BRESIMAR(asaTek)-Insys-Nota Aplicação-04 Open VPN Server com EBW

Industrial Data Communication
Modelo EBW
NOTA DE APLICAÇÃO 04
Configuração do Router EBW como Servidor
Open VPN
BRESIMAR (asaTek)
Autor: Ernesto Afonso
e-mail: ernesto.afonso@bresimar.pt
I-NA04 (V1.0)
Outubro/2018

Bresimar - Sociedade de Equipamentos Eléctricos, Lda.
Quinta do Simão - EN109 – Esgueira
Apartado 3080
3801-101 Aveiro
PORTUGAL
Telf . +351 234 303 320
Telm . +351 939 992 222
Fax +351 234 303 328/9
e-mail bresimar@bresimar.pt

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Índice
1. INTRODUÇÃO ........................................................................................................... 2
2. O SERVIÇO DNS DINÂMICO .................................................................................. 4
2.1. O serviço FreeDNS ............................................................................................................................ 5
2.2. O serviço No-IP ................................................................................................................................. 8
2.3. O serviço Dynu ............................................................................................................................... 10
2.4. Considerações sobre os serviços DDNS ........................................................................................... 12
3. CONFIGURAÇÃO OPENVPN COM CHAVE ....................................................... 13
3.1. Configurações prévias dos routers.................................................................................................. 13
3.2. Configuração dos routers Servidor e Cliente ................................................................................... 14
3.3. Configuração de um Cliente em Windows ...................................................................................... 16
4. CONFIGURAÇÃO OPENVPN COM CERTIFICADO .......................................... 19
4.1. Gerar certificados e chaves públicas e privadas .............................................................................. 20
4.2. Configuração dos routers Servidor e Cliente ................................................................................... 23
4.3. Configuração do Cliente em Windows ............................................................................................ 24
5. OUTROS PROTOCOLOS DE SEGURANÇA ...................................................... 25
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 1 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
1. Introdução
Em geral, a comunicação de dados entre sistemas remotos necessita de recorrer aos serviços
disponibilizados pelas infraestruturas públicas de comunicação o que levanta problemas
quanto ao estabelecimento e manutenção da ligação e quanto à segurança e privacidade das
comunicações. Neste contexto, a Insys vem resolver esses dois problemas através dos seus
routers ao disponibilizar diferentes meios de comunicação (Ethernet, Wifi, dados móveis,
etc.) ao mesmo tempo que implementa os protocolos de segurança, necessários para o
estabelecimento de redes virtuais privadas (VPN).
Dada a sua universalidade, a Internet é o meio, por excelência, para a comunicação de dados
sendo, por isso, necessário enquadrar a comunicação dentro do protocolo TCP/IP. A
utilização deste protocolo pressupõe a existência de um endereço IP que pode ou não ser
fixo, constituindo este um dos problemas a ultrapassar. Um segundo problema a ultrapassar
está relacionado com a configuração dos routers EBW da Insys para estabelecimento de uma
ligação segura, utilizando o protocolo OpenVPN ou outro. Este protocolo tem uma
arquitetura cliente/servidor onde, no processo de ligação entre os vários dispositivos, tem
que existir quem desempenhe o papel de servidor e quem esteja configurado como cliente.
Adicionalmente, é necessário dispor de chaves de encriptação para colocar nos routers para
que a comunicação seja efetuada de forma segura.
Para ultrapassar estes problemas, a Insys propõe a utilização do serviço “Insys Connectivity”
que centraliza a gestão dos dispositivos e simplifica todo o processo de configuração,
conforme ilustra a Figura 1. Após a subscrição do serviço e registo dos equipamentos no
“Insys Connectivity”, obtém-se um ficheiro de configuração que tem que ser importado no
router e é tudo quanto o utilizador tem que fazer. Para uma utilização como, por exemplo, na
telemanutenção, este serviço tem vantagens significativas pelo facto de não acarretar custos
adicionais para além da aquisição do router, já que as duas primeiras licenças de utilização
do serviço são grátis. Para aplicações mais exigentes com vários routers interligados em
permanência, poderá já pesar na equação o custo da sua utilização já que é cobrado por
dispositivo e por ano.
Figura 1 – O serviço Insys Connectivity
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 2 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Esta Nota de Aplicação irá descrever os processos de configuração do protocolo OpenVPN
nos routers da Insys de modo a que não seja necessário recorrer ao serviço “Insys
Connectivity”. Para o efeito, vamos primeiro abordar os procedimentos de subscrição de
serviços de DNS dinâmico e respetiva configuração nos routers EBW. Posteriormente
iremos abordar a modo de configuração dos routers na arquitetura cliente/servidor utilizando
chave estática partilhada e também utilizando um certificado e chave pública/chave privada.
Neste último, iremos também descrever o processo de obtenção do certificado e das chaves
pública e privada. Por fim, iremos também abordar o processo de configuração de um PC em
Windows para aceder à rede OpenVPN.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 3 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
2. O serviço DNS dinâmico
Quando se faz a ligação de um qualquer dispositivo às redes de comunicação públicas, duas
coisas podem acontecer na atribuição do endereço IP do dispositivo: ou obtemos um
endereço IP fixo (normalmente é um serviço pago) ou obtemos um endereço IP variável só
válido enquanto a ligação estiver ativa.
