1 Introdução

Este documento descreve como configurar o OpenVPN em uma configuração típica de interligação entre Matriz e Filial. O objetivo desta documentação é apresentar os passos de instalação e exemplos avançados da configuração do OpenVPN. 

O OpenVPN pode operar com três tipos de criptografia:

• Apenas o túnel (nenhuma criptografia)
• Chaves Estáticas
• Modo SSL/TLS (usando Certificados e Chaves RSA).
  

Neste exemplo, mostrarei como configurar o servidor para receber conexões da filial e de um cliente Windows (laptop), utilizando o modo SSL/TLS onde as chaves são trocadas periodicamente e por ser a opção mais segura. 

Parâmetros de configuração da VPN

                 Matriz    <---->   Filial
IP Túnel    172.16.0.1           172.16.0.2
SubNet     192.168.0.0/24    192.168.1.0/24
 
                 Matriz    <---->   laptop
IP Túnel    172.17.0.1           172.17.0.2
SubNet     192.168.0.0/24    192.168.2.0/24

2 Instalação

2.1 Instalando o Openssl e Openvpn:

[root@matriz~]# urpmi openssl openssl-devel openvpn

O OpenVPN será instalado por padrão com suporte a biblioteca de compressão "lzo". Esta biblioteca serve para compactar os dados que irão trafegar pelo túnel VPN.

Verificar após a instalação se existe dentro do aquivo /etc/ld.so.conf o caminho /usr/local/lib. Caso não exista, adicionar e rodar o comando ldconfig para refazer os indíces:

3 Configurando o Servidor para ser uma CA (Autoridade Certificadora)

3.1 Alterar o arquivo openssl.cnf conforme abaixo:

[root@matriz ca]# vi  /usr/lib/ssl/openssl.cnf

dir = /etc/ssl/ca           
certs = $dir/certs            
crl_dir = $dir/crl              
database = $dir/index.txt        
new_certs_dir  = $dir/newcerts         
certificate = $dir/ca.crt           
serial = serial  
private_key = $dir/private/ca.key
defaultdays = 3650     

3.2 Criar em /etc/ssl os diretórios:

mkdir /etc/ssl/ca
mkdir /etc/ssl/ca/certs
mkdir /etc/ssl/ca/newcerts
mkdir /etc/ssl/ca/crl
mkdir /etc/ssl/ca/private

3.3 Dentro da CA, criar os seguintes arquivos:

[root@matriz ca]# pwd
/etc/ssl/ca

touch index.txt
echo 01 > serial

3.4 Ajustar a permissão do diretório da Autoridade Certificadora (CA)

chmod -R 700 /etc/ssl/ca

4 Criando Certificado/Chave da Autoridade Certificadora (CA)

4.1 Gerando a chave privada da CA com validade de 10 anos (executar os comandos dentro do diretório da CA (/etc/ssl/ca)).

[root@mail ca]# openssl req -nodes -new -x509 -keyout ca.key -out ca.crt -days 3650

Generating a 1024 bit RSA private key
.................................................................................................................++++++
............................................................................++++++
writing new private key to 'ca.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:PARANA
Locality Name (eg, city) []:PARANAGUA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:EMPRESA
Organizational Unit Name (eg, section) []:VPN
Common Name (eg, YOUR name) []:CS
Email Address []: Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo

Verificar se a chave ca.key foi gerada com sucesso, não pode estar vazio, a mesma deve conter a chave.

4.2 Mover a chave [ca.key] para o diretório private:

[root@mail ca]# pwd
/etc/ssl/ca

mv ca.key ./private

5 Gerar Certificado/Chave da MATRIZ

[root@matriz ca]# openssl req -nodes -new -keyout matriz.key -out matriz.csr

Generating a 1024 bit RSA private key
.................................................++++++
.................++++++
writing new private key to 'matriz.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:PARANA
Locality Name (eg, city) []:PARANAGUA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:EMPRESA
Organizational Unit Name (eg, section) []:MATRIZ
Common Name (eg, YOUR name) []:CS
Email Address []: Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo

5.1 Assinar Chave da Matriz

[root@matriz ca]# openssl ca -out matriz.crt -in matriz.csr

Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Nov 14 02:18:52 2006 GMT
            Not After : Nov 11 02:18:52 2016 GMT
        Subject:
            countryName               = BR
            stateOrProvinceName       = PARANA
            organizationName          = EMPRESA
            organizationalUnitName    = MATRIZ
            commonName                = VPN
            emailAddress              = Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                A2:26:31:FF:B3:5A:A2:25:2F:AD:F8:86:3D:1A:9A:C0:6A:C9:3E:65
            X509v3 Authority Key Identifier:
                keyid:B4:6D:62:A7:3E:5E:C2:D6:77:6F:35:80:C7:F0:7A:98:9B:14:4D:F7
                DirName:/C=BR/ST=PARANA/L=PARANAGUA/O=EMPRESA/OU=VPN/CN=CS/emailAddress= Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
                serial:CA:69:9D:AD:8E:74:33:A4

Certificate is to be certified until Nov 11 02:18:52 2016 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

6 Gerar Certificado/Chave da FILIAL

[root@matriz ca]# openssl req -nodes -new -keyout filial.key -out filial.csr

Generating a 1024 bit RSA private key
.................................................++++++
.................++++++
writing new private key to 'filial.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:PARANA
Locality Name (eg, city) []:PARANAGUA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:EMPRESA
Organizational Unit Name (eg, section) []:FILIAL
Common Name (eg, YOUR name) []:VPN
Email Address []: Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo

6.1 Assinar chave da Filial

[root@matriz ca]# openssl ca -out filial.crt -in filial.csr

Using configuration from /usr/lib/ssl/openssl.cnf
DEBUG[load_index]: unique_subject = "yes"
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 2 (0x2)
        Validity
            Not Before: Nov 14 02:21:11 2006 GMT
            Not After : Nov 11 02:21:11 2016 GMT
        Subject:
            countryName               = BR
            stateOrProvinceName       = PARANA
            organizationName          = EMPRESA
            organizationalUnitName    = FILIAL
            commonName                = VPN
            emailAddress              = Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                B9:24:BA:C2:0A:89:2C:1E:31:37:BF:B6:99:B9:8B:D8:21:E2:94:01
            X509v3 Authority Key Identifier:
                keyid:B4:6D:62:A7:3E:5E:C2:D6:77:6F:35:80:C7:F0:7A:98:9B:14:4D:F7
                DirName:/C=BR/ST=PARANA/L=PARANAGUA/O=EMPRESA/OU=VPN/CN=CS/emailAddress= Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
                serial:CA:69:9D:AD:8E:74:33:A4

Certificate is to be certified until Nov 11 02:21:11 2016 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

7 Gerar o protocolo DH - Diffie Hellman

Algorítimo usado para a troca de chaves criptográficas durante a execução do OpenVPN. Utilize no comando a criptografia que consta no arquivo openssl.cnf, no meu caso 1024bits

[root@matriz ca]# openssl dhparam -out dh1024.pem 1024

Generating DH parameters, 1024 bit long safe prime, generator 2
This is going to take a long time
..................................................................................+.
........................................++*++*++*............................
...+........................+…......................*+....................*+.

8 Configuração do Openvpn - MATRIZ

8.1 Criar o diretório openvpn:

mkdir /etc/openvpn

8.2 Copiar o certificado da CA, chave e certificado da Matriz + protocolo DH gerados anteriormente para dentro do diretório /etc/openvpn:

[root@matriz ca]# pwd
/etc/ssl/ca

cp -p ca.crt  /etc/openvpn
cp -p matriz.key  /etc/openvpn
cp -p matriz.crt  /etc/openvpn
cp -p dh1024.pem  /etc/openvpn

Ajustar as permissões da chave: matriz.key
chmod 600 matriz.key

8.3 Criar os seguintes links simbólicos:

[root@matriz openvpn]# pwd
/etc/openvpn

ln -s /etc/ssl/ca  ./
ln -s /usr/lib/ssl/openssl.cnf  ./


8.4 Arquivo de configuração - Matriz

Para cada túnel deverá ser criado um arquivo de configuração. Este arquivo o openvpn irá ler/executar quando for iniciado, setando quais IP's serão assumidos na Matriz e Filial.

[root@matriz ~]# cat /etc/openvpn/matriz-filial.conf

dev tun
ifconfig 172.16.0.1 172.16.0.2
up ./rc.matriz-filial.up   #cria as rotas...
tls-server                       #modo servidor  
port 5000                      #porta que será usada no túnel matriz - filial.
dh dh1024.pem             # protocolo DH
ca ca.crt                         #certificado CA
cert matriz.crt               #certificado matriz
key matriz.key              #chave da matriz
comp-lzo
ping 10
ping-restart 120
persist-tun
persist-key
verb 3
status /var/log/openvpn/matriz-status.log
log-append /var/log/openvpn/matriz.log

* 172.16.0.1: IP do túnel que será assumido na matriz.
* 172.16.0.2: IP do túnel que será assumido na filial.

