{"id":1122,"date":"2020-08-26T15:06:44","date_gmt":"2020-08-26T18:06:44","guid":{"rendered":"http:\/\/blog.abratel.com.br\/?p=1122"},"modified":"2020-08-29T19:07:55","modified_gmt":"2020-08-29T22:07:55","slug":"mk","status":"publish","type":"post","link":"https:\/\/blog.abratel.com.br\/?p=1122","title":{"rendered":"OpenVpn entre dois mikrotiks pptp"},"content":{"rendered":"

MIKROTIK OPENVPN<\/a><\/strong><\/p>\n

<\/p>\n

Porqu\u00ea o OpenVPN?<\/strong><\/p>\n

O OpenVPN ganhou popularidade nos \u00faltimos 10 anos por v\u00e1rios motivos, sendo o primeiro deles de c\u00f3digo aberto, o que significa que ele foi visto por muitas brechas de seguran\u00e7a que criam confian\u00e7a. A segunda \u00e9 que ela \u00e9 suportada por todos os sistemas operacionais (n\u00e3o acho que list\u00e1-los porque s\u00e3o praticamente todos os usu\u00e1rios). Ele pode ser executado tanto no protocolo TCP<\/strong> quanto no UDP<\/strong> , assim como em qualquer porta (por exemplo, 443) que dificulte a filtragem em um firewall, o OpenVPN<\/strong> pode ser servidor<\/strong> ecliente<\/strong> e por \u00faltimo, mas n\u00e3o menos importante, ter um bom suporte a certificados. N\u00e3o sei se existe outra VPN<\/strong> com tantos recursos nela. O pptp<\/strong> ainda est\u00e1 atualizado, usado em todos os lugares, mas \u00e9 inseguro e f\u00e1cil de filtrar. Os principais fornecedores de hardware de rede oferecem solu\u00e7\u00f5es seguras, mas caras o suficiente para torn\u00e1-lo n\u00e3o econ\u00f4mico para um escrit\u00f3rio dizer 10 pessoas. Assim, chegamos \u00e0 conclus\u00e3o de que o alto n\u00edvel de seguran\u00e7a no segmento de or\u00e7amento de pequenas e m\u00e9dias empresas pode ser obtido a partir de roteadores com L2tp \/ ipsec<\/a> ou OpenVPN<\/strong> .<\/p>\n

Nota: O RouterOS<\/strong> ainda n\u00e3o suporta compacta\u00e7\u00e3o UDP<\/strong> e LZO<\/strong> .<\/p>\n

Existem v\u00e1rios exemplos de solu\u00e7\u00f5es OpenVPN<\/strong> na Internet, uma das quais \u00e9 puramente te\u00f3rica, a outra \u00e9 incompleta ou na maioria dos casos o cliente \u00e9 um sistema operacional de desktop. Na minha humilde pr\u00e1tica, no entanto, muitas vezes \u00e9 a tarefa de dois ou mais sites (vamos cham\u00e1-los de escrit\u00f3rios) precisar de um t\u00fanel seguro entre eles, com apenas informa\u00e7\u00f5es privadas fluindo.<\/p>\n

Vamos olhar a figura abaixo e pensar sobre isso. Temos tr\u00eas roteadores remotos em algum ponto da Internet da mesma empresa ou organiza\u00e7\u00e3o. Os tr\u00eas roteadores s\u00e3o os tr\u00eas escrit\u00f3rios de uma empresa ou organiza\u00e7\u00e3o que usam um provedor, n\u00e3o importa onde ou como o servi\u00e7o \u00e9 entregue. Os tr\u00eas escrit\u00f3rios t\u00eam LANs<\/strong> internas de cor verde, essas redes devem ter acesso \u00e0 Internet por meio de seu provedor local a partir da porta WAN<\/strong> do roteador e acesso a outras LANs<\/strong> dos outros roteadores por meio de um t\u00fanel seguro OpenVPN<\/strong> que passa pela Internet em vermelho. Ou seja, o laptop abrir\u00e1 https:\/\/google.com de seu navegador por meio do ISP local e do servidor da empresa http:\/\/192.168.100.254 por meio do t\u00fanel criptografado seguro do OpenVPN<\/strong> .<\/p>\n

