Olá Valcir.... Primeiramente obrigado pela aula.. :o)
Mas abaixo vou comentar algumas particularidades... do meu ambiente.... Eu teria como adcionar uma métrica nas rotas da VPN ? Pergunto isso, por que a VPN pra mim é um canal de contingência, eu já tenho links frame relay com a "produção", e a VPN entra em ação caso estes links saiam do ar... pra isso eu faria rotas estáticas com métrica, atribuindo um custo para cada rota, para que esta seja usada no caso do link principal cair... > > Boa tarde Rodrigo e pessoal da lista. > > Uso o OpenVPN desde a versão 1.5 e te digo que é fantástica, no início bati > bastante cabeça até entender como ela funciona, depois ficou muito prático > implementá-la. Você não precisa adicionar nenhuma rota manualmente, nem no > servidor, nem no cliente (a menos que você queira habilitar a comunicação > entre clientes), tudo isso é feito de forma automática no momento da > conexão. Veja alguns detalhes: > > 1) A configuração de ip estático para cada cliente é feito dentro de um > arquivo texto com o mesmo nome do arquivo de chave e dentro de ./ccd/ e não > dentro de ipp.txt; > > 2) O servidor quebra a rede ip usada no tunelamento automaticamente em > subredes de quatro em quatro ip's, ou seja, todas de comprimento 30 bit's, e > usa o 1º ip disponível para o gateway e o 2º para a outra ponta. Digamos que > essa rede para tunelamento seja 192.168.254.0/24, o primeiro cliente leva o > ip 192.168.254.2 e seu gateway será 192.168.254.1 (192.168.254.0 e > 192.168.254.3 são reservados para o endereço da subrede e de broadcast dela, > respectivamente); > > (....) > 3) Dentro do arquivo server.conf você coloca a rede interna atrás do > servidor que deseja ser alcançada pela rede interna do cliente, através da > opção push. Digamos que essa rede seja 192.168.0.0/24, a opção é push "route > 192.168.0.0 255.255.255.0" > > (....) > 4) Também dentro do arquivo server.conf e do arquivo texto mencionado no > ítem 1 você coloca a rede atrás do firewall do cliente que deseja ser > alcançada pela rede atrás do servidor. Digamos que a rede interna do cliente > seria 192.168.1.0/29 você usa a opção route "192.168.1.0 255.255.255.248" no > arquivo server.conf e no arquivo texto você colocaria: > > iroute 192.168.1.0 255.255.255.248 > ifconfig-push 192.168.254.2 192.168.254.1 (ip cliente + gateway) > Configurei esta opção.. usei o "Common Name" do cliente como referência, e não o nome da chave, correto ? > Pronto. Isso basta para o OpenVPN inserir automaticamente essas rotas nas > tabelas de cada kernel (servidor e cliente). Digamos que você deseja colocar > um segundo cliente que possua a rede interna 192.168.254.4/29, aí sim você > precisaria executar um route add ... ... ... em cada cliente e habilitar a > comunicação entre clientes no server.conf. > Aqui entra o caso que comentei sobre a métrica..... se não eu fico com duas rotas diferentes, apontando para o mesmo local e com o mesmo custo... > Dê uma boa olhada nos comentários do server.conf que é bem auto-explicativo > e também na documentação online do produto. Vai ver que o OpenVPN é muito > poderoso. > > Legal, estou estudando ele. > Outra vantagem desse produto é que ele usa uma única porta UDP para conexão > e assim sendo ficá prático trabalhar com priorização de banda na porta, por > exemplo um HTB para garantir uma velocidade boa na comunicação > matriz/filial(is). > > --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
