Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire)

Tutoriais BrazilFW 3.x em Português

Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire)

Mensagempor Lenobare » Dom Set 10, 2017 10:06 pm

Duvidas, sugestões e críticas aqui. ( não precisa elogiar :mrgreen: )
Muto Obrigado Brazilfw :o!

Contribuição com informações para confecção para este Tutorial: Nosire :o! :aplause:

reginaldo escreveu:Tutorial OpenVPN no BrazilFW 3.x (PHP) - Setembro de 2017

Versão BrazilFW: a partir da versão 3.0262 do BFW 3.x em PHP.

Autor deste Tutorial: LenoBare

Contribuição: Nosire

Download das configurações » https://www.brazilfw.com.br/tutorials/brazilfw3.x/openvpn/configs_openvpn_set2017_by_Lenobare.rar

Tópico deste Vídeo » https://www.brazilfw.com.br/forum/viewtopic.php?f=91&t=93813#p344090

O Projeto BrazilFW Agradece muito ao Lenobare pelo dedicação ao Projeto e ao Nosire pela ajuda prestada com informações para confecção deste excelente tutorial realizado pelo Lenobare.


Vídeo Tutorial: https://www.youtube.com/watch?v=hFGx8CE95yc

.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1490
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.

Re: Tutorial OpenVPN Final

Mensagempor woshman » Dom Set 10, 2017 11:41 pm

Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:
Contribua com o Projeto, Doe Click aqui
Contribua com o Woshman, Doe Click aqui (pagseguro) ou Click aqui (paypal)
-----------------------------------------------------------------
Suporte via mensagem privada/msn somente pagando.
Avatar do usuário
woshman
Maintainer Version 3.x
BFW Developer
BFW Administrator
BFW Team
 
Mensagens: 1475
Registrado em: Ter Abr 04, 2006 3:25 pm
Localização: Indaiatuba - SP

Re: Tutorial OpenVPN Final

Mensagempor reginaldo » Seg Set 11, 2017 12:19 pm

woshman escreveu:Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:


+1
Contribua com o Projeto BFW, Doe Click aqui
Contribua com o reginaldo, Doe Click aqui (pagseguro) ou Click aqui (paypal)
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Avatar do usuário
reginaldo
BFW Mediator
BFW Documenter
BFW Administrator
 
Mensagens: 12381
Registrado em: Sáb Ago 27, 2005 1:10 pm
Localização: Rio de Janeiro - RJ

Re: Tutorial OpenVPN Final

Mensagempor Eduardo » Seg Set 11, 2017 2:56 pm

woshman escreveu:Parabéns pelo tutorial :aplause: :aplause: :aplause: :aplause: :aplause:

+ 1
!+ :aplause:
Links úteis:
Regras do Fórum
Ajude-nos a ajuda-lo (Como Postar dúvidas/testes)
Tutorial "Aprendendo a Postar"
Como encerrar corretamente seu tópico
-----------------------------------------------------------------------------------------------------------------
* Voce ganha dinheiro com o Projeto BrazilFW? Então contribua com o Projeto BFW, faça uma doação clicando aqui
Avatar do usuário
Eduardo
BFW Moderator
BFW Team
 
Mensagens: 3590
Registrado em: Dom Jul 12, 2009 2:27 pm
Localização: São Paulo (Zona Sul) - SP - Brasil

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Mortinho » Seg Set 11, 2017 9:26 pm

Nota 10 :o! +1
Avatar do usuário
Mortinho
Support to Squid 3.4.14
Support to HaarpCache
 
Mensagens: 73
Registrado em: Qui Jul 09, 2015 11:28 am
Localização: Imperatriz - MA

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Ter Set 12, 2017 3:08 am

Excelente tutorial Leno, Parabens, porém agora fiquei com apenas uma dúvida fiz os testes aqui conectando do Windows e funcionou perfeitamente, mas fui até o servidor e criei um segundo usuário pra conectar com outro IP de outra rede, mas não conecta com outro usuário apenas com o primeiro, e aí vai minha pergunta nesse segundo usuário estou usando o mesmo certificado cliente, neste caso pra conectar eu tenho que criar outro certificado cliente para cada usuário novo ?
Desde já agradeço a atenção e mais uma vez parabéns pelo tutorial.
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 99
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor David » Ter Set 12, 2017 9:54 am

David escreveu:Excelente tutorial Leno, Parabens, porém agora fiquei com apenas uma dúvida fiz os testes aqui conectando do Windows e funcionou perfeitamente, mas fui até o servidor e criei um segundo usuário pra conectar com outro IP de outra rede, mas não conecta com outro usuário apenas com o primeiro, e aí vai minha pergunta nesse segundo usuário estou usando o mesmo certificado cliente, neste caso pra conectar eu tenho que criar outro certificado cliente para cada usuário novo ?
Desde já agradeço a atenção e mais uma vez parabéns pelo tutorial.