Não esqueça de criar os arquivos de logs matriz-status.log e matriz.log

OBS: Para cada túnel criado, é necessário criar uma porta udp diferente. Neste cenário, as filiais irão conectar-se na matriz, não sendo necessário ip-fixo nas mesmas para fechar o túnel.

8.5 Configuração da rota entre Matriz e Filial - matriz-filial.up

[root@matriz openvpn]# cat rc.matriz-filial.up
#!/bin/bash
route add -net 192.168.1.0 netmask 255.255.255.0 gw $5

rede-filial:192.168.1.0
máscara: 255.255.255.0
$5 = quinto argumento, no caso 172.16.0.2

Dar permissão de execução no arquivo !
chmod +x matriz-filial.up

8.6 Adicionando regras necessárias ao firewall

# - OPENVPN [CADA PORTA CORRESPONDE A UM TÚNEL]
iptables -A INPUT -p udp -m udp --dport 5000 -j ACCEP
iptables -A INPUT -p udp -m udp --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -m udp --dport 5001 -j ACCEPT
iptables -A INPUT -p udp -m udp --sport 5001 -j ACCEPT

# - PERMITE QUE PACOTES VINDO DE UMA INTERFACE
#   TUN/TAP ENTREM NA REDE - OPENVPN
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT


8.7 Levantando o Openvpn na Matriz

Conteúdo do script de inicialização do openvpn (Matriz):

[root@matriz openvpn]# cat rc.openvpn-startup.sh

#!/bin/bash
dir=/etc/openvpn
modprobe tun
openvpn --cd $dir --daemon --config matriz-filial.conf

8.8 Levantando o serviço, criando os túneis e verificando os logs para verificar se tudo ocorreu bem:

[root@matriz openvpn]# ./rc.openvpn-startup.sh && tail -f /var/log/openvpn/matriz.log

Thu Nov 16 00:09:21 2006 OpenVPN 2.0.1 i586-mandriva-linux-gnu [SSL] [LZO] [EPOLL] built on Aug 30 2005
Thu Nov 16 00:09:21 2006 Diffie-Hellman initialized with 1024 bit key
Thu Nov 16 00:09:21 2006 LZO compression initialized
Thu Nov 16 00:09:21 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Thu Nov 16 00:09:21 2006 TUN/TAP device tun1 opened
Thu Nov 16 00:09:21 2006 /sbin/ifconfig tun1 172.17.0.1 pointopoint 172.17.0.2 mtu 1500
Thu Nov 16 00:09:21 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Thu Nov 16 00:09:21 2006 Local Options hash (VER=V4): 'b95a244b'
Thu Nov 16 00:09:21 2006 Expected Remote Options hash (VER=V4): '88c42d7d'
Thu Nov 16 00:09:21 2006 UDPv4 link local (bound): [undef]:5001
Thu Nov 16 00:09:21 2006 UDPv4 link remote: [undef]
Thu Nov 16 00:11:15 2006 TLS: Initial packet from 200.201.202.203:5000, sid=52b134eb e99e925e

8.9 Verificando se os túneis foram criados:

[root@matriz ~]# ifconfig

tun0      Link encap:Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet end.: 172.16.0.1  P-a-P:172.16.0.2  Masc:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
          RX packets:914 errors:0 dropped:0 overruns:0 frame:0
          TX packets:992 errors:0 dropped:0 overruns:0 carrier:0
          colisões:0 txqueuelen:100
          RX bytes:126743 (123.7 KiB)  TX bytes:91995 (89.8 KiB)

tun1      Link encap:Não Especificado  Endereço de HW 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet end.: 172.17.0.1  P-a-P:172.17.0.2  Masc:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Métrica:1
          RX packets:82107 errors:0 dropped:0 overruns:0 frame:0
          TX packets:95523 errors:0 dropped:0 overruns:0 carrier:0
          colisões:0 txqueuelen:100
          RX bytes:15766641 (15.0 MiB)  TX bytes:77570024 (73.9 MiB)

-----
tun0:  Túnel que receberá conexão da filial

tun1:  Túnel que receberá a conexão do laptop

9.0 Verificando se o serviço está ouvindo (LISTEN) nas devidas portas:

netstat -putan | grep -i openvpn
udp        0      0 0.0.0.0:5000             0.0.0.0:*        3305/openvpn
udp        0      0 0.0.0.0:5001             0.0.0.0:*        3315/openvpn

Como podemos observar, os túneis foram criados no servidor onde o mesmo aguarda por conexões da filial e laptop !!