Assim, se tivermos um endereço IP fixo podemos utilizá-lo diretamente na configuração do
routers pelo que, podemos passar diretamente para a configuração do OpenVPN (capítulos 3
ou 4).
A utilização de um endereço IP variável implica que, no processo de ligação, seja
implementada uma estratégia de determinação do endereço IP. A forma de resolver o
problema do endereço IP variável é a sua substituição por um nome (domain name) que,
este, será fixo. Para a transposição do nome para um endereço IP existe na rede um conjunto
alargado de servidores com essa função, os servidores de DNS (Domain Name System).
Estes servidores utilizam tabelas onde associam o nome ao endereço IP pelo que, quando se
tem o nome do dispositivo e se pretende saber qual o seu endereço IP, pergunta-se ao
servidor de DNS que nos retornará essa informação, caso ela exista, com base na sua tabela
interna, ou questionando outros servidores de DNS da rede, conforme ilustra a Figura 2.
Figura 2 – Como funciona o sistema de DNS [www.howstuffworks.com]
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 4 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Para que o sistema DNS funcione corretamente, é necessário, em primeiro lugar, criar um
nome para o dispositivo que esteja de acordo com as regras e, em segundo lugar, a
inserção/atualização desse nome e respetivo endereço IP nas tabelas dos servidores de DNS
para que eles, à posteriori, possam responder positivamente aos pedidos que lhe são feitos.
A atribuição de nomes de domínio e a sua gestão ao nível global é da responsabilidade da
entidade ICANN (https://www.icann.org/) tendo, em Portugal, sido atribuído à FCCN a
responsabilidade da gestão do domínio .pt. Normalmente o registo de domínio nestas
entidades tem um custo anual, no entanto existe a entidade Freenom
(http://www.freenom.com) que disponibiliza o registo gratuito nos domínios de topo
.tk/.ml/.ga/.cf/.gq.
Para além da questão da definição nome, existe também o problema da sua associação ao
endereço IP, problema esse que pode ser resolvido utilizando um serviço de “Dynamic
DNS” (DDNS). A contratação deste serviço tem também um custo anual havendo, de igual
modo, entidades que o disponibilizam de forma gratuita. Exemplos dessas entidades são o
FreeDNS, o No-IP e o Dynu. Muitas outras entidades disponibilizam o serviço de DDNS
mas, se não estiverem contempladas no firmware do router EBW da Insys, como é o caso do
No-IP e do Dynu, poderá haver dificuldade em colocá-los a funcionar corretamente.
2.1. O serviço FreeDNS
O FreeDNS (https://freedns.afraid.org/) iniciou atividade em 2001 com o objetivo de
disponibilizar, gratuitamente, um ambiente seguro de partilha, entre programadores, de
nomes de domínio. O serviço cresceu, quer em número de utilizadores, quer em
funcionalidades, oferecendo atualmente a possibilidade de registo de domínios e
subdomínios e também o serviço de Dynamic DNS. O serviço gratuito está limitado ao
registo de 5 subdomínios associados a domínios partilhados ou a 20 subdomínios associados
a domínios privados fornecidos pelo utilizador. Embora seja referido que, no serviço
gratuito, a atualização do endereço IP nos servidores de DNS possa demorar até uma hora,
constata-te que, pelos testes realizados, a atualização é também inferior a 1 minuto.
Para utilizar este serviço é necessário, em primeiro lugar, criar uma conta onde tem que
indicar o primeiro e último nome, o “UserID”, password e e-mail. Após o processo de
abertura de conta, receberá um e-mail onde é disponibilizado um link para ativação da conta.
Após o processo de registo e ativação da conta, caso tenha um domínio de topo do tipo
“meudominio.pt” (ou, por exemplo, um domínio criado no Freenom), pode registar esse
domínio no FreeDNS no separador “Domains”, conforme ilustra a Figura 3. A vantagem de
utilizar o próprio domínio é a de que se lhe pode associar gratuitamente até 20 subdomínios.
Segundo a filosofia do FreeDNS, os domínios aí registados são para partilha entre os
utilizadores do serviço pelo que, ao declarar o domínio como “public”, todos poderão
registar subdomínios nesse domínio. Se for declarado como “private” pode-se gerir os
subdomínios registados no seu domínio e/ou eliminá-los. O modo “Stealth” está reservado a
contas premium. De realçar que, ao criar o domínio, deve-se indicar como “Name Server” os
servidores ns1-ns4.afraid.org, conforme descrito na Figura 3.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 5 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
1.
3.
4.
2.
Figura 3 – Processo de registo de um domínio partilhado no FreeDNS.
1.
3.
2.
4.
Figura 4 – Processo de registo de um subdomínio no FreeDNS.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 6 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Para registar o subdomínio deve-se selecionar a opção “Subdomains” (1), conforme ilustra a
Figura 4. No registo do subdomínio deve-se selecionar o tipo A ou AAA consoante se trate
de um subdomínio IPv4 ou IPv6, respetivamente (3). O subdomínio a colocar será o
escolhido, desde que não esteja a ser usado. No campo “Domain” (3) será colocado o
domínio que foi registado previamente ou um dos domínios partilhados pelo FreeDNS. No
campo “Destination” (3) coloca-se inicialmente o endereço IP 1.1.1.1 para que, depois, se
possa facilmente detetar alterações do endereço IP pelo router. Para a configuração dos
routers da Insys foram criados dois subdomínios, “router-ins” e “cliente1-ins”, no domínio
“ignorelist.com”.
Por fim, depois de criar os subdomínios, falta obter o código “Hash” para configuração do
router. O código “Hash” é uma sequência de carateres semelhante a
“UFBxZU1YYWZoSnBtWmdDWk02cUF2WkkwOjE3ODY0ODkx” e que identifica o
utilizador e respetivo domínio junto dos servidores da FreeDNS. Para o obter, seleciona-se a
opção “DynamicDNS” (1) e depois “quick cron example” (2), o código “Hash” encontra-se
embutido no texto (3). Obtido o código “Hash”, abre-se a página web do router, acede-se ao
separador “Server services” e “Dyn. DNS update” (4) e, finalmente, coloca-se o código
“Hash” numa das linhas disponíveis (5), conforme ilustra a Figura 5.
1.
3.
2.
4.
5.
Figura 5 – Processo de obtenção do código Hash e configuração do Router.
6.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 7 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
2.2. O serviço No-IP
O No-IP (https://www.noip.com/) iniciou atividade em 1999 como fornecedor do serviço de
Dynamic DNS. Atualmente tem 25 milhões de utilizadores e dispõe de mais de 100
servidores espalhados pelo mundo para garantir um serviço rápido e sem falhas. O serviço
gratuito de DDNS está limitado ao registo de 3 subdomínios associados a um único domínio
partilhado e exige que, de 30 em 30 dias, a subscrição gratuita do serviço seja renovada. A
atualização do endereço IP nos servidores de DNS da No-IP também é rápido, comparável
ao do FreeDNS.
Para utilizar este serviço é necessário, em primeiro lugar, criar uma conta onde tem que se
indicar o e-mail e a password de acesso. Após o processo de abertura de conta, receberá um
e-mail onde é disponibilizado um link para ativação da conta. Depois da ativação da conta é
necessário aceder aos separadores “Conta” e “Informações da conta” com a finalidade de
indicar um “username” para a conta, conforme ilustra a Figura 6.
1. 2.
Figura 6 – Processo de alteração do username da conta no No-IP.
Após o processo de registo e configuração da conta, passa-se à fase de criar um subdomínio
para o router. Para o efeito, é necessário selecionar o separador “DNS Dinâmico” (1) e
depois o botão “Create Hostname” (2). Na janela de “Create a Hostname” deve-se inserir o
nome do subdomínio pretendido, por exemplo “router-ins”, escolher o domínio a utilizar de
entre uma lista de 30, no exemplo “ddns.net” (3), inserir o endereço IP e selecionar o botão
“Create Hostname”, conforme ilustra a Figura 7.
Após a obtenção do subdomínio no serviço No-IP, passa-se à configuração do router da
Insys. Para o efeito, seleciona-se o separador “Dyn. DNS update” (5) e coloca-se no “User
defined DynDNS Server” o endereço “dynupdate.no-ip.com”, no “Domain name” coloca-se
o subdomínio criado, o “router-ins.ddns.org”, o “user name” e “Password” são os da conta
criada no No-IP, conforme ilustra a Figura 7.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 8 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
1.
2.
3.
4.
5.
6.
Figura 7 – Processo de criação de um subdomínio no No-IP e configuração do Router.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 9 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
2.3. O serviço Dynu
O Dynu (https://www.dynu.com) iniciou atividade em 1997 como fornecedor do serviço de
Dynamic DNS. O serviço gratuito de DDNS está limitado ao registo de 4 domínios e de 4
subdomínios mas, ao contrário do No-IP, apresenta a vantagem do serviço gratuito não
expirar com o tempo. A atualização do endereço IP nos servidores de DNS da Dynu também
é rápido, comparável aos serviços apresentados anteriormente.
Tal como nos serviços anteriormente apresentados, para utilizar este serviço é necessário, em
primeiro lugar, criar uma conta onde se tem que indicar o primeiro e último nome, o
username a usar na conta, a password de acesso e o endereço de e-mail. Após o processo de
abertura de conta, também receberá um e-mail para ativação da conta. Depois da ativação da
conta é necessário aceder ao “Control Panel”, selecionar “DDNS Services”(1), adicionar um
novo domínio onde se coloca o “router-ins” no host e se seleciona um domínio de topo que
se pretende de entre os 16 sugeridos, conforme ilustra a Figura 8.
1. 2.
3.
4.
Figura 8 – Processo de criação de um subdomínio no Dynu.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 10 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Adicionalmente, é também necessário codificar a password de acesso ao servidor do Dynu.
Para o efeito, deve-se aceder ao “Network Tools” do menu ”Resources”, selecionar o serviço
“Hash” da página “Online Tools”, colocar a password de acesso ao Dynu na caixa branca,
gerar o código “Hash” da password selecionando uma das opções (MD5, SHA1, SHA256 ou
SHA512) e copiar o código “Hash” gerado para o campo password do serviço DDNS do
router EBW, conforme ilustra a Figura 9. Por fim, para completar a configuração do serviço
DDNS do router EBW coloca-se no “User defined DynDNS Server” o endereço
“api.dynu.com”, no “Domain name” o subdomínio criado, o “router-ins.freeddns.org”, no
“user name” o nome da conta de acesso ao Dynu e Ok no final para guardar a configuração.
