BRESIMAR(asaTek)-Insys-Nota Aplicação-04 Open VPN Server com EBW
INSYS-iCom - Routers Industriais Nota de Aplicação Técnica 04- OpenVPN no EBW (1.0_2016) Da empresa BRESIMAR AUTOMAÇÃO (Aveiro / Portugal) Autoria: asaTek / Ernesto Afonso
INSYS-iCom - Routers Industriais
Nota de Aplicação Técnica 04- OpenVPN no EBW (1.0_2016)
Da empresa BRESIMAR AUTOMAÇÃO (Aveiro / Portugal)
Autoria: asaTek / Ernesto Afonso
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Industrial Data Communication<br />
Modelo <strong>EBW</strong><br />
NOTA DE APLICAÇÃO <strong>04</strong><br />
Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor<br />
<strong>Open</strong> <strong>VPN</strong><br />
<strong>BRESIMAR</strong> (<strong>asaTek</strong>)<br />
Autor: Ernesto Afonso<br />
e-mail: ernesto.afonso@bresimar.pt<br />
I-NA<strong>04</strong> (V1.0)<br />
Outubro/2018
Bresimar - Sociedade de Equipamentos Eléctricos, Lda.<br />
Quinta do Simão - EN109 – Esgueira<br />
Apartado 3080<br />
3801-101 Aveiro<br />
PORTUGAL<br />
Telf . +351 234 303 320<br />
Telm . +351 939 992 222<br />
Fax +351 234 303 328/9<br />
e-mail bresimar@bresimar.pt
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Índice<br />
1. INTRODUÇÃO ........................................................................................................... 2<br />
2. O SERVIÇO DNS DINÂMICO .................................................................................. 4<br />
2.1. O serviço FreeDNS ............................................................................................................................ 5<br />
2.2. O serviço No-IP ................................................................................................................................. 8<br />
2.3. O serviço Dynu ............................................................................................................................... 10<br />
2.4. Considerações sobre os serviços DDNS ........................................................................................... 12<br />
3. CONFIGURAÇÃO OPEN<strong>VPN</strong> COM CHAVE ....................................................... 13<br />
3.1. Configurações prévias dos routers.................................................................................................. 13<br />
3.2. Configuração dos routers Servidor e Cliente ................................................................................... 14<br />
3.3. Configuração de um Cliente em Windows ...................................................................................... 16<br />
4. CONFIGURAÇÃO OPEN<strong>VPN</strong> COM CERTIFICADO .......................................... 19<br />
4.1. Gerar certificados e chaves públicas e privadas .............................................................................. 20<br />
4.2. Configuração dos routers Servidor e Cliente ................................................................................... 23<br />
4.3. Configuração do Cliente em Windows ............................................................................................ 24<br />
5. OUTROS PROTOCOLOS DE SEGURANÇA ...................................................... 25<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 1 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
1. Introdução<br />
Em geral, a <strong>com</strong>unicação de dados entre sistemas remotos necessita de recorrer aos serviços<br />
disponibilizados pelas infraestruturas públicas de <strong>com</strong>unicação o que levanta problemas<br />
quanto ao estabelecimento e manutenção da ligação e quanto à segurança e privacidade das<br />
<strong>com</strong>unicações. Neste contexto, a <strong>Insys</strong> vem resolver esses dois problemas através dos seus<br />
routers ao disponibilizar diferentes meios de <strong>com</strong>unicação (Ethernet, Wifi, dados móveis,<br />
etc.) ao mesmo tempo que implementa os protocolos de segurança, necessários para o<br />
estabelecimento de redes virtuais privadas (<strong>VPN</strong>).<br />
Dada a sua universalidade, a Internet é o meio, por excelência, para a <strong>com</strong>unicação de dados<br />
sendo, por isso, necessário enquadrar a <strong>com</strong>unicação dentro do protocolo TCP/IP. A<br />
utilização deste protocolo pressupõe a existência de um endereço IP que pode ou não ser<br />
fixo, constituindo este um dos problemas a ultrapassar. Um segundo problema a ultrapassar<br />
está relacionado <strong>com</strong> a configuração dos routers <strong>EBW</strong> da <strong>Insys</strong> para estabelecimento de uma<br />
ligação segura, utilizando o protocolo <strong>Open</strong><strong>VPN</strong> ou outro. Este protocolo tem uma<br />
arquitetura cliente/servidor onde, no processo de ligação entre os vários dispositivos, tem<br />
que existir quem desempenhe o papel de servidor e quem esteja configurado <strong>com</strong>o cliente.<br />
Adicionalmente, é necessário dispor de chaves de encriptação para colocar nos routers para<br />
que a <strong>com</strong>unicação seja efetuada de forma segura.<br />
Para ultrapassar estes problemas, a <strong>Insys</strong> propõe a utilização do serviço “<strong>Insys</strong> Connectivity”<br />
que centraliza a gestão dos dispositivos e simplifica todo o processo de configuração,<br />
conforme ilustra a Figura 1. Após a subscrição do serviço e registo dos equipamentos no<br />
“<strong>Insys</strong> Connectivity”, obtém-se um ficheiro de configuração que tem que ser importado no<br />
router e é tudo quanto o utilizador tem que fazer. Para uma utilização <strong>com</strong>o, por exemplo, na<br />
telemanutenção, este serviço tem vantagens significativas pelo facto de não acarretar custos<br />
adicionais para além da aquisição do router, já que as duas primeiras licenças de utilização<br />
do serviço são grátis. Para aplicações mais exigentes <strong>com</strong> vários routers interligados em<br />
permanência, poderá já pesar na equação o custo da sua utilização já que é cobrado por<br />
dispositivo e por ano.<br />
Figura 1 – O serviço <strong>Insys</strong> Connectivity<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 2 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Esta <strong>Nota</strong> de <strong>Aplicação</strong> irá descrever os processos de configuração do protocolo <strong>Open</strong><strong>VPN</strong><br />
nos routers da <strong>Insys</strong> de modo a que não seja necessário recorrer ao serviço “<strong>Insys</strong><br />
Connectivity”. Para o efeito, vamos primeiro abordar os procedimentos de subscrição de<br />
