VPN - alandrade21/docsCompartilhados GitHub Wiki

Openvpn

Instala com:

sudo apt install openvpn

Não tem gui. Instala também:

sudo apt install network-manager-openvpn network-manager-openvpn-gnome

Roda com:

sudo openvpn <<caminho para arquivo .ovpn>>

Ou via network-manager.

VPN Conab

A Conab fornece um arquivo de configuração para OpenVPN (arquivo .ovpn) e um conjunto de chaves para criptografia do tráfego de rede. O arquivo de configuração deve ser colocado no mesmo diretório dos arquivos de chave, e esse caminho deve ser passado para o OpenVPN.

Configurações Iniciais

O google chrome, em suas configurações, em Privacidade e Segurança, na opção Usar DNS Seguro, vem com a configuração de usar o DNS público da google. Issp deu problema no acesso às páginas da conab. Utiliza a opção Com seu provedor de serviços atual. Nesse caso, para usar o DNS da google, basta alterar as configurações de DNS de rede.

Na configuração da vpn, na aba IPV4, marcar a opção Usar esta conexão apenas para recursos nesta rede. Com isso, apenas as requisições para a rede interna da Conab vão sair pela VPN, e não será necessário configurar Proxy.

Problemas com DNS e proxy

  1. Cria o arquivo /etc/systemd/resolved.conf.d/conab.conf com o seguinte conteúdo:
[Resolve]
DNS=10.1.0.58 10.1.0.57
Domains=conab.gov.br smb.conab.gov.br
DNSSEC=false
DNSOverTLS=no
Cache=no
FallbackDNS=9.9.9.9 149.112.112.112 2620:fe::fe
  1. Roda systemctl restart systemd-resolved.service
  2. Adiciona as entradas abaixo em /etc/hosts
10.1.11.7 wpad.conab.gov.br
160.238.29.71 gw1.conab.gov.br
160.238.29.70 gw.conab.gov.br

Problemas com Debian

Em sistemas baseados em Debian 10 e superior, será necessário acrescentar uma linha com a configuração tls-version-min 1.0 no arquivo .ovpn fornecido pela conab. O OpenSSL do debian 10 desabilita TSL 1.0 e 1.1 por default.

Para rodar via network-manager, é necessário que o network-manager-openvpn esteja na versão 1.8.12-1 ou superior. No momento em que este texto foi escrito, a versão 1.8.12-1 era encontrada no repositório unstable do Debian 10. A partir do Debian 11 o repositório já contém a versão adequada.

No Debian 11, o algoritmo padrão para negociação de cipher com o server é o AES-256-GCM:AES-128-GCM. O algoritmo usado pela conab é o BF-CBC. Assim, é necessário acrescentar a linha cipher BF-CBC no arquivo .ovpn fornecido pela conab.

Caso rode openvpn via terminal, será necessário alterar o arquivo /etc/resolv.conf, de acordo com o mostrado abaixo, para que a máquina seja capaz de resolver os nomes da rede interna.

nameserver 10.1.0.58
domain conab.gov.br

O network-manager já faz as alterações necessárias no arquivo /etc/resolv.conf. Não é necessário se preocupar com isso iniciando a VPN por aqui.

⚠️ **GitHub.com Fallback** ⚠️