Prova Cassio Hoje

Bom .. pelo que ele disse na segunda passada ia cair PF e VPN, e tbém deu algumas pistas do que ia cair... do tipo


sobre pf nao ia cobrar implementação .. ele ia dar uma topologia e ia fazer algumas perguntas com as respostas incompletas do tipo

____in quick on ____protocol____ip_____to_____from____ SEI LA O Q

e do openvpn ia pedir o que significava os parametros do .conf la que eu nao sei o nome, os certificados e os arquivos importantes ...

estou colocando abaixo as parada pra configura o openvpn,

flw... é só clicar no  titulo do post






Instalando


Bom no OpenVPN vamos partir do principio que o seu OpenBSD esteja instalado e devidamente atualizado:

cd /usr/ports/net/openvpn

make install clean

Configurando

Primeiro vamos criar uma pasta chamada OPENVPN em /usr/local/etc

mkdir -p /usr/local/etc/openvpn

Depois vamos copiar pasta easy-rsa que fica localizada em /usr/local/share/examples/openvpn/easy-rsa/ para /usr/loca/etc/openvpn

cp /usr/local/share/examples/openvpn/easy-rsa/ /usr/loca/etc/openvpn

ls /usr/local/etc/openvpn/

easy-rsa

Com a copia feita agora é hora de criar o arquivo openvpn.conf do servidor que tambem ficara em /usr/local/etc/openvpn:

touch openvpn.conf

vi openvpn.conf



# Interface da VPN

dev tun0

# Ouvir em que endereço (se estiver comentado ouvira em todos )

local 200.xx.xx.xx

# Ouvir em que porta

port 1194

# Protocolo TCP ou UDP

proto udp

# Rede e Classe de Rede entre Clientes e Servidor

server 10.10.10.0 255.255.255.0

# Arquivo aonde fica armazenado os ips dos clientes

ifconfig-pool-persist ipp.txt

# Certificados para a autenticação da VPN

ca /usr/local/etc/openvpn/easy-rsa/keys/ca.crt

cert /usr/local/etc/openvpn/easy-rsa/keys/srv-openvpn-ticobsd.crt

key /usr/local/etc/openvpn/easy-rsa/keys/srv-openvpn-ticobsd.key

dh /usr/local/etc/openvpn/easy-rsa/keys/dh1024.pem

# As rotas que o cliente deve pegar

push "route 10.10.10.0 255.255.255.0" # Rede do Tunnel

push "route 172.16.4.0 255.255.255.0" # Rede interna que o Cliente pode ver.

# Usar compressão na VPN

comp-lzo

# Reestabelece a conexão se por ventura a mesma falhar

ping-timer-rem

persist-tun

persist-key

# Rodar o OpenVPN como Daemon mas com privilégios de usuario nobody

group nobody

daemon

# não repetir muitas vezes o mesmo erro

mute 20

#Log e etc....

status /var/log/openvpn.log

log /var/log/openvpn.log

log-append /var/log/openvpn.log

verb 6

# Powere by Flavio Marcelo De Souza TiCoBsD http://www.ticobsd.com.br

Configurando server (Gerando Chaves Matriz -> Filial )

Bom, para quem não usa o shell SH, vai ter que usar pelo menos nesta parte para usar os scripts, pois os mesmos foram feitos para o SH e necessitam da shell ativa, para criar variáveis e coisas afins.

sh

Vamos editar algumas variáveis contidos no arquivo vars.

vi vars

As variáveis que nos interessa estão no final do arquivo e são as seguintes:



export KEY_COUNTRY=BR -> Pais;

export KEY_PROVINCE=PR -> Estado;

export KEY_CITY=Cianorte -> Cidade;

export KEY_ORG="Team TicoBSD" -> Organização, empresa;

export KEY_EMAIL="flavio@ticobsd.com.br"



Com o Procedimento acima evitamos ficar fazendo o mesmo procedimento varias veses.

caregando as variaveis:

. ./vars

./clean-all

Criando a CA, nesta parte será feita perguntas referentes as variáveis que editamos anteriormente e outras como “Organizational Unit Name” = comentário referente a empresa

“Common Name” = FQDN da maquina ex: filial-01.ticobsd.com.br:

./build-ca

Criar chaves do Servidor, nesta parte será feito as mesmas perguntas do comando anterior mas adicionando mais 2 variáveis as mesmas não precisam necessariamente de informação:

./build-key-server srv-vpn-ticobsd

Criando as chaves do(s) cliente(s), neste caso criamos apenas 1, mas nada impede depois de você crie outras chaves, apenas deve diferenciar a variável “Common Name” de cada chave, para evitar problemas.

