Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

O Openswan é uma ferramenta indispensável para conectar dois sites de forma segura através da internet. Nesse artigo além de mostrar a instalação e configuração do Openswan no Debian Jessie, será simulado todo o ambiente utilizando o GNS3.

[ Hits: 12.837 ]

Por: Sergei Martao em 23/11/2015


Introdução



Há um tempo escrevi um artigo:
De introdução do GNS3, usando os conceitos apresentados, montarei um ambiente com dois servidores em locais separados que precisam se comunicar pela internet utilizando um conexão segura, o jeito mais simples é instalar o Openswan e criar uma VPN IPsec entre as localidades.

O objetivos desse artigo são:
  • Criar o ambiente de simulação usando o GNS3 e configurar regras básicas do firewall.
  • Mostrar a instalação e configuração do Openswan no Debian Jessie em ambas as pontas (Peers).
  • Validar o funcionamento da conexão VPN IPsec.

Antes de começar:

Ao longo do artigo estarei citando a matriz da empresa XPTO sendo Site-A e o novo escritório sendo Site-B.
Sempre que referir a "Site" quero dizer local, escritório, empresa, e não ao significado mais comum que é relacionado a sites de internet, ou seja fazer uma VPN Site-to-Site é fechar uma conexão entre dois escritórios ou empresas.

Os servidores com hostname D8-xxxx serão maquinas virtuais no VirtualBox utilizadas pelo GNS3, o Desk02 e BB-Saida-Internet serão túneis configurado no host hospedeiro.

Estudo de caso:

A empresa XPTO possui uma matriz (Site-A) com duas redes, 172.16.10.0/24 é a rede servidores onde existe uma aplicação de intranet, a rede de desktop é 172.16.0.0/24, por ser adepta de software open decidiu usar firewalls, servidores e desktop Linux, optando pela distribuição Debian 8.

Recentemente adquiriu um novo escritório (Site-B), que será implantado outra aplicação que irá se comunicar com os servidores do escritório principal (Site-A) a rede de servidores desse escritório é 192.168.0.0/24. Devido aos altos custos de um link ponto a ponto decidiu adquirir um link de internet para comunicação entre os sites, o Site-A possui o IP válido 201.27.8.2 e o Site-B 187.8.230.2, no entanto os dados que trafegam entre os servidores são sigilosos e por isso a comunicação deve ser criptografada. Portando é necessário a implantação de uma solução simples, rápida e segura para conectar os sites.

O primeiro software que vem na mente do administrador de rede é o Openswan, que atende a todos os requisitos.

Descrição dos hosts:
  • D8-FW02 - Firewall do Site-A onde sera instalado o Openswan.
  • D8-FW01 - Firewall do Site-B onde sera instalado o Openswan.
  • D8-SRV02 - Servidor de aplicação do Site-A.
  • D8-SRV01 - Servidor de aplicação do Site-B.
  • D8-BB01 - Servidor que fará o papel de backbone da operadora de internet entre os dois sites, de forma resumida ele será apenas um servidor em bridge entre os dois sites e um gateway de internet para todos os hosts.
  • Desk02 - Desktop do Site-A que utilizará o túnel tap1.
  • BB-Saida-Internet - Backbone que permite a saída para internet de toda rede GNS, utilizará o túnel tap0.

Abstraindo o estudo de caso a cima, a situação da empresa XPTO é a seguinte:
Linux: Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3
    Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando VMs e host hospedeiro
   3. Instalação e configuração do Openswan
   4. Validar funcionamento da VPN IPsec
Outros artigos deste autor

Utilizando o script vpnautomatica

Configurando o segundo default gateway para um link de entrada específico

Simulando redes com o GNS

Planejando e migrando softwares do Windows para o Linux

Criando um template customizado para o CACTI

Leitura recomendada

Emulador de Redes Mininet

Instalação OpenMeettings no Debian 7

Debian 9: como instalar TL-WN823N v2 (TP-LINK)

Problemas encontrados na adoção do IPv6

Autenticação Wireless WPA-WPA2 Pre-Shared-key

  
Comentários
[1] Comentário enviado por weidsom em 05/12/2015 - 19:44h


Valeu fera belo artigo!

[2] Comentário enviado por sergeimartao em 07/12/2015 - 23:14h

Fico feliz que tenha gostado, vlw!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts