+ Responder ao Tópico



  1. #1
    cantisan
    Visitante

    Padrão OpenVPN

    Instalei o OpenVPN no meu firewall, mas percebi que todo o trafego que roda entre o meu FW e o meu cliente está liberado mesmo não tendo permitido nada no iptables, existe alguma particularidade com relação a usar um tundriver (interface) e permissionamento no iptables ?

  2. #2
    gmlinux
    Visitante

    Padrão Re: OpenVPN

    Citação Postado originalmente por cantisan
    Instalei o OpenVPN no meu firewall, mas percebi que todo o trafego que roda entre o meu FW e o meu cliente está liberado mesmo não tendo permitido nada no iptables, existe alguma particularidade com relação a usar um tundriver (interface) e permissionamento no iptables ?
    Seguinte olha o fragmento deste exemplo:
    http://openvpn.sourceforge.net/20notes.html#examples


    # "dev tun" will create a routed IP tunnel,
    # "dev tap" will create an ethernet tunnel.
    # Use "dev tap" if you are ethernet bridging.
    # If you want to control access policies
    # over the VPN, you must create firewall
    # rules for the the TUN/TAP interface.
    # On non-Windows systems, you can give
    # an explicit unit number, such as tun0.
    # On Windows, use "dev-node" for this.
    ;dev tap
    dev tun

  3. #3

    Padrão OpenVPN

    VPN serve para justamente isto, abrir todas as portas atraves de qualquer firewall, suas regras estao direcionadas na ethx e nao na conexao vpn, faça regras para a conexao vpn tambem!

  4. #4
    gmlinux
    Visitante

    Padrão OpenVPN

    Citação Postado originalmente por Pirigoso
    VPN serve para justamente isto, abrir todas as portas atraves de qualquer firewall, suas regras estao direcionadas na ethx e nao na conexao vpn, faça regras para a conexao vpn tambem!
    Estranho heim, VPN serve para criar um "túnel" seguro para interligar 2 redes (máquinas), "abrir todas as portas atraves de qualquer firewall" ?

  5. #5

    Padrão OpenVPN

    Citação Postado originalmente por gmlinux
    Citação Postado originalmente por Pirigoso
    VPN serve para justamente isto, abrir todas as portas atraves de qualquer firewall, suas regras estao direcionadas na ethx e nao na conexao vpn, faça regras para a conexao vpn tambem!
    Estranho heim, VPN serve para criar um "túnel" seguro para interligar 2 redes (máquinas), "abrir todas as portas atraves de qualquer firewall" ?

    a sigla ja fala meu caro amigo

    Virtual Protocol Network, se ta duvidando experimenta ai, a maioria dos Firewall normalmente tem as portas de entrada bloqueadas e algumas de saidas bloqueadas tambem,

    digamos que 1% dos firewall do mundo tem as portas de saida bloqueada tambem onde a VPN não funciona Intão!


    vamos trabalhar nos 99%

    como acessar um usuario wireless se ele não tem porta de entrada, preciso seila de um SSH ou VNC ou qualquer outra porcaria sei la a porta 137 (ficar em rede) bem a resposta e simples! VPN(BACKDOOR) a diferenca e que ele vai contectar no meu servidor VPN e dai sim posso acessar qualquer porta dele num VNC ou 137 , mas isso nao pelo ip externo e ssim pelo IP que meu servidor VPN deu para ele ou ele especificou pois o servidor VPN tambem tem DHCP

    ou seja o servidor VPN vai gerar um IP Virtual Estatico ou Não para eu e o Cliente e por este IP virtual vou acessar a maquina dele, acessando todas as portas da maquina atraves de um tunel de uma porta so um chamado BackDooR! eu classificaria a VPN so que ao contrario ele se conecta no Sever!@


    mais alguma duvida caro amigo?

    Exemplo Real, uso o sistema com um ADSL ppoe(ip dinamico porem verdadeiro nada que o noip nao resolva) e a StarONE(SATELITE IP DHCP) e Wireless (IP ESTATICO)

  6. #6

    Padrão Virtual Private Network

    Virtual Private Network


    êsse é o nome real da coisa, que se encontra por aí. E que não abre backdoor algum, nem montões de portas e etc. A conexão é feixa ponto-a-ponto, em túnel criptografado, usando protocolos e serviços próprios. No caso do OpenVpn é solicitada a liberação da porta 500-udp para comunicação, portanto um firewall "bloqueia tudo" deve prever a liberação de passagem nessa porta de/para ip-address especificos. Como é feito o "encapsulamento" de conteúdo com "desencapsulamento" do outro lado, o "payload" pode ter qualquer coisa - não é verificado o conteúdo, é apenas criptografado/transferido/decriptografado, portanto o CONTEÚDO pode contemplar aplicativos com qualquer direcionamento de portas e serviços disponíveis.

    um link que pode ser esclarecedor: http://searchnetworking.techtarget.c...213324,00.html

  7. #7

    Padrão OpenVPN

    irado vc so trabalha com linux VPN SEVER, ja montou uma no pinguim? ja trabalhou com HArdware VPN? quantos tipo de servidor VPN vc ja teve contato ou experiência, deveria saber que a vpn vc tem todas as portas escancaradas se nao tratadas, o termo BackDoor vem da programação, de que outra forma vc acessaria uma maquina atras de um firewall?

  8. #8
    gmlinux
    Visitante

    Padrão OpenVPN

    Cuidado com o significado de VPN, o correto é como já dito, Virtual Private Network

    Use openvpn com autenticação por chave para ver, sem chance de rolar o caos que havia dito...

    Detalhe, uma vpn pode ser usada para interconectar duas redes através de 2 routers específicos que se autenticam, nestas circunstâncias, só se algum deles for comprometido...

