BFW Firewall & Router

[reginaldo]

TUTORIAL DE CONFIGURAÇÃO OPENVPN PARA BRAZILFW 3.x (BFW x BFW)

Autor: mfaro

Antes de colocar aqui o que eu fiz, quero deixar claro que isto foi o jeito que eu encontrei para que funcionasse , pode haver outras maneiras, não tenho um conhecimento avançado de linux , mas gosto muito de ler e de aprender , pode conter erros nesta forma de configuração e por isso peço que a comunidade me auxilie para que possamos juntos melhorar cada vez mais esta distro.

Primeiro passo

Firewall1

Código: Selecionar todos

cd /etc/brazilfw
mkdir openvpn


Firewall2

Código: Selecionar todos

cd /etc/brazilfw
mkdir openvpn


Segundo passo
Firewall1

Código: Selecionar todos

openvpn --genkey --secret /etc/brazilfw/openvpn/chave.key


Firewall2

Código: Selecionar todos

Copiar o arquivo chave.key para o segundo firewall e armazenar na pasta /etc/brazilfw/openvpn


Terceiro Passo
Firewall1

Código: Selecionar todos

touch /etc/brazilfw/openvpn/matriz.config
cd /etc/brazilfw/openvpn
edit matriz.config


Criar o arquivo de configuração da VPN , segue abaixo exemplo
Firewall1

Código: Selecionar todos

# Interface da VPN
dev tun
# Nivel de segurança do script
script-security 2
# Coloca o serviço como daemon do sistema
daemon "MatrizVPN"
# Endereço  da  filial
remote 192.168.200.127
# Endereço IP servidor/filial
ifconfig 172.168.3.1 172.168.2.1
# Criação da rota de comunicação entre as redes
route-up "/usr/sbin/ip route add 10.10.2.0/255.255.255.0 via 172.168.2.1"
# Protocolo
proto udp
# Porta VPN
port 5001
#Chave estática
secret /etc/brazilfw/openvpn/chave.key
# Monitoramento da conexão: primeiro número ping, segundo restart da vpn em segundos
keepalive 10 120
# Compressão de dados
comp-lzo
# Mantém a interface tun carregada quando a vpn é reiniciada
persist-tun
# Mantém a chave carregada quando a vpn é reiniciada
persist-key
# Nível do log
verb 3


Firewall2

Código: Selecionar todos

touch /etc/brazilfw/openvpn/filial.config
cd /etc/brazilfw/openvpn
edit filial.config


Código: Selecionar todos

# Interface da VPN
dev tun
# Nivel de segurança do script
script-security 2
# Coloca o serviço como daemon do sistema
daemon "FilialVPN"
# Endereço  da  matriz
remote 192.168.200.128
# Endereço IP servidor/filial
ifconfig 172.168.2.1 172.168.3.1
route-up "/usr/sbin/ip route add 10.10.3.0/255.255.255.0  via 172.168.3.1"
# Protocolo
proto udp
# Porta VPN
port 5001
# Chave estática
secret /etc/brazilfw/openvpn/chave.key
# Monitoramento da conexão: primeiro número ping, segundo restart da vpn em segundos
keepalive 10 120
# Compressão de dados
comp-lzo
# Mantém a interface tun carregada quando a vpn é reiniciada
persist-tun
# Mantém a chave carregada quando a vpn é reiniciada
persist-key
# Nível do log
verb 3


Quarto passo

Firewall1

Código: Selecionar todos

edit /etc/brazilfw/custom/rc.local


Adicione as sequintes linhas

Código: Selecionar todos

cd /sbin
openvpn /etc/brazilfw/openvpn/matriz.config


Firewall2

Código: Selecionar todos

edit /etc/brazilfw/custom/rc.local


Adicione as sequintes linhas

Código: Selecionar todos

cd /sbin
openvpn /etc/brazilfw/openvpn/filial.config


Quinto passo

Salve a configuração em ambos os firewall com o comando

Código: Selecionar todos

backup
reboot ( Voce pode optar por reinicar os serviços manualmente)


As passagens abaixo são para verificação do funcionamento.

Sexto passo

Em ambos os firewalls digite o comando abaixo

Código: Selecionar todos

ps


Verifique se o daemon foi carregado, o processo vai apararecer assim

Código: Selecionar todos

openvpn /etc/brazilfw/openvpn/nome_do_arquivo_de_configuração.config


Se utilizar o persistent_log, voce pode verificar atraves das logs se a vpn foi fechado com sucesso

Código: Selecionar todos

cd /partition/syslog
cat ultimo_arquivo_de_log.log

Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3656]: TUN/TAP TX queue length set to 100
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3656]: ifconfig tun0 172.168.2.1 pointopoint 172.168.3.1 mtu 1500
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3656]: Data Channel MTU parms [ L:1545 D:1450 EF:45 EB:135 ET:0 EL:0 AF:3/1 ]
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3656]: Local Options hash (VER=V4): '951e159e'
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3656]: Expected Remote Options hash (VER=V4): '4ddf55ae'
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3664]: Socket Buffers: R=[113664->131072] S=[113664->131072]
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3664]: UDPv4 link local (bound): [undef]:5001
Feb 16 18:36:50 Dominio daemon.notice FilialVPN[3664]: UDPv4 link remote: 192.168.200.128:5001
Feb 16 18:36:57 Dominio daemon.notice FilialVPN[3664]: Peer Connection Initiated with 192.168.200.128:5001
Feb 16 18:36:57 Dominio daemon.notice FilialVPN[3664]: [b]Initialization Sequence Completed[/b]


Atraves do ping teste a conectividade entre as redes , pronto se ambos respoderem a vpn esta criada.

*********************************************************************************************************************

• Observação:
  
  • "Cmartin": - " É necessário liberar a porta 5001 udp dentro do arquivo /etc/brazilfw/ports/accept.cfg, e restartar o serviço. Esta liberação é necessária apenas no lado que está "escutando" a porta.

*********************************************************************************************************************
Tópico de Referência: viewtopic.php?f=77&t=72742#p205156

[cmartin]

Observação:

É necessário liberar a porta 5001 udp dentro do arquivo /etc/brazilfw/ports/accept.cfg, e restartar o serviço.
Apenas no lado que está escutando precisa liberar a porta.

[]'s