aqui de novo cara minha vpn conecta normal blz, mas estou como uma duvida minha rede é base 100, e a vpn esta conectando 10mbps tem alguma configuração pare ser alterada?? se puder me respoder agradeço, pois já pesquisei na net e não ache nada para solucionár o problema obrigado….
setembro 11th, 2008 at 19:42
E ai Fábio… cara, até onde eu sei, não existe nenhuma opção de velocidade no openvpn… agora, qualquer rede, sempre trabalha na velocidade mais baixa disponível na rede. Se você utiliza um HUB na sua rede e tem algum computador com uma placa de rede 10mbps, sua rede vai trabalhar a esta velocidade…