Page 1 of 1

OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:09 am
by admin
Pode haver necessidade de reconfigurar o servidor ou alteração cíclica de certificados, pelo que nessas alturas tem que ser enviados aos utilizadores novos certificados para revogar os anteriores.

PARA WINDOWS - Método interface gráfica.

Sendo assim, para proceder à substituição de certificados devem-se descompactar os ficheiros para o local dos anteriores, substituindo-os a todos.
Para evitar problemas deverá eliminar os ficheiros antigos antes de colocar os novos, visto que os posteriores poderão ter diferentes "nomes" e com isso provocar confusão ou mesmo mau funcionamento.

Deve reiniciar o sistema, caso o OpenVPN esteja a correr sob Serviço ( automode ).
Por outro lado se estiver a trabalhar com o OpenVPN-GUI deve terminar e voltar a ligar para que os novos certificados entrem em acção.

Re: OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:09 am
by admin
Instruções para distribuições baseadas no RedHat - FedoraCore ...

*NOTA - AS LETRAS A CARREGADO SÃO OS COMANDOS DIGITADOS.

1 - Guardar o ficheiro ZIP num directorio à vossa escolha - que tenha permissões, evidente.
2 - Descomprimir o ficheiro, a primeira instrução - ls - serve para mostrar o conteúdo do directório - pelo menos temos a certeza que o ficheiro está lá...
[root@latrina temp]# ls
certificado.xpto.fercat.net.zip
[root@latrina temp]# unzip certificado.xpto.fercat.net.zip
Archive: certificado.xpto.fercat.net.zip
creating: fercat.net/
inflating: fercat.net/ta.key
inflating: fercat.net/fercat.net.ovpn
inflating: fercat.net/aspire.fercat.net.key
inflating: fercat.net/ca.crt
inflating: fercat.net/aspire.fercat.net.crt
[root@latrina temp]#
Como se vê em cima, o programa unzip foi descompactar os ficheiros, criando um directorio fercat.net - neste caso.
De seguida vamos apagar os ficheiros do certificado antigo.
Depois entramos no directório criado pelo zip e Vamos renomear o ficheiro fercat.net.ovpn para fercat.net.conf, visto que a
extensão .ovpn vai assim por defeito por causa de ser para o OpenVPN-GUI em windows. Uma vez alterado o nome do ficheiro, procedemos a mover os ficheiros para o local certo.
[root@latrina temp]# cd fercat.net
[root@latrina fercat.net]# mv fercat.net.ovpn fercat.net.conf
[root@latrina fercat.net]# rm -f /etc/openvpn/*
[root@latrina fercat.net]# mv * /etc/openvpn
Neste momento estão os ficheiros colocados no local correcto. Se tudo estiver em ordem podemos ver se eles na realidade foram lá parar.
Para isso primeiro fazemos um ls no directório actual:
[root@router fercat.net]# ls -la
total 8
drwxr-xr-x 2 root root 4096 Jun 16 22:34 .
drwxr-xr-x 3 root root 4096 Jun 16 22:22 ..
Como se vê os ficheiros já não existem - aparece somente o directório "." e ".." - que são o "actual" e o "anterior" respectivamente.
E vamos ver se eles se encontram no local certo - /etc/openvpn
[root@latrina fercat.net]# cd /etc/openvpn
[root@latrina fercat.net]# ls
aspire.fercat.net.crt aspire.fercat.net.key ca.crt fercat.net.ovpn ta.key
[root@latrina fercat.net]#
Como se pode observar, lá estão os nossos ficheiros.
Bom agora para terminar vamos reiniciar o processo OpenVPN - escusando-se de reiniciar o sistema :lol:

Ora mandamos parar o serviço e iniciar . Não usamos o restart pois dá barracada - ele encerra o interface antes da ligação...
[root@latrina fercat.net]# service openvpn stop
shutting down openvpn [ok]
[root@latrina fercat.net]# service openvpn start
starting openvpn [ok]
Se por algum motivo o ultimo deu erro ( failed ) então houve algum passo mal feito - para isso podem recomeçar de novo sem qualquer problema.

