Endian 2.5.1 – VPN IPSec configurando acesso para 2 ou mais redes na VPN

[Diego Pontes]

Cenário: Preciso ter comunicação entre as redes da minha empresa e em uma delas eu tenho duas redes locais e essas duas redes precisam ter comunicação com a rede da filial e vice versa.

Obs: Pode ter mais de 2 redes locais, também pode ser 2 redes em cada site, basta usar a mesma ideia.

Na versão 2.5.1 ficou um pouco mais complexo por conta que o pacote do ipsec é o STRONGWAN, na versão 2.4.1 o ipsec ainda é OPENSWAN é bem mais simples, caso alguém precise, também posso postar a configuração.

-Vpn > Ipsec > Ativa Ipsec.

-Criar vpn rede para rede.

– Matriz – 2 Redes Lan (Verde e Laranja).

–Interface: Link válido da matriz que você vai utilizar para fechar o túnel.

-Exemplo: 200.200.200.200

–Subnet local: Coloca a rede verde da matriz.

-Exemplo: 192.168.0.0/24

–Anfitrião/IP remoto: Link válido da filial que você vai utilizar para fechar o túnel.

-Exemplo: 190.190.190.190

–Subnet remota: Coloca a rede verde da filial.

-Exemplo: 192.168.50.0/24

Filial – 1 Rede Lan.

–Interface: Link válido da filial que você vai utilizar para fechar o túnel.

-Exemplo: 190.190.190.190

–Subnet local: Coloca a rede verde da filial.

-Exemplo: 192.168.5.0/24

–Anfitrião/IP remoto: Link válido da matriz que você vai utilizar para fechar o túnel.

-Exemplo: 200.200.200.200

–Subnet remota: Coloca a rede verde da matriz.

-Exemplo: 192.168.0.0/24

Autenticação: Essa configuração é utilizando via PSK, também fiz o mesmo processo com certificado, se um dia alguém precisar também posso postar a configuração.

Obs: Mesma senha nos dois locais.

Terminado isso a vpn vai estar funcional, mas só irá comunicar com a rede verde da matriz, queremos que ela se comunique com a outra rede da matriz, vamos chamar de laranja.

Acessa via ssh o Endian da filial.

Edite o seguinte arquivo (sempre faça bkp dos arquivos antes das alterações): /etc/ipsec/ipsec.conf.tmpl

Quase no final do arquivo você deverá incluir essas configurações que estarão marcadas abaixo, inclua exatamente nesse local sem fazer alterações no resto dele:

Obs: O que tem fora do ############## é do próprio arquivo, não mexa.

Obs: O espaçamento tem que ser respeitado, como no fórum não da pra postar com o espaçamento, pegue o exemplo de como é feito no próprio arquivo (entre esse “if” e o “end if”) ou veja no arquivo .conf:

#if $conn.connection_type == ‘l2tp’

leftprotoport=17/1701

rightprotoport=17/%any

#end if

#end for

###########################INICIO # DA # INCLUSAO##########################################

conn redelaranja

dpdaction=restart

dpddelay=30s

dpdtimeout=120s

right=200.200.200.200

rightsubnet=10.10.10.0/24

left=190.190.190.190

leftnexthop=190.190.190.199

leftsubnet=192.168.5.0/24

leftsourceip=192.168.5.1

leftid=190.190.190.190

rightid=200.200.200.200

pfs=no

auto=start

ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024

esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5

authby=secret

ikelifetime=1h

keylife=8h

keyexchange=ikev1

#####################################FIM # DA # INCLUSAO####################################

#

## disable opportunistic encryption

#

conn block

auto=ignore

conn private

auto=ignore

conn private-or-clear

auto=ignore

conn clear-or-private

auto=ignore

conn clear

auto=ignore

conn packetdefault

auto=ignore

#try

#include “/var/efw/vpn/ipsec.custom.tmpl”

#except

#pass

#end try

Obs: Após isso reinicie o ipsec na interface para que ele jogue as configurações do arquivo .tmpl para o arquivo .conf e estará funcionando as duas redes.

Verificar o status das vpns:

ipsec status

Detalhe:

conn nome.da.vpn.a.sua.escolha

dpdaction=restart

dpddelay=30s

dpdtimeout=120s

right=Ip do Link válido da matriz

rightsubnet=Rede laranja da matriz (rede que estava faltando a comunicação)

left=Ip do Link válido da filial

leftnexthop=Gateway do link válido da filial

leftsubnet=Rede lan da filial

leftsourceip=Ip da br0 da filial

leftid=Ip do link válido da filial

rightid=Ip do link válido da matriz

[Diego Pontes]

Esqueci de falar, tem que fazer na Matriz também:

Acessa via ssh o Endian da matriz.

Edite o seguinte arquivo (sempre faça bkp dos arquivos antes das alterações): /etc/ipsec/ipsec.conf.tmpl

Quase no final do arquivo você deverá incluir essas configurações que estarão marcadas abaixo, inclua exatamente nesse local sem fazer alterações no resto dele:

Obs: O que tem fora do ############## é do próprio arquivo, não mexa.

Obs: O espaçamento tem que ser respeitado, como no fórum não da pra postar com o espaçamento, pegue o exemplo de como é feito no próprio arquivo (entre esse “if” e o “end if”) ou veja no arquivo .conf:

#if $conn.connection_type == ‘l2tp’

leftprotoport=17/1701

rightprotoport=17/%any

#end if

#end for

###########################INICIO # DA # INCLUSAO##########################################

conn redelaranja

dpdaction=restart

dpddelay=30s

dpdtimeout=120s

right=190.190.190.190

rightsubnet=192.168.5.0/24

left=200.200.200.200

leftnexthop=200.200.200.199

leftsubnet=10.10.10.0/24

leftsourceip=10.10.10.1

leftid=200.200.200.200

rightid=190.190.190.190

pfs=no

auto=start

ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024

esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5

authby=secret

ikelifetime=1h

keylife=8h

keyexchange=ikev1

#####################################FIM # DA # INCLUSAO####################################

#

## disable opportunistic encryption

#

conn block

auto=ignore

conn private

auto=ignore

conn private-or-clear

auto=ignore

conn clear-or-private

auto=ignore

conn clear

auto=ignore

conn packetdefault

auto=ignore

#try

#include “/var/efw/vpn/ipsec.custom.tmpl”

#except

#pass

#end try

Obs: Após isso reinicie o ipsec na interface para que ele jogue as configurações do arquivo .tmpl para o arquivo .conf e estará funcionando as duas redes.

[Autor]

Posts