Ponto a Ponto OpenVPN com 2 RB

Rede privada virtual, do inglês Virtual Private Network (VPN), é uma rede de comunicações privada construída sobre uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrões, não necessariamente seguros. Em resumo, cria uma conexão segura e criptografada, que pode ser considerada como um túnel, entre o seu computador e um servidor operado pelo serviço VPN.
Uma VPN é uma conexão estabelecida sobre uma infraestrutura pública ou compartilhada, usando tecnologias de tunelamento e criptografia para manter seguros os dados trafegados. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. Alguns desses protocolos que são normalmente aplicados em uma VPN estão: Layer 2 Tunneling Protocol (L2TP), L2F, Point-to-Point Tunneling Protocol (PPTP) e o IP Security Protocol (IPsec). Quando adequadamente implementados, estes protocolos podem assegurar comunicações seguras através de redes inseguras.
O cenário é o seguinte 2 RB configuradas, conectadas e distribuindo internet na rede (em operação), vão fechar o ponto a ponto onde todo o trafego será compartilhado.

RB3011 v6.38.7 é o nosso servidor ovpn com ip externo 179.199.175.57 e rede local 192.168.0.#/24
RB750  v6.38.7 é o nosso cliente com ip externo 179.199.0.57 e rede local 192.168.1.#/24

A conexão pode ser criptografada ou não mas o servidor é obrigatório possuir o certificado, click aqui caso precise gerar um certificado de criptografia, neste momento vou ensinar a fazer a conexão sem criptografia.

Começando pelo Servidor RB3011

1º Montar um perfil
/ppp profile add local-address=10.0.0.1 name=OpenVPN-profile use-encryption=yes
2º Criar o usuário de conexão
/ppp secret add name="usuário" password="senha" profile=OpenVPN-profile remote-address=10.0.0.2 service=ovpn
3º Ativando o servidor OVPN com bloqueios para segurança incluindo ips disponíveis através da mascara de rede
/interface ovpn-server server set auth=sha1 cipher=aes256 default-profile=OpenVPN-profile enabled=yes keepalive-timeout=disabled max-mtu=1450 netmask=28
4º Liberando porta 1194
/ip firewall filter add action=accept chain=input comment=OpenVPN port=1194 protocol=tcp
5º Adicionar rota
/ip route add dst-address=192.168.1.0/24 gateway=10.0.0.2


Agora Vamos no Cliente RB750

1º Liberando porta 1194
/ip firewall filter add action=accept chain=input comment=OpenVPN port=1194 protocol=tcp
2º Criando conexão OVPN
/interface ovpn-client add add-default-route=yes cipher=aes256 connect-to="endereço externo ou DDNS" max-mtu=1450 name=OpenVPN-out1 profile=default-encryption user="usuário" password="senha"
3º Adicionando Rota
/ip route add dst-address=192.168.0.0/24 gateway=10.0.0.1

Obs: Caso você utilize mascaramento por interface uma nova regra NAT terá que ser criada.
Se falhas estiverem ocorrendo confira IP > Firewal > Service Ports relações ao serviço VPN estão ativos.

Mais informações em: https://wiki.mikrotik.com/wiki/OpenVPN
                                     https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Regras prontas para o RouterOS Firewal part 1

Imagem
Não é muito sensato investir em uma RB e deixar ela com as pernas abertas para o mundo, por isto vou começa hoje a deixar aqui algumas regras que tenho prontas para prevenir alguns problemas que podem ocorrer. 1º a porta UTP 53 é responsável pelo serviço DNS já a TCP constantemente é atacada /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53" dst-port=53 protocol=tcp /ip firewall filter add action=drop chain=input comment="Bloqueio Porta 53 Externo" dst-port=53 in-interface=pppoe-out1 protocol=udp 2º ataques DDos podem tirar suas noites de sono já tenho de antemão preparado esta sequencia de regras em caso de emergência ativo a 3 regra e deixo a RB trabalhar /ip firewall filter add action=add-src-to-address-list address-list=DDos_blacklist address-list-timeout=1d chain=input comment="Prote\E7\E3o DDos 1/5" connection-limit=32,32 protocol=tcp add action=tarpit chain=input comment="Prote\E7\E3o DDos 2/5" connectio
Leia mais

Criando Certificado RSA e Incorporando na OVPN criada

Imagem
RSA é um algoritmo de criptografia de dados, que deve o seu nome a três professores do Instituto de Tecnologia de Massachusetts (MIT), Ronald Rivest, Adi Shamir e Leonard Adleman, fundadores da actual empresa RSA Data Security, Inc., que inventaram este algoritmo — até a data (2008) a mais bem sucedida implementação de sistemas de chaves assimétricas, e fundamenta-se em teorias clássicas dos números. É considerado dos mais seguros, já que mandou por terra todas as tentativas de quebrá-lo. Foi também o primeiro algoritmo a possibilitar criptografia e assinatura digital, e uma das grandes inovações em criptografia de chave pública. O RSA envolve um par de chaves, uma chave pública que pode ser conhecida por todos e uma chave privada que deve ser mantida em sigilo. Toda mensagem cifrada usando uma chave pública só pode ser decifrada usando a respectiva chave privada. A criptografia RSA atua diretamente na internet, por exemplo, em mensagens de emails, em compras on-line e o que você im
Leia mais

Instalando no-ip no CentOS 6 "Dynamic DNS"

O grande obstáculo para rodar servidores ou programas de acesso remoto em uma conexão com IP dinâmico é justamente o fato de que o endereço muda constantemente. Você poderia muito bem instalar um servidor web, configurado para usar a porta 8080 e dizer para para um amigo acessá-lo através do http://seu-endereço-ip:8080, mas ele precisaria perguntar o endereço novamente cada vez que fosse acessar seu servidor, já que o endereço seria diferente. A situação seria ainda mais complicada se você precisasse acessar seu micro via SSH (ou qualquer programa de acesso remoto), já que se você não está em casa, não há como saber o endereço corrente. A solução para o problema é utilizar um serviço de DNS Dinâmico (Dynamic DNS), onde você pode registrar um endereço de acesso como "meu-nome.no-ip.org", que passa a apontar para seu endereço IP corrente. Então vamos lá! A 1ª coisa a se fazer para usar este serviço é criar uma conta no no-ip, então se ainda não o fez . . . http://www.noi
Leia mais