Para testar se o serviço está a funcionar, faz-se um reset ao router (por exemplo, desligar e
voltar a ligar), aguarda-se que na página de entrada do router apareça a informação de qual o
endereço IP que lhe foi atribuído, depois consulta-se a página “Dynamic DNS Service” do
Dynu para conferir se a mudança de endereço IP foi devidamente comunicada e, por fim,
fazer “ping router-ins.freeddns.org” para conferir se está tudo está em conformidade.
1.
2.
3.
5.
4.
6.
Figura 9 – Codificação da password e configuração do router para o serviço do Dynu.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 11 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
2.4. Considerações sobre os serviços DDNS
Nos subcapítulos anteriores foram apresentados três processos de subscrever e configurar o
serviço de DNS dinâmico baseado em ofertas gratuitas. Estes serviços, apesar de gratuitos e
com limitações em termos de número subdomínios a registar, são perfeitamente funcionais e
adequados às necessidades de configuração do router EBW para operar como servidor de
VPN. Como veremos mais adiante, para configurar o Router EBW serão necessários, no
máximo, dois subdomínios, o que se enquadra perfeitamente na oferta gratuita.
No entanto, tratando-se de um serviço gratuito, não há garantias que, no futuro, as empresas
que os suportam lhes deem continuidade, pelo que, um router configurado com um destes
serviços corre sempre o risco de mais tarde deixar de funcionar. Por esse motivo, foram
apresentados três serviços diferentes e três formas diferentes de configuração para que, se
algum deles falhar, poder optar por outro ou poder recorrer a outro provedor do serviço que
tenha uma configuração semelhante.
No caso de se ter criado ou dispor de um domínio de topo, por exemplo
“router-ins.meudominio.pt”, o mesmo pode ser registado em dois provedores do serviço de
DDNS tendo como vantagem a possibilidade de configurar o router EBW para utilizar, em
simultâneo, o serviço FreeDNS e um outro, por exemplo o No-IP ou o Dynu, tendo, deste
modo, uma alternativa se um dos serviços falhar.
1.
2.
Figura 10 – Configuração de múltiplos servidores de DDNS.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 12 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
3. Configuração OpenVPN com chave
A configuração OpenVPN do router EBW para operação com chave estática gerada
localmente é um processo mais simples, em termos de configuração, mas mais limitado em
termos de funcionalidade. A principal limitação subjacente a este modo de operação resulta
do facto de só ser possível ligar à rede simultaneamente dois routers EBW, um a operar
como servidor e o outro como cliente, conforme ilustra a Figura 11.
172.16.2.x
10.1.0.2
82.3.12.32
5.81.34.56
10.1.0.1
172.16.1.x
172.16.2.1
client1-ins.ignorelist.com
172.16.1.1
router-ins.ignorelist.com
Figura 11 – Configuração Open VPN com chave estática.
3.1. Configurações prévias dos routers
A configuração OpenVPN para operação com chave estática implica que o endereço IP de
cada um dos routers EBW deva ser conhecido pelo outro. Assim, como normalmente os
endereços IP são atribuídos dinamicamente pelo operador de rede, é então necessário
configurar o serviço “Dynamic DNS” em cada um dos dispositivos e utilizar nas
configurações os nomes de domínio em vez dos endereços IP. Neste exemplo, conforme
ilustrado na Figura 11, os routers foram configurados com os nomes de domínio
“router-ins.ignorelist.com” e “client1-ins.ignorelist.com” utilizando o serviço FreeDNS,
conforme descrito no subcapítulo 2.1.
Para que exista a comunicação entre as redes Lan A e Lan Z do exemplo da Figura 11 é
também necessário definir qual é a gama de endereços que cada uma destas redes vai
assumir. No exemplo da Figura 11, a rede “Lan Z” ligada ao router Servidor irá utilizar a
gama de endereços 172.16.1.xxx e a “Lan A” ligada ao router cliente irá utilizar a gama de
endereços 172.16.2.xxx, em ambos os casos o “Netmask” deve ser 255.255.255.0. A
configuração destes endereços deve ser feita em cada um dos routers no separador “Ip
Adress (LAN)” do menu “Basic Settings”, conforme ilustra a Figura 12.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 13 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Server
Client
Figura 12 – Configuração dos endereços IP locais para o Servidor e Cliente.
3.2. Configuração dos routers Servidor e Cliente
Dependendo do modelo do router EBW (E100, L100, H100, W100 e WH100) pode-se ter
disponíveis ligações por rede Lan ou 3G/4. Em cada um destes tipos de rede, Lan (ext) ou
Dial-Out/Wan, é possível configurar o serviço OpenVPN, não podendo, no entanto, estar os
dois meios de comunicação ativos simultaneamente, conforme ilustra a Figura 13.
1.
1.
2.
2.
Figura 13 – Configuração OpenVPN para redes 3G/4G e Lan (ext).
Selecionando os separadores “OpenVPN server” e “OpenVPN client” podemos então aceder
à configuração dos routers EBW para criar a nossa rede privada virtual (VPN). No router
definido para operar como servidor deve-se escolher a opção “Activate OpenVPN server”, as
restantes configurações definidas por defeito podem ser mantidas desde que sejam
consistentes com as definições do router cliente. No router definido para operar como cliente
deve-se escolher a opção “Activate OpenVPN client” e indicar qual o endereço IP ou o nome
do domínio do servidor OpenVPN, as restantes configurações devem ser idênticas às
definidas no router servidor, conforme ilustra a Figura 14.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 14 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Figura 14 – Configuração OpenVPN em modo servidor e cliente – Parte 1.
A segunda parte da configuração OpenVPN implica a escolha, quer da parte do cliente, quer
da parte do servidor, da opção “No authentication or authentication with preshared key” (1).
Neste modo de funcionamento, a chave de encriptação das comunicações é estática e é
gerada localmente no router servidor ou no router cliente. Para que as comunicações se
processem corretamente é necessário que a chave de encriptação seja a mesma do lado
cliente e do lado servidor. Para o efeito, começando no servidor, é então necessário gerar a
chave através da opção “Generate a new static key” (2), aparecendo de imediato o símbolo
antes de “Preshared key avaiable”, de seguida selecionar o símbolo para gravar no
ficheiro “server_static.key” a chave gerada (3), conforme ilustra a Figura 15. No router
cliente deve-se proceder à importação da chave de encriptação gravada anteriormente através
da funcionalidade “Upload key or certificates” (4) e depois selecionar o botão “Ok - Confirm
all”. Após este processo deve aparecer também o símbolo do lado do router cliente (5).
De salientar que, dentro do ficheiro “server_static.key” está a chave que permite codificar e
descodificar as comunicações entre o servidor e o cliente pelo que se deve ter especial
cuidado com o seu acesso e partilha.
Terminado o processo de partilha da chave de encriptação entre servidor e cliente, é
necessário também, do lado do servidor indicar qual é o endereço IP ou o subdomínio do
router cliente, neste caso foi utilizado o nome “client1-ins.ignorelist.com” que havia sido
criado previamente através do serviço FreeDNS (ver subcapítulo 2.1). Adicionalmente, é
necessário também indicar os endereços IP local e remoto dentro do túnel VPN e entre
extremos da VPN, fazendo as devidas alterações para o router servidor e o router cliente,
conforme ilustra a Figura 15. Os endereços “IPv4 net address behind the tunnel” e “IPv4
netmask behind the tunnel” devem estar de acordo com o que foi configurado no
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 15 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
subcapítulo 3.1, Figura 12. No final da configuração, quer do lado do servidor, quer do lado
do cliente, não esquecer de selecionar o botão “Ok - Confirm all” para que as configurações
sejam guardadas de modo permanente.
OpenVPN server
1.
3.
2.
OpenVPN client
5.
4.
Figura 15 – Configuração OpenVPN em modo servidor e cliente – Parte 2.
3.3. Configuração de um Cliente em Windows
Na configuração apresentada na Figura 11, o router cliente pode ser substituído por um
computador que passa a desempenhar as funções de cliente na ligação à rede VPN e, desse
modo, a poder comunicar com os dispositivos que se encontram na “Lan Z”, conforme
ilustra a Figura 16. Assim, todo o trabalho de estabelecimento de comunicação e encriptação
de dados que estava a ser feito pelo router cliente passa a ser feito pelo PC.
OpenVPN
Server
PC Windows
Figura 16 – Configuração com um router EBW e um PC.
O OpenVPN é um do projeto iniciado pela empresa OpenVPN Inc. (https://openvpn.net/). O
projeto OpenVPN é distribuído em regime de código aberto segundo a licença GPL e é
inteiramente suportado pela comunidade online. O OpenVPN existe para os sistemas
operativos Windows, MacOs, IOs, Linux e Android. O software de instalação pode ser
descarregado diretamente do site da OpenVPN (https://openvpn.net/community-downloads/)
ou do site da Insys (https://256.insys-icom.com/icom/en/support-downloads/Driver).
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 16 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Figura 17 – Instalação do software OpenVPN para Windows.
OpenVPN
GUI
Ao instalar do OpenVPN é criada uma pasta para a aplicação OpenVPN dentro da diretoria
“Programas” no disco C:, é também incluída a pasta OpenVPN no menu “Iniciar” e criado o
ícone “OpenVPN GUI” na “Área de Trabalho”, conforme ilustra a Figura 17. Ao executar a
aplicação “OpenVPN GUI” é lançado um processo em segundo plano que fica acessível na
área de “Icones escondidos” da barra de tarefas do Windows. A partir desse processo em
segundo plano podem, então, ser desencadeadas as ligações aos sistemas VPN remotos que
tenham sido previamente configurados.
Para configurar uma ligação a um router EBW através do software da Open VPN é
necessário, em primeiro lugar, criar um ficheiro em texto com extensão .ovpn. Para criar este
ficheiro deve-se recorrer a um exemplo gerado pelo router EBW, no separador “OpenVPN
client” através da opção “Create sample configuration file for remote terminal”, conforme
ilustra a Figura 18.
Figura 18 – Exemplo de configuração para criar o ficheiro .ovpn.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 17 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Depois de gerar o exemplo e de o copiar para um editor de texto, deve-se proceder à
alteração das linhas 5, 6, 8, 27 e 28, conforme indicado na Figura 19. Depois de alterado,
deve-se gravar num ficheiro com o nome “PC_Cliente.ovpn”. Para que a configuração seja
assumida pelo OpenVPN, os ficheiros “PC_Cliente.ovpn” e o “server_static.key” devem ser
copiados para a pasta C:\Programas\OpenVPN\Config, conforme ilustra a Figura 19.
