Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

O Openswan é uma ferramenta indispensável para conectar dois sites de forma segura através da internet. Nesse artigo além de mostrar a instalação e configuração do Openswan no Debian Jessie, será simulado todo o ambiente utilizando o GNS3.

[ Hits: 14.373 ]

Por: Sergei Martao em 23/11/2015


Validar funcionamento da VPN IPsec



Agora que tudo esta instalado e configurado basta validar o funcionamento!

# systemctl status ipsec

Mostra o status do serviço do IPsec, se esta em execução e se existe algum erro.
Linux: Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3
# ipsec auto --status

Mostra o status de todos os túneis VPN bem útil para saber se existe alguma coisa errada, exemplo pendente fase 2. Na imagem a baixo usei o complemento | grep xpto --color para trazer itens apenas da conexão xpto.
Linux: Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

Teste de traceroute do D8-SRV02 (Site-A) para o D8-SRV01 (Site-B):
Linux: Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3
Veja que existe apenas três saltos:
  1. Gateway de rede do Site-A, host D8-FW02.
  2. Todo o caminho percorrido dentro do túnel VPN.
  3. Host de destino.

Isso porque a conexão entre os host é pelo túnel IPsec, se tornando uma conexão ponto a ponto.

Um detalhe importante é que os Peers (D8-FW01 e D8-FW02) não entram no túnel IPsec devido ao IP de saída (IPs válidos) não corresponderem aos leftsubnets da configuração do ipsec. Por isso para executar um ping ou conectar SSH devemos usar um IP da interface que corresponda ao leftsubnets.

Para conectar do firewall D8-FW02 (Site-A) no servidor D8-SRV01 (Site-B):

# ssh -b 172.16.0.254 192.168.0.250

Para testar a resposta do ping do firewall D8-FW02 (Site-A) no servidor D8-SRV01 (Site-B):

# ping -I eth0 192.168.0.250

Considerações e referências

O script com regras iptables fwregras.sh foi escrito da forma mais simples possível para fazer a conexão VPN funcionar, porém não é um firewall, as políticas padrão foram deixadas no default que é ACCEPT, fiz isso pois o foco é o Openswan e não o iptables.

No artigo usei dois procedimentos para facilitar a escrita e entendimento porém NÃO recomendo em ambiente de produção:
  1. Todas as configurações foram realizadas com usuário root nos servidores, o ideal é sempre usar o sudo.
  2. A senha do arquivo /etc/ipsec.secrets foi 123456, sendo uma chave muito fraca, o ideal é usar no mínimo 16 caracteres contendo letras, números e caracteres especiais.

Não entrei em detalhes de cada parâmetro de configurações do Openswan justamente por existir vários sites com documentação melhor detalhada, segue sites que utilize como referências:
Críticas, dúvidas ou sugestões por favor deixem nos comentários.

Página anterior    

Páginas do artigo
   1. Introdução
   2. Configurando VMs e host hospedeiro
   3. Instalação e configuração do Openswan
   4. Validar funcionamento da VPN IPsec
Outros artigos deste autor

Simulando redes com o GNS

Planejando e migrando softwares do Windows para o Linux

Criando um template customizado para o CACTI

Utilizando o script vpnautomatica

Configurando o segundo default gateway para um link de entrada específico

Leitura recomendada

Configurando Zabbix 3.4 no CentOS 7

Montagem de um cluster com o MOSIX

Conexões Wireless com DHCP no Slackware - Configuração à moda antiga

Criando RADIUS no Windows Server 2012 para autenticar no Mikrotik

Asterisk - Configuração de Ramais SIP

  
Comentários
[1] Comentário enviado por weidsom em 05/12/2015 - 19:44h


Valeu fera belo artigo!

[2] Comentário enviado por sergeimartao em 07/12/2015 - 23:14h

Fico feliz que tenha gostado, vlw!


Contribuir com comentário