Introdução HOW TO 1 de 7 Com o é possível fechar Túneis VPN com outra empresa que, utiliza equipamentos de outro fabricante mas que trabalhem com o padrão IPSEC. Neste caso estaremos demostrando como se estabelece uma VPN com uma solução linux (free) conhecida como FreeSwan. Solução Ambiente: Redhat Linux 9.0 Kernel 2. 4.20-8 Freeswan 2.5 Sites consultados: www.freeswan.org http://jixen.tripod.com/#rw-fwan-to-fwan http://www.maikomiaki.hpg.ig.com.br/vpn.html http://www.linuxman.pro.br/vpn/ Configurando o : Seguem, abaixo os passos necessários para configurar um túnel VPN utilizando firewall. Click no ícone do Control Center 2.Após abrir o Control Center, selecione um dos firewalls que estão cadastrados na GUI. Configure um túnel VPN clicando no ícone do firewall que será configurado.
2 de 7 3.Após abrir o firewal, clique em Configuração do Firewall, depois em Entidades. No firewall, crie todas as entidades necessárias para túnel VPN, tais como: rede de origem; rede de destino; e peer remoto. 4.Após criar todas as entidades, selecione a opção Criptografia / firewall/ /firewall
3 de 7 5.Irá abrir uma nova janela a sua direta, selecione a opção Ipsec. Após abertura dessa nova janela, clique com o botão direto do mouse na área em branco, selecione o item inserir duas vezes. Nesta opção, serão inseridos dois novos túneis, um para encriptação e outro para decriptação dos dados. Na segunda linha, irá aparecer no campo Direção como encriptação. Neste caso, clique com o mouse no nome encriptação. Aparecerá um menu, vá para o item Direção e selecione o item decriptação. 6.Deverá aparecer um campo em branco, uma linha de cor rosa claro, uma com encriptação e outra com decriptação. Nesta linha, insira alguns dados solicitados conforme a legenda abaixo: Nesta configuração é necessário preencher os seguintes campos: Rede de Origem: rede interna que está atrás do firewall. Rede de destino: rede interna remota é a que esta atrás do outro equipamento remoto. Direção: neste campo representa a encriptação e decriptação dos dados. Em cada túnel de VPN é necessário um túnel de encriptação e outro para decriptação. Gateway Remoto: seria o endereço IP do equipamento remoto podendo ser um firewall, centralizador de VPN, roteador etc... O endereço IP do equipamento remoto tem nome de Peer remoto. Autenticação: Neste item, selecione a forma de autenticação de túnel VPN que irá trabalhar. Nessa configuração, selecione segredo compartilhado que é pré-share key. Mas também existe a forma de autenticação utilizando Certificado digital que será explicado em outra FAQ. Fechando túnel VPN utilizando certificado digital.
Segredo Compartilhado: Esta será uma senha que utilizada em ambos equipamentos, tanto o firewall Aker quanto o outro equipamento remoto. Essa senha será de conhecimento de ambos os administradores dos equipamentos de VPN. 4 de 7 7.Após preencher todos os campos acima citados, faça a última configuração que é fase 1 e fase 2 de negociação do túnel VPN. Com o mouse em cima dessa nova configuração de VPN, clique com o botão direito em cima de um dos túneis que irá abrir uma lista com várias opções. Selecione a opção avançada. Nesta opção, configure a face 1 e fase 2 do túnel VPN. Após clicar no item avançada, aparecerá uma nova tela. Selecione os protocolos e times para cada equipamento.
5 de 7 Na 1 fase utilizaremos os seguintes parâmetros de configurações nos equipamentos: Algoritmo de Encriptação: Triple DES Algoritmo de Autenticação: MD5-HMAC-96 GRUPO DH: 2 Kbytes : 0 Segundos 28800 Conforme figura abaixo: Na fase 2, utilize os seguintess parâmetros: Algoritmo de Encriptação: ESP
Opções: Autenticação HOW TO 6 de 7 Grupo : 0 Kbytes: 4608000 Segundos: 3600 Algoritmo de Autenticação: MD5-HMAC-96 Algoritmo de Encriptação: Triple DES Conforme figura abaixo: Quando todas as configurações acima citadas forem efetuadas, os equipamentos já estarão trocando proposta de negociação. O irá começar a enviar proposta de negociação na fase Para ter certeza que o firewall está enviando tais propostas, faça uma monitoração na interface externa do firewall através do tcpdump. Ex: tcpdump i nome da interface n p port 500. Com essa linha de comando, observe a negociação entre os dois equipamentos para fechar o túnel vpn. È possível acompanhar tais propostas nos eventos do firewall. Obs: nos dois firewalls as configurações devem estar idênticas em relação aos protocolos, times, kbytes e pré-share key (senha). Caso contrário, não será possível fechar o túnel VPN. Instalando o Freeswan 2.5 2. 3. 4. 5. O Freeswan pode ser instalado à partir do source, ou via binários RPM, neste doc iremos mostrar como instalá-lo via RPM; O detalhe mais importante da instalação é verificarmos se o Kernel instalado já é compatível com o Freeswan; Para verificar a versão do Kernel, utilize o comando uname -r ; No site do Freeswan temos que baixar o binário referente ao kernel da máquina onde ele será instalado. Instalar os dois binários utilizando o comando rpm -ivh Configurar o Freeswan O Freeswan possui dois arquivos de configuração: /etc/ipsec.conf /etc/ipsec.secrets Configurar a seguinte configuração no arquivo ipsec.conf: conn %default keyingtries=20
7 de 7 conn aker left= leftsubnet= leftnexthop= right= rightsubnet= rightnexthop= authby=secret pfs=no auto=add # Tempo para troca de chave ikelifetime=28800s keylife=28800s rekey=no Configurar o arquivo ipsec.secrets da seguinte maneira: : PSK "" Iniciando o Freeswan 2. 3. Iniciar o Freeswan: service ipsec startt Iniciar a vpn: ipsec auto up aker Ativando o forward: echo 1 > /proc/sys/net/ipv4/ip_forward Outros comandos 2. Status do ipsec: ipsec verify Parando a vpn: ipsec auto down aker