Configurando um tnel de VPN em dois routers da Linksys RV042

Publi 09/25/2008 03:16 PM | Mis jour 09/26/2008 12:57 PM Como configurar um tnel de VPN em dois routers da Linksys ? Uma Rede privada virtual (VPN) uma ligao entre dois pontos finais - Routers VPN, por exemplo - em redes diferentes e que permite enviar dados privados de modo seguro atravs de uma rede partilhada ou pblica, como, por exemplo, a Internet. Uma rede privada, que envia dados de modo seguro entre estas duas localizaes ou redes, estabelecida criando um tnel. Um tnel de VPN liga dois computadores ou redes e permite que os dados sejam transmitidos atravs da Internet como se os pontos finais se encontrassem numa rede. Literalmente, no se trata de um tnel; uma ligao protegida pela encriptao dos dados enviados entre as duas redes. Este artigo explica os quatro passos necessrios para configurar um tnel de VPN utilizando dois routers da Linksys e apresenta tambm uma descrio geral da VPN. Seleccione uma hiperligao abaixo para ir directamente para uma seco:

Descrio geral da VPN Verificar a ligao Internet Verificar as definies de VPN nos dois routers Configurar as definies do tnel de VPN no Router A Configurar as definies do tnel de VPN no Router B

Descrio geral da VPN O conjunto de protocolos IPSec foi concebido para suportar vrios modos de funcionamento para proteger as comunicaes numa rede de protocolo IP (Internet Protocol). Um tnel de VPN entre dois routers interligados atravs da Internet apenas um dos modos suportados. Este tipo de tnel de VPN fornece os seguintes servios rede:

Privacidade - Encriptao do trfego (Cabealhos de protocolos e Payload) de modo a que no possa ser lido por entidades que no aquelas a que se destina. Integridade - Validao que garante que o trfego no modificado no caminho de transporte entre os dispositivos de tnel. Autenticao - Garantia de que os dispositivos de ponto final (os routers) so as origens fidedignas correctas. Anti-reproduo - Garantia de que as sesses esto protegidas contra ataques de reproduo por dispositivos intermedirios.

Estes servios so activados pelo administrador na configurao inicial atravs da seleco de parmetros especficos a partir dos protocolos criptogrficos disponveis que asseguram fluxos de pacotes seguros e a autenticao mtua de dispositivos. O IPSec cria um tnel seguro atravs da criao de uma Associao de segurana (SA) entre os dois dispositivos a serem configurados. Nominalmente, a SA a lista de

seleces que definem os parmetros de encriptao e autenticao escolhidos pelo administrador para esta configurao de tnel em particular. A SA define os algoritmos de encriptao e as chaves criptogrficas utilizados para codificar e descodificar o trfego e quais as capacidades de IKE (Internet Key Exchange - o protocolo utilizado para configurar a SA) utilizadas para gerir essas chaves. Uma vez que existem muitas opes, os dois lados da comunicao tm de chegar a acordo quanto aos parmetros utilizados para configurar a SA (o que significa que ambos os routers tm de ter os mesmos parmetros de configurao seleccionados). O IKE ocorre em 2 fases. Na fase 1, criado um canal de comunicao autenticado e seguro (denominado SA de IKE) entre os dois dispositivos, de modo a que a troca de chaves necessria para configurar o IPSec (e a SA de IPSec) possa ser executada na Fase 2. Os parmetros a seleccionar incluem:

Keying Mode (Modo de gesto de chaves) - Indica se as chaves de encriptao reais sero introduzidas manualmente pelo administrador (Manual) ou definidas automaticamente (e alteradas periodicamente) pelos dispositivos; o administrador introduzir uma chave de "inicializao" pr-partilhada que tem de ser introduzida em ambos dos dispositivos (IKE with Pre-Shared Key (IKE com chave pr-partilhada)). IKE with Preshared Key (IKE com chave prpartilhada) mais seguro e recomendado se for suportado pelos dois dispositivos finais (ambos os routers). Phase 1 (ou 2) DH Group (Grupo DH da fase 1 (ou 2)) - Indica que grupo de protocolos de troca de chaves e comprimento de chave correspondente sero utilizados em cada fase: o Group 1 (768 bits) (Grupo 1 (768 bits)) o Group 2 (1024 bits) (Grupo 2 (1024 bits)) o Group 5 (1536 bits) (Grupo 5 (1536 bits)). ] Os comprimentos menores devem ser mais rpidos, mas os maiores so mais seguros. Seleccione um grupo de acordo com a sua preferncia administrativa. Phase 1 (ou 2) Encryption (Encriptao da fase 1 (ou 2)) - Indica que mtodos de encriptao padro disponveis sero utilizados em cada fase. As opes normais incluem: o Data Encryption Standard (DES) - Chaves de 56 bits; susceptvel a ataques de fora bruta e, por isso, substitudo pelo 3DES o Triple Data Encryption Standard (3DES) -192 bits; substitudo subsequentemente pelo AES o Advanced Encryption Standard (AES) Em geral, o AES normalmente mais rpido em software e dever ser seleccionado se estiver disponvel. Caso contrrio, recomendado o 3DES (se for suportado pelos dois dispositivos). Phase 1 (ou 2) Authentication (Autenticao da fase 1 (ou 2)) - Indica que mtodo de autenticao ser utilizado para garantir que o trfego no foi alterado. Normalmente, as opes disponveis incluem: o Message Digest 5 (MD5) (Resumo de mensagens 5 (MD5)) o Security Hash Algorithm (SHA) (Algoritmo hash de segurana (SHA))

O SHA mais seguro e deve ser utilizado se estiver disponvel.

Phase 1 (ou 2) SA Life Time (Durao da SA da fase 1 (ou 2)) - O perodo de tempo (segundos) durante o qual a SA pode permanecer activa em cada fase. A predefinio 28.800 segundos (oito horas). Perfect Forward Secrecy (PFS) - Nominalmente, o PFS significa que as chaves de encriptao so de utilizao nica; se uma chave for decifrada, no poder ser utilizada para decifrar chaves subsequentes ou anteriores na sequncia. Preshared Key (Chave pr-partilhada) - O valor baseado em caracteres ou de base hexadecimal definido pelo administrador e utilizado como chave de inicializao pr-partilhada para o IKE.

Nota: Para obter uma explicao mais detalhada sobre a criao de tneis de VPN IPSec, incluindo consideraes sobre mltiplos locais, clique aqui.Este tipo de configurao de tnel entre dois dispositivos de rede (routers) cria uma sub-rede IP encaminhada, o que significa que os pacotes que atravessam o tnel entre os locais tm de ser encaminhados por IP (na camada 3, e no em bridge na camada 2) atravs da rede. Fundamentalmente, isto significa que:

Cada local tem de ter um endereo de sub-rede IP exclusivo na respectiva interface de LAN (ou seja, 192.168.1.x para o local 1, 192.168.2.x para o local 2, etc.). Especificamente, o mesmo endereo de sub-rede (tal como 192.168.1.x) NO pode ser utilizado em mais de um local. Em cada dispositivo, necessrio configurar no apenas o respectivo endereo de sub-rede de LAN local, mas tambm a informao do endereamento de LAN utilizado no local remoto. Em cada dispositivo, necessrio configurar as informaes que permitem ao dispositivo determinar o endereo IP da WAN do local remoto:

Os endereos IP da WAN podem ser determinados manualmente pelo administrador durante a configurao do local remoto atravs do endereo da WAN configurado estaticamente pelo administrador (na realidade, o endereo atribudo pelo ITSP) ou indicado dinamicamente ao dispositivo a partir do servio DHCP do ITSP. Nota: Neste cenrio, se o endereo IP do dispositivo remoto for alterado (por exemplo, aps uma reinicializao e nova atribuio de DHCP), a configurao de IPSec do dispositivo local deixar de funcionar (uma vez que o endereo do dispositivo remoto foi alterado e desconhecido actualmente). o Em alternativa, os endereos IP de WAN dos dispositivos remotos podem ser determinados dinamicamente fazendo com que o dispositivo remoto comunique qualquer actualizao ao respectivo endereo IP de WAN configurado atravs da utilizao do DNS dinmico. Se o D-DNS estiver activado num dispositivo, ao ser informado do respectivo endereo IP da WAN (configurado manualmente ou atribudo por DHCP), o dispositivo actualiza o novo endereo IP no sistema DNS da Internet. O D-DNS permite o mapeamento de nomes de domnio para endereos IP e, assim, qualquer dispositivo (tal como o router local) pode determinar o endereo IP actual de

um dispositivo remoto efectuando uma consulta de DNS baseada no nome do dispositivo remoto (por exemplo, 'www.abc.com'). Desta forma, necessrio que o dispositivo remoto esteja activado para D-DNS e que o dispositivo local esteja configurado para resolver o endereo IP da WAN do dispositivo remoto utilizando o sistema DNS. Voltar ao incio Verificar a ligao Internet Antes de ligar a um tnel de VPN, certifique-se de que tem uma ligao Internet activa que permite aos dois routers comunicarem. Para obter instrues, clique em aqui. Quando tiver verificado a conexo com a Internet, siga as instrues abaixo para verificar as definies sobre os routers VPN. Verificar as definies de VPN nos dois routers A configurao com xito de um tnel de VPN requer definies especficas. Seguemse as instrues. Passo 1: Acessar pgina de configurao baseada na Web do router. Para obter instrues, clique em aqui. Passo 2: Seleccione o separador System Summary (Resumo do sistema) e reveja o Network Setting Status (Estado de definio da rede). No estado de definio da rede do Router A:

O endereo IP da WAN1 o IP do gateway de segurana remoto do Router B O endereo IP da LAN o grupo de segurana local do Router A O endereo IP da LAN tambm o IP do grupo de segurana remoto do Router B

No estado de definio da rede do Router B:

O endereo IP da WAN1 o IP do gateway de segurana remoto do Router A O endereo IP da LAN o grupo de segurana local do Router B O endereo IP da LAN tambm o IP do grupo de segurana remoto do Router A

Passo 3: Certifique-se de que os endereos IP locais dos dois routers so diferentes. No se esquea de que o endereo IP local do Router A ser o grupo de segurana remoto do Router B. NOTA: Para obter instrues sobre a alterao do endereo IP local de um router da Linksys, clique aqui Neste exemplo, ser utilizado o seguinte:

Passo 4: Depois de verificar as definies de VPN nos dois routers, configure as definies do tnel de VPN no Router A. Voltar ao incio

Configurar as definies do tnel de VPN no Router A Passo 1: Acesse pgina de configurao baseada na Web do router. Para obter instrues, clique em aqui. Passo 2: Quando a pgina de configurao baseada na Web do router for apresentada, seleccione o separador VPN e, em seguida, seleccione o subseparador Gateway to Gateway (Gateway para gateway).

Passo 3: No campo Tunnel Name (Nome do tnel), introduza um nome para este tnel. (Neste exemplo, foi utilizado "TnelTeste".) Passo 4: Na seco Local Group Setup (Configurao do grupo local):

Seleccione um Local Security Group Type (Tipo de grupo de segurana local) (Subnet (Sub-rede), IP Addr (Endereo IP) ou IP Range (Intervalo IP)) no menu pendente. No campo IP address (Endereo IP), introduza o endereo IP local do router. (Neste exemplo, foi utilizado 192.168.1.0.) No campo Subnet Mask (Mscara de sub-rede), introduza a mscara de sub-rede do router.(Neste exemplo, foi utilizado 255.255.255.0.) O IP address (Endereo IP) do gateway de segurana local ser gerado automaticamente. (Neste exemplo, 22.15.160.53.)

Passo 5: Na seco Remote Group Setup (Configurao do grupo remoto):

Seleccione um Remote Security Group Type (Tipo de grupo de segurana remoto) (Subnet (Sub-rede), IP Addr (Endereo IP) ou IP Range (Intervalo IP)) no menu pendente. Introduza os valores adequados do router remoto nos campos IP Address (Endereo IP) e Subnet Mask (Mscara de sub-rede). (Neste exemplo, foi seleccionado Subnet (Sub-rede) e introduzido 192.168.2.0 para o IP address (Endereo IP) e 255.255.255.0 para a Subnet Mask (Mscara de sub-rede.) Seleccione um Remote Security Gateway Type (Tipo de gateway de segurana remoto) (IP Addr (Endereo IP), FQDN ou Any (Qualquer)) no menu pendente. Introduza o endereo IP da WAN/Internet do router remoto no campo IP Address (Endereo IP) da Remote Group Setup (Configurao do grupo remoto). (Neste exemplo, foi utilizado 10.100.16.60.)

Passo 6: Na seco IPSec Setup (Configurao de IPSec):

Seleccione IKE with PreShared key (IKE com chave pr-partilhada) no menu pendente Keying Mode (Modo de gesto de chaves). Seleccione o nvel de encriptao que pretende activar nos menus pendentes Phase1 Encryption (Encriptao da fase 1) e Phase2 Encryption (Encriptao da fase 2). (Neste exemplo, foi utilizado DES.) Seleccione o modo de autenticao que pretende activar nos menus pendentes Phase1 Authentication (Autenticao da fase 1) e Phase2 Authentication (Autenticao da fase 2). (Neste exemplo, foi utilizado MD5.) Seleccione a caixa junto a Perfect Forward Secrecy (PFS) para activar. Deste modo, garantir que a troca de chaves inicial e as propostas de IKE so seguras. Introduza a chave que pretende activar no campo Preshared Key (Chave pr-partilhada). (Neste exemplo, foi utilizado "MinhaChave".) Introduza o perodo de expirao da chave nos campos Phase1 SA Life Time (Durao da SA da fase 1) e Phase2 SA Life Time (Durao da SA da fase 2). (Neste exemplo, foi utilizado "28800" para a fase 1 e "3600" para a fase 2.)

NOTA: Os campos seguintes tm de ser iguais nos dois routers:

Phase1 Encryption (Encriptao da fase 1) Phase2 Encryption (Encriptao da fase 2) Phase1 Authentication (Autenticao da fase 1) Phase2 Authentication (Autenticao da fase 2)

Preshared Key (Chave pr-partilhada) Phase1 SA Life Time (Durao da SA da fase 1) Phase2 SA Life Time (Durao da SA da fase 2)

Passo 7: Seleccione Save Settings (Guardar definies) e, em seguida, configure as definies do Router B.

