VPN via túneis SSH

Imagine a seguinte situação; você é um administrador de rede, e na empresa onde trabalha um de seus usuários da equipe de desenvolvimento (usuário_local) necessita acessar uma base de dados MySQL que está em execução em um servidor da filial (www.ssh_server.com.br). Em um segundo momento, um outro usuário, dessa vez da equipe de suporte, precisa acessar remotamente essa mesma filial para dar manutenção via VNC a uma determinada estação (host_remoto).

Ambas, matiz e filial, têm conectividade com a Internet e a infra-estrutura da rede é semelhante a mostrada na figura acima. Observe que os servidores ssh_local e www.ssh_server.com.br têm acesso tanto à Internet quanto às suas redes locais, e que o endereço IP de ssh_local na rede interna é 192.168.1.254 (ip_local). E agora, o que fazer?

Uma maneira rápida e fácil de resolver esse problema seria abrir a porta do MySQL (3306) no servidor remoto e fazer um DNAT no firewall desse servidor, redirecionando as solicitações dos usuários para o serviço VNC em execução no host remoto. No entanto, essa abordagem não seria muito prudente uma vez que não provê autenticação e os dados trafegariam “abertos” através da Internet (sem criptografia). Esse é um caso tipico onde é interessante a criação de uma Rede Privada Virtual, mais conhecida como VPN.

Pesquisando na Internet, encontramos várias soluções para implementar VPN, mas a maioria delas requer configurações complexas, algumas até a recompilação do kernel, o que seria inviável para servidores em produção como os do nosso exemplo. Dentre as várias opções disponíveis, a que mais nos chamou a atenção foi a criação de túneis através do SSH, tanto pela sua facilidade de implementação, sem a necessidade de nenhuma instalação adicional, quanto pelo fato de já termos tudo instalado e pronto para ser usado (usamos servidores Linux, claro). Mostraremos então como fizemos para configurar nossa VPN.