Este procedimento descreve como foi realizada a configurao da VPN IPSEC com o CIEE-SP. O

objetivo desta VPN fornecer acesso ao nosso ambiente, mais especificamente o servidor do

ICN (SVR56) para que So Paulo possa realizar as cargas do ICN de SP e RJ. Ela foi ativada no

dia 29/10/2012. Abaixo os requisitos necessrios:

Parceiro (lado remoto)

o Mquina Linux CentOS 6.3 ou superior

o Pacote Openswan instalado e configurado

o IP Externo fixo

o Duas placas de rede, uma na rede local e outra na rede WAN

o Firewall iptables desativado ou com as excees configuradas

o SELinux desativado

CIEE-RS (nosso lado)

o Criar fase 1 e fase 2 no Fortigate

o Criar roteamento esttico

o Criar regras liberando trfego entre nossa LAN e a VPN

o Adicionar no Zabbix para monitoramento

Caso necessrio abrir chamado com a PBI (para configurao do Fortigate) ou com a LM2 (para

a configurao do Linux)

Configuraes gerais do Firewall CentOS + Openswan do CIEE-SP

Configuraes de rota:

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

186.231.56.240 * 255.255.255.248 U 1 0 0 eth1

172.30.0.0 * 255.255.255.0 U 1 0 0 eth0

default 186-231-56-241. 0.0.0.0 UG 0 0 0 eth1

Sistema Operacional:

Linux openswan.cieesp.org.br 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11

UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

Configuraes do IPSEC

Instalao do Openswan:

# yum install openswan # certutil -N -d /etc/ipsec.d/ *senha em branco # ipsec newhostkey --bits 1024 --hostname `hostname` --output /tmp/ipsec.secrets --configdir /etc/ipsec.d/ # ipsec showhostkey left

Arquivo /etc/ipsec.conf:

Arquivo /etc/ipsec.conf:

Configuraes do Fortigate

Configuraes da fase 1:

Configuraes da fase 2:

Criar duas regras no Fortigate, uma permitindo o trfego da VPN para a rede local e uma

permitindo o trfego da rede local para a VPN:

Adicionar rota esttica para a VPN IPSEC:

Verificado se a conexo est ativa no Fortigate:

Verificado se a conexo est ativa no Linux:

service ipsec status

Vai retornar algo parecido com isto:

IPsec running - pluto pid: 3035

pluto pid 3035

1 tunnels up

Monitoramento da VPN no Zabbix:

Grfico com viso geral da conexo VPN:

Desenho da estrutura VPN

Links teis:

http://www.vivaolinux.com.br/artigo/VPN-com-Openswan-e-Iptables-%28fazendo-NAT%29

http://www.vivaolinux.com.br/artigo/VPN-SitetoSite-Openswan-x-ASA-%28Cisco%29

http://firewallguru.blogspot.com.br/2009/08/site-to-site-vpn-openswan-to-fortinet.html

Contato do CIEE-SP para eventuais problemas:

Mrio Cabral

mariocabral@cieesp.org.br

(11) 3040-9459