1.
2.
3.
4.
Figura 19 – Configurar e executar o OpenVPN noWindows.
Por fim, selecionado com o botão direito do rato sobre o ícone aparecerá o menu
“PC_Cliente” (4) que, depois de selecionada a opção “Connect”, abrirá uma caixa de diálogo
de estabelecimento de ligação com o router. Se a ligação for estabelecida com sucesso, o
ícone aparecerá a verde .
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 18 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
4. Configuração OpenVPN com certificado
Conforme referido anteriormente no capítulo 3, a configuração do router EBW para
operação com chave estática é limitado devido ao facto de só permitir simultaneamente a
ligação de dois dispositivos à rede, um a operar como servidor e o outro como cliente. Para
configurações de rede mais complexas, a solução apresentada no capítulo 3 é
manifestamente insuficiente pelo que se deve optar pela configuração com autenticação
baseada em certificados, conforme ilustra a Figura 20.
172.16.1.x
172.16.1.1
10.1.0.10
172.16.2.x
172.16.0.x
172.16.2.1
10.1.0.14
10.1.0.1
172.16.0.1
router-ins.ignorelist.com
172.16.3.x
172.16.3.1
10.1.0.18
Figura 20 – Configuração Open VPN com autenticação baseada em certificados.
Nesta configuração, vários “túneis VPN” podem ser estabelecidos entre os routers cliente e o
router servidor de modo a interligar através de VPN as várias redes. Assim, qualquer
comunicação que seja estabelecida entre dispositivos localizados em redes diferentes, por
exemplo, do dispositivo com o endereço 172.16.1.2 da Lan A para o dispositivo 172.16.2.2
da Lan B, implica várias etapas no processo de comunicação. No exemplo dado, o router
cliente1 ao receber um pacote que é dirigido à rede 172.16.2.x, portanto, fora da sua rede,
vai encriptar e encapsular esse pacote no protocolo OpenVPN e encaminhá-lo para o router
server através túnel VPN previamente estabelecido. O router server, por sua vez, vai
consultar a sua tabela de redes associadas aos túneis VPN e determina que deve
reencaminhar esse pacote para o router cliente2 através de um segundo túnel VPN, também
previamente estabelecido. O router cliente2, ao receber o pacote do server vai desencriptá-lo
e enviá-lo ao destinatário com o endereço 172.16.2.2.
Neste processo, para que a comunicação funcione corretamente é necessário proceder a
várias configurações dos routers cliente e servidor, nomeadamente, configurar a gama de
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 19 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
endereços a utilizar em cada Lan associada a um router, conforme está descrito no
subcapítulo 3.1, definir um nome e domínio para o router servidor e configurar o respetivo
serviço de DNS dinâmico, conforme está descrito no capítulo 2, definir o endereço IP do
túnel VPN para cada cliente, criar os certificados e chaves públicas e privadas a utilizar no
processo autenticação e encriptação das comunicações, conforme ilustra a Figura 20.
4.1. Gerar certificados e chaves públicas e privadas
O método de encriptação por chave pública/privada (PKI - Public Key Infrastructure)
resolve muitos dos problemas da criptografia por chave estática. Este método de encriptação
permite a ligação de vários clientes ao mesmo servidor onde o servidor e cada um dos
clientes possuem chaves separadas.
Uma configuração usando o método PKI de chaves assimétricas normalmente requer uma
autoridade de certificação (CA) externa que forneça as chaves públicas para autenticação e
encriptação, mas, como o OpenVPN é um sistema fechado, ou seja, que todos os
intervenientes são por nós configurados, então, pode ser usada a auto certificação
dispensando a entidade externa. Neste caso, a certificação fornecida por uma entidade
externa de certificação não oferece nenhum benefício adicional porque não tornará o túnel
VPN mais seguro e tem a desvantagem de ser necessário pagar pelos certificados. No
entanto, tal como no sistema de chaves estáticas, deve-se ter especial cuidado na forma como
e onde são guardadas as chaves e os certificados gerados para que não sejam
comprometidos. Como medida de proteção recomenda-se que os ficheiros com as chaves e
os certificados sejam guardados num ficheiro zip, protegido por password e num local que
não esteja acessível on-line, por exemplo, numa pen disk.
Para a obtenção dos os certificados e as chaves é necessário recorrer a software específico,
como por exemplo o Easy RSA ou o XCA (https://www.hohnstaedt.de/xca/). O Easy RSA é
distribuído com o OpenVPN sendo, no entanto, necessário selecionar a opção “EasyRSA2
Certificate Managment Scripts” no momento da instalação. A instalação do Easy RSA
consiste numa pasta de scripts com o nome “easy-rsa” que é criada na diretoria de instalação
do OpenVPN, conforme ilustra a Figura 21.
Figura 21 – Instalação do Easy RSA.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 20 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Para utilizar o Easy RSA deve-se começar por copiar a pasta easy-rsa para a área de trabalho
porque, no local onde é instalada (dentro da pasta “Programas”), as operações de alteração e
escrita de ficheiros são fortemente restringidas.
Para gerar os certificados e as chaves é necessário executar os seguintes passos:
1. Preparar o ficheiro “vars.bat” e a pasta de destino dos certificados e chaves;
2. Gerar o certificado e a chave CA;
3. Gerar o certificado e a chave para o servidor
4. Gerar o certificado e a chave para cada um dos clientes
Para executar o primeiro passo começa-se por abrir o “Explorador de ficheiros” na pasta do
easy-rsa anteriormente copiada, faz-se uma cópia do ficheiro “vars.bat.sample” para
“vars.bat” e depois edita-se esse ficheiro de acordo com a Figura 22.
set HOME= C:\Users\...\Desktop\easy-rsa
(...)
set KEY_DIR=Certificados
(...)
set KEY_COUNTRY=PT
set KEY_PROVINCE=AV
set KEY_CITY=Aveiro
set KEY_ORG=Bresimar
set KEY_EMAIL=bresimar@bresimar.pt
set KEY_CN=InsysKeyCN
set KEY_NAME=InsysKeyCA
set KEY_OU=InsysKeyOU
set PKCS11_MODULE_PATH=Certificados
set PKCS11_PIN=0000
Figura 22 – Alterações ao ficheiro “vars.bat”.
Por fim abre-se uma janela de “linha de comandos” (procurar por “cmd” no windows),
altera-se a pasta atual para a pasta “easy-rsa” da área de trabalho e executam-se os ficheiros
.bat “vars” e “clean-all”. Atenção que o comando “clean-all” apaga todos os ficheiros que
estão dentro da pasta “Certificados”, caso exista.
D:\> c:
C:\> cd \Users\...\Desktop\easy-rsa
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> clean-all
Figura 23 – Linha de comandos.
No segundo passo, para gerar a chave e o certificado CA, deve-se executar os seguintes
ficheiros Bat:
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> build-ca
(...)
Country Name (2 letter code) [PT]:
State or Province Name (full name) [AV]:
Locality Name (eg, city) [Aveiro]:
Organization Name (eg, company) [Bresimar]:
Organizational Unit Name (eg, section) [InsysKeyOU]:
Common Name (eg, your name or your server's hostname) [InsysKeyCN]:
Name [InsysKeyCA]:
Email Address [bresimar@bresimar.pt]:
Figura 24 – Criar a chave e o certificado CA.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 21 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
Dado que os parâmetros de configuração do CA já foram definidos no ficheiro “vars”, basta
aceitar todos parâmetros definidos por defeito.
No terceiro passo, para gerar a chave e o certificado do servidor, deve-se executar os
seguintes ficheiros .Bat:
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> build-key-server server
(...)
Common Name (eg, your name or your server's hostname) [InsysKeyCN]:server
(...)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Figura 25 – Criar a chave e o certificado para o servidor.
Em relação aos restantes parâmetros não indicados na Figura 25, devem ser aceites os
valores propostos por defeito que foram previamente configurados no ficheiro “vars”.
No quarto passo, para gerar a chave e o certificado para cada um dos clientes, deve-se
executar os seguintes ficheiros .Bat:
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> build-key client1
(...)
Common Name (eg, your name or your server's hostname) [InsysKeyCN]:client1
(...)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
(...)
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> build-key client2
(...)
Common Name (eg, your name or your server's hostname) [InsysKeyCN]:client2
(...)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
(...)
C:\Users\...\Desktop\easy-rsa> vars
C:\Users\...\Desktop\easy-rsa> build-key clientPC
(...)
Common Name (eg, your name or your server's hostname) [InsysKeyCN]:clientPC
(...)
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
Figura 26 – Criar a chave e o certificado para cada um dos clientes.
No final, na pasta “Certificados” deve-se encontrar a seguinte lista de ficheiros:
ca.crt e ca.key
server.crt, server.csr e server.key
client1.crt, client1.csr e client1.key
client2.crt, client2.csr e client2.key
client3.crt, client3.csr e client3.key
client4.crt, client4.csr e client4.key
(...)
clientPC.crt, clientPC.csr e clientPC.key
Figura 27 – Lista de ficheiros gerados pelo Easy RSA.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 22 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
4.2. Configuração dos routers Servidor e Cliente
A primeira parte da configuração do OpenVPN no servidor e nos clientes é idêntica ao que
foi descrito no subcapítulo 3.2, Figura 13 e Figura 14. De igual modo, no router definido
para operar como servidor deve-se escolher a opção “Activate OpenVPN server”. Nos
routers definidos como cliente deve-se escolher a opção “Activate OpenVPN client” e
indicar qual o endereço IP ou o nome do domínio do servidor OpenVPN, as restantes
configurações devem ser idênticas às definidas no router servidor.
A segunda parte da configuração OpenVPN implica a escolha, quer da parte dos clientes,
quer da parte do servidor, da opção “Authentication based on certificate” (1)(4), conforme
ilustra a Figura 28. Neste modo de funcionamento, é necessário importar para o servidor e
para cada um dos clientes, os ficheiros com os certificados e chaves privadas gerados
previamente. Para o efeito, começando no servidor, através do botão “Escolher Ficheiro”
seleciona-se o ficheiro “ca.crt” e depois pressiona-se o botão “Ok”, aparecendo de imediato
o símbolo antes de “CA certificate available”. Repetir o mesmo procedimento para os
ficheiros “Server.crt” e “Server.key” ficando as linhas “Certificate available” e “Private key
available” também com o símbolo . Do lado do cliente 1, deve-se importar os ficheiros
“ca.crt”, “Client1.crt” e “Client1.key” ficando as linhas “CA certificate available”,
“Certificate available” e “Private key available” com o símbolo . Para os restantes clientes
proceder de igual modo importando os respetivos certificados e chaves privadas.
