+ Responder ao Tópico



  1. #1

    Padrão (Resolvido) Open VPN - ROTAS

    Segue configuracoes do serve.conf (matriz)


    proto udp
    port 5200
    dev tun
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-server
    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/servidor.crt
    key /etc/openvpn/keys/servidor.key

    Interface matriz
    #Placa de rede internet
    auto eth0
    iface eth0 inet static

    address 10.18.1.10
    netmask 255.255.255.0
    network 10.18.1.0
    broadcast 10.18.1.255
    gateway 10.18.1.1

    #Placa de rede interna
    auto eth1
    #iface eth1 inet dhcp
    iface eth1 inet static
    address 172.18.20.253
    netmask 255.255.255.0
    network 172.18.20.0
    broadcast 172.18.20.255


    ip ro servidor (matriz):

    20.0.0.2 dev tun0 proto kernel scope link src 20.0.0.1
    10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
    172.18.20.0/24 dev eth1 proto kernel scope link src 172.18.20.253
    192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.10
    20.0.0.0/24 via 20.0.0.2 dev tun0
    default via 10.18.1.1 dev eth0


    e do teste.conf (filial)


    remote teste.com.br

    proto udp
    port 5200
    client
    pull
    dev tun0
    comp-lzo
    keepalive 10 120
    persist-key
    persist-tun
    float
    tls-client

    dh /etc/openvpn/keys/dh1024.pem
    ca /etc/openvpn/keys/ca.crt
    cert /etc/openvpn/keys/teste.crt
    key /etc/openvpn/keys/teste.key

    Interface Filial

    #Placa de rede internet GVT
    auto eth0
    #iface eth0 inet dhcp
    iface eth0 inet static

    address 10.18.1.10
    netmask 255.255.255.0
    network 10.18.1.0
    broadcast 10.18.1.255
    gateway 10.18.1.1

    #Placa de rede interna
    auto eth1
    #iface eth1 inet dhcp
    iface eth1 inet static
    address 172.18.21.253
    netmask 255.255.255.0
    network 172.18.21.0
    broadcast 172.18.21.255

    ip ro teste (filial)

    20.0.0.1 via 20.0.0.5 dev tun0
    20.0.0.5 dev tun0 proto kernel scope link src 20.0.0.6
    10.18.1.0/24 dev eth0 proto kernel scope link src 10.18.1.10
    172.18.20.0/24 via 20.0.0.5 dev tun0
    172.18.21.0/24 dev eth1 proto kernel scope link src 172.18.21.253
    default via 10.18.1.1 dev eth0

    Considerações:

    Tanto o Server (matriz) como o da filial atuam como servidor dhcp e gateway de rede e firewall

    Desativei as configurações do Firewall e habilitei apenas o compartilhamento da internet para não ter problemas de bloqueio.

    ########################
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -F
    iptables -t nat -F

    ## COMPARTILHAR CONEXAO DE INTERNET
    ## IP DINAMICO
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


    ## ATIVAR ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward

    ## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
    iptables -A INPUT -i lo -j ACCEPT


    Consigo pingar do teste (filial) em todas as maquinas da matriz. Através do console do Server, porem em qualquer maquina da rede da filial não consigo.


    Já do Server.conf (mtz) não consigo pingar em nada apenas no ip do Tunel 20.0.0.6 mesmo.

    Como faço para configurar as rotas ?? Para que as maquinas da rede da matriz/filial possam pingar e ter acesso entre si???

    Obs: Uso essa vpn para acesso por funcionários também. (notebooks) e funciona perfeitamente.

    O problema so esta entre a matriz e a filial.

    Desde já agradeço a atenção.
    Última edição por sowbra; 30-12-2010 às 16:45.

  2. #2

    Padrão Re: Open VPN - ROTAS

    Falta informacoes na configuracao do servidor sobre a rede e rota da filial.
    Adicione as seguintes linhas na configuracao do servidor antes das linhas:
    server 20.0.0.0 255.255.255.0
    push "route 172.18.20.0 255.255.255.0"

    # Criar no diretorio cdd/cliente a configuracao
    # dele - ou uma invalida para trava-lo
    client-config-dir ccd

    # Rede da filial
    route 172.18.21.0 255.255.255.0

    Como o nome do certificado usado no cliente eh teste, no diretorio /etc/openvpn/ccd deve existir um arquivo com o nome: teste e dentro dele a seguinte linha:
    iroute 172.18.21.0 255.255.255.0

    Observacoes:
    * O nome do arquivo no diretorio ccd tem que ser o mesmo da entidade usada na geracao do certificado do cliente. No caso estou assumindo que vc nomeou a entidade como teste e colocou o nome do certificado tambem de teste.crt
    * Prestar atencao que no arquivo dentro do ccd o comando eh iroute e nao route



  3. #3

    Padrão Re: Open VPN - ROTAS

    Amaia

    Funcionou perfeitamente.

