vpn ipsec com cieesp
TRANSCRIPT
-
Este procedimento descreve como foi realizada a configurao da VPN IPSEC com o CIEE-SP. O
objetivo desta VPN fornecer acesso ao nosso ambiente, mais especificamente o servidor do
ICN (SVR56) para que So Paulo possa realizar as cargas do ICN de SP e RJ. Ela foi ativada no
dia 29/10/2012. Abaixo os requisitos necessrios:
Parceiro (lado remoto)
o Mquina Linux CentOS 6.3 ou superior
o Pacote Openswan instalado e configurado
o IP Externo fixo
o Duas placas de rede, uma na rede local e outra na rede WAN
o Firewall iptables desativado ou com as excees configuradas
o SELinux desativado
CIEE-RS (nosso lado)
o Criar fase 1 e fase 2 no Fortigate
o Criar roteamento esttico
o Criar regras liberando trfego entre nossa LAN e a VPN
o Adicionar no Zabbix para monitoramento
Caso necessrio abrir chamado com a PBI (para configurao do Fortigate) ou com a LM2 (para
a configurao do Linux)
-
Configuraes gerais do Firewall CentOS + Openswan do CIEE-SP
Configuraes de rota:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
186.231.56.240 * 255.255.255.248 U 1 0 0 eth1
172.30.0.0 * 255.255.255.0 U 1 0 0 eth0
default 186-231-56-241. 0.0.0.0 UG 0 0 0 eth1
Sistema Operacional:
Linux openswan.cieesp.org.br 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11
UTC 2012 x86_64 x86_64 x86_64 GNU/Linux
Configuraes do IPSEC
Instalao do Openswan:
# yum install openswan # certutil -N -d /etc/ipsec.d/ *senha em branco # ipsec newhostkey --bits 1024 --hostname `hostname` --output /tmp/ipsec.secrets --configdir /etc/ipsec.d/ # ipsec showhostkey left
-
Arquivo /etc/ipsec.conf:
Arquivo /etc/ipsec.conf:
-
Configuraes do Fortigate
Configuraes da fase 1:
-
Configuraes da fase 2:
Criar duas regras no Fortigate, uma permitindo o trfego da VPN para a rede local e uma
permitindo o trfego da rede local para a VPN:
Adicionar rota esttica para a VPN IPSEC:
-
Verificado se a conexo est ativa no Fortigate:
Verificado se a conexo est ativa no Linux:
service ipsec status
Vai retornar algo parecido com isto:
IPsec running - pluto pid: 3035
pluto pid 3035
1 tunnels up
Monitoramento da VPN no Zabbix:
Grfico com viso geral da conexo VPN:
-
Desenho da estrutura VPN
Links teis:
http://www.vivaolinux.com.br/artigo/VPN-com-Openswan-e-Iptables-%28fazendo-NAT%29
http://www.vivaolinux.com.br/artigo/VPN-SitetoSite-Openswan-x-ASA-%28Cisco%29
http://firewallguru.blogspot.com.br/2009/08/site-to-site-vpn-openswan-to-fortinet.html
Contato do CIEE-SP para eventuais problemas:
Mrio Cabral
(11) 3040-9459