Segue o Log do erro

Obs; Onde existe o meu endereço de IP coloquei dessa forma (187.18.***.***), apenas pra preservar o mesmo

Código: Selecionar todos
Tue Sep 12 08:48:16 2017 OpenVPN 2.4.3 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Jul 14 2017
Tue Sep 12 08:48:16 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Tue Sep 12 08:48:16 2017 library versions: OpenSSL 1.0.2l  25 May 2017, LZO 2.10
Enter Management Password:
Tue Sep 12 08:48:16 2017 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Tue Sep 12 08:48:16 2017 Need hold release from management interface, waiting...
Tue Sep 12 08:48:16 2017 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'state on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'log all on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'echo all on'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'hold off'
Tue Sep 12 08:48:16 2017 MANAGEMENT: CMD 'hold release'
Tue Sep 12 08:48:25 2017 MANAGEMENT: CMD 'username "Auth" "cliente"'
Tue Sep 12 08:48:25 2017 MANAGEMENT: CMD 'password [...]'
Tue Sep 12 08:48:25 2017 WARNING: --ns-cert-type is DEPRECATED.  Use --remote-cert-tls instead.
Tue Sep 12 08:48:25 2017 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1411)
Tue Sep 12 08:48:25 2017 MANAGEMENT: >STATE:1505216905,RESOLVE,,,,,,
Tue Sep 12 08:48:26 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:26 2017 Socket Buffers: R=[65536->65536] S=[65536->65536]
Tue Sep 12 08:48:26 2017 Attempting to establish TCP connection with [AF_INET]187.18.***.***:1194 [nonblock]
Tue Sep 12 08:48:26 2017 MANAGEMENT: >STATE:1505216906,TCP_CONNECT,,,,,,
Tue Sep 12 08:48:27 2017 TCP connection established with [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:27 2017 TCP_CLIENT link local: (not bound)
Tue Sep 12 08:48:27 2017 TCP_CLIENT link remote: [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:27 2017 MANAGEMENT: >STATE:1505216907,WAIT,,,,,,
Tue Sep 12 08:48:27 2017 MANAGEMENT: >STATE:1505216907,AUTH,,,,,,
Tue Sep 12 08:48:27 2017 TLS: Initial packet from [AF_INET]187.18.***.***:1194, sid=a4352cea 347e6397
Tue Sep 12 08:48:27 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Sep 12 08:48:27 2017 VERIFY OK: depth=1, C=BR, O=BrazilFW Firewall & Router, ST=Sao Paulo, OU=http://www.brazilfw.com.br, OU=BrazilFW Firewall & Router, CN=BrazilFW Class 3 Secure Server CA
Tue Sep 12 08:48:27 2017 VERIFY OK: nsCertType=SERVER
Tue Sep 12 08:48:27 2017 VERIFY OK: depth=0, C=BR, ST=Sao Paulo, O=BrazilFW Firewall & Router, OU=BrazilFW Firewall & Router, CN=OpenVPN - BrazilFW
Tue Sep 12 08:48:27 2017 WARNING: 'link-mtu' is used inconsistently, local='link-mtu 1534', remote='link-mtu 1543'
Tue Sep 12 08:48:27 2017 WARNING: 'tun-mtu' is used inconsistently, local='tun-mtu 1411', remote='tun-mtu 1500'
Tue Sep 12 08:48:27 2017 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Tue Sep 12 08:48:27 2017 [OpenVPN - BrazilFW] Peer Connection Initiated with [AF_INET]187.18.***.***:1194
Tue Sep 12 08:48:28 2017 MANAGEMENT: >STATE:1505216908,GET_CONFIG,,,,,,
Tue Sep 12 08:48:28 2017 SENT CONTROL [OpenVPN - BrazilFW]: 'PUSH_REQUEST' (status=1)
Tue Sep 12 08:48:29 2017 PUSH: Received control message: 'PUSH_REPLY,route 10.10.10.1,topology net30,ping 10,ping-restart 120,ifconfig 10.10.10.3 10.10.10.1'
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: timers and/or timeouts modified
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: --ifconfig/up options modified
Tue Sep 12 08:48:29 2017 OPTIONS IMPORT: route options modified
Tue Sep 12 08:48:29 2017 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 12 08:48:29 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Sep 12 08:48:29 2017 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 12 08:48:29 2017 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Tue Sep 12 08:48:29 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Tue Sep 12 08:48:29 2017 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Tue Sep 12 08:48:29 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Tue Sep 12 08:48:29 2017 MANAGEMENT: Client disconnected
Tue Sep 12 08:48:29 2017 There is a problem in your selection of --ifconfig endpoints [local=10.10.10.3, remote=10.10.10.1].  The local and remote VPN endpoints cannot use the first or last address within a given 255.255.255.252 subnet.  This is a limitation of --dev tun when used with the TAP-WIN32 driver.  Try 'openvpn --show-valid-subnets' option for more info.
Tue Sep 12 08:48:29 2017 Exiting due to fatal error



