Introdução e configuração do servidor
O SSH normalmente é usado com a principal finalidade que é o acesso remoto, porém, com esta poderosa ferramenta, há mais coisas que podem ser feitas, uma delas é criar túneis encriptados temporários e uma VPN real.
Neste artigo irei abordar como configurar seu servidor SSH para rodar como um servidor VPN para conexão ponto a ponto. Não se trata de um configuração trabalhosa. O túnel que será criado irá utilizar a interface TUN/TAP, nos exemplos utilizaremos a TAP para estabelecer a conexão entre cliente e servidor Chega de papo e vamos à prática!!!! O primeiro passo é editar o arquivo “/etc/ssh/sshd_config” no servidor (você pode usar o próprio SSH para acessar e depois editar o arquivo), adicionando a linha abaixo no arquivo: PermitTunnel yes
É necessário também que a linha “PermitRootLogin = yes” esteja presente, já que, por segurança, apenas o ‘root’ pode criar a VPN. Se você não quer permitir logins como ‘root’ devido à questão da segurança, uma opção é combiná-la com a linha “PermitRootLogin = forced- commands-only”, como em: PermitRootLogin = yes
PermitRootLogin = forced-commands-only Ela torna o acesso como ‘root’ um pouco mais restritivo, pois permite apenas o uso do ‘root’ para a execução de comandos (como o que usaremos para criar o túnel) e não para login direto. Depois de feitas as alterações, reinicie o servidor SSH para que as alterações entrem em vigor. Reinicie o servidor com o comando: # /etc/init.d/ssh restart Após configurar o servidor e reiniciar o mesmo, seu servidor estará rodando o SSH e pronto para estabelecer a conexão VPN pelo protocolo de criptografia do SSH. Caso apareça algum erro, pode ser que a versão do SSH que você utiliza seja mais antiga, pois o SSH só tem este recurso a partir da versão 4.3. Neste caso, recomendo que instalar a versão mais nova pelo gerenciador de pacotes ou, baixando e instalando manualmente, para então poder proceder com a configuração e conexão da VPN. Os erros que podem aparecer, caso seu SSH esteja com uma versão anterior à ‘4.3’, são:
|
|
Estabelecendo a conexão – Túnel ponto a ponto
Depois de realizar a configuração no servidor, é hora de estabelecer a conexão com o mesmo e começar a usar sua VPN.
Logado como ‘root’ (no cliente), digite no terminal o comando abaixo: # ssh -f -w 0:0 -o Tunnel=ethernet [email protected] ifconfig tap0 10.5.5.1 netmask 255.255.255.0 Obs.: É necessário digitar usando o usuário ‘root’, pois só ele tem poder administrativo para gerar o dispositivo virtual no servidor e no cliente. A autenticação realizada vai seguir a configurada no servidor, pode ser através da senha do ‘root’ ou através das chaves de autenticação ( o que é mais seguro). Caso digite o comando sem o usuário ‘root’ ter permissão de se logar via SSH (configuração feita no “/etc/ssh/sshd_config” na primeira página), provavelmente um erro como o mostrado abaixo será retornado:
Caso apareça este outro erro descrito abaixo, significa que, ou o SSH do servidor não está usando uma versão mais antiga ou a opção ‘PermitTunnel’ está desabilitada:
Explicação das opções usadas:
Após executar o comando no cliente e não ter gerado algum erro como comentado no inicio da página, logue no servidor como ‘root’ e execute o comando: # ifconfig E veja que a interface ‘tap0’ foi criada:
Observe que foi criado até um MAC para a interface virtual. Agora é hora de configurar a interface ‘tap0’ do cliente que ainda não foi ativada. Para isto, execute no terminal como ‘root’: # ifconfig tap0 10.5.5.2 netmask 255.255.255.0 up Teste, usando o ping: # ping -c 3 10.5..5.1 |
|
Definindo rotas
Todo o trabalho até então, foi apenas para estabelecer a conexão do cliente com servidor permitindo a comunicação entre ambos.
Porém, para que implantar uma VPN na rede, se não conseguir se comunicar com os outros ‘hosts’ da rede? Como este não é o propósito do artigo, então vamos adicionar rotas para fazer com que o cliente se conecte aos ‘hosts’ da rede do servidor. No servidor, execute os comandos abaixo para fazer o roteamento usando o ‘root’: # echo 1 > /proc/sys/net/ipv4/ip_forward Explicação: O primeiro comando faz com que o redirecionamento de pacotes seja ativado no servidor, permitindo que os pacotes do cliente seja redirecionado para os outros ‘hosts’ da rede e vice-versa. O segundo comando faz com que todo tráfego vindo do cliente seja mascarado, neste caso estou supondo que a interface ‘eth0’ seja a interface conectada à rede local do servidor. No cliente, ative uma rota para a rede do local do servidor: # route add -net 192.168.222.0 netmask 255.255.255.0 gw 10.5.5.1 dev tap0 No comando acima, o ‘192.168.222.0’ indica a faixa de endereços usada na rede local do servidor. O ‘255.255.255.0’ indica a máscara, e o ‘10.5.5.1’ indica o endereço da interface ‘tap0’ do servidor. Com isso, o cliente passa a encaminhar todas as tentativas de acesso a endereços dentro da faixa especificada para o servidor (usando a interface ‘tap0’), e o servidor as encaminha para a interface de rede local. ConclusãoEsta é uma forma de utilizar uma VPN usando o SSH como ferramenta principal e bastante segura. |