Case(Estudo de Caso): OpenVpn site To Site.#01

on
Forest Estudo de Caso: VPN Site-to-Site
Objetivo:  Criar uma estrutura onde o FirewallFilial acesse a internet através do Firewall da Matriz.

Case:
A empresa ocozzi.ltda quer implementar uma solução onde os usuarios da sua filial acessem a internet através do seu firewall, para fins de auditoria. Neste cenário teremos que rotear todo trafego para a internet no FirewallFilial00 para a VPN.


Inventário:
Hosts: FirewallMatriz, FirewallFilial00
Hardware:20GB 512MB
S/O:Debian 8.5 Kernel:3.16
Rede:
FirewallMatriz
Link0: 192.168.1.10/24
Link1: 192.168.1.11/24 --> vpn 10M
FirewallFilial00
Lan0: 192.168.1.20/24 --> vpn 10M
Repositórios:
~
deb http://ftp.br.debian.org/debian/ jessie main
deb-src http://ftp.br.debian.org/debian/ jessie main
deb http://security.debian.org/ jessie/updates main
deb-src http://security.debian.org/ jessie/updates main
deb http://ftp.br.debian.org/debian/ jessie-updates main
deb-src http://ftp.br.debian.org/debian/ jessie-updates main
~


  1. Instalando a VPN no Firewall Matriz:
root@FirewallMatriz# apt-get update
root@FirewallMatriz# apt-get install openvpn -y
 Gerando a Chave de acesso no firewall matriz.

root@FirewallMatriz# mkdir /etc/openvpn/keys/
root@FirewallMatriz# cd /etc/openvpn/keys/
root@FirewallMatriz# openvpn --genkey --secret /etc/openvpn/keys/secret

1.2 Configurando a VPN no Firewall Matriz:

root@FirewallMatriz# vim /etc/openvpn/VpnFirewallMatriz.conf
  
dev tun
ifconfig 10.0.0.1 10.0.0.2
secret /etc/openvpn/keys/secret
port 5000
comp-lzo
ping 15
verb 3

Exporte a chave para o FirewallFilial00

root@FirewallMatriz# scp /etc/openvpn/keys/secret rcunha@172.16.0.2:/home/rcunha

No ambiente Filial

2.1 Instalando a VPN no Firewall Filial.

root@FirewallFilial# apt-get update
root@FirewallFilial# apt-get install openvpn

2.2 Copiando a Chave de acesso para o local apropriado.

root@FirewallFilial# mkdir /etc/openvpn/keys/
root@FirewallFilial# cp /home/rcunha/secret /etc/openvpn/keys/

2.3 Configurando VPN da Filial.

root@FirewallFilial# vim /etc/openvpn/VpnFirewallFilial00.conf

dev tun
ifconfig 10.0.0.2 10.0.0.1
remote 192.168.1.11
secret /etc/openvpn/keys/secret
port 5000
comp-lzo
ping 15
verb 3
#
### Customizado ROTA ###
#
route 0.0.0.0 0.0.0.0

No ambiente Matriz, Elimine as regras temporarias:

root@FirewallMatriz# iptables -F -t nat

Crie um arquivo para implementar o firewall e mude sua permissão.

root@FirewallMatriz# >/etc/init.d/firewall.sh
root@FirewallMatriz# chmod +x /etc/init.d/firewall.sh
root@FirewallMatriz# vim /etc/init.d/firewall.sh

#!/bin/bash
### BEGIN INIT INFO
# Provides:          firewall.sh
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO

LAN0=10.0.0.0/24
ETH0=eth0
start()
{
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -A INPUT -i lo -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward


#
###     NAT     ###
#
iptables -t nat -A POSTROUTING -s $LAN0 -o $ETH0 -j MASQUERADE
#
###     Regras  ###
###     Gateway ###

}

stop()
{
iptables -F
iptables -X
iptables -X -t nat
iptables -F -t nat
iptables -P INPUT   ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
#Desabilitando o FORWARD
echo 0 > /proc/sys/net/ipv4/ip_forward
}

case "$1" in
start) start ;;
stop) stop ;;
restart) stop; iniciar ;;
*) echo
"use os parametros start ou stop"
esac
exit 0

Insira o arquivo de firewall na inicialização do servidor:
 
root@FirewallMatriz# update-rc.d firewall.sh defaults
root@FirewallMatriz# update-rc.d firewall.sh enable

Teste as vpns:

root@FirewallMatriz# openvpn --config /etc/openvpn/VpnFirewallMatriz.conf --daemon
root@FirewallFilial# openvpn --config /etc/openvpn/VpnFirewallFilial00.conf --daemon

Reinicie os servidores: Matriz e Filial e a VPN estará funcionando no modo:
Site to Site, com acesso através da Matriz.

----------------------------------------------------------------------------------------------------------------------------------
Observação: Esse case é uma derivação do Case com Link PaP, sendo este feito com o conceito de "publico".Atentando ao fato de que a rede 192.168.x.x/24 é uma alusão a um range publico em ambiente controlado.
Check as imagens:  Link













Comments

Post a Comment