serviços de DNS dinâmico e respetiva configuração nos routers <strong>EBW</strong>. Posteriormente<br />
iremos abordar a modo de configuração dos routers na arquitetura cliente/servidor utilizando<br />
chave estática partilhada e também utilizando um certificado e chave pública/chave privada.<br />
Neste último, iremos também descrever o processo de obtenção do certificado e das chaves<br />
pública e privada. Por fim, iremos também abordar o processo de configuração de um PC em<br />
Windows para aceder à rede <strong>Open</strong><strong>VPN</strong>.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 3 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
2. O serviço DNS dinâmico<br />
Quando se faz a ligação de um qualquer dispositivo às redes de <strong>com</strong>unicação públicas, duas<br />
coisas podem acontecer na atribuição do endereço IP do dispositivo: ou obtemos um<br />
endereço IP fixo (normalmente é um serviço pago) ou obtemos um endereço IP variável só<br />
válido enquanto a ligação estiver ativa.<br />
Assim, se tivermos um endereço IP fixo podemos utilizá-lo diretamente na configuração do<br />
routers pelo que, podemos passar diretamente para a configuração do <strong>Open</strong><strong>VPN</strong> (capítulos 3<br />
ou 4).<br />
A utilização de um endereço IP variável implica que, no processo de ligação, seja<br />
implementada uma estratégia de determinação do endereço IP. A forma de resolver o<br />
problema do endereço IP variável é a sua substituição por um nome (domain name) que,<br />
este, será fixo. Para a transposição do nome para um endereço IP existe na rede um conjunto<br />
alargado de servidores <strong>com</strong> essa função, os servidores de DNS (Domain Name System).<br />
Estes servidores utilizam tabelas onde associam o nome ao endereço IP pelo que, quando se<br />
tem o nome do dispositivo e se pretende saber qual o seu endereço IP, pergunta-se ao<br />
servidor de DNS que nos retornará essa informação, caso ela exista, <strong>com</strong> base na sua tabela<br />
interna, ou questionando outros servidores de DNS da rede, conforme ilustra a Figura 2.<br />
Figura 2 – Como funciona o sistema de DNS [www.howstuffworks.<strong>com</strong>]<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 4 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Para que o sistema DNS funcione corretamente, é necessário, em primeiro lugar, criar um<br />
nome para o dispositivo que esteja de acordo <strong>com</strong> as regras e, em segundo lugar, a<br />
inserção/atualização desse nome e respetivo endereço IP nas tabelas dos servidores de DNS<br />
para que eles, à posteriori, possam responder positivamente aos pedidos que lhe são feitos.<br />
A atribuição de nomes de domínio e a sua gestão ao nível global é da responsabilidade da<br />
entidade ICANN (https://www.icann.org/) tendo, em Portugal, sido atribuído à FCCN a<br />
responsabilidade da gestão do domínio .pt. Normalmente o registo de domínio nestas<br />
entidades tem um custo anual, no entanto existe a entidade Freenom<br />
(http://www.freenom.<strong>com</strong>) que disponibiliza o registo gratuito nos domínios de topo<br />
.tk/.ml/.ga/.cf/.gq.<br />
Para além da questão da definição nome, existe também o problema da sua associação ao<br />
endereço IP, problema esse que pode ser resolvido utilizando um serviço de “Dynamic<br />
DNS” (DDNS). A contratação deste serviço tem também um custo anual havendo, de igual<br />
modo, entidades que o disponibilizam de forma gratuita. Exemplos dessas entidades são o<br />
FreeDNS, o No-IP e o Dynu. Muitas outras entidades disponibilizam o serviço de DDNS<br />
mas, se não estiverem contempladas no firmware do router <strong>EBW</strong> da <strong>Insys</strong>, <strong>com</strong>o é o caso do<br />
No-IP e do Dynu, poderá haver dificuldade em colocá-los a funcionar corretamente.<br />
2.1. O serviço FreeDNS<br />
O FreeDNS (https://freedns.afraid.org/) iniciou atividade em 2001 <strong>com</strong> o objetivo de<br />
disponibilizar, gratuitamente, um ambiente seguro de partilha, entre programadores, de<br />
nomes de domínio. O serviço cresceu, quer em número de utilizadores, quer em<br />
funcionalidades, oferecendo atualmente a possibilidade de registo de domínios e<br />
subdomínios e também o serviço de Dynamic DNS. O serviço gratuito está limitado ao<br />
registo de 5 subdomínios associados a domínios partilhados ou a 20 subdomínios associados<br />
a domínios privados fornecidos pelo utilizador. Embora seja referido que, no serviço<br />
gratuito, a atualização do endereço IP nos servidores de DNS possa demorar até uma hora,<br />
constata-te que, pelos testes realizados, a atualização é também inferior a 1 minuto.<br />
Para utilizar este serviço é necessário, em primeiro lugar, criar uma conta onde tem que<br />
indicar o primeiro e último nome, o “UserID”, password e e-mail. Após o processo de<br />
abertura de conta, receberá um e-mail onde é disponibilizado um link para ativação da conta.<br />
Após o processo de registo e ativação da conta, caso tenha um domínio de topo do tipo<br />
“meudominio.pt” (ou, por exemplo, um domínio criado no Freenom), pode registar esse<br />
domínio no FreeDNS no separador “Domains”, conforme ilustra a Figura 3. A vantagem de<br />
utilizar o próprio domínio é a de que se lhe pode associar gratuitamente até 20 subdomínios.<br />
Segundo a filosofia do FreeDNS, os domínios aí registados são para partilha entre os<br />
utilizadores do serviço pelo que, ao declarar o domínio <strong>com</strong>o “public”, todos poderão<br />
registar subdomínios nesse domínio. Se for declarado <strong>com</strong>o “private” pode-se gerir os<br />
subdomínios registados no seu domínio e/ou eliminá-los. O modo “Stealth” está reservado a<br />
contas premium. De realçar que, ao criar o domínio, deve-se indicar <strong>com</strong>o “Name <strong>Server</strong>” os<br />
servidores ns1-ns4.afraid.org, conforme descrito na Figura 3.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 5 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
1.<br />
3.<br />
4.<br />
2.<br />
Figura 3 – Processo de registo de um domínio partilhado no FreeDNS.<br />
1.<br />
3.<br />
2.<br />
4.<br />
Figura 4 – Processo de registo de um subdomínio no FreeDNS.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 6 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Para registar o subdomínio deve-se selecionar a opção “Subdomains” (1), conforme ilustra a<br />
Figura 4. No registo do subdomínio deve-se selecionar o tipo A ou AAA consoante se trate<br />
de um subdomínio IPv4 ou IPv6, respetivamente (3). O subdomínio a colocar será o<br />
escolhido, desde que não esteja a ser usado. No campo “Domain” (3) será colocado o<br />
domínio que foi registado previamente ou um dos domínios partilhados pelo FreeDNS. No<br />
campo “Destination” (3) coloca-se inicialmente o endereço IP 1.1.1.1 para que, depois, se<br />
possa facilmente detetar alterações do endereço IP pelo router. Para a configuração dos<br />
routers da <strong>Insys</strong> foram criados dois subdomínios, “router-ins” e “cliente1-ins”, no domínio<br />
“ignorelist.<strong>com</strong>”.<br />
Por fim, depois de criar os subdomínios, falta obter o código “Hash” para configuração do<br />
router. O código “Hash” é uma sequência de carateres semelhante a<br />
“UFBxZU1YYWZoSnBtWmdDWk02cUF2WkkwOjE3ODY0ODkx” e que identifica o<br />
utilizador e respetivo domínio junto dos servidores da FreeDNS. Para o obter, seleciona-se a<br />
opção “DynamicDNS” (1) e depois “quick cron example” (2), o código “Hash” encontra-se<br />
embutido no texto (3). Obtido o código “Hash”, abre-se a página web do router, acede-se ao<br />
separador “<strong>Server</strong> services” e “Dyn. DNS update” (4) e, finalmente, coloca-se o código<br />
“Hash” numa das linhas disponíveis (5), conforme ilustra a Figura 5.<br />
1.<br />
3.<br />
2.<br />
4.<br />
5.<br />
Figura 5 – Processo de obtenção do código Hash e configuração do Router.<br />
6.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 7 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
2.2. O serviço No-IP<br />
O No-IP (https://www.noip.<strong>com</strong>/) iniciou atividade em 1999 <strong>com</strong>o fornecedor do serviço de<br />
Dynamic DNS. Atualmente tem 25 milhões de utilizadores e dispõe de mais de 100<br />
servidores espalhados pelo mundo para garantir um serviço rápido e sem falhas. O serviço<br />
gratuito de DDNS está limitado ao registo de 3 subdomínios associados a um único domínio<br />
partilhado e exige que, de 30 em 30 dias, a subscrição gratuita do serviço seja renovada. A<br />
atualização do endereço IP nos servidores de DNS da No-IP também é rápido, <strong>com</strong>parável<br />
ao do FreeDNS.<br />
Para utilizar este serviço é necessário, em primeiro lugar, criar uma conta onde tem que se<br />
indicar o e-mail e a password de acesso. Após o processo de abertura de conta, receberá um<br />
e-mail onde é disponibilizado um link para ativação da conta. Depois da ativação da conta é<br />
necessário aceder aos separadores “Conta” e “Informações da conta” <strong>com</strong> a finalidade de<br />
indicar um “username” para a conta, conforme ilustra a Figura 6.<br />
1. 2.<br />
Figura 6 – Processo de alteração do username da conta no No-IP.<br />
Após o processo de registo e configuração da conta, passa-se à fase de criar um subdomínio<br />
para o router. Para o efeito, é necessário selecionar o separador “DNS Dinâmico” (1) e<br />
depois o botão “Create Hostname” (2). Na janela de “Create a Hostname” deve-se inserir o<br />
nome do subdomínio pretendido, por exemplo “router-ins”, escolher o domínio a utilizar de<br />
entre uma lista de 30, no exemplo “ddns.net” (3), inserir o endereço IP e selecionar o botão<br />
“Create Hostname”, conforme ilustra a Figura 7.<br />
Após a obtenção do subdomínio no serviço No-IP, passa-se à configuração do router da<br />
<strong>Insys</strong>. Para o efeito, seleciona-se o separador “Dyn. DNS update” (5) e coloca-se no “User<br />
defined DynDNS <strong>Server</strong>” o endereço “dynupdate.no-ip.<strong>com</strong>”, no “Domain name” coloca-se<br />
o subdomínio criado, o “router-ins.ddns.org”, o “user name” e “Password” são os da conta<br />
criada no No-IP, conforme ilustra a Figura 7.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 8 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
1.<br />
2.<br />
3.<br />
4.<br />
5.<br />
6.<br />
Figura 7 – Processo de criação de um subdomínio no No-IP e configuração do Router.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 9 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
2.3. O serviço Dynu<br />
O Dynu (https://www.dynu.<strong>com</strong>) iniciou atividade em 1997 <strong>com</strong>o fornecedor do serviço de<br />
Dynamic DNS. O serviço gratuito de DDNS está limitado ao registo de 4 domínios e de 4<br />
subdomínios mas, ao contrário do No-IP, apresenta a vantagem do serviço gratuito não<br />
expirar <strong>com</strong> o tempo. A atualização do endereço IP nos servidores de DNS da Dynu também<br />
é rápido, <strong>com</strong>parável aos serviços apresentados anteriormente.<br />
Tal <strong>com</strong>o nos serviços anteriormente apresentados, para utilizar este serviço é necessário, em<br />
primeiro lugar, criar uma conta onde se tem que indicar o primeiro e último nome, o<br />
username a usar na conta, a password de acesso e o endereço de e-mail. Após o processo de<br />
abertura de conta, também receberá um e-mail para ativação da conta. Depois da ativação da<br />
conta é necessário aceder ao “Control Panel”, selecionar “DDNS Services”(1), adicionar um<br />
novo domínio onde se coloca o “router-ins” no host e se seleciona um domínio de topo que<br />
se pretende de entre os 16 sugeridos, conforme ilustra a Figura 8.<br />
1. 2.<br />
3.<br />
4.<br />
Figura 8 – Processo de criação de um subdomínio no Dynu.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 10 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Adicionalmente, é também necessário codificar a password de acesso ao servidor do Dynu.<br />
Para o efeito, deve-se aceder ao “Network Tools” do menu ”Resources”, selecionar o serviço<br />
“Hash” da página “Online Tools”, colocar a password de acesso ao Dynu na caixa branca,<br />
gerar o código “Hash” da password selecionando uma das opções (MD5, SHA1, SHA256 ou<br />
SHA512) e copiar o código “Hash” gerado para o campo password do serviço DDNS do<br />
router <strong>EBW</strong>, conforme ilustra a Figura 9. Por fim, para <strong>com</strong>pletar a configuração do serviço<br />
DDNS do router <strong>EBW</strong> coloca-se no “User defined DynDNS <strong>Server</strong>” o endereço<br />
“api.dynu.<strong>com</strong>”, no “Domain name” o subdomínio criado, o “router-ins.freeddns.org”, no<br />
“user name” o nome da conta de acesso ao Dynu e Ok no final para guardar a configuração.<br />
Para testar se o serviço está a funcionar, faz-se um reset ao router (por exemplo, desligar e<br />
voltar a ligar), aguarda-se que na página de entrada do router apareça a informação de qual o<br />