    Muito obrigado.

    Agora preciso que as duas redes possam se comunicar atraves do TS ( porta 3389).

    Como que ficaria a regra no firewall?


    Desde ja agradeco sua atencao.

  4. #4

    Padrão Re: Open VPN - ROTAS

    Adicione no seu script de firewall da matriz:
    iptables -t nat -A POSTROUTING ! -d 172.18.21.0/24 -j MASQUERADE
    ( este comando evita que o nat quando o destino de pacotes for a filial )
    No filial coloque:
    iptables -t nat -A POSTROUTING ! -d 172.18.20.0/24 -j MASQUERADE
    ( este comando evita que o nat quando o destino de pacotes for a matriz )

    No script de firewall da matriz e da filial acrescente tambem:
    iptables -A INPUT -i tun+ -j ACCEPT
    ( este comando ira permitir todo trafego de entrada e saida entre as partes da VPN).

    Com isto acho que o seu problema de TS sera resolvido.



  5. #5

    Padrão Re: Open VPN - ROTAS

    Coloquei as alteracoes que voce sugeriu e nao funcionou.

    Gostaria que entre matriz e filial ficasse liberado o acesso tanto, por TS como por SSH... etc... que nao houvesse nenhum tipo de bloqueio entre a filial e a matriz e vice-versa

    Alterei a faixa de IP para 172.18.0.0/24 para que caso acrescente + uma filial nao preciso add uma nova faixa de ip nesse range. Fica correto ?

    EX: matriz 172.18.20.0
    Filial1 172.18.21.0
    Filial2 172.18.22.0
    Filal3 172.18.23.0
    ..............

    Segue a configuracao do meu firewal que é o mesmo da filial mudando apenas a faixa de ip.


    Código bash:
    ## INDICAR O INICIO/REINICIO DO FIREWALL
    case $1 in
    start|restart)
    echo "Firewall - "
    ## VARIAVEIS DAS PLACAS DE REDE
    NET=eth0
    RLOCAL=eth1
    REDE="172.18.0.0/24"
    VPN='10.0.0.0/24'
    ## CARREGAR MODULOS
    modprobe ip_tables
    modprobe iptable_nat
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    ## LIMPAR REGRAS ANTERIORES
    iptables -F
    iptables -t nat -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle
     
    # DEFINIR POLITICA PADRAO (NEGAR TUDO)
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    ## COMPARTILHAR CONEXAO DE INTERNET
    ## IP DINAMICO
    iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
    ## ATIVAR ROTEAMENTO
    echo "1" > /proc/sys/net/ipv4/ip_forward
    ## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    ### Aceita entrada DNS ###
    iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT
    ## LIBERAR/BLOQUEAR A REDE LOCAL
    iptables -A INPUT -s 172.18.0.0/24 -j ACCEPT
    ####################Protege contra pacotes danificados
    #Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    ### VPN 
    iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A OUTPUT -o tun+ -j ACCEPT
    #IP 200.241.32.197
    iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.197 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
    iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT
    #IP 201.49.164.105
    iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 201.49.164.105 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
    iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT
    ## Download 8081
    iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
    iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT
    iptables -A OUTPUT -o $NET -p TCP --dport 8090 -j ACCEPT
    ### Libera trafego ping rede externa ###
    iptables -A INPUT -i $NET -p icmp -j ACCEPT
    iptables -A OUTPUT -o $NET -p icmp -j ACCEPT 
    iptables -A FORWARD -o $NET -p icmp -j ACCEPT 
     
    ### Libera trafego ping rede interna ###
    iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
    iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT 
    iptables -A FORWARD -o $RLOCAL -p icmp -j ACCEPT
    ## Servidor de E-mail SMTP (25) POP3 (110)##
    iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
    iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT
    ## Servidor TS
    iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j LOG
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT
    ##Porta 8080
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 8080 -j ACCEPT
    ## Servidor SSH 22
    iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT
    ## Servidor VPN 5200
    iptables -A FORWARD -o $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A FORWARD -o $RLOCAL -p UDP --dport 5200 -j ACCEPT
    ### Entrada Rede Interna ###
    ## Protocolo UDP entrada ##
    iptables -A INPUT -i $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT 
    ## Protocolo TCP entrada ##
    iptables -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT 
     
    ## Protocolo UDP saida ##
    iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT 
     
    ## Protocolo TCP saida ##
    iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT 
    # LIBERAR A PORTA 3128 
    iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    ## Estabilizar conexoes
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    #Se nao entrar em nenhuma regra acima rejeita tudo!
    iptables -A INPUT -i $NET -p tcp --syn -j DROP
    #Fechar todas as portas abaixo de 32000
    iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP
     
    ;;
    stop)
    echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."
     
