Configurando OpenVPN Endian Host-To-Net

Hoje vamos configurar o acesso à uma rede protegida pelo Endian Firewall, para acesso remoto utilizando o OpenVPN. Comumente conhecida como conexão Host-To-Net (Estação a Rede), serve para permitir que uma estação acesse os recursos da rede através da conexão VPN, neste caso protegida por certificados.

Neste post não irei falar sobre como configurar o Endian Firewall. Somente orientarei à configurar corretamente o OpenVPN, e o cliente para acesso remoto. Primeiro logue no console do Endian firewall, vá para o menu VPN. dentro dele haverá o item Servidor OpenVPN. Entre nele e marque a opção Servidor OpenVPN habilitado. A opção Em bridge deve estar marcada, desta forma os computadores que conectarem à VPN estarão na mesma faixa de IP da sua rede interna. Caso seja um grande ambiente, ou queira isolar os clientes para ter melhor controle do que está trafegando na VPN desmarque a opção e crie uma nova Sub-Rede. Caso não saiba exatamente como configurar essa Sub-Rede, deixe esta opção marcada. No campo Fazer Bridge Para, deixe selecionada a interface verde. Dessa forma os clientes VPN irão utilizar os mesmos ips que as estações internas. Nos campos IP inicial da faixa de endereços dinâmicosIP final da faixa de endereços dinâmicos, determine uma faixa de IPs que serão fornecidos aos clientes VPN. Esta faixa de IPs deve ser diferente da configurada no Servidor DCHP. Como exemplo da configuração temos a imagem abaixo:

Nesta imagem, ativamos o servidor OpenVPN, definimos que o mesmo fará ligação com a rede interna diretamente. O Endian está configurado com o IP 192.168.3.1/24, o servidor DCHP está fornecendo IPs de 192.168.3.100 a 192.168.3.200. O servidor OpenVPN está fornecendo IPs para os clientes de 192.168.3.225 a 192.168.3.230. Finalizada esta parte da configuração clique em salvar e reiniciar. Na primeira vez que for feito este procedimento, o firewall irá criar um certificado para proteger a comunicação, e isso pode demorar alguns minutos para ser feito.

Depois de configurar o servidor, é necessário criar um usuário para acessar a VPN. Para isso clique na aba Contas, e em Adicionar Conta. Preencha o nome de usuário e a senha (duas vezes), e clique em Salvar. Para esta configuração básica o restante dos campos não é necessário. Depois de criado o usuário,  o console exibirá a mensagem informando a necessidade de reiniciar o serviço OpenVPN.

Clique no botão Reiniciar servidor OpenVPN, e agora a firewall já está pronta para receber as conexões.

Primeiro é necessário baixar o certificado que o servidor OpenVPN gerou. Para isso clique no link Baixar o certificado CA disponível na guia Contas ou Configuração do Servidor. Será feito o download de um arquivo com o nome endian.pem. Este é o arquivo do certificado gerado pela firewall para proteger a comunicação. Depois de baixar o certificado, é necessário instalar o  cliente OpenVPN na estação que terá acesso remoto. Ele pode ser baixado gratuitamente em:

Atualmente a última versão é a 2.2.2 publicada em 22/12/2011. Baixe o instalador do tipo Windows Installer e instale com todas as opções padrão.

Edite o arquivo endian.pem no bloco de notas, selecione todo o texto e copie-o. Crie um novo arquivo no bloco de notas, igual ao exemplo abaixo. Nele você deve alterar a linha remote ip_externo para o IP externo do Endian. Não cheguei a testar utilizando DDNS, mas creio que deva funcionar sem problemas. Mais abaixo existem duas tags <ca> e </ca>. O conteúdo do certificado (endian.pem) deve ser colocado entre estas tags.

client
dev tap
proto udp
remote ip_externo 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass
comp-lzo
verb 3

<ca>
Conteúdo do arquivo endian.pem
</ca>

Feitas as devidas alterações, salve este arquivo na pasta config, dentro da pasta de instalação do OpenVPN, com a extensão .ovpn. Por exemplo: cliente.ovpn.

