Blog Do Nerd OpenVPN - Servidor Ubuntu e Clientes Windows e Linux

Blog do Nerd OpenVPN Servidor Ubuntu e Clientes Windows e Linux
http://blogdonerd.com.br/2012/06/openvpn-servidor-ubuntu-e-clientes-...
Sobre Suporte em TI
Pesquisar...
Manuteno de Servidores
Troca de peas, configurao, criao de array, atualizar bios
www.starlude.com.br
Segurana 24 horas
5 DIAS ATRS Segurana para condomnios, residencial comercial. Acesse.
www.sekronalarmes.com.br
Compartilhar / Favoritos
O OpenVPN uma ferramenta extremamente poderosa para permitir o acesso seguro rede de sua empresa ou residncia.
Juniper Store
www.JuniperStore.com.br
Revendedor Autorizado Juniper NetWorks
tweets
Professional IT Low Cost

Use the best in technology and save Backup, Attack Protection, No Virus
www.gxtechnology.com
tweet
Voc pode utiliz-lo para permitir que os funcionrios da empresa trabalhem de casa ou de qualquer lugar com acesso a Internet, de forma segura e transparente. Outro uso bastante comum permitir a conexo de filiais matriz da empresa, de forma a permitir o acesso das filiais aos arquivos e servios disponibilizados pela matriz. Muitas empresas utilizam links dedicados justamente para fazer isso. Uma opo , alm de utilizar o link dedicado, usar um link ADSL como redundncia e s conectar a VPN - pelo link ADSL - quando o link principal apresentar algum problema.
Este tutorial ir ensin-lo a instalar e configurar um servidor OpenVPN no sistema operacional Ubuntu 12.04 LTS ou superior e tambm como configurar clientes Windows e Linux para acessar o servidor de VPN. A topologia que estamos interessados esta ilustrada na figura abaixo, com um computador ligado Internet e conectado rede da empresa atravs da VPN, de forma que esse computador opere como se estivesse fisicamente conectado na rede da matriz.
Windows 7 Sysprep: Criao de uma imagem de instalao personalizada (187) O objetivo deste artigo demonstrar como gerar uma imagem personalizada para instalao em massa do Windows 7. Aps concluir todos os []
1 ANO ATRS
Ir para o Topo
1 de 18
29/6/2012 18:43
Utilizando o WinPE 3.0 para backup e instalao do Windows 7 (136) O WinPE (Windows Preinstallation Environment) uma verso reduzida do Windows destinada especificamente para preparar um computador para []
1 ANO ATRS
Parceiros
Para a conexo OpenVPN necessrio a criao de chaves criptogrficas, um par de chaves (pblica e privada) para cada cliente, onde a chave pblica fica no servidor de OpenVPN e a chave privada fica de posse do cliente. Para isso iremos criar nossa prpria Autoridade Certificadora (CA). Em outro tutorial irei ensinar como utilizar um certificado digital emitido por uma Autoridade Certificadora pblica como Certisign, Verisign, Caixa Econmica Federal ou outra. Voc no precisa se preocupar em entender a fundo a questo da criptografia, mas se tiver interesse no tema, um bom comeo a Cartilha de Segurana disponibilizada pelo Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana no Brasil. Blogueiro NERD
Tweets Recentes
Indisponvel no momento
Tags
Pr-Requisitos