<\/p>\n

Por que isso \u00e9 necess\u00e1rio? Imagine que o telefone da secret\u00e1ria eletr\u00f4nica, o arquivo de folha de pagamento em formato pdf<\/strong> , um e-mail interno que lista os sites pornogr\u00e1ficos mais recentes e desconhecidos tenham aparecido na Internet e voc\u00ea descobrir\u00e1 o porqu\u00ea!<\/p>\n

No entanto, antes de tocar o teclado com os dedos tr\u00eamulos, precisamos esclarecer algumas coisas sobre o esquema acima. O OpenVPN<\/strong> s\u00f3 ir\u00e1 criptografar o tr\u00e1fego em um t\u00fanel que passa pela Internet grande e ruim (colorido em vermelho), o que significa que o tr\u00e1fego LAN<\/strong> do laptop para o roteador vermelho n\u00e3o ser\u00e1 protegido (colorido em verde), ou seja, se um funcion\u00e1rio do escrit\u00f3rio2<\/strong> for bem-sucedido interceptar e copiar cookie do secret\u00e1rio de um servidor de correio interno da empresa 192.168.100.254<\/strong> at\u00e9 que as sess\u00f5es tenham expirado, ele pode ver as coisas que v\u00e3o quebrar o cabelo dele. No entanto, enquanto a secret\u00e1ria e as habilidades de ataque do tipo intermedi\u00e1rio<\/strong> tiverem a secret\u00e1ria, o funcion\u00e1rio do ISP n\u00e3o ter\u00e1 essa chance, pois esse tr\u00e1fego passar\u00e1 pelo t\u00fanel seguro do OpenVPN<\/strong> . Isso \u00e9 importante saber e ter em mente ao dar uma senha \u201capenas um minuto\u201d a um funcion\u00e1rio de outra empresa de um escrit\u00f3rio pr\u00f3ximo no mesmo pr\u00e9dio, respectivamente um f\u00e3 da secret\u00e1ria.<\/p>\n

Se voc\u00ea acha que o que eu escrevi \u00e9 demais, ent\u00e3o voc\u00ea est\u00e1 feliz vivendo no jardim de inf\u00e2ncia e n\u00e3o sabe como \u00e9 passar pelos nove c\u00edrculos do Inferno com um cliente paran\u00f3ico.<\/p>\n

Criando Certificados no Servidor OpenVPN<\/strong><\/p>\n

Especialmente o servidor OpenVPN<\/strong> eu configurarei atrav\u00e9s de um terminal porque \u00e9 mais transparente e \u00e9 mais l\u00f3gico conectar as etapas de configura\u00e7\u00e3o.<\/p>\n

Eu crio um certificado de autoridade<\/strong> no RouterOS<\/strong> :<\/p>\n\n\n\n
\n \/ certificate<\/p>\n

add name = CA common-name = CA organization = ITSERVICE days-valid = 3650 key-usage = key-cert-sign, crl-sign<\/p>\n

sign CA ca-crl-host = 192.168.200.1 name = CA<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Eu exporte-o localmente para um arquivo (pode ser verificado com \/ arquivo de impress\u00e3o<\/strong>)<\/p>\n\n\n\n
\n \/ certificate<\/p>\n

export certificate CA<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Gere certificados de servidor e cliente:<\/p>\n\n\n\n
\n \/ certificate<\/p>\n

add name = server common-name = server days-valid = 3650<\/p>\n

add name = client common-name = client days-valid = 3650<\/p>\n

sign server ca = CA name = server<\/p>\n

sign client ca = CA name = client<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Eu exporto o certificado do cliente localmente (n\u00e3o \u00e9 necess\u00e1rio exportar o certificado do servidor):<\/p>\n\n\n\n
\n \/ certificate<\/p>\n

export-certificate export-passphrase = 12345678 client<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A imagem abaixo \u00e9 apenas uma pr\u00e9via no RouterOS via Winbox se os certificados foram criados em \/ Certificados<\/strong> e exportados para \/ lista de arquivos<\/strong> . Se tudo est\u00e1 bem aqui no seu roteador que ser\u00e1 um servidor OpenVPN,<\/strong> essas duas janelas devem ficar assim.<\/p>\n

<\/p>\n

Configura\u00e7\u00e3o do servidor OpenVPN<\/strong><\/p>\n

Eu crio usu\u00e1rios, senhas e quais endere\u00e7os os clientes do OpenVPN<\/strong> v\u00e3o pegar. Eu deliberadamente n\u00e3o uso o pool de<\/strong> endere\u00e7os, quero estar ciente de qual cliente que endere\u00e7o ele vai pegar para ter uma pol\u00edtica adicional de roteamento e firewall.<\/p>\n