endereço IP que lhe foi atribuído, depois consulta-se a página “Dynamic DNS Service” do<br />
Dynu para conferir se a mudança de endereço IP foi devidamente <strong>com</strong>unicada e, por fim,<br />
fazer “ping router-ins.freeddns.org” para conferir se está tudo está em conformidade.<br />
1.<br />
2.<br />
3.<br />
5.<br />
4.<br />
6.<br />
Figura 9 – Codificação da password e configuração do router para o serviço do Dynu.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 11 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
2.4. Considerações sobre os serviços DDNS<br />
Nos subcapítulos anteriores foram apresentados três processos de subscrever e configurar o<br />
serviço de DNS dinâmico baseado em ofertas gratuitas. Estes serviços, apesar de gratuitos e<br />
<strong>com</strong> limitações em termos de número subdomínios a registar, são perfeitamente funcionais e<br />
adequados às necessidades de configuração do router <strong>EBW</strong> para operar <strong>com</strong>o servidor de<br />
<strong>VPN</strong>. Como veremos mais adiante, para configurar o Router <strong>EBW</strong> serão necessários, no<br />
máximo, dois subdomínios, o que se enquadra perfeitamente na oferta gratuita.<br />
No entanto, tratando-se de um serviço gratuito, não há garantias que, no futuro, as empresas<br />
que os suportam lhes deem continuidade, pelo que, um router configurado <strong>com</strong> um destes<br />
serviços corre sempre o risco de mais tarde deixar de funcionar. Por esse motivo, foram<br />
apresentados três serviços diferentes e três formas diferentes de configuração para que, se<br />
algum deles falhar, poder optar por outro ou poder recorrer a outro provedor do serviço que<br />
tenha uma configuração semelhante.<br />
No caso de se ter criado ou dispor de um domínio de topo, por exemplo<br />
“router-ins.meudominio.pt”, o mesmo pode ser registado em dois provedores do serviço de<br />
DDNS tendo <strong>com</strong>o vantagem a possibilidade de configurar o router <strong>EBW</strong> para utilizar, em<br />
simultâneo, o serviço FreeDNS e um outro, por exemplo o No-IP ou o Dynu, tendo, deste<br />
modo, uma alternativa se um dos serviços falhar.<br />
1.<br />
2.<br />
Figura 10 – Configuração de múltiplos servidores de DDNS.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 12 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
3. Configuração <strong>Open</strong><strong>VPN</strong> <strong>com</strong> chave<br />
A configuração <strong>Open</strong><strong>VPN</strong> do router <strong>EBW</strong> para operação <strong>com</strong> chave estática gerada<br />
localmente é um processo mais simples, em termos de configuração, mas mais limitado em<br />
termos de funcionalidade. A principal limitação subjacente a este modo de operação resulta<br />
do facto de só ser possível ligar à rede simultaneamente dois routers <strong>EBW</strong>, um a operar<br />
<strong>com</strong>o servidor e o outro <strong>com</strong>o cliente, conforme ilustra a Figura 11.<br />
172.16.2.x<br />
10.1.0.2<br />
82.3.12.32<br />
5.81.34.56<br />
10.1.0.1<br />
172.16.1.x<br />
172.16.2.1<br />
client1-ins.ignorelist.<strong>com</strong><br />
172.16.1.1<br />
router-ins.ignorelist.<strong>com</strong><br />
Figura 11 – Configuração <strong>Open</strong> <strong>VPN</strong> <strong>com</strong> chave estática.<br />
3.1. Configurações prévias dos routers<br />
A configuração <strong>Open</strong><strong>VPN</strong> para operação <strong>com</strong> chave estática implica que o endereço IP de<br />
cada um dos routers <strong>EBW</strong> deva ser conhecido pelo outro. Assim, <strong>com</strong>o normalmente os<br />
endereços IP são atribuídos dinamicamente pelo operador de rede, é então necessário<br />
configurar o serviço “Dynamic DNS” em cada um dos dispositivos e utilizar nas<br />
configurações os nomes de domínio em vez dos endereços IP. Neste exemplo, conforme<br />
ilustrado na Figura 11, os routers foram configurados <strong>com</strong> os nomes de domínio<br />
“router-ins.ignorelist.<strong>com</strong>” e “client1-ins.ignorelist.<strong>com</strong>” utilizando o serviço FreeDNS,<br />
conforme descrito no subcapítulo 2.1.<br />
Para que exista a <strong>com</strong>unicação entre as redes Lan A e Lan Z do exemplo da Figura 11 é<br />
também necessário definir qual é a gama de endereços que cada uma destas redes vai<br />
assumir. No exemplo da Figura 11, a rede “Lan Z” ligada ao router Servidor irá utilizar a<br />
gama de endereços 172.16.1.xxx e a “Lan A” ligada ao router cliente irá utilizar a gama de<br />
endereços 172.16.2.xxx, em ambos os casos o “Netmask” deve ser 255.255.255.0. A<br />
configuração destes endereços deve ser feita em cada um dos routers no separador “Ip<br />
Adress (LAN)” do menu “Basic Settings”, conforme ilustra a Figura 12.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 13 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
<strong>Server</strong><br />
Client<br />
Figura 12 – Configuração dos endereços IP locais para o Servidor e Cliente.<br />
3.2. Configuração dos routers Servidor e Cliente<br />
Dependendo do modelo do router <strong>EBW</strong> (E100, L100, H100, W100 e WH100) pode-se ter<br />
disponíveis ligações por rede Lan ou 3G/4. Em cada um destes tipos de rede, Lan (ext) ou<br />
Dial-Out/Wan, é possível configurar o serviço <strong>Open</strong><strong>VPN</strong>, não podendo, no entanto, estar os<br />
dois meios de <strong>com</strong>unicação ativos simultaneamente, conforme ilustra a Figura 13.<br />
1.<br />
1.<br />
2.<br />
2.<br />
Figura 13 – Configuração <strong>Open</strong><strong>VPN</strong> para redes 3G/4G e Lan (ext).<br />
Selecionando os separadores “<strong>Open</strong><strong>VPN</strong> server” e “<strong>Open</strong><strong>VPN</strong> client” podemos então aceder<br />
à configuração dos routers <strong>EBW</strong> para criar a nossa rede privada virtual (<strong>VPN</strong>). No router<br />
definido para operar <strong>com</strong>o servidor deve-se escolher a opção “Activate <strong>Open</strong><strong>VPN</strong> server”, as<br />
restantes configurações definidas por defeito podem ser mantidas desde que sejam<br />
consistentes <strong>com</strong> as definições do router cliente. No router definido para operar <strong>com</strong>o cliente<br />
deve-se escolher a opção “Activate <strong>Open</strong><strong>VPN</strong> client” e indicar qual o endereço IP ou o nome<br />
do domínio do servidor <strong>Open</strong><strong>VPN</strong>, as restantes configurações devem ser idênticas às<br />
definidas no router servidor, conforme ilustra a Figura 14.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 14 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Figura 14 – Configuração <strong>Open</strong><strong>VPN</strong> em modo servidor e cliente – Parte 1.<br />
A segunda parte da configuração <strong>Open</strong><strong>VPN</strong> implica a escolha, quer da parte do cliente, quer<br />
da parte do servidor, da opção “No authentication or authentication with preshared key” (1).<br />
Neste modo de funcionamento, a chave de encriptação das <strong>com</strong>unicações é estática e é<br />
gerada localmente no router servidor ou no router cliente. Para que as <strong>com</strong>unicações se<br />
processem corretamente é necessário que a chave de encriptação seja a mesma do lado<br />
cliente e do lado servidor. Para o efeito, <strong>com</strong>eçando no servidor, é então necessário gerar a<br />
chave através da opção “Generate a new static key” (2), aparecendo de imediato o símbolo<br />
antes de “Preshared key avaiable”, de seguida selecionar o símbolo para gravar no<br />
ficheiro “server_static.key” a chave gerada (3), conforme ilustra a Figura 15. No router<br />
cliente deve-se proceder à importação da chave de encriptação gravada anteriormente através<br />
da funcionalidade “Upload key or certificates” (4) e depois selecionar o botão “Ok - Confirm<br />
all”. Após este processo deve aparecer também o símbolo do lado do router cliente (5).<br />
De salientar que, dentro do ficheiro “server_static.key” está a chave que permite codificar e<br />
descodificar as <strong>com</strong>unicações entre o servidor e o cliente pelo que se deve ter especial<br />
cuidado <strong>com</strong> o seu acesso e partilha.<br />
Terminado o processo de partilha da chave de encriptação entre servidor e cliente, é<br />
necessário também, do lado do servidor indicar qual é o endereço IP ou o subdomínio do<br />
router cliente, neste caso foi utilizado o nome “client1-ins.ignorelist.<strong>com</strong>” que havia sido<br />
criado previamente através do serviço FreeDNS (ver subcapítulo 2.1). Adicionalmente, é<br />
necessário também indicar os endereços IP local e remoto dentro do túnel <strong>VPN</strong> e entre<br />
extremos da <strong>VPN</strong>, fazendo as devidas alterações para o router servidor e o router cliente,<br />
conforme ilustra a Figura 15. Os endereços “IPv4 net address behind the tunnel” e “IPv4<br />
netmask behind the tunnel” devem estar de acordo <strong>com</strong> o que foi configurado no<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 15 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
subcapítulo 3.1, Figura 12. No final da configuração, quer do lado do servidor, quer do lado<br />
do cliente, não esquecer de selecionar o botão “Ok - Confirm all” para que as configurações<br />
sejam guardadas de modo permanente.<br />
<strong>Open</strong><strong>VPN</strong> server<br />
1.<br />
3.<br />
2.<br />
<strong>Open</strong><strong>VPN</strong> client<br />
5.<br />
4.<br />
Figura 15 – Configuração <strong>Open</strong><strong>VPN</strong> em modo servidor e cliente – Parte 2.<br />
3.3. Configuração de um Cliente em Windows<br />
Na configuração apresentada na Figura 11, o router cliente pode ser substituído por um<br />
<strong>com</strong>putador que passa a desempenhar as funções de cliente na ligação à rede <strong>VPN</strong> e, desse<br />
modo, a poder <strong>com</strong>unicar <strong>com</strong> os dispositivos que se encontram na “Lan Z”, conforme<br />
ilustra a Figura 16. Assim, todo o trabalho de estabelecimento de <strong>com</strong>unicação e encriptação<br />
de dados que estava a ser feito pelo router cliente passa a ser feito pelo PC.<br />
<strong>Open</strong><strong>VPN</strong><br />
<strong>Server</strong><br />
PC Windows<br />
Figura 16 – Configuração <strong>com</strong> um router <strong>EBW</strong> e um PC.<br />
O <strong>Open</strong><strong>VPN</strong> é um do projeto iniciado pela empresa <strong>Open</strong><strong>VPN</strong> Inc. (https://openvpn.net/). O<br />
projeto <strong>Open</strong><strong>VPN</strong> é distribuído em regime de código aberto segundo a licença GPL e é<br />
inteiramente suportado pela <strong>com</strong>unidade online. O <strong>Open</strong><strong>VPN</strong> existe para os sistemas<br />
operativos Windows, MacOs, IOs, Linux e Android. O software de instalação pode ser<br />
descarregado diretamente do site da <strong>Open</strong><strong>VPN</strong> (https://openvpn.net/<strong>com</strong>munity-downloads/)<br />
ou do site da <strong>Insys</strong> (https://256.insys-i<strong>com</strong>.<strong>com</strong>/i<strong>com</strong>/en/support-downloads/Driver).<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 16 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Figura 17 – Instalação do software <strong>Open</strong><strong>VPN</strong> para Windows.<br />
<strong>Open</strong><strong>VPN</strong><br />
GUI<br />
Ao instalar do <strong>Open</strong><strong>VPN</strong> é criada uma pasta para a aplicação <strong>Open</strong><strong>VPN</strong> dentro da diretoria<br />
“Programas” no disco C:, é também incluída a pasta <strong>Open</strong><strong>VPN</strong> no menu “Iniciar” e criado o<br />
ícone “<strong>Open</strong><strong>VPN</strong> GUI” na “Área de Trabalho”, conforme ilustra a Figura 17. Ao executar a<br />
aplicação “<strong>Open</strong><strong>VPN</strong> GUI” é lançado um processo em segundo plano que fica acessível na<br />
área de “Icones escondidos” da barra de tarefas do Windows. A partir desse processo em<br />
segundo plano podem, então, ser desencadeadas as ligações aos sistemas <strong>VPN</strong> remotos que<br />
tenham sido previamente configurados.<br />
Para configurar uma ligação a um router <strong>EBW</strong> através do software da <strong>Open</strong> <strong>VPN</strong> é<br />
necessário, em primeiro lugar, criar um ficheiro em texto <strong>com</strong> extensão .ovpn. Para criar este<br />
ficheiro deve-se recorrer a um exemplo gerado pelo router <strong>EBW</strong>, no separador “<strong>Open</strong><strong>VPN</strong><br />
client” através da opção “Create sample configuration file for remote terminal”, conforme<br />
ilustra a Figura 18.<br />
Figura 18 – Exemplo de configuração para criar o ficheiro .ovpn.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 17 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Depois de gerar o exemplo e de o copiar para um editor de texto, deve-se proceder à<br />
alteração das linhas 5, 6, 8, 27 e 28, conforme indicado na Figura 19. Depois de alterado,<br />
deve-se gravar num ficheiro <strong>com</strong> o nome “PC_Cliente.ovpn”. Para que a configuração seja<br />
assumida pelo <strong>Open</strong><strong>VPN</strong>, os ficheiros “PC_Cliente.ovpn” e o “server_static.key” devem ser<br />
copiados para a pasta C:\Programas\<strong>Open</strong><strong>VPN</strong>\Config, conforme ilustra a Figura 19.<br />
1.<br />
2.<br />
3.<br />
4.<br />
Figura 19 – Configurar e executar o <strong>Open</strong><strong>VPN</strong> noWindows.<br />
Por fim, selecionado <strong>com</strong> o botão direito do rato sobre o ícone aparecerá o menu<br />
“PC_Cliente” (4) que, depois de selecionada a opção “Connect”, abrirá uma caixa de diálogo<br />
de estabelecimento de ligação <strong>com</strong> o router. Se a ligação for estabelecida <strong>com</strong> sucesso, o<br />
ícone aparecerá a verde .<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 18 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
4. Configuração <strong>Open</strong><strong>VPN</strong> <strong>com</strong> certificado<br />
Conforme referido anteriormente no capítulo 3, a configuração do router <strong>EBW</strong> para<br />
operação <strong>com</strong> chave estática é limitado devido ao facto de só permitir simultaneamente a<br />
ligação de dois dispositivos à rede, um a operar <strong>com</strong>o servidor e o outro <strong>com</strong>o cliente. Para<br />
configurações de rede mais <strong>com</strong>plexas, a solução apresentada no capítulo 3 é<br />
manifestamente insuficiente pelo que se deve optar pela configuração <strong>com</strong> autenticação<br />
baseada em certificados, conforme ilustra a Figura 20.<br />
172.16.1.x<br />
172.16.1.1<br />
10.1.0.10<br />
172.16.2.x<br />
172.16.0.x<br />
172.16.2.1<br />
10.1.0.14<br />
10.1.0.1<br />
172.16.0.1<br />
router-ins.ignorelist.<strong>com</strong><br />
172.16.3.x<br />
172.16.3.1<br />
10.1.0.18<br />
Figura 20 – Configuração <strong>Open</strong> <strong>VPN</strong> <strong>com</strong> autenticação baseada em certificados.<br />
Nesta configuração, vários “túneis <strong>VPN</strong>” podem ser estabelecidos entre os routers cliente e o<br />
router servidor de modo a interligar através de <strong>VPN</strong> as várias redes. Assim, qualquer<br />
<strong>com</strong>unicação que seja estabelecida entre dispositivos localizados em redes diferentes, por<br />
exemplo, do dispositivo <strong>com</strong> o endereço 172.16.1.2 da Lan A para o dispositivo 172.16.2.2<br />
da Lan B, implica várias etapas no processo de <strong>com</strong>unicação. No exemplo dado, o router<br />
cliente1 ao receber um pacote que é dirigido à rede 172.16.2.x, portanto, fora da sua rede,<br />
vai encriptar e encapsular esse pacote no protocolo <strong>Open</strong><strong>VPN</strong> e encaminhá-lo para o router<br />
server através túnel <strong>VPN</strong> previamente estabelecido. O router server, por sua vez, vai<br />
consultar a sua tabela de redes associadas aos túneis <strong>VPN</strong> e determina que deve<br />
reencaminhar esse pacote para o router cliente2 através de um segundo túnel <strong>VPN</strong>, também<br />
previamente estabelecido. O router cliente2, ao receber o pacote do server vai desencriptá-lo<br />
e enviá-lo ao destinatário <strong>com</strong> o endereço 172.16.2.2.<br />
Neste processo, para que a <strong>com</strong>unicação funcione corretamente é necessário proceder a<br />
várias configurações dos routers cliente e servidor, nomeadamente, configurar a gama de<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 19 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
endereços a utilizar em cada Lan associada a um router, conforme está descrito no<br />
subcapítulo 3.1, definir um nome e domínio para o router servidor e configurar o respetivo<br />
serviço de DNS dinâmico, conforme está descrito no capítulo 2, definir o endereço IP do<br />
túnel <strong>VPN</strong> para cada cliente, criar os certificados e chaves públicas e privadas a utilizar no<br />
processo autenticação e encriptação das <strong>com</strong>unicações, conforme ilustra a Figura 20.<br />
4.1. Gerar certificados e chaves públicas e privadas<br />
O método de encriptação por chave pública/privada (PKI - Public Key Infrastructure)<br />
resolve muitos dos problemas da criptografia por chave estática. Este método de encriptação<br />
permite a ligação de vários clientes ao mesmo servidor onde o servidor e cada um dos<br />
clientes possuem chaves separadas.<br />
Uma configuração usando o método PKI de chaves assimétricas normalmente requer uma<br />
autoridade de certificação (CA) externa que forneça as chaves públicas para autenticação e<br />
encriptação, mas, <strong>com</strong>o o <strong>Open</strong><strong>VPN</strong> é um sistema fechado, ou seja, que todos os<br />
intervenientes são por nós configurados, então, pode ser usada a auto certificação<br />
dispensando a entidade externa. Neste caso, a certificação fornecida por uma entidade<br />
externa de certificação não oferece nenhum benefício adicional porque não tornará o túnel<br />
<strong>VPN</strong> mais seguro e tem a desvantagem de ser necessário pagar pelos certificados. No<br />
entanto, tal <strong>com</strong>o no sistema de chaves estáticas, deve-se ter especial cuidado na forma <strong>com</strong>o<br />
e onde são guardadas as chaves e os certificados gerados para que não sejam<br />
<strong>com</strong>prometidos. Como medida de proteção re<strong>com</strong>enda-se que os ficheiros <strong>com</strong> as chaves e<br />
os certificados sejam guardados num ficheiro zip, protegido por password e num local que<br />
não esteja acessível on-line, por exemplo, numa pen disk.<br />
Para a obtenção dos os certificados e as chaves é necessário recorrer a software específico,<br />
<strong>com</strong>o por exemplo o Easy RSA ou o XCA (https://www.hohnstaedt.de/xca/). O Easy RSA é<br />
distribuído <strong>com</strong> o <strong>Open</strong><strong>VPN</strong> sendo, no entanto, necessário selecionar a opção “EasyRSA2<br />
Certificate Managment Scripts” no momento da instalação. A instalação do Easy RSA<br />
consiste numa pasta de scripts <strong>com</strong> o nome “easy-rsa” que é criada na diretoria de instalação<br />
do <strong>Open</strong><strong>VPN</strong>, conforme ilustra a Figura 21.<br />
Figura 21 – Instalação do Easy RSA.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 20 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Para utilizar o Easy RSA deve-se <strong>com</strong>eçar por copiar a pasta easy-rsa para a área de trabalho<br />