Depois de configurados o servidor e o cliente basta iniciar a conexão para testarmos. É óbvio que este teste não deve ser feito da mesma rede onde está a firewall, e sim remotamente. Para iniciar a conexão clique duas vezes no ícone  ao lado do relógio, e deve ser solicitado o usuário e a senha criados anteriormente. Digite os dados e se tudo estiver configurado corretamente, a conexão será feita. Para desconectar basta um duplo clique no ícone e clique em desconectar.

Este arquivo de conexão (extensão ovpn) pode ser utilizado em diversas estações sem nenhum problema. O que identificará a estação para o OpenVPN é o usuário e senha. Este sim deve ser único para cada equipamento utilizado.

Pronto, desta maneira temos acesso seguro à rede, inclusive para usuários remotos. Desta forma é possível acessar compartilhamentos, impressoras e servidores como se estivesse na rede local. Lógico que trabalhar sobre VPN é mais lento, pois você está utilizando um link de internet para fazer este acesso, mas creio que este custo compense o benefício.

Caso tenham dúvidas é só perguntar nos comentários. Farei o possível para responde-las.

Deixe um Comentário

12 Comentários.

  1. no campo (remote ip_externo 1194) como faço para descobrir o ip_externo, pois tenho um modem adsl 10.1.1.1 a faixa red do endian é 10.1.1.5. No site http://www.meuip.com.br aparece o ip é esse que devo colocar? mas mesmo assim não funciona!

    • André, você deve usar o IP válido que o site http://www.meuip.com.br apresenta. No seu caso o modem não deve estar configurado para redirecionar a porta 1194 para o Endian. O ideal é sempre deixar o modem como bridge quando está conectado a uma firewall, pois ai todas as configurações ficam na firewall. Recomendo também que utilize IP fixo, ou algum tipo de DDNS para funcionar sem problemas.

  2. Bom dia meu caro, estou com uma inconsistência. Consigo me conectar à VPN do endian, porém os clientes não atribuem gateway. IP e SUBMASK, funcionam certinho, mas o gateway não.Utilizo o endian 2.5.2

    • A configuração do OpenVPN por padrão no Endian é de interface em bridge, no caso você recebe um IP da rede interna da firewall. Pelo que você está falando o IP da sua LAN é igual ao da LAN do Endian, impossibilitando a comunicação. Por Ex: LAN Endian: 192.168.1.1/24 OpenVPN pool 192.168.1.220-192.168.1.230, o cliente receberá um IP desta faixa. Se o cliente estiver conectado em um ADSL com a faixa 192.168.1.X a conexão não funcionará pois o computador acha que as duas redes são a mesma. Revise estas configurações que deve ser a solução deste problema.

  3. Como consigo o Certificado?

  4. tenho a vpn funcionando corretamente, porem quando estou numa rede interna que tem a mesma faixa da rede do servidor ele conecta pega um ip corretamente mas n encontra as maquinas internas.
    exemplo: tenho o servidor distribuindo 192.168.1.x e estou em um local que tem a mesma faixa, quando conecta a vpn ele pega um ip na interface da vpn 192.168.1.x mas n encontra os servidores windows, talvez ele procure na rede interna por ter a mesma faixa.. tem como configurar pra ele achar?

    • Olá Cassio. Você pode configurar outra faixa de IP no servidor OpenVPN desativando a opção bridged. Desta forma você utilizará uma faixa de IP exclusiva para o OpenVPN sem ter que mudar a rede toda.

  5. MArcelo, olá…

    consigo pingar, acessar interfaces web, tudo bonitinho. só não consigo acessar pastas compartilhadas.

    Pode dar um help.

    Endian 2.5.2 atualmente.

    • Olá Pedro,
      Verifique o firewall da máquina que você quer acessar. Normalmente do Windows 7 em diante, ele só permite acesso aos compartilhamentos de máquinas que estiverem na mesma sub-rede, bloqueando o acesso de redes diferentes. Verifique também se o firewall de VPN está ativo no Endian.

Deixe um Comentário