9 Configuração do OpenVPN - FILIAL

9.1 No servidor da Filial, crie o diretório openvpn:

mkdir /etc/openvpn

Copiar através de um canal seguro o certificado da CA, chave e certificado da Filial + protocolo DH gerados anteriormente para dentro do diretório /etc/openvpn.                                                                  

* ca.crt
* filial.key
* filial.crt
* dh1024.pem

DICA: Use o comando scp (maiores detalhes man scp) para copiar os arquivos mencionados abaixo do servidor da Matriz para o servidor da Filial.

9.2 Ajustar as permissões da chave: filial.key

chmod 600 filial.key

9.3 Arquivo de configuração - Filial

É bem parecido com o arquivo de configuração da Matriz-filial como visto anteriormente, no entanto, preste atenção nos comentários.

[root@filial ~]# cat /etc/openvpn/filial-matriz.conf

dev tun
remote 200.201.202.203                #IP SERVIDOR MATRIZ    
ifconfig 172.16.0.2 172.16.0.1       
tls-client                                            #MODO CLIENTE
port 5000                                          #porta usada no túnel filial - matriz
dh dh1024.pem
ca ca.crt
cert filial.crt                                        #CERTIFICADO FILIAL
key filial.key                                       #CHAVE FILIAL
comp-lzo
ping 10
ping-restart 60
persist-tun
persist-key
verb 3
status /var/log/openvpn/filial-status.log
log-append /var/log/openvpn/filial.log

* 172.16.0.2: IP do túnel que será assumido na filial.
* 172.16.0.1: IP do túnel que será assumido na matriz.

Não esqueça de criar os arquivos de logs filial-status.log e filial.log (servidor filial).


9.4 Configuração da rota entre Filial e Matriz - filial-matriz.up

Conteúdo do script de inicialização do openvpn (Filial):

[root@filial openvpn]# cat rc.filial-matriz.up
#!/bin/bash
route add -net 192.168.0.0 netmask 255.255.255.0 gw $5

rede-matriz:192.168.0.0
máscara: 255.255.255.0
$5 = quinto argumento, no caso 172.16.0.1

Dar permissão de execução no arquivo !
chmod +x filial-matriz.up

9.5 Levantando o OpenVPN na Filial

Conteúdo do script de inicialização do openvpn (Filial):

[root@filial openvpn]# cat rc.openvpn-startup.sh

#!/bin/bash
dir=/etc/openvpn
modprobe tun
openvpn --cd $dir --daemon --config filial-matriz.conf
 

9.6 Levantando o serviço, criando os túneis e verificando os logs para certificar-se se tudo ocorreu bem (Filial).

[root@filial openvpn]# ./rc.openvpn-startup.sh && tail -f /var/log/openvpn/filial.log

Wed Nov 15 19:33:08 2006 LZO compression initialized
Wed Nov 15 19:33:08 2006 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Wed Nov 15 19:33:08 2006 TUN/TAP device tun0 opened
Wed Nov 15 19:33:08 2006 /sbin/ifconfig tun0 172.16.0.2 pointopoint 172.16.0.1 mtu 1500
Wed Nov 15 19:33:08 2006 ./filial-matriz.up tun0 1500 1542 172.16.0.2 172.16.0.1 init
Wed Nov 15 19:33:08 2006 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Wed Nov 15 19:33:08 2006 Local Options hash (VER=V4): '8a042371'
Wed Nov 15 19:33:08 2006 Expected Remote Options hash (VER=V4): '02890f1b'
Wed Nov 15 19:33:08 2006 UDPv4 link local (bound): [undef]:5000
Wed Nov 15 19:33:08 2006 UDPv4 link remote: 201.15.226.166:5000
Wed Nov 15 19:33:08 2006 TLS: Initial packet from 200.201.202.203:5000, sid=e4bd8398 b8369ce2
Wed Nov 15 19:33:08 2006 VERIFY OK: depth=1, /C=BR/ST=PARANA/L=PARANAGUA/O=EMPRESA/OU=VPN/CN=CS/emailAddress= Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
Wed Nov 15 19:33:08 2006 VERIFY OK: depth=0, /C=BR/ST=PARANA/O=VERITAS_AGENCY/OU=MATRIZ/CN=VPN/emailAddress= Este endereço de e-mail está sendo protegido de spam, você precisa de Javascript habilitado para vê-lo
Wed Nov 15 19:33:09 2006 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 15 19:33:09 2006 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 15 19:33:09 2006 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Wed Nov 15 19:33:09 2006 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Wed Nov 15 19:33:09 2006 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Wed Nov 15 19:33:09 2006 [VPN] Peer Connection Initiated with 201.15.226.166:5000
Wed Nov 15 19:33:10 2006 Initialization Sequence Completed

