Arquivos de Tags: firewall

Configurando OpenVPN Endian Host-To-Net

Hoje vamos configurar o acesso à uma rede protegida pelo Endian Firewall, para acesso remoto utilizando o OpenVPN. Comumente conhecida como conexão Host-To-Net (Estação a Rede), serve para permitir que uma estação acesse os recursos da rede através da conexão VPN, neste caso protegida por certificados.

Neste post não irei falar sobre como configurar o Endian Firewall. Somente orientarei à configurar corretamente o OpenVPN, e o cliente para acesso remoto. Primeiro logue no console do Endian firewall, vá para o menu VPN. dentro dele haverá o item Servidor OpenVPN. Entre nele e marque a opção Servidor OpenVPN habilitado. A opção Em bridge deve estar marcada, desta forma os computadores que conectarem à VPN estarão na mesma faixa de IP da sua rede interna. Caso seja um grande ambiente, ou queira isolar os clientes para ter melhor controle do que está trafegando na VPN desmarque a opção e crie uma nova Sub-Rede. Caso não saiba exatamente como configurar essa Sub-Rede, deixe esta opção marcada. No campo Fazer Bridge Para, deixe selecionada a interface verde. Dessa forma os clientes VPN irão utilizar os mesmos ips que as estações internas. Nos campos IP inicial da faixa de endereços dinâmicosIP final da faixa de endereços dinâmicos, determine uma faixa de IPs que serão fornecidos aos clientes VPN. Esta faixa de IPs deve ser diferente da configurada no Servidor DCHP. Como exemplo da configuração temos a imagem abaixo:

Nesta imagem, ativamos o servidor OpenVPN, definimos que o mesmo fará ligação com a rede interna diretamente. O Endian está configurado com o IP 192.168.3.1/24, o servidor DCHP está fornecendo IPs de 192.168.3.100 a 192.168.3.200. O servidor OpenVPN está fornecendo IPs para os clientes de 192.168.3.225 a 192.168.3.230. Finalizada esta parte da configuração clique em salvar e reiniciar. Na primeira vez que for feito este procedimento, o firewall irá criar um certificado para proteger a comunicação, e isso pode demorar alguns minutos para ser feito.

Depois de configurar o servidor, é necessário criar um usuário para acessar a VPN. Para isso clique na aba Contas, e em Adicionar Conta. Preencha o nome de usuário e a senha (duas vezes), e clique em Salvar. Para esta configuração básica o restante dos campos não é necessário. Depois de criado o usuário,  o console exibirá a mensagem informando a necessidade de reiniciar o serviço OpenVPN.

Clique no botão Reiniciar servidor OpenVPN, e agora a firewall já está pronta para receber as conexões.

Primeiro é necessário baixar o certificado que o servidor OpenVPN gerou. Para isso clique no link Baixar o certificado CA disponível na guia Contas ou Configuração do Servidor. Será feito o download de um arquivo com o nome endian.pem. Este é o arquivo do certificado gerado pela firewall para proteger a comunicação. Depois de baixar o certificado, é necessário instalar o  cliente OpenVPN na estação que terá acesso remoto. Ele pode ser baixado gratuitamente em:

Atualmente a última versão é a 2.2.2 publicada em 22/12/2011. Baixe o instalador do tipo Windows Installer e instale com todas as opções padrão.

Edite o arquivo endian.pem no bloco de notas, selecione todo o texto e copie-o. Crie um novo arquivo no bloco de notas, igual ao exemplo abaixo. Nele você deve alterar a linha remote ip_externo para o IP externo do Endian. Não cheguei a testar utilizando DDNS, mas creio que deva funcionar sem problemas. Mais abaixo existem duas tags <ca> e </ca>. O conteúdo do certificado (endian.pem) deve ser colocado entre estas tags.

client
dev tap
proto udp
remote ip_externo 1194
resolv-retry infinite
nobind
persist-key
persist-tun
auth-user-pass
comp-lzo
verb 3

<ca>
Conteúdo do arquivo endian.pem
</ca>

Feitas as devidas alterações, salve este arquivo na pasta config, dentro da pasta de instalação do OpenVPN, com a extensão .ovpn. Por exemplo: cliente.ovpn.

Depois de configurados o servidor e o cliente basta iniciar a conexão para testarmos. É óbvio que este teste não deve ser feito da mesma rede onde está a firewall, e sim remotamente. Para iniciar a conexão clique duas vezes no ícone  ao lado do relógio, e deve ser solicitado o usuário e a senha criados anteriormente. Digite os dados e se tudo estiver configurado corretamente, a conexão será feita. Para desconectar basta um duplo clique no ícone e clique em desconectar.

Este arquivo de conexão (extensão ovpn) pode ser utilizado em diversas estações sem nenhum problema. O que identificará a estação para o OpenVPN é o usuário e senha. Este sim deve ser único para cada equipamento utilizado.

Pronto, desta maneira temos acesso seguro à rede, inclusive para usuários remotos. Desta forma é possível acessar compartilhamentos, impressoras e servidores como se estivesse na rede local. Lógico que trabalhar sobre VPN é mais lento, pois você está utilizando um link de internet para fazer este acesso, mas creio que este custo compense o benefício.

Caso tenham dúvidas é só perguntar nos comentários. Farei o possível para responde-las.