Voltar ao incio

Configurar as definies do tnel de VPN no Router B Passo 1: Acesse pgina de configurao baseada na Web do router. Para obter instrues, clique em aqui Passo 2: Quando a pgina de configurao baseada na Web do router for apresentada, seleccione o separador VPN e, em seguida, seleccione o subseparador Gateway to Gateway (Gateway para gateway).

Passo 3: No campo Tunnel Name (Nome do tnel), introduza um nome para este tnel. (Neste exemplo, foi utilizado "TnelTeste".) Passo 4: Na seco Local Group Setup (Configurao do grupo local):

Seleccione um Local Security Group Type (Tipo de grupo de segurana local) (Subnet (Sub-rede), IP Addr (Endereo IP) ou IP Range (Intervalo IP)) no menu pendente. No campo IP address (Endereo IP), introduza o endereo IP local do router. (Neste exemplo, foi utilizado 192.168.2.0.) No campo Subnet Mask (Mscara de sub-rede), introduza a mscara de sub-rede do router. (Neste exemplo, foi utilizado 255.255.255.0.) O IP address (Endereo IP) do gateway de segurana local ser gerado automaticamente. (Neste exemplo, 10.100.16.60.)

Passo 5: Na seco Remote Group Setup (Configurao do grupo remoto):

Seleccione um Remote Security Group Type (Tipo de grupo de segurana remoto) (Subnet (Sub-rede), IP Addr (Endereo IP) ou IP Range (Intervalo IP)) no menu pendente. Introduza os valores adequados do router remoto nos campos IP Address (Endereo IP) e Subnet Mask (Mscara de sub-rede). (Neste exemplo, foi seleccionado Subnet (Sub-rede) e introduzido 192.168.1.0 para o IP address (Endereo IP) e 255.255.255.0 para a Subnet Mask (Mscara de sub-rede).) Seleccione um Remote Security Gateway Type (Tipo de gateway de segurana remoto) (IP Addr (Endereo IP), FQDN ou Any (Qualquer)) no menu pendente. Introduza o endereo IP da WAN/Internet do router remoto no campo IP Address (Endereo IP) da Remote Group Setup (Configurao do grupo remoto). (Neste exemplo, foi utilizado 22.15.160.53.)

Passo 6: Na seco IPSec Setup (Configurao de IPSec):

Seleccione IKE with PreShared key (IKE com chave pr-partilhada) no menu pendente Keying Mode (Modo de gesto de chaves). Seleccione o nvel de encriptao que pretende activar nos menus pendentes Phase1 Encryption (Encriptao da fase 1) e Phase2 Encryption (Encriptao da fase 2). (Neste exemplo, foi utilizado DES.) Seleccione o modo de autenticao que pretende activar nos menus pendentes Phase1 Authentication (Autenticao da fase 1) e Phase2 Authentication (Autenticao da fase 2). (Neste exemplo, foi utilizado MD5.) Seleccione a caixa junto a Perfect Forward Secrecy (PFS) para activar. Deste modo, garantir que a troca de chaves inicial e as propostas de IKE so seguras. Introduza a chave que pretende activar no campo Preshared Key (Chave pr-partilhada). (Neste exemplo, foi utilizado "MinhaChave".) Introduza o perodo de expirao da chave nos campos Phase1 SA Life Time (Durao da SA da fase 1) e Phase2 SA Life Time (Durao da SA da fase 2). (Neste exemplo, foi utilizado "28800" para a fase 1 e "3600" para a fase 2.)

NOTA: Os campos seguintes tm de ser iguais nos dois routers:

Phase1 Encryption (Encriptao da fase 1) Phase2 Encryption (Encriptao da fase 2) Phase1 Authentication (Autenticao da fase 1) Phase2 Authentication (Autenticao da fase 2) Preshared Key (Chave pr-partilhada) Phase1 SA Life Time (Durao da SA da fase 1) Phase2 SA Life Time (Durao da SA da fase 2)

Passo 7: Seleccione Save Settings (Guardar definies). Passo 8 Seleccione o subseparador Summary (Resumo) no separador VPN e, em seguida, seleccione o boto Connect (Ligar) para estabelecer o tnel.
Voltar ao incio

2008 Cisco Systems, Inc. All rights reserved. Cette rponse a-t-elle t utile ? Oui Non spcifi Votre valuation a t soumise, veuillez nous indiquer comment nous pouvons rendre cette rponse plus utile. Adresse lectronique *Obligatoire Vos commentaires *Obligatoire

Rponses que les autres trouvent utiles

Accs la Page de Configuration du Routeur Configuration dun point daccs comme Point daccs