porque, no local onde é instalada (dentro da pasta “Programas”), as operações de alteração e<br />
escrita de ficheiros são fortemente restringidas.<br />
Para gerar os certificados e as chaves é necessário executar os seguintes passos:<br />
1. Preparar o ficheiro “vars.bat” e a pasta de destino dos certificados e chaves;<br />
2. Gerar o certificado e a chave CA;<br />
3. Gerar o certificado e a chave para o servidor<br />
4. Gerar o certificado e a chave para cada um dos clientes<br />
Para executar o primeiro passo <strong>com</strong>eça-se por abrir o “Explorador de ficheiros” na pasta do<br />
easy-rsa anteriormente copiada, faz-se uma cópia do ficheiro “vars.bat.sample” para<br />
“vars.bat” e depois edita-se esse ficheiro de acordo <strong>com</strong> a Figura 22.<br />
set HOME= C:\Users\...\Desktop\easy-rsa<br />
(...)<br />
set KEY_DIR=Certificados<br />
(...)<br />
set KEY_COUNTRY=PT<br />
set KEY_PROVINCE=AV<br />
set KEY_CITY=Aveiro<br />
set KEY_ORG=Bresimar<br />
set KEY_EMAIL=bresimar@bresimar.pt<br />
set KEY_CN=<strong>Insys</strong>KeyCN<br />
set KEY_NAME=<strong>Insys</strong>KeyCA<br />
set KEY_OU=<strong>Insys</strong>KeyOU<br />
set PKCS11_MODULE_PATH=Certificados<br />
set PKCS11_PIN=0000<br />
Figura 22 – Alterações ao ficheiro “vars.bat”.<br />
Por fim abre-se uma janela de “linha de <strong>com</strong>andos” (procurar por “cmd” no windows),<br />
altera-se a pasta atual para a pasta “easy-rsa” da área de trabalho e executam-se os ficheiros<br />
.bat “vars” e “clean-all”. Atenção que o <strong>com</strong>ando “clean-all” apaga todos os ficheiros que<br />
estão dentro da pasta “Certificados”, caso exista.<br />
D:\> c:<br />
C:\> cd \Users\...\Desktop\easy-rsa<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> clean-all<br />
Figura 23 – Linha de <strong>com</strong>andos.<br />
No segundo passo, para gerar a chave e o certificado CA, deve-se executar os seguintes<br />
ficheiros Bat:<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> build-ca<br />
(...)<br />
Country Name (2 letter code) [PT]:<br />
State or Province Name (full name) [AV]:<br />
Locality Name (eg, city) [Aveiro]:<br />
Organization Name (eg, <strong>com</strong>pany) [Bresimar]:<br />
Organizational Unit Name (eg, section) [<strong>Insys</strong>KeyOU]:<br />
Common Name (eg, your name or your server's hostname) [<strong>Insys</strong>KeyCN]:<br />
Name [<strong>Insys</strong>KeyCA]:<br />
Email Address [bresimar@bresimar.pt]:<br />
Figura 24 – Criar a chave e o certificado CA.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 21 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
Dado que os parâmetros de configuração do CA já foram definidos no ficheiro “vars”, basta<br />
aceitar todos parâmetros definidos por defeito.<br />
No terceiro passo, para gerar a chave e o certificado do servidor, deve-se executar os<br />
seguintes ficheiros .Bat:<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> build-key-server server<br />
(...)<br />
Common Name (eg, your name or your server's hostname) [<strong>Insys</strong>KeyCN]:server<br />
(...)<br />
Sign the certificate? [y/n]:y<br />
1 out of 1 certificate requests certified, <strong>com</strong>mit? [y/n]y<br />
Figura 25 – Criar a chave e o certificado para o servidor.<br />
Em relação aos restantes parâmetros não indicados na Figura 25, devem ser aceites os<br />
valores propostos por defeito que foram previamente configurados no ficheiro “vars”.<br />
No quarto passo, para gerar a chave e o certificado para cada um dos clientes, deve-se<br />
executar os seguintes ficheiros .Bat:<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> build-key client1<br />
(...)<br />
Common Name (eg, your name or your server's hostname) [<strong>Insys</strong>KeyCN]:client1<br />
(...)<br />
Sign the certificate? [y/n]:y<br />
1 out of 1 certificate requests certified, <strong>com</strong>mit? [y/n]y<br />
(...)<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> build-key client2<br />
(...)<br />
Common Name (eg, your name or your server's hostname) [<strong>Insys</strong>KeyCN]:client2<br />
(...)<br />
Sign the certificate? [y/n]:y<br />
1 out of 1 certificate requests certified, <strong>com</strong>mit? [y/n]y<br />
(...)<br />
C:\Users\...\Desktop\easy-rsa> vars<br />
C:\Users\...\Desktop\easy-rsa> build-key clientPC<br />
(...)<br />
Common Name (eg, your name or your server's hostname) [<strong>Insys</strong>KeyCN]:clientPC<br />
(...)<br />
Sign the certificate? [y/n]:y<br />
1 out of 1 certificate requests certified, <strong>com</strong>mit? [y/n]y<br />
Figura 26 – Criar a chave e o certificado para cada um dos clientes.<br />
No final, na pasta “Certificados” deve-se encontrar a seguinte lista de ficheiros:<br />
ca.crt e ca.key<br />
server.crt, server.csr e server.key<br />
client1.crt, client1.csr e client1.key<br />
client2.crt, client2.csr e client2.key<br />
client3.crt, client3.csr e client3.key<br />
client4.crt, client4.csr e client4.key<br />
(...)<br />
clientPC.crt, clientPC.csr e clientPC.key<br />
Figura 27 – Lista de ficheiros gerados pelo Easy RSA.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 22 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
4.2. Configuração dos routers Servidor e Cliente<br />
A primeira parte da configuração do <strong>Open</strong><strong>VPN</strong> no servidor e nos clientes é idêntica ao que<br />
foi descrito no subcapítulo 3.2, Figura 13 e Figura 14. De igual modo, no router definido<br />
para operar <strong>com</strong>o servidor deve-se escolher a opção “Activate <strong>Open</strong><strong>VPN</strong> server”. Nos<br />
routers definidos <strong>com</strong>o cliente deve-se escolher a opção “Activate <strong>Open</strong><strong>VPN</strong> client” e<br />
indicar qual o endereço IP ou o nome do domínio do servidor <strong>Open</strong><strong>VPN</strong>, as restantes<br />
configurações devem ser idênticas às definidas no router servidor.<br />
A segunda parte da configuração <strong>Open</strong><strong>VPN</strong> implica a escolha, quer da parte dos clientes,<br />
quer da parte do servidor, da opção “Authentication based on certificate” (1)(4), conforme<br />
ilustra a Figura 28. Neste modo de funcionamento, é necessário importar para o servidor e<br />
para cada um dos clientes, os ficheiros <strong>com</strong> os certificados e chaves privadas gerados<br />
previamente. Para o efeito, <strong>com</strong>eçando no servidor, através do botão “Escolher Ficheiro”<br />
