Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

Neste artigo veremos como instalar e configurar uma VPN utilizando o IPSec e Openswan. A distribuição utilizada foi o SUSE Linux 9.3.

[ Hits: 82.851 ]

Por: Sandro Venezuela em 17/04/2007


Conceito de VPN



VPN, Virtual Private Network, surgiu a partir da necessidade de utilizar redes de comunicação não confiáveis para trafegar informações de forma segura, por exemplo, interligar matriz e filial, parceiros de negócios ou qualquer outra situação que exija uma conexão segura por meios inseguros.

A VPN utiliza um padrão de criptografia mundial, estipulado por órgãos mundiais IETF, Internet Engineering Task Force. O grande objetivo da VPN é trafegar dados entre redes WAN de forma a criar um túnel, no qual possa manter as informações encriptadas. Também tem como objetivo melhorar o processo de segurança na rede, ao criar uma relação de confiança, deixando assim, cada gateway dependente de sua própria chave pública que é trafegada durante o processo de conexão.

A VPN baseia-se na tecnologia de tunelamento, onde essa técnica consiste em encapsular um protocolo dentro do outro. É importante registrar que, para estabelecer um túnel, é necessário que as duas extremidades utilizem o mesmo protocolo de tunelamento.

O tunelamento pode ocorrer na camada 2 ou 3, respectivamente enlace e rede. Os protocolos para tunelamento nível 2 são: PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) e L2F (Layer 2 Forwarding).

Para o tunelamento nível 3, temos o IPSec (IP Security Tunnel Mode), que permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional desse mesmo protocolo para serem transportados numa rede IP pública ou privada.

O IPSec utiliza 3 protocolos: AH (Authentication Header), ESP (Encapsulating Security Payload) e IKE (Internet Key Exchange). É importante deixar registrado que todos os protocolos utilizam UDP e a porta 500. O protocolo AH tem o número 51 e o protocolo ESP tem o número 50.

OBS.: O IPSec não garante a segurança de usuários e nem das máquinas que estão na rede, a única coisa que ele faz é criptografar e garantir a segurança das informações que estão passando pelo túnel.

    Próxima página

Páginas do artigo
   1. Conceito de VPN
   2. Instalação
   3. Firewall para VPN
Outros artigos deste autor

Instalando o QEMU no Fedora Core 4

Instalando a placa de rede wireless DWL-G520+ no Fedora Core 3

Construindo um Firewall / Proxy com o Fedora Core 4

Integrando o Amavisd-new, SpamAssassin e ClamAV com o Postfix no SuSE 9.3

Leitura recomendada

Backup gerenciável usando tar

Personalizando o HLBR - IPS invisível

Detectando vulnerabilidades com o Nessus

Knockd (bate, bate, bate na porta do céu)

Apache2 + PHP5 com ModSecurity no Debian Squeeze

  
Comentários
[1] Comentário enviado por mbmaciel em 20/04/2007 - 08:16h

Olá!

Antes de mais nada ... ótimo artigo!

E qual a principal diferença entre essa solução de vpn e outra com o openvpn?

[]'s
MM

[2] Comentário enviado por s4ndr0 em 23/04/2007 - 14:28h

A principal diferença entre Openswan e OpenVPN está no padrão de conexão utilizado, onde enquanto o Openswan utiliza o protocolo IPSec, o OpenVPN é uma solução baseada em SSL/TLS.

A solução OpenVPN ainda é relativamente nova e poucos hardwares suportam, pois preferem utilizar o IPSec, que é um padrão.

Para maiores detalhes, aconselho os sites dos projetos:

http://www.openswan.org
http://openvpn.net

Até mais,
Sandro

[3] Comentário enviado por brlukas em 17/10/2007 - 10:44h

Muito bem explicado.

Como ficaria a configuração para uma situação onde é necessário conectar um note com IP Dinâmico via internet a um SERVIDOR com ip fixo EX.: 200.246.217.17?

abraço.
Luiz Rodrigues

[4] Comentário enviado por cassioseffrin em 30/03/2008 - 16:39h

Olá Sandro,

Gostaria de saber se seria possível conectar diversas filiais a uma matriz? Ou seja, criar diversos gateways com o ipsec.conf utilizando o parametro auto=start (filial), e apenas na matriz usando o auto=add.

Obrigado,

Cássio

[5] Comentário enviado por xcyclops em 12/01/2010 - 09:51h


Olá Sandro e Galera do Forum,

Estou com o seguinte problema:
LOG do meu FIREWALL

====>>>>

fw:/var/log # tail -f /var/log/messages | grep vpn
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw pluto[13188]: "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw pluto[13188]: "vpn" #6: initiating Main Mode to replace #5
Jan 12 10:36:54 fw ipsec__plutorun: 104 "vpn" #5: STATE_MAIN_I1: initiate
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 20s for response
Jan 12 10:36:54 fw ipsec__plutorun: 010 "vpn" #5: STATE_MAIN_I1: retransmission; will wait 40s for response
Jan 12 10:36:54 fw ipsec__plutorun: 031 "vpn" #5: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:36:54 fw ipsec__plutorun: 000 "vpn" #5: starting keying attempt 2 of at most 3, but releasing whack
Jan 12 10:36:54 fw ipsec__plutorun: ...could not start conn "vpn"
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message
Jan 12 10:38:04 fw pluto[13188]: "vpn" #6: starting keying attempt 3 of at most 3
Jan 12 10:38:04 fw pluto[13188]: "vpn" #9: initiating Main Mode to replace #6
Jan 12 10:39:14 fw pluto[13188]: "vpn" #9: max number of retransmissions (2) reached STATE_MAIN_I1. No response (or no acceptable response) to our first IKE message


<<<<======


MEU AMBIENTE É:
MATRIZ: Firewall OpenSuse
FILIAL: Router Planet MH-2001 VPN ( http://www.planet.com.tw/en/product/product_ov.php?id=7708 )

Ja fiz muitas alteraçoes e testes e nao sobe a VPN.

SERÁ QUE ALGUÉM PODE ME AJUDAR?
Obrigado.

Att. xcyclops


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts