Re: [Fedora-users-br] Openvpn versão 2
Rafael Gomes
linux.rafa em gmail.com
Qui Dez 28 11:43:09 UTC 2006
O meu arquivo ta assim:
# IP e porta do servidor
local <coloque seu ip valido aqui>
#port 24555
#proto udp
port 1723
proto tcp
dev tun
# Certificados gerados
ca <sua unidade certificadora>
cert <certificado do serv>
key <key do serve>
dh dh2048.pem <<< Cuidado pois tem que gerar isso para 2048
tls-auth tls_auth.key 0 <<< Acho que tem que colocar isso na compilação
# Criar no diretorio cdd/cliente a configuracao
# dele - ou uma invalida para trava-lo :)
client-config-dir ccd
# Rede que os clientes irão "pegar"
server 10.8.0.0 255.255.255.0
push "route 10.71.198.10 255.255.255.255"
push "route 10.71.198.100 255.255.255.255"
push "route 10.71.198.7 255.255.255.255"
#push "dhcp-option DNS 10.71.198.100"
# Neste arquivo serão guardados os IPs dos clientes
# para conectarem com o mesmo IP da proxima vez
ifconfig-pool-persist ipp.txt
client-to-client
# Ative para permitir dois clientes com o mesmo
# certificado - não recomendável
;duplicate-cn
keepalive 10 120
#Algoritimo de criptografia usado
cipher AES-128-CBC
# Compressão, privilÃ(c)gios do cliente
comp-lzo
max-clients 50
user nobody
group nobody
# Logs e etc
persist-key
persist-tun
status /var/log/openvpn-status.log
log /var/log/openvpn.log
log-append /var/log/openvpn.log
verb 6
2006/12/28, Cristiano Furtado <jasonnfedora em gmail.com>:
>
> Bom vou ter o prazer de mostrar meu arquivo aqui.
>
> # Exemplo de arquivo de configuração do OpenVPN para a
> # casa usando modo SSL/TLS e certificados/chaves RSA.
> #
> # '#' ou ';' podem ser usados para delimitar comentarios.
>
> up-delay
>
> # Esse script irá setar as rotas
> # assim que a VPN for ativada.
> route 192.168.0.0 255.255.255.0 10.10.10.1
>
> # Usa um device dinamico tun.
> # Para Linux Kernel 2.2 ou não linux,
> # você deve usar um device numÃ(c)rico
> # explicito como "tun1".
> # OpenVPN tambÃ(c)m suporta device ethernet
> # "tap" virtual.
> dev tun
>
> # A outra ponta OpenVPN Ã(c) o gateway do escritório.
> remote 192.168.1.1
>
> # 10.10.0.2 Ã(c) o endereço local final da VPN (casa).
> # 10.10.0.1 Ã(c) o endereço remoto final da VPN (escritório).
> ifconfig 10.10.10.2 10.10.10.1
>
> # Em uma troca de chaves SSL/TLS, Escritório irá
> # assumir a parte do servidor e a Casa
> # irá assumir a parte do cliente.
> tls-client
>
> # Certificado da Entidade Certificadora
> ca jasonn-ca.crt
>
> # Nossa chave publica
> cert jasonn.crt
>
> # Nossa chave privada
> key jasonn.key
>
> # OpenVPN usa por padrão a porta 1194 UDP.
> # Cada tunel OpenVPN deve usar
> # um numero de porta diferente.
> # lport ou rport podem ser usados
> # para configurar diferentes portas
> # para local e remoto.
> port 1194
> ;proto tcp-client
>
> # Muda o UID e GID para
> # "nobody" depois do inicio
> # para uma segurança extra.
> ;user nobody
> ;group nobody
>
> # Se você compilou o OpenVPN com
> # a compactação LZO, descomente a
> # linha a seguir.
> comp-lzo
>
> # Envia um ping UDP para a outra ponta
> # a cada 15 segundos para manter
> # firewalls stateful connection
> # ativos. Descomente isso se você usa
> # um firewall stateful.
> ping 15
>
> # Descomente essa seção para uma detecção mais confiavel de quando
> # um sistema perde sua conecxão. Por exemplo para modems, ou notebooks
> # que viajam para outros lugares.
> ; ping 15
> ping-restart 45
> ping-timer-rem
> persist-tun
> persist-key
>
> # Nivel de log.
> # 0 -- silencioso, exeto para erros fatais.
> # 1 -- quase silencioso, mas mostra erros de rede não fatais.
> # 3 -- mÃ(c)dio, ideal para uso diário.
> # 9 -- barulhento, ideal para procura de erros.
> verb 3
>
>
> 2006/12/28, Rafael Gomes <linux.rafa em gmail.com>:
> >
> > Pelo que sei e foi implantado aqui vc seta a porta no arquivo de
> > configuração do openvpn...