Para confirmação se o tunel está correcto podem ver o seu IP atribuido - passados alguns segundos do start...
O INETADDR deve começar com 172.16.3.xxx , Tome-se atenção ao 3.
Após o periodo de transição de 1 mes este IP volta ao original .2. automaticamente pelo sistema.

Re: OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:11 am
by admin
ALTERAÇÃO CERTIFICADOS 2011

1 -> Abrir o ficheiro ZIP com o conteúdo do certificado;
2 -> Abrir uma janela do explorador ( ex. O meu computador )
3 -> Ir para o local de programas (Program files nas versões em Inglês) -> OpenVPN -> CONFIG
4 -> ELIMINAR TODOS OS FICHEIROS DENTRO DESTE DIRECTÓRIO - CONFIG ! ATENÇÃO: NÃO eliminar o directório config mas sim todo o seu conteúdo.
5 -> Descompactar do ficheiro ZIP TODOS os ficheiros para dentro do directório CONFIG (em alguns casos, por exemplo com o WinRAR, pode-se arrastar os ficheiros como se mostra na ilustração do primeiro post);
6 -> Reiniciar o serviço ... ou melhor - reiniciar o computador.



Incluir suporte IPV6 no windows XP:
Executar numa linha de comandos, como administrador:

Code: Select all

ipv6 install
Como garantir confidencialidade dos dados pela rede WIFI:

Nos dispositivos de rede (configuração das interfaces na parte lógica):
No ambiente de trabalho -> "Os meus locais de rede" -> Propriedades
OU a partir do painel de controlo -> Ligações de rede
Serão mostradas as interfaces instaladas no sistema (no meu caso tenho estas):

Re: OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:13 am
by admin
Seguidamente deverá identificar qual é a placa de rede QUE UTILIZA PARA A REDE FÍSICA, normalmente é a "Ligação área local" com a interface física anexa abaixo do nome da rede - para isso terá que ter conhecimento efectivo do que está a fazer - nessa pede-se as propriedades e desactivam-se os protocolos não necessários: (Vão 2 printscreen porque o Windows XP não lista todos sem fazer o scroll):

Re: OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:15 am
by admin
Faz-se OK e agora configura-se o interface do OpenVPN (note-se o adaptador):

Re: OPENVPN - SUBSTITUIÇÃO DE CERTIFICADOS.

Posted: Mon Oct 24, 2011 12:17 am
by admin
Ou seja - em resumo:

Para a placa de rede sem fios ou placa de rede física desactivamos a partilha de ficheiros e cliente de ficheiros microsoft - a não ser que tenha em rede mais máquinas em casa e que queira transferir ficheiros entre elas - só deixará activo, basicamente, o TCP/IP Versão 4, que no XP está designado "TCP/IP (Protocolo internet)".
Para a placa de rede virtual (VPN) deverá activar todos inclusive o IPV6.

Isto permite que somente o tráfego IPV4 "publico" de suporte (encriptado) seja transferido na rede sem fios - todo o restante tráfego será enviado pelo tunel codificado (VPN) - sejam o acesso aos ficheiros no servidor, sejam as comunicações Internet.

* A Página a "vermelho" conhecida por todos do grupo aparece se o OpenVPN não negociou correctamente a rede (por diversos factores: Má configuração, data errada no PC...) - e ela prova a protecção da própria rede contra intrusão para utilização de recursos Internet e outros privados.


* NOTA: Sistemas Windows Vista / 7 e afins... Depois de conectar, a Internet na escola não acede na mesma... aparece a página de bloqueio (ou estou a aceder à Internet pelo modo livre - aberto e sem privacidade): Antes de tudo deve-se alterar as propriedades do programa OpenVPN para ser executado "como administrador" (na parte de compatibilidade).