Versão do BFW; 3.0.262 sem cache
Avatar do usuário
David
BFW Associate
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 99
Registrado em: Qua Mar 06, 2013 9:24 pm
Localização: Sarandi, PR
BrazilFW box: Intel Celeron Dual Core, 2.8 GHZ, 10G de Memória DDR3 1333 Mhz, HD Sata 500G, Versão Firewall 3.0.262.rc2, Squid 3.1.23, Kernel 4.1.5, Harp Cache Version 2.0b.BFW RC03 - 2015/11/01

Re: Tutorial OpenVPN Final by LenoBare (Contribuição: Nosire

Mensagempor Lenobare » Ter Set 12, 2017 11:59 pm

Ok, vou lhe responder todas as perguntas que estão ao meu alcance e ajudarei todos, positiva ou negativamente :o!

# Abrirei 2 linhas para exponenciar minha opinião pessoal ok.
Informo aos Administradores que usam o BFW e ganham alguma rentabilidade com este, gentileza ajudar a comunidade para que possamos melhorar a distro e aperfeiçoar futuros recursos que já estamos implementando ok :o! #
Doe por aqui:
https://www.brazilfw.com.br/forum/viewtopic.php?f=55&t=91225&p=343992&hilit=doa%C3%A7%C3%A3o#p343992
ou por aqui:
Código: Selecionar todos
Por depósito/Transferência em Conta Corrente:
Nome: Reginaldo S Melo
Caixa (CEF): Ag. 0221 OP: 001 Conta: 28384-3 (poder ser feito em Lotéricas)
Bradesco: Ag. 3249 Conta: 0110728-3
Itau: Ag. 8548 Conta: 11890-3

Solução:
O problema que está acontecendo não é culpa do BFW e sim da arquitetura de segurança do OpenVpn, é seu DNA e sua origem, pois foi projetado nestes termos de segurança.
OpenVPN cliente só trabalha com range /30, não aceitando outro tamanho de rede e isto faz todo o sentido.
O que você tem que fazer?
Alterar para trabalhar somente com /30.
A própria documentação explica isto:
https://community.openvpn.net/openvpn/ticket/205
Portanto faça o seguinte:
Cada usuário tem que ter seu próprio certificado cliente, ou seja, se você tem 2 clientes, são 4 certificados clientes, 2 para cada usuário um .crt e .key cliente para cada usuário cliente diferente.
Como explica a documentação, crie ranges /30 para cada cliente.
Vá no Servidor Brazilfw, seguindo a lógica OpenVpn e coloque no vpn-users.cfg:
Código: Selecionar todos
ClienteBFW openvpn @bfwcliente 10.10.10.2 #Cliente 01
ClienteBFW02 openvpn @bfwcliente02 10.10.10.6 #Cliente 02
ClienteBFW03 openvpn @bfwcliente03 10.10.10.10 #Cliente 03
ClienteBFW04 openvpn @bfwcliente04 10.10.10.14 #Cliente 04
 e assim sucessivamente, seguindo a tabela da documentação acima

Arquivo .ovpn cliente01 = Já explicado

Arquivo .ovpn cliente02
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente02crt.crt
key seucertificadocliente02key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.5 (sua vpn /30 utilizado pelo cliente 02 )

Arquivo .ovpn cliente03
Código: Selecionar todos
client
dev tun
proto tcp-client
pull <--Gosto de colocar o  " pull "
remote ipdoseuservidor.com
port 1194
resolv-retry infinite
nobind
persist-key
persist-tun
float
ca brazilfw_ca.crt
cert seucertificadocliente03crt.crt
key seucertificadocliente03key.key
auth-user-pass
verb 3
keepalive 10 60
link-mtu 1534
ns-cert-type server
cipher BF-CBC
auth SHA1
route 192.168.0.1 (rede Bfw Matriz) 255.255.255.0 (mascara) 10.10.10.9 (sua vpn /30 utilizado pelo cliente 03 )


é como eu sempre digo... estude, estude e... continue estudando e ajudando :o!
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Team
BFW Moderator
Support to HaarpCache
Support to Squid 3.5.x
 
Mensagens: 1490
Registrado em: Qua Ago 28, 2013 9:45 pm
Localização: Brasília
BrazilFW box: Core I7 3.4GHZ 8GB Ram ASUS, HD Sata3 p/ bfw, HD SCSI 300GB 15.000 rpm p/ Cache , 2.03.Donor.BFW, Haro, Whatchdog. HaapCache Squid 3.5.25, Lognet e Samba.


Voltar para BrazilFW 3.x

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 0 visitantes