> >
> >
> > 2006/12/28, Cristiano Furtado < jasonnfedora em gmail.com >:
> > >
> > > Isso ja foi feito e isso é padrão no openvpn.
> > >
> > > 2006/12/28, Rafael Gomes <linux.rafa em gmail.com>:
> > > >
> > > > Na verdade vc seta a porta no arquivo do OpenVpn!
> > > >
> > > > Opa !
> > > >
> > > > 2006/12/28, Cristiano Furtado < jasonnfedora em gmail.com>:
> > > > >
> > > > > Algum de vocês ja usou o openvpn 2?
> > > > >
> > > > > Estou fazendo migração aqui na empresa de todos os servidores e
> > > > > terei que migrar tambem o openvpn, porem estou tendo um problema com o
> > > > > bendito firewall. Segundo li na documentação a porta para a liberação é a
> > > > > 1194, e os:
> > > > >
> > > > > iptables -A INPUT -i tun+ -j ACCEPT
> > > > > iptables -A OUTPUT -o tun+ -j ACCEPT
> > > > > iptables -A FORWARD -i tun+ -j ACCEPT
> > > > > iptables -A INPUT -i tap+ -j ACCEPT
> > > > > iptables -A OUTPUT -o tap+ -j ACCEPT
> > > > > iptables -A FORWARD -i tap+ -j ACCEPT
> > > > > iptables -A INPUT -i ppp+ -j ACCEPT
> > > > > iptables -A OUTPUT -o ppp+ -j ACCEPT
> > > > > iptables -A FORWARD -i ppp+ -j ACCEPT
> > > > > iptables -A INPUT -p gre -j ACCEPT
> > > > >
> > > > > a regra que utilizei para a liberação da porta 1194 foi a
> > > > > seguinte:
> > > > >
> > > > > iptables -A INPUT -p udp --dport 1194 -j ACCEPT
> > > > > iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT
> > > > >
> > > > >
> > > > > Mais mesmo assim a maquina windows não consegue fechar o tunel
> > > > > pois fica dando timeout. Quando eu paro o firewall ele conecta na mesma
> > > > > hora. Alguem tem idéia de como fazer essa conexão???
> > > > >
> > > > > Valeu ae.
> > > > >
> > > > >
> > > > > --
> > > > > Cristiano Furtado dos Santos
> > > > > Administrador de Sistemas Linux
> > > > > http://jasonnfedora.no-ip.org/repositorio
> > > > > http://fedora.org.br
> > > > > --
> > > > > Fedora-users-br mailing list
> > > > > Fedora-users-br em redhat.com
> > > > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > > >
> > > > >
> > > > >
> > > >
> > > >
> > > > --
> > > > Rafael Brito Gomes
> > > > Sistema de Informação
> > > > Universidade de Salvador (UNIFACS)
> > > >
> > > > Linux User - 430086
> > > >
> > > > O Tabareu - A Arte em sua forma mais Pura!
> > > > http://tabareu.wordpress.com/
> > > >
> > > > Blog do Sinot
> > > > http://sinot.wordpress.com/
> > > > --
> > > > Fedora-users-br mailing list
> > > > Fedora-users-br em redhat.com
> > > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > > >
> > > >
> > > >
> > >
> > >
> > > --
> > > Cristiano Furtado dos Santos
> > > Administrador de Sistemas Linux
> > > http://jasonnfedora.no-ip.org/repositorio
> > > http://fedora.org.br
> > >
> > > --
> > > Fedora-users-br mailing list
> > > Fedora-users-br em redhat.com
> > > https://www.redhat.com/mailman/listinfo/fedora-users-br
> > >
> > >
> > >
> >
> >
> > --
> > Rafael Brito Gomes
> > Sistema de Informação
> > Universidade de Salvador (UNIFACS)
> >
> > Linux User - 430086
> >
> > O Tabareu - A Arte em sua forma mais Pura!
> > http://tabareu.wordpress.com/
> >
> > Blog do Sinot
> > http://sinot.wordpress.com/
> >
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
> >
> >
>
>
> --
> Cristiano Furtado dos Santos
> Administrador de Sistemas Linux
> http://jasonnfedora.no-ip.org/repositorio
> http://fedora.org.br
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
>
--
Rafael Brito Gomes
Sistema de Informação
Universidade de Salvador (UNIFACS)
Linux User - 430086
O Tabareu - A Arte em sua forma mais Pura!
http://tabareu.wordpress.com/
Blog do Sinot
http://sinot.wordpress.com/
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20061228/c4b834d8/attachment.htm>
Mais detalhes sobre a lista de discussão Fedora-users-br