Configurando uma VPN Site-to-Site usando o OpenVPN

As vezes precisamos fechar um link de VPN entre nossas filiais e a Matriz, porém nossa verba não nos permite utilizar um recurso pago como o ISA Server, porém não queremos instalar um servidor Linux para tal. Pois bem, uma solução funcional e simples de implementar chama-se Open VPN, uma ferramenta open que funciona sobre a plataforma Microsoft. Abaixo vou demonstrar um passo a passo para criarmos a conexão entre a Matriz e duas filiais, uma que fica na Lapa e outra que fica no Jaguaré.


Para esse projeto, usarei um servidor 2003 em cada ponta com um link ADSL usando ip fixo.

1 - Para começar, iremos acessar o link http://openvpn.se/download.html e baixar o software como mostra a figura abaixo:

2 – Após baixar o software iremos instalar ele nos 3 Servidores (Matriz e filiais) seguindo os passos abaixo:

Na tela de bem vindo clique em Next, em seguida na tela de License Agreement clique em I Agree para aceitar os termos do contrato e continuarmos a instalação

Na tela Chosse Components, mantenha as configurações padrão e clique em Next para continuar

Na tela Choose Install Location, mantenha as configurações padrão e clique em Install para iniciar a instalação do software.

3 – Pronto, agora que o software está instalado, vamos começar a configuração da Matriz e das filiais. É muito importante definir uma configuração IP exclusiva para ambos os escritórios, para facilitar o roteamento e a identificação de cada localidade. O Desenho abaixo, demonstra a configuração escolhida para o nosso projeto:

4 – Iniciaremos gerando as chaves que serão utilizadas para autenticar os túneis que serão criados entre as filiais e a Matriz, geraremos uma chave para cada filial, esta será usada pela filial e pela matriz para a sua conexão específica. Para gerar a chave acesse a pasta C:\Program files\OpenVPN\bin conforme mostra a figura abaixo, na pasta digite o seguinte comando openvnp.exe –genkey –secret Chave_lapa para gerar a chave da filial Lapa. Repita o mesmo processo para gerar a chave da filial Jaguare.

As duas chaves deverão ser copiadas para a pasta c:\Program Files\OpenVPN\Config do Servidor da Matriz. Também deverão ser copiadas cada uma para seus respectivos servidores no mesmo caminho.

5 – Agora na pasta c:\Program Files\OpenVPN\Config do servidor da Matriz iremos criar os arquivos de configuração para fechar a conexão com as Filiais. Criaremos um arquivo para cada Filial com a extensão OVPN e seguiremos a configuração conforme mostra a figura abaixo:

Em cada um dos arquivos entraremos com as seguintes informações:


dev tap

remote 200.200.200.1 (IP publico da filial)

ifconfig 10.1.0.1 255.255.255.0 (configuração do ip da VPN do lado da Matriz)

secret Chave-Lapa (chave que será usada para autenticar a VPN entre a Matriz e a filial específica)

ping 10


verb 3

mute 10



Cada filial deve ter na pastas Config um arquivo de configuração apontando para a Matriz e a sua respectiva chave de autenticação. Seguindo o exemplo da configuração anterior, para fecha a conexão da filial Lapa com a Matriz, iremos criar no Servidor da filial na mesma pasta c:\Program Files\OpenVPN\Config um arquivo chamado Matriz.ovpn com as seguintes configurações:

dev tap

remote 200.200.200.10 (IP publico da Matriz)

ifconfig 10.1.0.2 255.255.255.0 (configuração do ip da VPN do lado da Filial)

secret Chave-Lapa (chave que será usada para autenticar a VPN entre a Matriz e a filial específica, que já deve ter sido copiada para a pasta config do servidor local)

ping 10

verb 3

mute 10

6 – Após configurar as 3 pontas, vamos iniciar a conexão. Para isso, precisamos abrir o software indo até o menu Iniciar / Programs / OpenVPN / OpenVPN GUI, após aberto, irá aparecer um ícone na bandeja próximo ao relógio conforme mostra a figura abaixo. Clique com o botão direito e inicie a conexão em ambas as pontas. Pronto, neste momento sua VPN Site-to-Site está conectada.

7 – Agora precisaremos criar uma rota de saída para cada uma das filiais. Então vamos começar pelo servidor da matriz ok.


No prompt de comando digite os seguintes comandos:

route add –p 192.168.1.0 mask 255.255.255.0 10.1.0.2

route add –p 192.168.2.0 mask 255.255.255.0 10.2.0.2

Na filial Lapa, abra o prompt de comand e digite:

route add –p 192.168.0.0 mask 255.255.255.0 10.1.0.1

Na filial Jaguaré, abra o prompt de comando e digite:

route add –p 192.168.0.0 mask 255.255.255.0 10.2.0.1

Pronto, como isso as tabelas de roteamento já estão configuradas e agora você já consegue se comunicar com suas filiais.

Uma ultima dica legal, configure o software para rodar como serviço, assim não terá que estar logado para que a conexão funcione e não dependerá de um usuário específico. Para isso execute a segunte configuração nos registros de ambos os servidores:

HKEY_LOCAL_MACHINE\SOFTWARE\OpenVPN-GUI

Altere a chave service_only para o valor 1.

Reinicie os servidores e depois vá até o snap in Services em ferramentas administrativas, selecione o serviço OpenVPN Service e configure ele para iniciar automaticamente.