O OpenVPN est disponvel em duas verses: Access Server e Community. A verso Access Server necessita de uma licena paga para funcionar. J a verso Community gratuita e no oferece suporte. Este tutorial est focado na verso gratuita Community. Voc precisar: 1. Servidor com Ubuntu 10.04/12.04 LTS ou superior (x86 ou amd64). Voc pode utilizar a distribuio linux de sua preferncia, inclusive utilizar um servidor Windows se desejar, pois o OpenVPN muito verstil, porm, ter que fazer as adaptaes necessrias para seu ambiente. Este tutorial vai focar na instalao do OpenVPN server no Ubuntu 12.04 LTS amd64. Este servidor pode ser - e at recomendvel que seja - o seu firewall. 2. Cliente com Windows XP, Vista, 7, ou superior instalado. O cliente tambm pode ser uma estao Linux. Este tutorial ir tratar dos passos necessrio para instalar e configurar o cliente da VPN em um computador executando WIndows. 3. Endereo IP da rede VPN a ser criada. Voc pode definir a rede que julgar mais apropriada, porm bom que esta rede seja diferente da rede dos usurios. As redes mais comuns de uso domstico so 192.168.0.0/24, 192.168.1.0/24 e 10.0.0.0/24. melhor voc escolher uma faixa diferente dessas, porm dentro da faixa de endereos privados. Neste tutorial vou usar o endereo da rede VPN como sendo 10.15.0.0/24. Voc pode usar outra mscara de sub-rede, de acordo com suas necessidades. Optei pela mscara 24 (255.255.255.0) por ser uma das mais usuais. 4. Definir qual a porta e protocolo (UDP ou TCP) a ser utilizado para a conexo VPN. A porta e protocolos padro para o OpenVPN so 1194 e UDP. Neste tutorial irei utilizar esta porta e protocolo. Recomendo que o protocolo utilizado seja UDP, pois encapsular uma conexo TCP dentro de outra TCP pode trazer alguns problemas de desempenho devido aos algoritmos de retransmisso de pacotes e de janelas deslizantes do TCP. Vai funcionar, porm voc poder experimentar algum tipo de lentido. 5. Definir o tipo de interface a ser utilizada TUN ou TAP. A interface mais comum a
Ir para o Topo
2 de 18
29/6/2012 18:43
6.
7.
8. 9.
10.
TUN, que opera em camada 3 do modelo OSI em modo roteamento. A Interface TAP trabalho em camada 2 do modelo OSI e utilizada para modo bridge. Neste tutorial iremos usar modo roteamento com interface TUN. IP pblico de seu roteador de Internet. Se voc no possui um IP fixo, pode utilizar algum servio de DNS dinmico para manter seu IP atualizado e permitir a conexo VPN. O que costumo usar o No-IP. Regra de redirecionamento (NAT) em seu roteador Internet, encaminhando os pacotes destinados ao IP pblico de seu roteador na porta 1194 e protocolo UDP para o IP interno de seu servidor OpenVPN. A forma de fazer o NAT difere de roteador para roteador. Voc pode pesquisar no Google por "como abrir portas" para o modelo de seu roteador. Se o seu servidor OpenVPN j estiver usando um IP pblico ento esse NAT no necessrio. OpenVPN Community Windows - Cliente Windows com interface grfica para o OpenVPN. Voc pode obt-lo aqui. A verso server do OpenVPN Community ser obtida via apt-get no Ubuntu. Voc pode obter o instalador ou cdigo fonte para outras distribuies na pgina do OpenVPN Community. Privilgios administrativos no servidor Linux e no cliente Windows, permitindo a instalao de softwares e configurao dos equipamentos.
Resumo
So esses os passos que iremos seguir: 1. 2. 3. 4. 5. 6. 7. 8. Instalao do Servidor OpenVpn e Criao da CA Local Criao do Certificado do Servidor Configurao do Servidor OpenVPN Regras de Firewall Criando Certificados para Clientes Instalando e configurando o OpenVPN nos Clientes Revogando Certificados de Clientes Informaes Adicionais
Tutorial
Depois de conferido todos os pr-requisitos, vamos por a mo na massa.
1. Instalao do Servidor OpenVPN e Criao da CA Local

