Home › Comunidade Brasileira Endian Firewall › Endian Firewall › Endian Firewall – Suporte › Endian 2.5.1 – VPN IPSec configurando acesso para 2 ou mais redes na VPN
- Este tópico contém 1 resposta, 1 voz e foi atualizado pela última vez 10 anos, 7 meses atrás por Diego Pontes.
- AutorPosts
- setembro 11, 2013 às 10:12 pm #2990Diego PontesParticipante
Cenário: Preciso ter comunicação entre as redes da minha empresa e em uma delas eu tenho duas redes locais e essas duas redes precisam ter comunicação com a rede da filial e vice versa.
Obs: Pode ter mais de 2 redes locais, também pode ser 2 redes em cada site, basta usar a mesma ideia.
Na versão 2.5.1 ficou um pouco mais complexo por conta que o pacote do ipsec é o STRONGWAN, na versão 2.4.1 o ipsec ainda é OPENSWAN é bem mais simples, caso alguém precise, também posso postar a configuração.
-Vpn > Ipsec > Ativa Ipsec.
-Criar vpn rede para rede.
– Matriz – 2 Redes Lan (Verde e Laranja).
–Interface: Link válido da matriz que você vai utilizar para fechar o túnel.
-Exemplo: 200.200.200.200
–Subnet local: Coloca a rede verde da matriz.
-Exemplo: 192.168.0.0/24
–Anfitrião/IP remoto: Link válido da filial que você vai utilizar para fechar o túnel.
-Exemplo: 190.190.190.190
–Subnet remota: Coloca a rede verde da filial.
-Exemplo: 192.168.50.0/24
Filial – 1 Rede Lan.
–Interface: Link válido da filial que você vai utilizar para fechar o túnel.
-Exemplo: 190.190.190.190
–Subnet local: Coloca a rede verde da filial.
-Exemplo: 192.168.5.0/24
–Anfitrião/IP remoto: Link válido da matriz que você vai utilizar para fechar o túnel.
-Exemplo: 200.200.200.200
–Subnet remota: Coloca a rede verde da matriz.
-Exemplo: 192.168.0.0/24
Autenticação: Essa configuração é utilizando via PSK, também fiz o mesmo processo com certificado, se um dia alguém precisar também posso postar a configuração.
Obs: Mesma senha nos dois locais.
Terminado isso a vpn vai estar funcional, mas só irá comunicar com a rede verde da matriz, queremos que ela se comunique com a outra rede da matriz, vamos chamar de laranja.
Acessa via ssh o Endian da filial.
Edite o seguinte arquivo (sempre faça bkp dos arquivos antes das alterações): /etc/ipsec/ipsec.conf.tmpl
Quase no final do arquivo você deverá incluir essas configurações que estarão marcadas abaixo, inclua exatamente nesse local sem fazer alterações no resto dele:
Obs: O que tem fora do ############## é do próprio arquivo, não mexa.
Obs: O espaçamento tem que ser respeitado, como no fórum não da pra postar com o espaçamento, pegue o exemplo de como é feito no próprio arquivo (entre esse “if” e o “end if”) ou veja no arquivo .conf:
#if $conn.connection_type == ‘l2tp’
leftprotoport=17/1701
rightprotoport=17/%any
#end if
#end for
###########################INICIO # DA # INCLUSAO##########################################
conn redelaranja
dpdaction=restart
dpddelay=30s
dpdtimeout=120s
right=200.200.200.200
rightsubnet=10.10.10.0/24
left=190.190.190.190
leftnexthop=190.190.190.199
leftsubnet=192.168.5.0/24
leftsourceip=192.168.5.1
leftid=190.190.190.190
rightid=200.200.200.200
pfs=no
auto=start
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
authby=secret
ikelifetime=1h
keylife=8h
keyexchange=ikev1
#####################################FIM # DA # INCLUSAO####################################
#
## disable opportunistic encryption
#
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#try
#include “/var/efw/vpn/ipsec.custom.tmpl”
#except
#pass
#end try
Obs: Após isso reinicie o ipsec na interface para que ele jogue as configurações do arquivo .tmpl para o arquivo .conf e estará funcionando as duas redes.
Verificar o status das vpns:
ipsec status
Detalhe:
conn nome.da.vpn.a.sua.escolha
dpdaction=restart
dpddelay=30s
dpdtimeout=120s
right=Ip do Link válido da matriz
rightsubnet=Rede laranja da matriz (rede que estava faltando a comunicação)
left=Ip do Link válido da filial
leftnexthop=Gateway do link válido da filial
leftsubnet=Rede lan da filial
leftsourceip=Ip da br0 da filial
leftid=Ip do link válido da filial
rightid=Ip do link válido da matriz
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-siteO projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
- setembro 12, 2013 às 11:10 am #14793Diego PontesParticipante
Esqueci de falar, tem que fazer na Matriz também:
Acessa via ssh o Endian da matriz.
Edite o seguinte arquivo (sempre faça bkp dos arquivos antes das alterações): /etc/ipsec/ipsec.conf.tmpl
Quase no final do arquivo você deverá incluir essas configurações que estarão marcadas abaixo, inclua exatamente nesse local sem fazer alterações no resto dele:
Obs: O que tem fora do ############## é do próprio arquivo, não mexa.
Obs: O espaçamento tem que ser respeitado, como no fórum não da pra postar com o espaçamento, pegue o exemplo de como é feito no próprio arquivo (entre esse “if” e o “end if”) ou veja no arquivo .conf:
#if $conn.connection_type == ‘l2tp’
leftprotoport=17/1701
rightprotoport=17/%any
#end if
#end for
###########################INICIO # DA # INCLUSAO##########################################
conn redelaranja
dpdaction=restart
dpddelay=30s
dpdtimeout=120s
right=190.190.190.190
rightsubnet=192.168.5.0/24
left=200.200.200.200
leftnexthop=200.200.200.199
leftsubnet=10.10.10.0/24
leftsourceip=10.10.10.1
leftid=200.200.200.200
rightid=190.190.190.190
pfs=no
auto=start
ike=aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3des-md5-modp1024
esp=aes128-sha1,aes128-md5,3des-sha1,3des-md5
authby=secret
ikelifetime=1h
keylife=8h
keyexchange=ikev1
#####################################FIM # DA # INCLUSAO####################################
#
## disable opportunistic encryption
#
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#try
#include “/var/efw/vpn/ipsec.custom.tmpl”
#except
#pass
#end try
Obs: Após isso reinicie o ipsec na interface para que ele jogue as configurações do arquivo .tmpl para o arquivo .conf e estará funcionando as duas redes.
- AutorPosts
- O tópico ‘Endian 2.5.1 – VPN IPSec configurando acesso para 2 ou mais redes na VPN’ está fechado para novas respostas.