Aprenda a criar um servidor de VPNs no Ubuntu 15.04

19 Mai 2015

25 Comentários

Uma rede privada virtual (VPN – Virtual Private Network ) garante a segurança das comunicações ponto a ponto, nomeadamente a privacidade, integridade e autenticidade dos dados. Para isso esta tecnologia faz a encriptação dos pacotes, garantindo que estes não sejam lidos por terceiros.

Hoje vamos ensinar como podem criar um servidor de VPNs no Ubuntu 15.04 usando o OpenVPN.

O OpenVPN é um software multi-plataforma que permite a criação de uma VPN entre várias máquinas com sistemas operativos diferentes. Para proceder à instalação e configuração do OpenVPN e OpenSSL (obrigatório para a criação de certificados para o serviço), devem seguir os seguintes passos:

Passo 1) Instalar o Openvpn e Openssl

sudo apt-get install openvpn openssl

Passo 2) Copiar configuração de exemplo

O OpenVPN traz já uma configuração exemplo para ser usada como base. Vamos copiar essa configuração para /etc/openvpn

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn

Passo 3) Modificação do ficheiro de configuração do OpenVPN

Como resultado do passo anterior, passamos a ter em /etc/openvpn o ficheiro server.conf. Vamos editá-lo e incluir/alterar os seguintes parâmetros:

#Para encaminhar todo o trafego do cliente via VPN
push "redirect-gateway def1 bypass-dhcp"
#Servidores de DNS a serem usados pelo cliente
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"
#Por questões de segurança, use o user e grupo nobody que têm poucas permissões
user nobody
group nobody

Passo 4) Cópia da estrutura easy-rsa

Após a instalação, é necessário gerar as chaves para o servidor e client. O openvpn traz já uma estrutura de exemplo, designada de easy-rsa, na qual podemos-nos basear para configurar a nossa VPN. Para isso, vamos usar essa estrutura em /etc/openvpn, copiando-a de /usr/share/easy-rsa.

sudo apt-get install easy-rsa
sudo cp -R /usr/share/easy-rsa /etc/openvpn
cd /etc/openvpn/easy-rsa/

Passo 5) Modificação do ficheiro “vars”

A ferramenta easy-rsa inclui o ficheiro “vars” que podemos editar e mudar alguns parâmetros definidos por omissão e que serão depois úteis na hora de criar os certificados. Para editar o ficheiro basta usar o comando:

nano -w /etc/openvpn/easy-rsa/vars

Nota: Adaptem os dados ao vosso cenário. Estes parâmetros podem ser posteriormente modificados, aquando da criação dos certificados.

Vamos agora copiar o ficheiro /etc/openvpn/easy-rsa/openssl-1.0.0.cnf para /etc/openvpn/easy-rsa/openssl.cnf para que não haja problemas ao nível do OpenSSL

cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf

Passo 6) Criação da Autoridade de certificação (CA)

Basicamente basta introduzir os comandos seguinte e depois, de forma interativa, ir confirmando ou alterando as informações solicitadas.

cd /etc/openvpn/easy-rsa
source ./vars
./clean-all
./build-ca

Agora que temos a CA criada vamos criar o próprio certificado para o servidor OpenVPN.

./build-key-server server

É necessário também gerar a chave Diffie Hellman para a troca inicial segura (entre cliente e servidor) das chaves.

./build-dh
cd /etc/openvpn/easy-rsa/keys
cp dh1024.pem ca.crt server.crt server.key /etc/openvpn

Por fim, para autenticar os clientes com base no certificado, é preciso criar um certificado por cada cliente. Para isso basta usar executar os seguintes comandos:

cd /etc/openvpn/easy-rsa
./build-key client

Configurações de Encaminhamento

De acordo com a configuração que temos no ficheiro server.conf, o endereço 10.8.0.1 vai ser atribuído ao túnel do lado do servidor enquanto os restantes IPs da rede 10.8.0.0 passarão a estar disponíveis para os clientes.

Vamos então criar uma regra NAT no iptables para que todos os pacotes com origem na rede 10.8.0.0/24 sejam encaminhados via eth0

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
sudo apt-get install iptables-persistent

Vamos agora activar o encaminhamento IP

nano -w /etc/sysctl.conf
net.ipv4.ip_forward = 1

E por fim vamos aplicar as configurações anteriores e iniciar o servidor OpenVPN

sysctl -p
/etc/init.d/openvpn start

Se tudo correr bem, podemos ver se o túnel já está criado usando o comando

ifconfig tun0

Com as configurações anteriores, criamos com sucesso a parte do servidor. Num próximo tutorial iremos ensinar a configurar um cliente, de forma a podermos estabelecer ligação VPN a partir de qualquer lugar. Estejam atentos, será em breve.

PUB

Autor: Pedro Pinto

Partilhar:

Tags:

Ubuntu VPNs

PUB.

Questão Semanal

Loading …

Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet

Arquivo

Artigo anterior

O que está a Apple a preparar na primeira actualização do Watch?

Próximo artigo

Como criar um Website responsivo #2

PUB

Comentários

Deixe um comentário Cancelar resposta

KikoFHM

19 de Maio de 2015

É com VPN’s que me consigo ligar a uma rede wifi usando outra?
Caso prático: tenho um jogo que permite lan mode por wifi (pokemon) mas os meus colegas não estão na mesma rede. com isto podemos ficar ligados como se tivéssemos lado a lado?
ou não é esta a finalidade?

Responder
1. Samuel Tavares
  
  19 de Maio de 2015
  
  Sim com VPN podem até criar uma rede privada p jogarem em LAN, mas teem que configurar os IP’s e um tem que estar todos ligados na mesma rede (router / switch).
  
  Responder
2. Pedro Pinto
  
  19 de Maio de 2015
  
  De certa forma sim, mas esta não será a solução para ti 🙂
  
  Responder
3. LeCru
  
  19 de Maio de 2015
  
  Boa pergunta, tambem gostava de saber se, criando uma VPN numa rede publica(Ex.: rede da universidade) é possivel ter uma rede de partilha de ficheiros entre um pequeno grupo dentre dessa mesma VPN?
  
  Responder
  1. W10 Incoming
    
    19 de Maio de 2015
    
    Sim mas nota que esta é uma arquitetura de cliente->servidor. O que pretendes é melhor numa arquitetura P2P em que os clientes “falam entre si”. Também pode ser feito com OpenVPN mas existem soluções mais user-friendly e rápidas de configurar se o que pretendes é uma coisa pontual. Soluções do género Hamachi.
    
    Responder
4. Thyago Brasileiro
  
  11 de Junho de 2015
  
  Otimo tutorial, Parabens.
  
  Depois de um certo tempo as variaveis KEY dão problemas, e ao criar usuarios aparecem msg de erros, muito reportados em foruns, resolvi isso usando o comando:
  root@ServerVPN009: [/etc/openvpn/easy-rsa] :# source /vars
  
  Em relação ao comando de criar usuarios(./build-key client), eu prefiro o ./build-key-pass client
  
  Em relaçao ao uso da VPN para tentar driblar localizaçao para jogos eu digo que funciona SE BEM CONFIGURADO e depende o pouco de como tudo é interligado. Mas não se apeguem apenas a OPENVPN, a tecnologia de TunnelSSH é muito utilizada nesse sentido tambem, este ultimo é muito usadas ate por empresas como serviço de tunnelamento para jogos e que com um pouco de conhecimento todos podem usar gratis.
  
  Para aqueles que citaram uso de VPS, uma solução interessante a ser pesquisada para tunnel para jogos é “tunnel ssh com putty” onde é possivel driblar muitos firewall e ate usar a localizaçao do VPS como origem para muitos serviços. EX, eu tenho um servidor VPN nos EUA, nele esta instalado o serviço de ssh que se for no Debian-Like é openSSH e se for no Red-Hat-Like(Fedora ou CentOS) é SSHD, tendo este serviço configurado e funcionando podemos conectar de qualquer lugar usando o putty, porque todos os VPN tem um ip publico e fixo para acesso do cliente. Depois habilita o ip-forward(mencionado no tutorial), e ai vem a magica, ainda com o putty com o ssh conectado, mexa nas configuração de tunnel do putty e configure o tunnel, onde criará um serviço local na sua maquina com um porta, tudo que se conectar nesta posta será direcionado para dentro do tunnel ssh ate o VPS, driblando firewall no caminho. O navegador é um exemplo de aplicativo que pode ser conectado nesta porta local, usando assim um tipo de http-proxy. Caso use o navegador para isso cuidado ao usar site como o facebook, ele detectará que a conexao estará vindo do VPS e bloqueara seu usuario caso vc nao prove o teste que o facebook faz para usuarios conectando pela primeira vez de outra localidade.
  
  Pesquisem sobre “port forwarding com putty” que sua mente abrira bastante
  
  OBS: no vps é interessante instalar o squid em modo transparente bastando editar no squid.conf
  port 3128 transparent
  
  Responder
João

19 de Maio de 2015

Eu tenho alugado um servidor nos States, onde tenho instalado o openvpn, para jogos, mas a playstation não permite configurar vpn, será possivel com o RPI, ligar-me a vpn e por rede ligar a playstation ao RPI e ter tambem na playstation vpn ?

Responder
1. José
  
  19 de Maio de 2015
  
  +1
  
  Responder
diogofdsilva

19 de Maio de 2015

Kiko, uma vpn permite aceder a redes privadas a partir de um ponto exterior a essa rede.

Parece-me que o que queres é isto: https://secure.logmein.com/PT/products/hamachi/

Instalas isso com os teus colegas e crias uma rede privada entre todos, funciona como se todos estivessem na mesma rede física mesmo estando cada um em sua casa.

Responder
1. W10 Incoming
  
  19 de Maio de 2015
  
  Concordo, para o caso dele parece-me mais adequado. OpenVPN para esse tipo de utilização é excessivamente complicado e overkill.
  OpenVPN é mais para quem quer aceder à rede de casa/escritório de forma segura e não para andar a fazer redes para jogos ocasionais.
  
  Responder
2. KikoFHM
  
  19 de Maio de 2015
  
  O Hamachi conheço mas penso que agora a versão gratuita estava ou tem os dias contados.
  o OpenVPN parece-me bem pois permite multiplataforma.
  
  a ideia é ter um serviço em que o jogar seja também em dispositivos móveis.
  Até porque eu já não jogo à anos, por motivos profissionais e pessoais, mas os dispositivos móveis quando existem jogos em que para se jogar 2 jogadores tem ser na mesma rede wifi ao ler isto despertou interesse e fez-me pensar 🙂
  
  Responder
W10 Incoming

19 de Maio de 2015

Bom tutorial.
+Respect

No meu setup tenho ainda mais uma layer de segurança que é uma chave estática que tem de ser introduzida no servidor e no cliente, ao fim ao cabo a fazer de “HMAC Firewall”.

Responder
rodrigo silva

19 de Maio de 2015

cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn
cp: impossível obter estado de “/usr/share/doc/openvpn-*/sample/sample-config-files/server.conf”: Arquivo ou diretório não encontrado
achado em /usr/share/doc/openvpn/examples/sample-config-files/server.conf
não estou conseguindo achar easy-rsa 🙁 algum pode me ajudar?

Responder
1. Luis
  
  20 de Maio de 2015
  
  Tenho o mesmo problema!!!
  
  Responder
2. Pedro Pinto
  
  21 de Maio de 2015
  
  Bom dia Rodrigo,
  
  Certamente não tens o easy-rsa instalado.
  sudo apt-get install easy-rsa
  
  Depois dá feedback.
  
  Responder
3. Pedro Pinto
  
  21 de Maio de 2015
  
  Já agora, reparei que entre versões do Ubuntu mudam alguns pormenores. Estive a testar com o Ubuntu 14.10 e o server.conf está compactado no ficheiro /user/share/doc/openvpn/examples/sample-config-files/server.conf.gz
  
  Descompacta gunzip /user/share/doc/openvpn/examples/sample-config-files/server.conf.gz
  e passa o ficheiro server.conf para a estrutura.
  
  cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf /etc/openvpn
  
  Responder
rodrigo silva

22 de Maio de 2015

VLW 🙂 gente funciono direitinho, desculpa a demora para responder.

Responder
Diogo

12 de Junho de 2015

Boa tarde,

Após seguir todas as indicações e sem identificar nenhum erro, no final quando digito: ifconfig tun0 dá a seguinte msg de erro: tun0: error fetching interface information: Device not found
Correndo o ifconfig apenas tenho a eth0, alguma sugestão?

obrigado.

Responder
1. adb
  
  8 de Julho de 2015
  
  Tenho o mesmo problema. 🙁
  Alguem pode ajudar?
  
  Responder
  1. Rodrigo Vidoi
    
    16 de Outubro de 2015
    
    Estou com o mesmo problema , conseguiram resolver ???
    
    Responder
LuisF

25 de Novembro de 2015

Fiz como manda o pplware e não consegui fazer rodar a VPN.
Segui os passos neste link : https://www.digitalocean.com/community/tutorials/how-to-set-up-an-openvpn-server-on-ubuntu-14-04
E agora sim tenho tudo a rodar.
Neste link explica o cliente para Windows e Linux.
Estou a utilizar o Ubuntu 14.04 LTS ultima versão de Novembro de 2015
Quero agradecer ao pplware tudo o que tem feito para o Linux, vosso site *****
Parabéns a toda a equipa.

Responder
jmrdocs14

9 de Agosto de 2017

Estou com um problema aqui: quando escrevo push “redirect-gateway def1 bypass-dhcp” aparece push: MAILHOST not set

Não percebo quase nada do assunto e já pesquisei muito mas todos os sites eram muito complicados. Por favor, ajudem-me!!!

Responder
Cleber

27 de Junho de 2018

Olá Pedro, em pesquisa na internet achei seu artigo de VPN, configurando o servidor.
No final vc cita que vai criar artigo sobre a configuração do cliente da VPN, não estou encontrando o mesmo…
Poderia colar o link para o mesmo?
Abraço.

Responder
Rafael Medeiros

9 de Agosto de 2018

Olá eu fiz a instalação do openVpn server no meu Ubuntu, fiz conexão e funcionou perfeitamente, eu posso usar meu usuário admin em vários dispositivos ? Ou só um conexão para um usuário apenas?

Responder
jucelino

8 de Maio de 2020

como instalar e configurar uma arquitetura p2p em vps ou dedicado linux? alguem teria alguma base para me ajudar?

Responder

Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.