OpenVPN server
1.
OpenVPN client
4.
2.
3.
Figura 28 – Configuração OpenVPN em modo servidor e cliente – Parte 2.
Terminado o processo importação dos certificados e chaves privadas no servidor e em cada
um dos clientes, já é possível estabelecer um túnel VPN entre o servidor e os clientes. No
entanto, para que os routers cliente possam comunicar entre si e com o servidor, deve-se
selecionar a opção “Allow communication between clientes” (2) e preencher a lista que
identifica todos os clientes ligados à rede. Assim, para registar um cliente na lista “Existing
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 23 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
routes to client networks” é necessário preencher o campo “Name in certificate” com o nome
atribuído ao certificado, indicar qual o endereço da rede cliente e respetiva máscara no
campo “IPv4 net address/netmask” e indicar qual o endereço IP do túnel VPN a atribuir a
esse cliente no campo “VPN IPv4 address”. Para o endereço IP do túnel VPN, só podem ser
atribuídos endereços terminados num múltiplo de 4 a partir do 10 (10+n*4), ou seja, 10, 14,
18, 22, 26, 30, 34 etc. Por fim, selecionar o botão “Ok – Confirm all” para validar esse
cliente na lista e repetir o procedimento para os restantes clientes (3), conforme ilustra a
Figura 28.
4.3. Configuração do Cliente em Windows
O processo de configuração de um cliente Windows para o OpenVPN é semelhante ao
descrito no subcapítulo 3.3. A diferença em relação ao processo descrito anteriormente
reside essencialmente no ficheiro .ovpn gerado que deve conter a indicação de quais são os
ficheiros de certificação (ca, cert e key). De igual modo, o ficheiro de configuração
“PC_Cliente.ovpn” em conjunto com os de certificação devem ser copiados para a pasta de
“config” do Open VPN, conforme ilustra a Figura 29.
Figura 29 – Configurar e executar o OpenVPN noWindows usando certificados.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 24 de 25

I-NA04 – Configuração do Router EBW como Servidor Open VPN
5. Outros protocolos de segurança
Os routers EBW da Insys disponibilizam, em alternativa ao OpenVPN, os protocolos IPsec e
PPTP.O protocolo PPTP (Point-to-Point Tunneling Protocol) é um dos protocolos mais
antigos, fácil de configurar e muito rápido. Por essa razão, o PPTP é ainda útil em aplicações
onde a velocidade é fundamental, como streaming de áudio ou vídeo e em dispositivos mais
antigos com processadores mais limitados. Em contrapartida, é um protocolo inseguro com
várias fragilidades conhecidas pelo que não se recomenda a sua utilização a menos que a
segurança das comunicações não seja essencial. O protocolo IPSec (IP Security Protocol) é
uma extensão do protocolo IP desenvolvida com o objetivo de acrescentar privacidade,
integridade e autenticidade às comunicações através de redes IP, tal como o Open VPN. Ao
contrário do Open VPN que opera da camada de transporte (4) até à camada de aplicação
(7), o IPSec opera sobre a camada de rede (3) podendo, por isso, ser usado para proteger os
protocolos TCP e UDP. O protocolo IPSec tem dois modos de funcionamento, o modo de
transporte e o modo de túnel. No modo transporte só o conteúdo útil do pacote é encriptado
mantendo-se os cabeçalhos do pacote IP intactos enquanto que no modo túnel todo o pacote
é encriptado e encapsulado num novo pacote IP. Os routers EBW da Insys trabalham no
modo túnel, conforme ilustra a Figura 30.
Figura 30 – Topologia de ligação do IPSec.
Sendo o IPSec um protocolo que opera ao nível da camada de rede, consequentemente, não
tem capacidade de reencaminhamento de pacotes pelo que, todas as ligações são
estabelecidas ponto a ponto, ao contrário do protocolo Open VPN que implementa uma
arquitetura cliente/servidor. Neste caso, para implementar uma rede com vários routers, seria
necessário estabelecer uma ligação em malha, conforme ilustra a Figura 31.
Figura 31 – Topologia de ligação em malha.
A configuração do IPSec nos routers EBW permite o estabelecimento de até 10 ligações
VPN pelo que podemos ter no máximo 11 routers ativos na rede ligados em malha. Neste
tipo de ligação deve-se ter também em conta que é necessário conhecer o endereço IP de
cada um dos intervenientes, ou seja, é necessário definir 11 subdomínios a atribuir a cada um
deles, o que pode ser um problema se forem utilizados alguns dos serviços gratuitos de
DDNS referidos no capítulo 2.
BRESIMAR (AsaTek/E. Afonso) V1.0 Pág. 25 de 25

Bresimar - Sociedade de Equipamentos Elétricos, Lda.
Quinta do Simão - EN109 - Esgueira
Apartado 3080
3801-101 Aveiro
PORTUGAL
Telf . +351 234 303 320
Telm . +351 939 992 222
Fax +351 234 303 328/9
e-mail bresimar@bresimar.pt