    ;;
    *)
    echo "Digite start, restart ou stop para ativar/reativar/desativar"
    exit 1
    ;;
    esac

    Att.

    Leandr0
    Última edição por osmano807; 23-12-2010 às 14:58.

  6. #6

    Padrão Re: Open VPN - ROTAS

    use o nmap para ver se ta open o servico



  7. #7

    Padrão Re: Open VPN - ROTAS

    Para adicionar mais de uma filial colocar no openvpn.conf:
    # Rede da filial 1
    route 172.18.21.0 255.255.255.0
    # Rede da filial 2
    route 172.18.22.0 255.255.255.0
    # Rede da filial 3
    route 172.18.23.0 255.255.255.0

    No diretorio /etc/openvpn/ccd
    arquivo com o nome filial1 contendo
    iroute 172.18.21.0 255.255.255.0
    arquivo com o nome filial2 contendo
    iroute 172.18.22.0 255.255.255.0
    arquivo com o nome filial3 contendo
    iroute 172.18.23.0 255.255.255.0

    *Criar os certificados para a filial1, filial2, e filial3 usando o nome de entidade de cada certificado diferente pois este nome eh que sera usado no diretorio /etc/openvpn/ccd

    No script de firewall corrigir as linhas:
    REDE="172.18.0.0/24" para REDE="172.18.0.0/16"

    iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
    para
    iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE

    ptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A OUTPUT -o tun+ -j ACCEPT
    para
    ptables -I INPUT -i tun0 -j ACCEPT
    iptables -I FORWARD -i tun0 -j ACCEPT
    iptables -I OUTPUT -o tun0 -j ACCEPT
    Isto assumindo que a interface do tunel seja a tun0, caso contrario colocar a interface do tunel.

  8. #8

    Padrão Re: Open VPN - ROTAS

    Amaia

    BOm dia!

    Antes de ver suas sugestoes eu tinha trocado a seguinte config no firewall:

    ### VPN

    iptables -A INPUT -i $NET -p UDP --dport 5200 -j ACCEPT
    iptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A OUTPUT -o tun+ -j ACCEPT

    para

    iptables -A FORWARD -o tun+ -j ACCEPT

    e funcionou perfeitamente......


    Qual a diferenca em fazer as alteracoes que vc sugeriu?

    No script de firewall corrigir as linhas:
    REDE="172.18.0.0/24" para REDE="172.18.0.0/16"

    iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
    para
    iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE

    ptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT
    iptables -A OUTPUT -o tun+ -j ACCEPT
    para
    ptables -I INPUT -i tun0 -j ACCEPT
    iptables -I FORWARD -i tun0 -j ACCEPT
    iptables -I OUTPUT -o tun0 -j ACCEPT


    Em relacao a rede que fiquei com a seguinte duvida...

    REDE="172.18.0.0/24" para REDE="172.18.0.0/16"

    Pq essa alteracao??


    Quanto a ingresso de novas filiais entendi perfeitamente.


    Obrigado!!!
    Última edição por sowbra; 24-12-2010 às 11:58.



  9. #9

    Padrão Re: Open VPN - ROTAS

    Com esta definicao:
    REDE
    ="172.18.0.0/24"
    Vc esta dizendo que a rede vai de 172.18.0.0 ate 172.18.0.255, sendo o 172.18.0.0 network e 172.18.0.255 o broadcast

    Usando REDE="172.18.0.0/16"
    Vc esta dizendo que a rede vai de 172.18.0.0 ate 172.18.255.255, sendo o 172.18.0.0 network e 172.18.255.255 o broadcast

    No comando abaixo:
    iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE
    Pode ser interpretado da seguinte maneira:
    faca o mascaramento de saida na interface $NET que nao seja destinada a algum endereco da $REDE

    Sobre as regras do iptables usando:
    iptables -A para iptables -I
    eh que iptables -A adiciona a regra abaixo da ultima regra
    iptables -I adiciona a regra antes da primeira regra, ou seja no caso a regra para interface tun0 seria a primeira regra fazendo com que tudo que chegasse por esta regra fosse aceita de imediato.

    No caso da chain FORWARD eh preciso tanto regra de entrada como regra de saida
    iptables -A FORWARD -o tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT

  10. #10

    Padrão Re: Open VPN - ROTAS

    Amaia

    Resumindo essas suas consideções melhoraria a performance da rede?

    iptables -t nat -A POSTROUTING -o $NET ! -d $REDE -j MASQUERADE


    iptables -I INPUT -i tun0 -j ACCEPT
    iptables -I FORWARD -i tun0 -j ACCEPT
    iptables -I OUTPUT -o tun0 -j ACCEPT



  11. #11

    Padrão Re: Open VPN - ROTAS

    Neste caso nao, para melhorar o trafego entre matriz e filiais vc precisaria fazer traffic shappinp ou QoS.