Para instalar o OpenVPN no Ubuntu execute: 1 Aps a instalao, copie os arquivos de exemplo de configurao da pasta /usr/share /doc/openvpn/examples/easy-rsa/2.0/ para a pasta /etc/openvpn. 1 Renomeie ou crie uma cpia do arquivo /etc/openvpn/openssl1.0.0.cnf para /etc/openvpn/openssl.cnf. 1 Edite o arquivo /etc/openvpn/vars ajustando as ltimas linhas iniciadas por KEY para refletir o seu ambiente. interessante, porm no obrigatrio, que o parmetro KEY_CN tenha o mesmo valor que o hostname do servidor OpenVPN. Se existir, remova as ltimas linhas referentes as chaves PKCS11_MODULE_PATH e PKCS11_PIN. Se existir uma chave duplicada KEY_EMAIL, remova-a tambm. O tempo padro para a expirao do certificado da CA e das chaves a serem geradas de
Ir para o Topo
3 de 18
29/6/2012 18:43
10 anos (3650 dias). Se preferir altere estes valores editando os parmetros CA_EXPIRE e KEY_EXPIRE. O tamanho da chave de criptografia est definido como 1024 bits. Se quiser mudar este valor edite o parmetro KEY_SIZE.O contedo de meu /etc/openvpn/vars segue abaixo: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 Agora execute os comandos abaixo: 1 2
Ir para o Topo
4 de 18
29/6/2012 18:43

3 4
Confirme os valores solicitados pelo build-ca, que sero os mesmos definidos no arquivo /etc/openvpn/vars. A sada dos comandos ser semelhante a abaixo: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 A pasta /etc/openvpn/keys ser gerada e dentro dela, 5 arquivos referentes a nova CA criada: 1. 2. 3. 4. 5. ca.crt - Certificado Pblico de sua CA. ca.key - Chave Privada de sua CA. dh1024.pem - Parmetros do Diffie-Hellman. index.txt - Controle das chaves geradas pela nova CA. serial - Controle de nmero serial das chaves geradas pela nova CA.
2. Criao do Certificado do Servidor

necessrio a gerao de um certificado para o servidor OpenVPN. Para fazer isso execute: 1 Voc pode substituir a palavra server por outra que desejar, s que se fizer isso, lembre-se de fazer os devidos ajustes no arquivo /etc/openvpn/server.conf que ser configurado no prximo passo. A sada do comando ser semelhante a abaixo. Ajuste o parmetro Name para o nome que julgar mais apropriado para seu servidor. Recomendo no atribuir um challenge password. Confirme a assinatura e a atualizao do certificado com a tecla 'y'. 01
Ir para o Topo
5 de 18
29/6/2012 18:43

02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 Dois arquivos sero gerados na pasta /etc/openvpn/keys: server.crt - Certificado pblico do servidor OpenVPN. server.key - Chave privada do servidor OpenVPN.
3. Configurao do Servidor OpenVPN

