VPN - alandrade21/docsCompartilhados GitHub Wiki
Instala com:
sudo apt install openvpn
Não tem gui. Instala também:
sudo apt install network-manager-openvpn network-manager-openvpn-gnome
Roda com:
sudo openvpn <<caminho para arquivo .ovpn>>
Ou via network-manager.
A Conab fornece um arquivo de configuração para OpenVPN (arquivo .ovpn) e um conjunto de chaves para criptografia do tráfego de rede. O arquivo de configuração deve ser colocado no mesmo diretório dos arquivos de chave, e esse caminho deve ser passado para o OpenVPN.
O google chrome, em suas configurações, em Privacidade e Segurança
, na opção Usar DNS Seguro
, vem com a configuração de usar o DNS público da google. Issp deu problema no acesso às páginas da conab. Utiliza a opção Com seu provedor de serviços atual
. Nesse caso, para usar o DNS da google, basta alterar as configurações de DNS de rede.
Na configuração da vpn, na aba IPV4
, marcar a opção Usar esta conexão apenas para recursos nesta rede
. Com isso, apenas as requisições para a rede interna da Conab vão sair pela VPN, e não será necessário configurar Proxy.
- Cria o arquivo
/etc/systemd/resolved.conf.d/conab.conf
com o seguinte conteúdo:
[Resolve]
DNS=10.1.0.58 10.1.0.57
Domains=conab.gov.br smb.conab.gov.br
DNSSEC=false
DNSOverTLS=no
Cache=no
FallbackDNS=9.9.9.9 149.112.112.112 2620:fe::fe
- Roda
systemctl restart systemd-resolved.service
- Adiciona as entradas abaixo em
/etc/hosts
10.1.11.7 wpad.conab.gov.br
160.238.29.71 gw1.conab.gov.br
160.238.29.70 gw.conab.gov.br
Em sistemas baseados em Debian 10 e superior, será necessário acrescentar uma linha com a configuração tls-version-min 1.0
no arquivo .ovpn fornecido pela conab. O OpenSSL do debian 10 desabilita TSL 1.0 e 1.1 por default.
Para rodar via network-manager, é necessário que o network-manager-openvpn esteja na versão 1.8.12-1 ou superior. No momento em que este texto foi escrito, a versão 1.8.12-1 era encontrada no repositório unstable do Debian 10. A partir do Debian 11 o repositório já contém a versão adequada.
No Debian 11, o algoritmo padrão para negociação de cipher com o server é o AES-256-GCM:AES-128-GCM
. O algoritmo usado pela conab é o BF-CBC
. Assim, é necessário acrescentar a linha cipher BF-CBC
no arquivo .ovpn fornecido pela conab.
Caso rode openvpn via terminal, será necessário alterar o arquivo /etc/resolv.conf
, de acordo com o mostrado abaixo, para que a máquina seja capaz de resolver os nomes da rede interna.
nameserver 10.1.0.58
domain conab.gov.br
O network-manager já faz as alterações necessárias no arquivo /etc/resolv.conf
. Não é necessário se preocupar com isso iniciando a VPN por aqui.