    Segue exemplo de script para QoS, neste caso uso este script para priorizar o trafego para o meu servidor Voip.

    #!/bin/bash
    tc qdisc del dev eth1 root
    tc qdisc add dev eth1 root handle 1: prio priomap 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 0
    tc qdisc add dev eth1 parent 1:1 handle 10: sfq limit 3000
    tc qdisc add dev eth1 parent 1:2 handle 20: sfq
    tc qdisc add dev eth1 parent 1:3 handle 30: sfq

    tc filter add dev eth1 protocol ip parent 1: prio 1 u32 match ip dst 172.18.0.0/16 flowid 1:1
    tc filter add dev eth1 protocol ip parent 1: prio 1 u32 match ip src 172.18.0.0/16 flowid 1:1

    *A fonte do script foi um forum sobre o asterisk, mas nao me lembro bem qual foi.

  12. #12

    Padrão Re: Open VPN - ROTAS

    Blz.

    Vo da um olhada em alguns tutoriais sobre Qos.

    Uma ultima duvida para poder dar o topico como resolvido.

    a conexao com a filial ta funcionando blzinha.

    ao tentar acessar a vpn por um note book utilizando o OPENVPN GUI v1.03

    conecta blz porem aparece a seguinte msg.


    Sat Dec 25 15:38:57 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
    Sat Dec 25 15:38:57 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Sat Dec 25 15:39:05 2010 LZO compression initialized
    Sat Dec 25 15:39:06 2010 UDPv4 link local (bound): [undef]:5200
    Sat Dec 25 15:39:06 2010 UDPv4 link remote: 189.53.35.78:5200
    Sat Dec 25 15:39:06 2010 [Firewall] Peer Connection Initiated with 189.53.35.78:5200
    Sat Dec 25 15:39:07 2010 Options error: Unrecognized option or missing parameter(s) in [PUSH-OPTIONS]:3: topology (2.0.9)
    Sat Dec 25 15:39:07 2010 TAP-WIN32 device [Conexão local 2] opened: \\.\Global\{97DFA957-F1B3-4CA8-A62B-D491CD4B4299}.tap
    Sat Dec 25 15:39:07 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.14/255.255.255.252 on interface {97DFA957-F1B3-4CA8-A62B-D491CD4B4299} [DHCP-serv: 10.0.0.13, lease-time: 31536000]
    Sat Dec 25 15:39:07 2010 Successful ARP Flush on interface [3] {97DFA957-F1B3-4CA8-A62B-D491CD4B4299}
    Sat Dec 25 15:39:11 2010 Initialization Sequence Completed

    _______________________________________________________________

    Utilizei aquela configuracao de rota (/etc/openvpn/ccd) apenas para a filial para as chaves q o pessoal utiliza em notebooks nao.

    Ou o correto é criar uma para cada chave?



  13. #13

    Padrão Re: Open VPN - ROTAS

    Atualizei a versao OPENVPN Gui para OpenVPN 2.1.4 do cliente (windows XP): e o problema foi resolvido

    Sun Dec 26 13:34:47 2010 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
    Sun Dec 26 13:34:47 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
    Sun Dec 26 13:34:47 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Sun Dec 26 13:35:02 2010 LZO compression initialized
    Sun Dec 26 13:35:02 2010 UDPv4 link local (bound): [undef]:5200
    Sun Dec 26 13:35:02 2010 UDPv4 link remote: 189.53.35.17:5200
    Sun Dec 26 13:35:02 2010 [Firewall] Peer Connection Initiated with 189.59.35.157:5200
    Sun Dec 26 13:35:04 2010 TAP-WIN32 device [Conexão local 3] opened: \\.\Global\{E37D4E02-7D7A-4146-BB9A-313292728060}.tap
    Sun Dec 26 13:35:04 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.0.0.18/255.255.255.252 on interface {E37D4E02-7D7A-4146-BB9A-313292728060} [DHCP-serv: 10.0.0.17, lease-time: 31536000]
    Sun Dec 26 13:35:04 2010 Successful ARP Flush on interface [3] {E37D4E02-7D7A-4146-BB9A-313292728060}
    Sun Dec 26 13:35:09 2010 Initialization Sequence Completed

    Porem essas duas msgs me chamaram a atenção!!!!!!

  14. #14

    Padrão Re: Open VPN - ROTAS

    Sun Dec 26 13:34:47 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.

    Para resolver essa msg de aviso, add no arquivo de config. do cliente:

    remote-cert-tls server