Gere uma chave TLS (opcional) para aumentar ainda mais a segurana da conexo VPN, permitindo a verificao de integridade de cada pacote TLS, digitando o seguinte comando: 1 A configurao do OpenVPN realizada em qualquer arquivo que termine em .conf, localizado na pasta /etc/openvpn/. Neste tutorial iremos usar o arquivo /etc/openvpn /server.conf. Voc pode alterar este arquivo para o nome que desejar, desde que ele termine em .conf. Voc pode inclusive ter mais de um servio OpenVPN ouvindo em outras portas, basta configurar outro arquivo .conf. Crie um /etc/openvpn/server.conf vazio e preencha-o conforme segue. Se preferir, voc pode iniciar usando o arquivo de configurao de exemplo do OpenVPN, bastando para isso copiar e descomprimir o arquivo /usr/share/doc/openvpn/examples /sample-config-files/server.conf.gz para /etc/openvpn/server.conf: 1 Ajuste o arquivo /etc/openvpn/server.conf conforme abaixo, tomando o cuidado de alterar as linhas destacadas para refletir a realidade de seu ambiente. A linha local 10.0.0.1 indica o IP local do servidor em que OpenVPN ir ouvir por
Ir para o Topo
6 de 18
29/6/2012 18:43
novas conexes. A configurao server 10.15.0.0 255.255.255.0 informa ao servidor OpenVPN que a rede VPN ser 10.15.0.0/24. Altere para a rede que definiu durante a fase de pr-requisitos. O primeiro IP dessa rede ser o IP do servidor OpenVPN. Se desejar voc pode ajustar a linha push "route 10.0.0.0 255.0.0.0" informando ao OpenVPN para adicionar uma rota na tabela de rotas dos clientes VPN no momento da conexo. Neste caso todo o trfego para a rede 10.0.0.0/8 ser redirecionado pela VPN. Voc pode ser mais radical e direcionar todo o trfego de rede pela VPN, incluindo o trfego de Internet. Para fazer isso, substitua a linha push "route 10.0.0.0 255.0.0.0" por push "redirect-gateway def1". As configuraes push "dhcp-option" so opcionais e relativas aos parmetros de DNS a serem informados para o computador cliente. Voc pode informar os servidores de DNS locais da rede da sede para que os clientes possam resolver nomes de domnio e acessar os servios internos com maior facilidade. Muitos dos parmetros so opcionais e o OpenVPN extremamente verstil e se adapta a praticamente qualquer ambiente. Voc pode verificar o manual do OpenVPN para explorar outras configuraes. O arquivo /etc/openvpn/server.conf sugerido o seguinte: 001 002 003 004 005 006 007 008 009 010 011 012 013 014 015 016 017 018 019 020 021 022 023 024 025 026 027 028 029 030 031 032 033 034 035 036 037 038 039 040 041 042 043 044 045 046 047 048 049 050 051 052 053 054 055
Ir para o Topo
7 de 18
29/6/2012 18:43

056 057 058 059 060 061 062 063 064 065 066 067 068 069 070 071 072 073 074 075 076 077 078 079 080 081 082 083 084 085 086 087 088 089 090 091 092 093 094 095 096 097 098 099 100 101 102 103 104 105 106 107 108 109 110 111 Crie a pasta /var/log/openvpn para manter os logs do OpenVPN: 1
Se desejar crie o arquivo /etc/logrotate.d/openvpn com o contedo a seguir para fazer uma rotao automtica dos logs do OpenVPN: 01 02 03 04 05 06 07 08 09 10 11 Inicie o OpenVPN executando: 1
Ir para o Topo
8 de 18
29/6/2012 18:43
Verifique se o servio est em execuo com o comando: 1 Se tudo ocorreu com sucesso, a sada ser semelhante a seguinte: 1 2 3 4 5 6 Se ocorreu algum problema, verifique o arquivo /var/log/openvpn.log: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 Uma nova interface de rede (tun0) ser criada, conforme ilustra a execuo do comando ifconfig abaixo. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 O servidor j est no ar. Agora precisamos configurar regras de firewall, se necessrio, criar as chaves para os clientes e configur-los.
4. Regras de Firewall
Se seu servidor OpenVPN est configurado no mesmo equipamento que seu firewall, ou se
Ir para o Topo
9 de 18
29/6/2012 18:43
a comunicao precisa atravessar por um firewall para chegar at o servidor OpenVPN, importante configurar as regras adequadamente. No vou ensinar aqui a criar as regras para um ambiente especfico, pois existe uma diversidade enorme de ferramentas para gerenciar regras de firewall e cada caso um caso. Vou tratar apenas de regras de uma forma genrica. Vamos ao pontos importantes: 1. O primeiro IP definido no parmetro server do /etc/openvpn/server.conf o IP local do OpenVPN e o segundo IP o endereo considerado remoto. No exemplo deste tutorial: 1. O endereo da rede 10.15.0.0 com mscara 255.255.255.0. 2. O endereo 10.15.0.0 o endereo da rede e, por definio, no pode ser atribudo a nenhum equipamento. 3. O IP 10.15.0.1 o IP atribudo a interface tun0 local 4. O IP 10.15.0.2 um IP lgico, atribudo genericamente ao gateway dos clientes. Voc pode utilizar este IP para fazer regras de roteamento, por exemplo, se seu cliente est na rede 10.2.0.0/24, voc pode criar uma regra de roteamento que encaminhe todos os pacotes destinados a rede 10.2.0.0/24 para o gateway 10.15.0.2: route add -net 10.2.0.0/24 gw 10.15.0.2 dev tun0 2. necessrio criar uma regra que permita que comunicao oriundas da internet e destinadas ao IP do seu servidor OpenVPN na porta 1194 UDP sejam aceitas. Uma regra iptables seria: iptables -A -i eth0 -d 10.0.0.1/32 -p udp -m udp --dport 1194 -j ACCEPT 3. Uma vez permitida a conexo necessrio criar regras que permitam que seu cliente converse com os servios de sua rede e vice-versa. Neste caso, cada rede vai ter suas particularidades. Por exemplo, para permitir que qualquer cliente da rede OpenVPN (10.15.0.0/24) acesse um servidor de DNS de IP 10.0.0.15 em sua rede, a regra iptables seria: iptables -A -i tun0 -s 10.15.0.0/24 -d 10.0.0.15/32 -p tcp -m tcp --dport 53 -j ACCEPT 4. Lembre-se de que para estas regras funcionarem importante permitir o roteamento entre as interfaces. Isto pode ser feito atribuindo o valor 1 ao parmetro /proc/sys /net/ipv4/ip_forward. Voc pode colocar uma linha com o comando a seguir em algum script de inicializao de seu servidor, ou ajustar este parmetro diretamente no seu firewall, se ele assim o permitir: echo 1 > /proc/sys/net/ipv4/ip_forward
5. Criando Certificados para Clientes