\/ ppp secret add name = office1 password = 87654321 local-address = 192.168.200.1 remote-address = 192.168.200.2 service = ovpn add name = office2 password = 87654321 local-address = 192.168.200.1 remote-address = 192.168.200.3 service = ovpn<\/p>\n\n\n\n
<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Eu ativo o servidor OpenVPN<\/strong> , selecione o certificado do servidor:<\/p>\n

\/ interface ovpn-server server set enabled = yes certificate = server auth = sha1 cipher = aes128 port = 1194 netmask = 24 require-client-certificate = yes mode = ip<\/p>\n

A figura abaixo \u00e9 apenas uma pr\u00e9-visualiza\u00e7\u00e3o no RouterOS via Winbox se as contas de usu\u00e1rio office1<\/strong> e office2 foram criadas,<\/strong> assim como a ativa\u00e7\u00e3o e configura\u00e7\u00e3o do servidor OpenVPN<\/strong> .<\/p>\n

<\/p>\n

Transferindo o certificado com o Filezilla<\/strong><\/p>\n

Existem tr\u00eas m\u00e9todos diferentes de transferir o certificado: SFTP<\/strong> , Winbox<\/strong> e FTP<\/strong> que mostrarei aqui.<\/p>\n

Baixe o certificado do servidor OpenVPN<\/strong> no meu computador local.<\/p>\n

<\/p>\n

Carregar o certificado do meu computador local para o cliente OpenVPN<\/strong> \u2013 office1<\/strong> .<\/p>\n

<\/p>\n

Configurando o Cliente OpenVPN<\/strong><\/p>\n

Ent\u00e3o, eu mudo para o segundo roteador ( office1<\/strong> ) e vou para sua configura\u00e7\u00e3o com o Winbox<\/strong> .<\/p>\n

Depois de transferir o certificado com o Filezilla via FTP<\/strong> Files, preciso import\u00e1-los sequencialmente para o cliente OpenVPN<\/strong> , primeiro fazendo isso com cert_export_CA.crt<\/strong> , usando cert_export_client.crt<\/strong> e, por \u00faltimo, cert_export_client.key<\/strong> , adicionando o cliente passphrase<\/strong> 12345678. crt no servidor OpenVPN<\/strong> .<\/p>\n

<\/p>\n

<\/p>\n

<\/p>\n

Alguns podem perguntar o que significam os sinalizadores do lado esquerdo do nome do certificado e por que eles mudam<\/p>\n

# KLAT<\/p>\n

K – chave privada<\/p>\n

L – crl<\/p>\n

A – autoridade<\/p>\n

T – confi\u00e1vel<\/p>\n

Ent\u00e3o, na se\u00e7\u00e3o Interface<\/strong> , clico em +<\/strong> e adiciono o cliente OVPN<\/strong> com a seguinte configura\u00e7\u00e3o:<\/p>\n

<\/p>\n

<\/p>\n

As linhas em verde s\u00e3o da se\u00e7\u00e3o Log<\/strong> do RouterOS, o<\/strong> que indica claramente que o cliente abriu uma sess\u00e3o do OpenVPN<\/strong> com o servidor.<\/p>\n

Rotas entre roteadores<\/strong><\/p>\n

Como todos os tr\u00eas roteadores t\u00eam gateways padr\u00e3o,<\/strong> eles sabem que todas as redes, exceto aquelas constru\u00eddas em suas pr\u00f3prias interfaces e LAN<\/strong> , passam pelo ISP local. Isso significa que o servidor OpenVPN<\/strong> pesquisar\u00e1 a rede office1<\/strong> atrav\u00e9s de seu ISP local e n\u00e3o atrav\u00e9s do t\u00fanel OpenVPN<\/strong> . Para resolver este problema, ambos os roteadores precisam rotear suas redes atrav\u00e9s do t\u00fanel OpenVPN de<\/strong> acordo, portanto, o tr\u00e1fego criptografado ser\u00e1 apenas entre os escrit\u00f3rios.<\/p>\n

