Professional Documents
Culture Documents
Muitas vezes as empresas possuem redundncia de link na matriz e uma conexo VPN com as filiais, mas geralmente os clientes da conexo apontam somente para o link principal, e quando este cai Sem VPN pra todo mundo!!! Diante de um questionamento sobre o assunto e de uma emergncia no trabalho, consegui com a ajuda de alguns blogs e do tradicional fumetro criar uma soluo para este problema. Cenrio: Matriz:
router mikrotik Link dedicado operadoraA Link dedicado operadoraB OpenVPN Server Filiais: router mikrotik link de internet OpenVPN client 1 . Duplicando o client da VPN Como j existe um client da VPN configurado vamos copiar a configurao para criar a redundncia: No menu PPP em interface d dois cliques no client que j est ativo e na janela que abrir clique em copy. Na cpia criada altere o nome da conexo, para nossa configurao utilizaremos os nome vpn-operadoraA para a conexo ao link principal da matriz e, vpnoperadoraB para a conexo ao link secundrio. Na configurao clonada (ativa-operadoraB), na aba Dial Out insira o IP do link secundrio da matriz. No se esqueam de alterar o nome da conexo que j existia, ele ser utilizado nos scripts. 2 . Criando os scripts No menu System selecione Scripts e clique em Add (+), altere os seguintes campos:
Name: ativa-operadoraA Source: interface ovpn-client disable vpn-operadoraB; interface ovpn-client enable vpn-operadoraA;
Clique em Add novamente e crie o segundo script com os parmetros:
Name: ativa-operadoraB Source: interface ovpn-client disable vpn-operadoraA; interface ovpn-client enable vpn-operadoraB;
Pronto, os scripts para ativar e desativar os clients da VPN esto configurados. No primeiro, ele desativa a interface de conexo com o link secundrio e ativa a conexo com o linkprincipal. No segundo ocorre o contrrio. Para testar basta selecionar e clicar em Run-script, observe no menu PPP se as interfaces responderam aos comandos. 3 . Programando os testes
Para testar a disponibilidade do link e alternar os clients da VPN utilizaremos o Netwatch, que baseado no resultado de um ping disparado a um determinado host ele executa as aes determinadas. No menu Tools, selecione Netwatch e clique em Add(+), preencha os seguintes campos: - Aba Host: Host: <ip do link principal da matriz> Interval: 00:00:10 (o ping ser disparado a cada 10 segundos) Timeout: 500 ms (tempo de inatividade para que os scripts sejam executados) - Aba Up: On Up: ativa-operadoraA (script que ativa a conexo com o link principal) - Aba Down: On Down: ativa-operadoraB (script que ativa a conexo com o link secundrio) Estas configuraes tambm podem ser adicionadas diretamente no console, para isso abra um terminal e digite o seguinte comando:
http://chokmahtech.blogspot.com.br/2009/01/redundncia-de-link-no-mikrotik.html
/ Certificado de importao de arquivo-name = server.crt / certificado de importao de arquivo-name = server.key Quando perguntado, fornecer a senha usada durante a criao do certificado. se, em seguida, fazer um print / certificado deve mostrar-lhe o certificado importado com uma bandeira KR prximo a ele, ou seja, decifrada com sucesso o certificado. 3. Criar um pool de IP para os usurios de VPN: / Piscina ip adicionar o nome = faixas ovpn-pool = 172.21.0.10-172.21.0.20 / profile ppp adicionar endereo local = 172.21.0.1 name = ovpn remote-address = ovpn-pool / ppp secret add name = user password = passagem perfil = ovpn service = ovpn / interface ovpn-server servidor set default-profile = ovpn enabled = yes mode = ethernet netmask = 24 exigem-client-certificado = nenhum certificado = cert1 substituir usurio e senha com suas credenciais de login. Voc pode usar qualquer faixa de IP, mas melhor usar uma raramente encontrei um que voc no tem conflitos de IP ao usar a VPN. 4. Configure o cliente: Copie o arquivo client.ovpn na pasta amostra-config no diretrio de instalao do OpenVPN para a pasta de configurao. Copie tambm o ca.crt voc criou anteriormente aqui. Abri-lo usando o Notepad + + ou qualquer outro editor de texto adequado. Nele escrever o seguinte: dev tap remoto seu-external-ip-address proto tcp-client tls-client ca ca.crt auth-user-pass puxar nobind persistem-chave resolv-retry infinito verbo 3 -segurana roteiro 2 sistema route-up "route add -LAN IP mscara 255.255.255.0 172.21.0.1 " auth-nocache que usa uma interface de ponte para ligar ao Mikrotik, e autenticar usando os detalhes de login criadas anteriormente.
sistema de segurana roteiro 2 usado para permitir que o comando route-se abaixo para empurrar com sucesso a rota padro para os clientes da tabela de roteamento quando ele se conecta . Alm disso, para que isso funcione voc ter que abrir o GUI OpenVPN como um administrador de cada vez. Se a rota default no manualmente ou automaticamente colocado no PC cliente, o VPN vai funcionar, mas ser praticamente intil como o computador no vai saber o que fazer com os pedidos para a sua LAN, do outro lado da VPN. Infelizmente, a aplicao no pode RouterOS empurrar as rotas sobre a VPN, por isso temos de recorrer ao mtodo acima (que funciona muito bem, ele tambm remove a rota aps a desconexo). 5. Isso muito bonito isso. Ele tambm funciona com verses portteis do OpenVPN, assim, tudo o que voc precisa de um usb com OpenVPN porttil nele, a configurao cliente eo arquivo ca.crt e voc est pronto para ir! Fontes: Mikrotik OpenVPN Wiki , Forum Mikrotik post, Serverfault Nota: Inicialmente, eu brinquei com certificados CAcert.org aps o Wiki. Eu no consegui faz-lo funcionar e, alm disso, mesmo depois de eu ter removido todos os certificados no Mikrotik que foram criados com o site CAcert.org e importados os easy-rsa, gostaria de obter um VERIFIQUE ERROR: profundidade = 0, erro = incapaz de obter o certificado do emissor local: / CN = my-domain depois de autenticar. Isto foi resolvido aps a reinicializao do Mikrotik que parece ter cancelado o valor que foi preso na memria.