    Uma outra situação seria permitir acesso de profissionais de campo, ,usando seus notebooks, se a chave de aurtenticação deles for comprometida, realmente zanga.

    No mais, sem comprometimento, não fica escancarado.

  9. #9
    cantisan
    Visitante

    Padrão VPN

    Senhores,

    Sera que o problema eh justamente no fato que para a VPN funcionar sou obrigado a liberar a porta UDP 5000, por onde o trafego passa ? Digo isto, pois meu FW bloqueia tudo por default, mas quando o pacote vem pela VPN qualquer servico interno esta permissionado, tendo feito apenas uma regra para liberar o udp.

  10. #10
    gmlinux
    Visitante

    Padrão Re: VPN

    Citação Postado originalmente por cantisan
    Senhores,

    Sera que o problema eh justamente no fato que para a VPN funcionar sou obrigado a liberar a porta UDP 5000, por onde o trafego passa ? Digo isto, pois meu FW bloqueia tudo por default, mas quando o pacote vem pela VPN qualquer servico interno esta permissionado, tendo feito apenas uma regra para liberar o udp.
    Seguinte, pela interface real externa, sua vpn vem "tunelizada" na porta 5000, certo, assim todos os protocolos que estão vindo por este tunel teram acesso a sua rede se vc possui regra apenas na interface real.

    Note que uma interface TUN é criada pelo openvpn, é por esta interface que os demais protocolos vindos pela vpn devem ser filtrados. Trate-a como uma outra interface normal.

  11. #11
    Visitante

    Padrão Re: VPN

    Citação Postado originalmente por gmlinux
    Citação Postado originalmente por cantisan
    Senhores,

    Sera que o problema eh justamente no fato que para a VPN funcionar sou obrigado a liberar a porta UDP 5000, por onde o trafego passa ? Digo isto, pois meu FW bloqueia tudo por default, mas quando o pacote vem pela VPN qualquer servico interno esta permissionado, tendo feito apenas uma regra para liberar o udp.
    Seguinte, pela interface real externa, sua vpn vem "tunelizada" na porta 5000, certo, assim todos os protocolos que estão vindo por este tunel teram acesso a sua rede se vc possui regra apenas na interface real.

    Note que uma interface TUN é criada pelo openvpn, é por esta interface que os demais protocolos vindos pela vpn devem ser filtrados. Trate-a como uma outra interface normal.



    GM FALOU antes la em cima
    Estranho heim, VPN serve para criar um "túnel" seguro para interligar 2 redes (máquinas), "abrir todas as portas atraves de qualquer firewall" ?

    cara estranho agora vc se contra dis no que fala, fez uns testes ai e viu o que rola numa interface VPN, e nem assume que vc estava errado e do mais posta um post deste que te contradis o que vc escreveu la em cima, que ilario veio, antes de fazer chacrinha com os outros faz isso ai mesmo o que vc fez, se nao tem certeza testa e depois da sua opinião, nuca fale algo que nao tenha certeza.

  12. #12
    gmlinux
    Visitante

    Padrão OpenVPN

    Caros, a VPN interliga 2 redes de forma segura, no sentido de criptografar o tráfego para terceiros, o estabelecimento do túnel se faz por meio de autenticação, normalmente usando PKI, ou seja, a rede do outro lado possui autorização para criar este túnel.

    No entanto, suponha que seja uma filial comunicando com a matriz, vc administra a filial, que garantia vc possui sobre a rede da matriz?
    Assim, pode-se controlar por meio de filtro o tráfego que venha da matriz, de forma a que um incidente de segurança por lá tenha um menor efeito sobre sua rede.

    Outra situação, empregados que trabalham em campo com seus notebooks, um filtro que permitisse acesso específico a aplicação que ele tenha que acessar remotamente, como por exemplo, um software de pedido e controle de estoque, os notebooks possuem a chave (autorização) necessária para criar a VPN, mais gostariamos que um extravio (ou uso indevído do filho do funcionário ) do notebook pudesse comprometer o mínimo a segurança de nossa rede, assim, novamente aplicamos filtros limitando sobre que aplicações/protocolos/máquinas estas VPNs terão acesso.

    Espero que eu tenha contribuido no esclarecimento do que é uma VPN, sobre o ponto de minha humilde opinião.
    Qualquer dúvida ou opinião, postem com argumentos objetivos para que possamos valorizar o nosso conhecimento.

  13. #13
    cantisan
    Visitante

    Padrão Vejam

    #Libera acesso a porta 5000 de fora para VPN
    $IPTABLES -A INPUT -j ACCEPT -p udp -s 0.0.0.0/0 -d $DNS_IP --dport $PORT_VPN

    #Autenticacao dos pacotes via TUN
    $IPTABLES -A INPUT -i tun+ -j ACCEPT
    $IPTABLES -A FORWARD -i tun+ -j ACCEPT
    $IPTABLES -A INPUT -i tap+ -j ACCEPT
    $IPTABLES -A FORWARD -i tap+ -j ACCEPT

    Fiz isto no meu cliente seguindo a recomendação, creio que assim tudo que passa pela vpn ta liberado, alguma sugestao ?

  14. #14

    Padrão OpenVPN

    Uma vez eu li no site da OpenVPN que voce SO pode explicitar regras usando um dos drivers, ou o TUN ou o TAP, se eu nao me engano eh o TAP... mas tem que ver la.

    eh como se fosse o TUN funciona como uma bridge eh o TAP como interface... mas so lendo isso la eu sempre esqueco. tem no FAQ deles.

    basta voce usar um dos drivers que voce possa criar regras para elas... eh isso

    nao briguem criancas, na realidade tudo depende de qual firewall voce esta utilizando e qual VPN