EdgeMAX: OpenVPN Site a Site

Visão geral


Os leitores aprenderão como configurar uma VPN site a site usando o OpenVPN com dois Ubiquiti EdgeRouters.

Pressupostos: você deseja se conectar dois Edgerouters juntos usando o OpenVPN.  Os dois roteadores são configurados como segue.

O roteador 1 :
nome/IP externo: system1.dyndns.com (também pode usar um endereço IP externo)
IP interno: 192.168.1.1

O roteador 2 :
nome/IP externo: system2.dyndns.com (também pode usar um endereço IP externo)
interno IP: 192.168.2.1

Se seus roteadores usam IPs diferentes ou têm nomes diferentes, alterá-los onde eles aparecem nestas instruções.

Passos


Etapa 1: no Router 1, acessar a linha de comando e criar uma chave pré-compartilhada (não no modo Configurar, mas em modo operacional).

generate vpn openvpn-key /config/auth/secret

Passo 2: transferir a chave pré-compartilhada para outra máquina

De qualquer:

    Opção r. esta opção pressupõe que o nome de usuário do sistema remoto ainda é ubnt. Se você alterou o nome de usuário padrão, altere ubnt no comando a seguir para o novo nome de usuário. Isso também pressupõe que a máquina remota pode aceitar remoto ssh conexões, ou seja, aquela porta 22 (SSH/SCP) é aceitar a entrada da internet. Se o sistema remoto não está aceitando comandos SSH/SCP desde o
internet, use a opção b:

sudo scp /config/auth/secret ubnt@system2.dyndns.com:/config/auth/secret

Arte

B opção: Visualizar a chave pré-compartilhada no roteador 1:

sudo cat /config/auth/secret

Copie o conteúdo para sua área de transferência.

Acessar o roteador 2 usando ssh. Crie o arquivo:

cat > /config/auth/secret

Cole o texto da sua área de transferência.

Bata CTRL-D para salvar o arquivo.

Alterar as permissões sobre o arquivo que você acabou de criar:

chmod 600 /config/auth/secret

Etapa 3: configurar roteador 1

 # Entrar no modo de configuração

configure

# Configurar o OpenVPN para usar vtun0

set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site

# Atribuir portas para uso pelo OpenVPN

set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194

# Atribuir um endereço local para uso pelo OpenVPN

set interfaces openvpn vtun0 local-address 10.99.99.1

# Atribuir um endereço remoto para uso pelo OpenVPN

set interfaces openvpn vtun0 remote-address 10.99.99.2

# Diga OpenVPN o endereço público do sistema remoto

set interfaces openvpn vtun0 remote-host system2.dyndns.com

# Dizer OpenVPN onde encontrar o arquivo secreto

set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret

# Ativar a compactação (opcional: deve fazer de ambos os lados, ou também não)

set interfaces openvpn vtun0 openvpn-option "--comp-lzo"

# Habilitar Float, Ping e outras opções de segurança (opcional: ver página do OpenVPN para detalhes)

set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"

# Dizer EdgeRouter a sub-rede remota

set protocols static interface-route 192.168.2.0/24 next-hop-interface vtun0

# Confirmação, salvar e sair do modo de configuração

commit
save
exit

Etapa 4: configurar roteador 2

 # Entrar no modo de configuração

configure

# Configurar o OpenVPN

set interfaces openvpn vtun0
set interfaces openvpn vtun0 mode site-to-site

# Atribuir portas para uso pelo OpenVPN

set interfaces openvpn vtun0 local-port 1194
set interfaces openvpn vtun0 remote-port 1194

# Atribuir um endereço local para uso pelo OpenVPN

set interfaces openvpn vtun0 local-address 10.99.99.2

# Atribuir um endereço remoto para uso pelo OpenVPN

set interfaces openvpn vtun0 remote-address 10.99.99.1

# Diga OpenVPN o endereço público do sistema remoto

set interfaces openvpn vtun0 remote-host system1.dyndns.com

# Dizer OpenVPN onde encontrar o arquivo secreto

set interfaces openvpn vtun0 shared-secret-key-file /config/auth/secret

# Ativar a compactação (opcional: deve fazer de ambos os lados, ou também não)

set interfaces openvpn vtun0 openvpn-option "--comp-lzo"

# Habilitar Float, Ping e outras opções de segurança (opcional: ver página do OpenVPN para detalhes)

set interfaces openvpn vtun0 openvpn-option "--float"
set interfaces openvpn vtun0 openvpn-option "--ping 10"
set interfaces openvpn vtun0 openvpn-option "--ping-restart 20"
set interfaces openvpn vtun0 openvpn-option "--ping-timer-rem"
set interfaces openvpn vtun0 openvpn-option "--persist-tun"
set interfaces openvpn vtun0 openvpn-option "--persist-key"
set interfaces openvpn vtun0 openvpn-option "--user nobody"
set interfaces openvpn vtun0 openvpn-option "--group nogroup"

# Dizer Edgerouter a sub-rede remota

set protocols static interface-route 192.168.1.0/24 next-hop-interface vtun0

# Confirmação, salvar e sair do modo de configuração

commit
save
exit

Você deve ser feito!

Comandos extra


Você pode usar essas opções de linha de comando extra após o túnel é criado.

Verificar o status do túnel

show interfaces openvpn
show interfaces openvpn detail
show openvpn status site-to-site

Reiniciar o túnel 

reset openvpn interface vtun0

Notas: o endereço remoto e local-endereço são endereços exclusivos usados pelo OpenVPN.  Eles não devem ser parte da sub-rede local de qualquer máquina.  

Para configurar um túnel entre o roteador 1 e um terceiro Router (roteador 3), altere vtun0 para vtun1. Altere a porta local e remota para outra porta (por exemplo, 1195). Mudar o endereço do local e remoto-endereço para outra coisa (i.e., 10.99.99.3 e 10.99.99.4).

 

Powered by Zendesk