IPsec sem CA

Home Comunidade Brasileira Endian Firewall Endian Firewall Dicas e Tutoriais IPsec sem CA

Visualizando 7 respostas da discussão
  • Autor
    Posts
    • novembro 30, 2011 às 11:46 pm #1494
      Cardoso
      Participante

      Pessoal, estou tentando configurar minha VPN net-to-net com um Check Point na outra ponta. Já pesquisei em vários forúns e todos mostram como fazer essa configuração, porém, devo exportar um certificado (CA) para a outra ponta.

      Gostaria da ajuda de vocês sobre como fazer esta configuração IPsec sem criar um CA.

      Obrigado.

      Rodrigo Cardoso


      Wireguard_webadmin

      Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.

      Principais funcionalidades:

      - Sistema de Firewall completo e flexível.
      - Encaminhamento de portas
      - Suporte a multi usuário com níveis diferentes de acesso
      - Múltiplas instâncias do Wireguard
      - Crypto key routing para configuração de VPN site-to-site

      O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin

    • dezembro 1, 2011 às 12:47 am #9777
      Eduardo Jonck
      Participante

      Cardoso, não vejo outra forma de fazer qualquer tipo de túnel sem certificado, pois todos os tuneis, já são feitos para garantir a segurança, no caso do IPSEC nem se fala então, pois já estamos falando de uma conexão mais segura ainda que VPN norma, que usa protocolo PPTP, da minha parte seria isso.

      Só por curiosidade, de que cidade vc está falando, pois tive um professor com esse nome.

    • dezembro 1, 2011 às 2:56 pm #9778
      Cardoso
      Participante

      Olá Eduardo, bom dia.

      Concordo que o túnel deve ter certificado, por isso, que o IKE troca as SA na fase 1 e na fase 2 da VPN com IPsec. Porém, o que eu vi nos forúns é que é necessário gerar uma CA e exportar essa CA (manualmente) para que esta seja instalada (manualmente) no outro firewall.

      Sou de São Paulo.

      Obrigado.

      Rodrigo Cardoso.

    • dezembro 5, 2011 às 3:18 pm #9779
      Paulo Costa
      Participante

      Você pode usar a pre-shared key, não é um certificado mais garante o Tunnel.

      Hoje eu tenho em produção uma VPN IPSEC usando pre-shared key, e sem problema algum de autenticação e com o TUNNEL UP, o meu problema é como foi implentado o outro lado.

      post no forum : Novo Problema para montar uma VPN IPSEC).

      Se eu abrir um putty no endian pingar o outro servidor no cliente VPN funciona tudo sem problema.

      Abs,

    • dezembro 5, 2011 às 3:21 pm #9780
      Paulo Costa
      Participante

      Esqueci de comentar a outra ponta é um firewall FortiGate(equialeme a um check point) e quem gerou a Pre-Shared foram eles.

    • dezembro 5, 2011 às 7:01 pm #9781
      Cardoso
      Participante

      Paulo,

      Perfeito Paulo! Vou utilizar a PSK para fechar a VPN com IPsec.

      Referente ao seu problema: creio que o motivo seja que a outra ponta esteja esperando um proxy-id diferente do que seu firewall está enviando.

      Tens algum log?

      Abraço

    • dezembro 6, 2011 às 10:17 am #9782
      Paulo Costa
      Participante

      Cardoso,

      Ontem eu fiz um Source NAT apontando toda a minha rede Exemplo abaixo:

      Source Destination Service NAT to

      192.168.221.0/24 IPSEC <ANY> 192.168.221.1

      A zebro foi que o Endian deu um dump e parou.

      Abs,

    • dezembro 6, 2011 às 12:02 pm #9783
      Cardoso
      Participante

      Paulo,

      Maravilha!

      Obrigado pela ajuda.

      Abraço.

  • Autor
    Posts
Visualizando 7 respostas da discussão
  • O tópico ‘IPsec sem CA’ está fechado para novas respostas.