seleciona-se o ficheiro “ca.crt” e depois pressiona-se o botão “Ok”, aparecendo de imediato<br />
o símbolo antes de “CA certificate available”. Repetir o mesmo procedimento para os<br />
ficheiros “<strong>Server</strong>.crt” e “<strong>Server</strong>.key” ficando as linhas “Certificate available” e “Private key<br />
available” também <strong>com</strong> o símbolo . Do lado do cliente 1, deve-se importar os ficheiros<br />
“ca.crt”, “Client1.crt” e “Client1.key” ficando as linhas “CA certificate available”,<br />
“Certificate available” e “Private key available” <strong>com</strong> o símbolo . Para os restantes clientes<br />
proceder de igual modo importando os respetivos certificados e chaves privadas.<br />
<strong>Open</strong><strong>VPN</strong> server<br />
1.<br />
<strong>Open</strong><strong>VPN</strong> client<br />
4.<br />
2.<br />
3.<br />
Figura 28 – Configuração <strong>Open</strong><strong>VPN</strong> em modo servidor e cliente – Parte 2.<br />
Terminado o processo importação dos certificados e chaves privadas no servidor e em cada<br />
um dos clientes, já é possível estabelecer um túnel <strong>VPN</strong> entre o servidor e os clientes. No<br />
entanto, para que os routers cliente possam <strong>com</strong>unicar entre si e <strong>com</strong> o servidor, deve-se<br />
selecionar a opção “Allow <strong>com</strong>munication between clientes” (2) e preencher a lista que<br />
identifica todos os clientes ligados à rede. Assim, para registar um cliente na lista “Existing<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 23 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
routes to client networks” é necessário preencher o campo “Name in certificate” <strong>com</strong> o nome<br />
atribuído ao certificado, indicar qual o endereço da rede cliente e respetiva máscara no<br />
campo “IPv4 net address/netmask” e indicar qual o endereço IP do túnel <strong>VPN</strong> a atribuir a<br />
esse cliente no campo “<strong>VPN</strong> IPv4 address”. Para o endereço IP do túnel <strong>VPN</strong>, só podem ser<br />
atribuídos endereços terminados num múltiplo de 4 a partir do 10 (10+n*4), ou seja, 10, 14,<br />
18, 22, 26, 30, 34 etc. Por fim, selecionar o botão “Ok – Confirm all” para validar esse<br />
cliente na lista e repetir o procedimento para os restantes clientes (3), conforme ilustra a<br />
Figura 28.<br />
4.3. Configuração do Cliente em Windows<br />
O processo de configuração de um cliente Windows para o <strong>Open</strong><strong>VPN</strong> é semelhante ao<br />
descrito no subcapítulo 3.3. A diferença em relação ao processo descrito anteriormente<br />
reside essencialmente no ficheiro .ovpn gerado que deve conter a indicação de quais são os<br />
ficheiros de certificação (ca, cert e key). De igual modo, o ficheiro de configuração<br />
“PC_Cliente.ovpn” em conjunto <strong>com</strong> os de certificação devem ser copiados para a pasta de<br />
“config” do <strong>Open</strong> <strong>VPN</strong>, conforme ilustra a Figura 29.<br />
Figura 29 – Configurar e executar o <strong>Open</strong><strong>VPN</strong> noWindows usando certificados.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 24 de 25
I-NA<strong>04</strong> – Configuração do Router <strong>EBW</strong> <strong>com</strong>o Servidor <strong>Open</strong> <strong>VPN</strong><br />
5. Outros protocolos de segurança<br />
Os routers <strong>EBW</strong> da <strong>Insys</strong> disponibilizam, em alternativa ao <strong>Open</strong><strong>VPN</strong>, os protocolos IPsec e<br />
PPTP.O protocolo PPTP (Point-to-Point Tunneling Protocol) é um dos protocolos mais<br />
antigos, fácil de configurar e muito rápido. Por essa razão, o PPTP é ainda útil em aplicações<br />
onde a velocidade é fundamental, <strong>com</strong>o streaming de áudio ou vídeo e em dispositivos mais<br />
antigos <strong>com</strong> processadores mais limitados. Em contrapartida, é um protocolo inseguro <strong>com</strong><br />
várias fragilidades conhecidas pelo que não se re<strong>com</strong>enda a sua utilização a menos que a<br />
segurança das <strong>com</strong>unicações não seja essencial. O protocolo IPSec (IP Security Protocol) é<br />
uma extensão do protocolo IP desenvolvida <strong>com</strong> o objetivo de acrescentar privacidade,<br />
integridade e autenticidade às <strong>com</strong>unicações através de redes IP, tal <strong>com</strong>o o <strong>Open</strong> <strong>VPN</strong>. Ao<br />
contrário do <strong>Open</strong> <strong>VPN</strong> que opera da camada de transporte (4) até à camada de aplicação<br />
(7), o IPSec opera sobre a camada de rede (3) podendo, por isso, ser usado para proteger os<br />
protocolos TCP e UDP. O protocolo IPSec tem dois modos de funcionamento, o modo de<br />
transporte e o modo de túnel. No modo transporte só o conteúdo útil do pacote é encriptado<br />
mantendo-se os cabeçalhos do pacote IP intactos enquanto que no modo túnel todo o pacote<br />
é encriptado e encapsulado num novo pacote IP. Os routers <strong>EBW</strong> da <strong>Insys</strong> trabalham no<br />
modo túnel, conforme ilustra a Figura 30.<br />
Figura 30 – Topologia de ligação do IPSec.<br />
Sendo o IPSec um protocolo que opera ao nível da camada de rede, consequentemente, não<br />
tem capacidade de reencaminhamento de pacotes pelo que, todas as ligações são<br />
estabelecidas ponto a ponto, ao contrário do protocolo <strong>Open</strong> <strong>VPN</strong> que implementa uma<br />
arquitetura cliente/servidor. Neste caso, para implementar uma rede <strong>com</strong> vários routers, seria<br />
necessário estabelecer uma ligação em malha, conforme ilustra a Figura 31.<br />
Figura 31 – Topologia de ligação em malha.<br />
A configuração do IPSec nos routers <strong>EBW</strong> permite o estabelecimento de até 10 ligações<br />
<strong>VPN</strong> pelo que podemos ter no máximo 11 routers ativos na rede ligados em malha. Neste<br />
tipo de ligação deve-se ter também em conta que é necessário conhecer o endereço IP de<br />
cada um dos intervenientes, ou seja, é necessário definir 11 subdomínios a atribuir a cada um<br />
deles, o que pode ser um problema se forem utilizados alguns dos serviços gratuitos de<br />
DDNS referidos no capítulo 2.<br />
<strong>BRESIMAR</strong> (AsaTek/E. Afonso) V1.0 Pág. 25 de 25
Bresimar - Sociedade de Equipamentos Elétricos, Lda.<br />
Quinta do Simão - EN109 - Esgueira<br />
Apartado 3080<br />
3801-101 Aveiro<br />
PORTUGAL<br />
Telf . +351 234 303 320<br />
Telm . +351 939 992 222<br />
Fax +351 234 303 328/9<br />
e-mail bresimar@bresimar.pt