“filial-01” é o nome que sera dado para a chave criada, altere conforme o seu ambiente.

./build-key filial-01

Gerando parâmetros Diffie Hellman para o OpenVPN:

./build-dh

Feito todo este procedimento, podemos voltar ao nosso shell de preferência:

return

Configurando Cliente

No cliente tbm temos que ter praticamente a mesma situação porém um pouco direfente.

Criando em /usr/local/etc o diretório openvpn

mkdir -p /usr/local/etc/openvpn

no cliente iremos somente criar um arquivo chamado openvpn.conf e colocar as chaves dentro do mesmo.

touch openvpn.conf

vi openvpn.conf



# Modo

client

# Ip dos Servidores

remote xx.xx.xx.xx 1194

# Interface , Protocolo

dev tun

proto udp

comp-lzo

# Chaves

ca chaves/ca.crt

cert chaves/filial-01.crt

key chaves/filial-01.key

group nobody

daemon

verb 3

mute-replay-warnings

mute 20

# Log

status /var/log/openvpn.log

log /var/log/openvpn.log

log-append /var/log/openvpn.log

# Powere by Flavio Marcelo De Souza TiCo - http://www.ticobsd.com.br

Configurando cliente Windows

Se temos do outro lado uma maquina com Windows, precisaremos baixar o OpenVPN"para windows no seguinte endereço:

http://openvpn.net/download.html

Feita a instalação, vamos ao Windows Explorer (ctrl+e), e navegamos até a pasta C:\Arquivos de programas\OpenVPN\config. Lá iremos criar um arquivo chamado openvpn.ovpn e preencheremos ele com o seguinte conteúdo:

client

remote ipdoservidorvpn 1194

dev tun

comp-lzo

ca ca.crt

cert filial-01.crt

key filial-01.key

group nobody

verb 3

mute-replay-warnings

mute 20

Criando arquivos de log

mkdir -p /var/log/openvpn

touch /var/log/openvpn/openvpn.log

vi /etc/syslog.conf e adicionar as linhas abaixo:



!openvpn

*.* /var/log/openvpn.log

Criando interface

echo "up" > /etc/hostname.tun0

sh /etc/netstart

Levantando OpenVPN:

/usr/local/sbin/openvpn --cd /usr/local/etc/openvpn/ --daemon --config openvpn.conf

Pronto ! OpenVPN Iniciado

Conferindo:

netstat -an
grep 1194

root openvpn 739 5 udp4 200.xx.xx.xx:1194 *:*

ow ainda com:

tail -f /var/log/openvpn.log

Thu Jun 28 15:38:02 2007 /sbin/ifconfig tun0 create

Thu Jun 28 15:38:02 2007 NOTE: Tried to delete pre-existing tun/tap instance -- No Problem if failure

Thu Jun 28 15:38:02 2007 /sbin/ifconfig tun0 10.10.10.1 10.10.10.2 mtu 1500 netmask 255.255.255.255 up

Thu Jun 28 15:38:02 2007 TUN/TAP device /dev/tun0 opened

add net 172.16.3.0: gateway 10.10.10.2

Thu Jun 28 15:38:03 2007 GID set to nobody

Thu Jun 28 15:38:03 2007 UDPv4 link local (bound): ipdoserver:1194

Thu Jun 28 15:38:03 2007 UDPv4 link remote: [undef]

Thu Jun 28 15:38:03 2007 Initialization Sequence Completed

tail: /var/log/openvpn.log has been truncated, resetting.

OpenVPN CLIENT LIST

Updated,Thu Jun 28 15:38:13 2007

Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since

ROUTING TABLE

Virtual Address,Common Name,Real Address,Last Ref

GLOBAL STATS

Max bcast/mcast queue length,0

END

Conferindo com ifconfig

ifconfig tun0

tun0: flags=8051 mtu 1500

inet 11.11.11.1 --> 11.11.11.2 netmask 0xffffffff

Opened by PID 730