Para cada novo cliente VPN de sua rede, necessrio criar um certificado exclusivo. Isto feito atravs do comando /etc/openvpn/build-key ou /etc/openvpn/build-key-pass: 1 Troque nome-do-cliente por um nome nico e exclusivo para cada cliente. Ele ser o Common Name do certificado gerado. importante que no nome-do-cliente no haja espaos em branco, nem caracteres especiais ou acentuados. At possvel, mas se voc no us-los, ter menos problemas. Voc pode usar nmeros, a matricula dos funcionrios, CPF, ou o Nome completo, lembrando de trocar o separador do nome por _ ou simplesmente suprimi-lo. Por exemplo, a Caixa Econmica Federal costuma emitir seus certificados usando o nome completo do solicitante, seguido do caracter : e dos nmeros do CPF. Antes de executar o build-key importante executar source /etc/openvpn/vars para atribuir as informaes de sua CA s variveis de ambiente da sesso corrente. Lembre-se de responder as perguntas adequadamente. Elas j viro pr-preenchidas pelos valores de /etc/openvpn/vars. Voc pode colocar qualquer informao no campo name, inclusive espaos em branco e caracteres acentuados. recomendvel usar o build-key-pass ao invs do build-key, visto que o primeiro ir solicitar uma senha secreta para cada cliente. Essa senha sera utilizada em cada conexo
Ir para o Topo
10 de 18
29/6/2012 18:43
OpenVPN. Isso importante pois caso um notebook que contenha as configuraes e certificados de determinado usurio seja perdido ou furtado um meliante no seria capaz de fechar a conexo VPN sem ter a senha. claro que nestes casos recomenda-se ainda revogar o certificado do cliente. Para gerar um novo certificado para o usurio Joo da Silva voc pode digitar o seguinte: 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 Trs novos arquivos sero gerados na pasta /etc/openvpn/keys: joao_da_silva.csr - Solicitao do novo certificado joao_da_silva.crt - Certificado pblico joao_da_silva.key - Chave privada Ser necessrio copiar estes arquivos para o computador do cliente no prximo passo.
6. Instalando e configurando o OpenVPN nos Clientes Windows ou Linux