Execute os comandos ifconfig (para verificar se o túnel foi criado) e netstat (verificar porta...) após o start do openvpn.

Faça testes com o comando ping entre matriz e filial e vice-versa:

[root@filial ~]# ping 192.168.0.1
PING 192.168.0.100 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_seq=1 ttl=127 time=88.6 ms

[root@matriz ~]# ping 192.168.1.200
PING 192.168.0.100 (192.168.1.200) 56(84) bytes of data.
64 bytes from 192.168.1.200: icmp_seq=1 ttl=127 time=82.5 ms

10 Configurando cliente Windows XP (laptop)

Novos certificados/chaves devem ser gerados, agora para o cliente windows. É possível usar os mesmos certificados e chaves gerados para a filial, mas isto quebraria o esquema de segurança que o openssl oferece.  Diante disto, siga os mesmos passos usados para criação da chave/certificado da filial.

10.1 Criando chave/certificado laptop 

[root@matriz ca]# openssl req -nodes -new -keyout laptop.key -out laptop.csr

10.2 Assinando chave do laptop 

[root@matriz ca]# openssl ca -out laptop.crt -in laptop.csr

Fazer o download do cliente openvpn para windows em http://openvpn.net/download.html.  Sua instalação não há segredos, basicamente NEXT até o final ...

Após a conclusão da instalação, deve ser mostrado na bandeja do sistema o status da conexão local do cliente openvpn, através do ícone monitor de rede. Significa que a instalação foi bem sucedida e que o windows carregou o driver da placa de rede do openvpn.

10.3 Copiando arquivos do servidor para o cliente Windows

As chaves e os certificados criados devem ser copiados para o diretório: C:\Arquivos de programas\OpenVPN\config

* ca.crt
* laptop.crt
* laptop.key
* dh1024.pem

10.4 Criar o arquivo de configuração do cliente windows - laptop-matriz.ovpn

Atenção: O arquivo de configuração laptop-matriz.ovpn, no cliente windows, deve conter a extensão .ovpn

dev tun
remote 200.201.202.203
ifconfig 172.17.0.2 172.17.0.1
route 192.168.1.0 255.255.255.0 172.17.0.1  entre o laptop e matriz
tls-client  
port 5001                                                         
dh dh1024.pem
ca ca.crt
cert laptop.crt
key laptop.key
comp-lzo
ping 10
ping-restart 60
persist-tun
persist-key
verb 3

10.5 Iniciando o OpenVPN automaticamente no boot do windows

O OpenVPN pode ser iniciado no Windows XP através do gerenciador de serviços, que fica em: inicar > configurações > painel de controle > ferramentas administrativas > serviços > OpenVPN Service

Caso não queira usar o openvpn como serviço, no caso ser iniciado toda vez que o windows for iniciado, pode-se usar um arquivo .bat para tal finalidade, como mostrado a seguir.

Conteúdo de openvpn.bat:

@echo off
cd:\Arquivos de programas\OpenVPN\config
openvpn --config laptop-matriz.ovpn

Agora é só iniciar o openvpn usando uma das alternativas mostradas. O mesmo deverá conectar-se no servidor sem problemas se os passos descritos até aqui forem seguidos corretamente.

11 Considerações finais

O OpenVpn demonstra ser estável e constante na manutenção de túneis criptográficos em relação a outras aplicações deste tipo, porém como qualquer uma delas tem uma grande dependência da estabilidade e largura da banda do link, o que pode exigir que haja exporadicamente interação manual para possíveis manutenções ou reestabelecimento de conexões, porém se esse fato se tornar constante é altamente recomendado que se realize uma análise do meio de comunicação utilizado para estabelecimento do túnel ou da quantidade de banda destinada aos dados que irão trafegar pela VPN.