Introdução 1 de 5 Com o é possível fechar Túneis VPN com outra empresa que, utiliza equipamentos de outro fabricante mas que trabalhem com o padrão IPSEC. Mostraremos passo a passo como efetuar esta configuração. Solução Seguem, abaixo, todos os passos para configurar um túnel VPN utilizando e Firewall Pix. 1.Click no ícone do Aker Control Center 2.Após abrir o Control Center, selecione um dos firewalls que estão cadastrados na GUI. Configure um túnel VPN clicando no ícone do firewall que será configurado. 3.Após abrir o firewal, clique em Configuração do Firewall, depois em Entidades. No firewall, crie todas as entidades necessárias para túnel VPN, tais como: rede de origem; rede de destino; e peer remoto.
2 de 5 4.Após criar todas as entidades, selecione a opção Criptografia / firewall/ /firewall 5.Irá abrir uma nova janela a sua direta, selecione a opção Ipsec. Após a abertura dessa nova janela, clique com o botão direto do mouse na área em branco, selecione o item inserir duas vezes. Nesta opção, serão inseridos dois novos túneis, um para encriptação e outro para decriptação dos dados. Na segunda linha, irá aparecer no campo Direção como encriptação. Neste caso, clique com o mouse no nome encriptação. Aparecerá um menu, vá para o item Direção e selecione o item decriptação.
3 de 5 6.Deverá aparecer um campo em branco, uma linha de cor rosa claro, uma com encriptação e outra com decriptação. Nesta linha, insira alguns dados solicitados conforme a legenda abaixo: Nesta configuração é necessário preencher os seguintes campos: Rede de Origem: rede interna que está atrás do firewall. Rede de destino : rede interna remota é a que esta atrás do outro equipamento remoto. Direção: neste campo representa a encriptação e decriptação dos dados. Em cada túnel de VPN é necessário um túnel de encriptação e outro para decriptação. Gateway Remoto: seria o endereço IP do equipamento remoto podendo ser um firewall, centralizador de VPN, roteador etc.. O endereço IP do equipamento remoto tem nome de Peer remoto. Autenticação: Neste item, selecione a forma de autenticação de túnel VPN que irá trabalhar. Nessa configuração, selecione o segredo compartilhado que é pré-share key. Mas também existe a forma de autenticação utilizando Certificado digital que será explicado em outra FAQ: Fechando túnel VPN utilizando certificado digital. Segredo Compartilhado: Esta será uma senha que utilizada em ambos equipamentos, tanto o firewall Aker quanto o outro equipamento remoto. Essa senha será de conhecimento de ambos os administradores dos equipamentos de VPN. 7.Após preencher todos os campos acima citados, faça a última configuração que é fase 1 e fase 2 de negociação do túnel VPN. Com o mouse em cima dessa nova configuração de VPN, clique com o botão direito em cima de um dos túneis que irá abrir uma lista com várias opções. Selecione a opção avançada. Nesta opção, configure a face 1 e fase 2 do túnel VPN.
4 de 5 Após clicar no item avançada, aparecerá uma nova tela. Selecione os protocolos e times para cada equipamento. Na 1 fase utilize os seguintes parâmetros de configurações em ambos equipamentos: Algoritmo de Encriptação: Triple DES Algoritmo de Autenticação: MD5-HMAC-96 GRUPO DH: 2 Kbytes : 0 Segundos 86400 Conforme figura abaixo:
5 de 5 Na fase 2, utilize os seguintess parâmetros: Algoritmo de Encriptação: ESP Opções: Autenticação Grupo : 0 Kbytes: 4608000 Segundos: 3600 Algoritmo de Autenticação: MD5-HMAC-96 Algoritmo de Encriptação: Triple DES Conforme figura abaixo: Quando todas as configurações citadas forem efetuadas, os equipamentos já estarão trocando proposta de negociação. O irá começar a enviar proposta de negociação na fase 1. Paraa ter certeza que o firewall está enviando tais propostas, faça uma monitoração na interface externa do firewall através do tcpdump. Ex: tcpdump i nome da interfacee n p port 500. Com essa linha de comando, observe a negociação entre os dois equipamentos para fechar o túnel VPN. É possível acompanhar tais propostas nos eventos do firewall. Obs: nos dois firewalls as configurações devem estar idênticas em relação aos protocolos, times, kbytes e pré-share key (senha). Caso contrário, não será possível fechar o túnel VPN.