Baixe e instale a verso mais recente do OpenVPN. Para clientes Ubuntu basta executar apt-get install openvpn. No Windows se aparecer uma mensagem solicitando para sua permisso para instalar um novo adaptador de rede TAP-Win32 (conforme abaixo), clique no boto Instalar.
Ir para o Topo
11 de 18
29/6/2012 18:43
No Windows, um cone do OpenVPN GUI ser instalado na rea de trabalho.
Se seu sistema operacional for Windows Vista ou 7, clique com o boto direito do mouse nesse cone e escolha Propriedades. Na guia Atalho clique no boto Avanados e na nova janela marque a opo Executar como administrador.
Isto importante porque as regras de roteamento enviadas pelo servidor OpenVPN s sero atribudas se o cliente OpenVPN tiver privilgios administrativos. Agora vamos configurar o cliente OpenVPN. V at o servidor e copie os seguintes arquivos da pasta /etc/openvpn/keys: ca.crt - Certificado pblico de sua CA ta.key - Chave privada para assinatura de pacotes TLS de forma a aumentar a segurana na comunicao joao_da_silva.crt - Certificado pblico do usurio a ser configurado joao_da_silva.key - Certificado privado do usurio a ser configurado Talvez voc tenha dificuldades para copar os arquivos .key que so privados e no possuem permisso de leitura para usurios comuns. Se necessrio, copie os arquivos para uma pasta temporria (/tmp por exemplo) e altere as permisses com o comando chmod: chmod 644 /tmp/joao_da_silva.key. ATENO: Lembre-se o arquivo joao_da_silva.key contm a chave privada do Joo e no deve ser distribuida livremente para no comprometer a segurana, especialmente se ele no possuir uma challenge password. Copie estes arquivos para a pasta C:\Program Files\OpenVPN\config para o cliente
Ir para o Topo
12 de 18
29/6/2012 18:43
Windows ou para /etc/openvpn no caso de um cliente Linux. Renomeie os arquivos joao_da_silva.crt e joao_da_silva.key no cliente, conforme segue: joao_da_silva.crt -> client.crt joao_da_silva.key -> client.key Se preferir, ao invs de renomear estes arquivos, voc pode ajustar os parmetros cert e key no arquivo openvpn.conf (Linux) ou openvpn.ovpn (Windows) que ser configurado no prximo passo.
7.1. Particularidades do Cliente Windows

Para um cliente Windows, crie o arquivo C:\Program Files\OpenVPN\config \openvpn.ovpn com o contedo abaixo. Ajuste o parmetro remote para o endereo pblico IP ou FQDN se seu servidor OpenVPN seguido da porta de conexo com o servidor. No meu exemplo usei o FQDN blogdonerd.no-ip.com. Se voc configurou o servidor como TCP, ento ajuste o parmetro proto. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
Ir para o Topo
13 de 18
29/6/2012 18:43

57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 A pasta C:\Program Files\OpenVPN\config ficar assim:
Execute o OpenVPN GUI. Um cone de dois computadores com uma tela vermelha aparecer no canto prximo ao relgio.
Clique duas vezes neste cone ou clique com o boto direito no cone e em seguida clique em Connect.
Ir para o Topo
14 de 18
29/6/2012 18:43
A tela de conexo e logs do OpenVPN ser mostrada. Se voc configurou uma challenge password para o certificado do cliente ela deveria ser solicitada agora. Se tudo ocorreu bem o cone passara de vermelho para verde e uma mensagem informando que a conexo foi bem sucedida ser apresentada.
Para desconectar s clicar com o direito no cone dos computadores verdes e escolher a opo Disconnect.
7.2. Particularidades do Cliente Linux

Crie o arquivo /etc/openvpn/openvpn.conf com o contedo abaixo. Ajuste o parmetro remote para o endereo pblico IP ou FQDN se seu servidor OpenVPN seguido da porta de conexo com o servidor. No meu exemplo usei o FQDN blogdonerd.no-ip.com. Se voc configurou o servidor como TCP, ento ajuste o parmetro proto. 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
Ir para o Topo
15 de 18
29/6/2012 18:43

