[FUG-BR] Varios túneis com OpenVPN

Daniel Bristot de Oliveira danielbristot em gmail.com
Segunda Março 17 13:30:12 BRT 2008 

Olá cristina

Eu tenho isto rodando, um servidor OpenVPN, com vários clientes em um
único servidor, cada cliente é um firewall, que dá rota para uma
subrede, assim eu faço com que a rede do cliente alcance a rede do
servidor e vice-versa.

A chaves são certificados digitais, o que aumenta a segurança, se
comparado a uma chave.

Suponha que tenha criado o servidor, e dois clientes, com DN
gw.empresa.com.br e gw.empresa2.com.br.

Abaixo a configuração do servidor.

-----
# Interface que o OpenVPN esparara conexoes
local 201.XX.XX.XXX
port 1194
proto udp
dev tun0
management localhost 7505

#Certificado do ca
ca keys/ca.crt
# certificado do servidor
cert keys/server.crt
# Mantenha esta chave em segredo
key keys/server.key
# arquivo dh
dh keys/dh1024.pem
# Servidor
# Ele automaticamente pegara o IP 10.10.10.1
server 10.10.10.0 255.255.255.0
ifconfig-pool-persist ipp.txt
client-config-dir ccd

# Rotas para serem servidas as clientes
push "route 192.168.0.0 255.255.0.0"

keepalive 10 120
ping-timer-rem


# Chave criptografica
cipher AES-256-CBC
status openvpn-status.log

# Roteamento para clientes
# Rede da empresa1
route 172.16.100.0 255.255.255.0
# Rede da empresa2
route 172.16.200.0 255.255.255.0

log  openvpn.log
cd /usr/local/etc/openvpn
user openvpn
group openvpn
comp-lzo
verb 1
---

Dentro do diretório /usr/local/etc/openvpn eu tenho o diretorio ccd
que possui as configurações de rede de cada cliente, neste diretório
teremos os arquivos que informam as redes dos clientes e quais IPs os
clientes pegarão do servidor.

para cada cliente, devemos ter um arquivo com o nome dado ao seu DN,
no exemplo,

# cat gw.empresa1.com.br

iroute 172.16.100.0 255.255.255.0
ifconfig-push 10.10.10.5 10.10.10.6

# cat gw.empresa2.com.br

iroute 172.16.200.0 255.255.255.0
ifconfig-push 10.10.10.9 10.10.10.10



Configuração dos clientes

-- /usr/local/etc/openvpn/openvpn.conf
cd /usr/local/etc/openvpn
client
dev tun0
proto udp
remote 201.xxx.xxx.xxx 1194
nobind
user openvpn
group openvpn
persist-tun
ca keys/ca.crt
cert keys/nova.crt
key keys/nova.key
comp-lzo
verb 2
log openvpn.log
cipher AES-256-CBC
---

Desculpa a pressa, mas esta terminando o horário de almoço,

A criação de certificados segue o exemplo do mateus coculoto no site da fug,
O esquema do diretorio ccd e as configurações por cliente estão neste link:
http://openvpn.net/index.php/documentation/howto.html#policy

Quando configurei este servidor, só usei dois documentos, o openVPN
How-to e o artigo do coculoto...

Sobre a estabilidade do openvpn, maravilha...

Caso queira usar o esquema que mostrei, posso falar mais.... de volta
ao trabalho.

Att

-- 
Daniel Bristot de Oliveira

Mais detalhes sobre a lista de discussão freebsd