O servidor roteia a LAN do cliente.<\/p>\n\n\n\n
\n [ admin @ VPN Server ] > ip route add dst-address = 192.168.89.0 \/ 24 gateway = 192.168.200.2<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

O cliente roteia a LAN do servidor.<\/p>\n\n\n\n
\n [ admin @ VPN-Client ] > ip route add dst-address = 192.168.100.0 \/ 24 gateway = 192.168.200.1<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Eu verifico se h\u00e1 conectividade do laptop para o servidor.<\/p>\n\n\n\n
\n [admin@laptop] > ping 192.168.100.254<\/p>\n

SEQ HOST                                   SIZE TTL TIME  STATUS<\/p>\n

0 192.168.100.254                          56  62 4ms<\/p>\n

1 192.168.100.254                          56  62 3ms<\/p>\n

2 192.168.100.254                          56  62 4ms<\/p>\n

3 192.168.100.254                          56  62 4ms<\/p>\n

sent=4 received=4 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=4ms<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Eu verifico os roteadores no caminho do laptop para o servidor.<\/p>\n

Fiz um Nat rule no mikrotik client:
\nChain srcnat
\nDst.address: 192.168.100.0\/24 (lan do outro lado)
\noutinterface: colocar-a-interface-openvpn
\naction: src-nat
\nto-address: 192.168.200.2 (ip vpn local do client)<\/p>\n

E em MANGLE do client tambem faco um:
\naction: prerounting
\nDST address: 192.168.200.0\/24 (rede vpn)
\naction : accept<\/p>\n\n\n\n
\n [admin@laptop] > traceroute  192.168.100.254<\/p>\n

# ADDRESS                     LOSS SENT    LAST     AVG    BEST   WORST<\/p>\n

1 192.168.89.1                0%    5   0.2ms     0.5     0.2     1.8<\/p>\n

2 192.168.200.1               0%    5   3.6ms     3.5     3.1     3.9<\/p>\n

3 192.168.100.254             0%    5   3.8ms     4.5     1.7     6.6<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Verifique se h\u00e1 velocidade e recursos<\/strong><\/p>\n

Depois de ter assegurado escrit\u00f3rios com uma conex\u00e3o de internet criptografada e \u00e9 hora de solenemente champagne o caso, h\u00e1 duas coisas que precisam ser mencionadas.Primeiro, a criptografia de tr\u00e1fego \u00e9 um processo matem\u00e1tico que mata o processador do roteador de software (o hardware (3) n\u00e3o pode arcar com o custo porque custa tanto quanto o produto interno bruto de um pa\u00eds sul-africano).<\/p>\n

Nas fotos abaixo, dou um exemplo de como a conex\u00e3o de Internet entre os dois roteadores \u00e9 uma m\u00e9dia de 150 megabits e o t\u00fanel OpenVPN<\/strong> tem uma m\u00e9dia de 15 megabits.<\/p>\n

<\/p>\n

<\/p>\n

Ent\u00e3o, temos que considerar algumas coisas: \u2013 por exemplo, se uma das redes<\/strong> do office1<\/strong>come\u00e7ar a baixar um arquivo de 1 gigabyte do servidor, ele n\u00e3o s\u00f3 baixar\u00e1<\/strong> dez vezes mais lentamente, mas a conex\u00e3o morrer\u00e1 literalmente devido ao tr\u00e1fego m\u00e1ximo. no canal de t\u00fanel do OpenVPN<\/strong> . Neste ponto, se o secret\u00e1rio quiser baixar o arquivo pdf<\/strong> da folha de pagamento, \u00e9 prov\u00e1vel que ele falhe ou, se acontecer, ser\u00e1 muito lento.<\/p>\n

Consultor de TI, Infraestrutura, Gerenciamento de TI Ver todos os posts por RODRIGO CARRAN OLIVEIRA DOS SANTOS<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

MIKROTIK OPENVPN Porqu\u00ea o OpenVPN? O OpenVPN ganhou popularidade nos \u00faltimos 10 anos por v\u00e1rios motivos, sendo o primeiro deles de c\u00f3digo aberto, o que significa que ele foi visto por muitas brechas de seguran\u00e7a que criam confian\u00e7a. A segunda \u00e9 que ela \u00e9 suportada por todos…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[14],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/1122"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1122"}],"version-history":[{"count":6,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/1122\/revisions"}],"predecessor-version":[{"id":1151,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/1122\/revisions\/1151"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}