36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 A pasta /etc/openvpn ficar assim: 1 2 3
Agora basta executar service openvpn start para que a conexo com o servidor seja realizada. Para encerrar a conexo execute service openvpn stop. Para controlar se a conexo ser executada automaticamente na inicializao do computador, edite o arquivo /etc/default/openvpn. Descomente ou inclua a linha abaixo para que a conexo seja realizada automaticamente na inicializao: 1 Para impedir a inicializao automtica do openvpn descomente ou inclua a seguinte linha: 1
7. Revogando Certificados de Clientes

Caso um computador contendo um certificado seja perdido, ou ainda para impedir que
Ir para o Topo
16 de 18
29/6/2012 18:43
determinado usurio realize a conexo VPN voc deve revogar o certificado. Uma vez revogado, no h volta, voc ter que gerar um novo certificado para permitir a conexo de detreminado cliente. A lista de certificados revogados armazenada no arquivo /etc/openvpn/keys/crl.pem. O problema que o OpenVPN, aps entrar em execuo, no possui permisso de leitura para essa pasta. Ento teremos ainda que copiar o arquivo /etc/openvpn /keys/crl.pem para a pasta /etc/openvpn, que o motivo da ltima linha dos comandos abaixo. Para revogar o certificado de joao_da_silva execute os seguintes comandos: 1 2 3 A sada ser a seguinte: 1 2 3 4 5 6 7 8 9 Precisamos ainda informar ao servidor OpenVPN para considerar esse arquivo na verificao das conexes. Para fazer isso, edite o arquivo /etc/openvpn/server.conf e inclua a seguinte linha no final do arquivo: 1 Reinicie o OpenVPN para que esta nova configurao entre em ao: 1 Voc no precisar reiniciar ou recarregar o OepnVPN a cada vez que revogar um certificado. Somente na primeira vez em que configurar a diretiva crl-verify. Para gerar um arquivo crl.pem inicial voc pode executar o comando revoke-full com um nome qualquer: 1
8. Informaes Adicionais
Para controlar se o servidor OpenVPN ser inicializado automaticamente junto com a inicializao do computador, edite o arquivo /etc/default/openvpn. Descomente ou inclua a linha abaixo para que o servidor OpenVPN inicie automaticamente na inicializao: 1 Para impedir a inicializao automtica do OpenVPN descomente ou inclua a seguinte linha: 1
Desculpe pelo artigo extremamente longo. Espero que ele seja til. Qualquer dvida, sugesto ou relato de erros s postar nos comentrios. Referncias OpenVPN How To - http://openvpn.net/index.php/open-source/documentation /howto.html
Ir para o Topo
17 de 18
29/6/2012 18:43
Compartilhar / Favoritos
Este artigo foi publicado por Nerd em 21 de junho de 2012 s 16:15, nas categorias Linux, Tutoriais, Windows. Siga os comentrios deste artigo atravs do RSS 2.0. Voc pode pular para o fim e deixar um comentrio. Fazer ping no permitido no momento.
Artigos Relacionados
Comentrios (0)
Nome (obrigatrio) E-mail (obrigatrio, no ser publicado) Site
Digite seu comentrio
Voc pode utilizar estas tags HTML:
Notique-me via e-mail sobre alteraes nos comentrios desta pgina.
Ir para o Topo
18 de 18
29/6/2012 18:43

Blog Do Nerd OpenVPN - Servidor Ubuntu e Clientes Windows e Linux

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Blog Do Nerd OpenVPN - Servidor Ubuntu e Clientes Windows e Linux

Caricato da

Copyright:

Formati disponibili

Blog do Nerd OpenVPN Servidor Ubuntu e Clientes Windows e Linux

Revendedor Autorizado Juniper NetWorks

Professional IT Low Cost