Utilizando o script vpnautomatica

Quem trabalha com firewalls Linux interconectados por circuitos privados, sabe que não é simples provisionar um meio de backup rápido e eficiente que não seja a aquisição de um link extra, nesse artigo mostro como fazer uma contingência usando uma VPN IPsec pela internet.

[ Hits: 5.301 ]

Por: Sergei Martao em 12/07/2017


Premissas para funcionamento



1. Acesso aos firewall sem precisar digitar a senha.

O servidor que executará o script da vpn automática precisar ter a chave SSH copiada para todos os firewalls, caso contrário toda vez que executar o script pedirá várias vezes para digitar senha tornando a execução pouco prática.

Para detalhes desse procedimento recomendo os artigos:
2. Pacote do Openswan instalado.

Todas as configurações de VPN são realizadas baseado no pacote Openswan, por isso todos os firewalls precisam te-lo instalado previamente.

3. Chaves de acesso IPsec.

Antes de fechar a VPN é necessário criar um chave de acesso em cada firewall que irá fechar a VPN.

Recomendo esse artigo sobre a configuração de chaves IPsec.
4. Pacote sudo instalado em todos os firewall.

O script utiliza o sudo para execução dos comandos, por isso esse pacote é obrigatório, além disso o login configurado no script não deve digitar senha para usar o sudo.

Para detalhes dessas configurações recomendo os artigos.
5. Regras no firewall permitindo VPN a IPsec.

Os firewalls que forem fechar a VPN IPsec precisam ter regras de INPUT permitindo que a VPN seja fechada, além de regras de FORWARD permitindo que os acesso as redes passem pela interface de internet.

6. Firewalls baseado em Debian ou derivados.

O script foi criado e testado utilizando o Debian 8, por isso para o funcionamento deve utilizar firewalls Debian ou alguma distribuição derivada, como Ubuntu.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Cenário complexo
   3. Premissas para funcionamento
   4. Recursos e Troubleshooting
Outros artigos deste autor

Simulando redes com o GNS

Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

Planejando e migrando softwares do Windows para o Linux

Configurando o segundo default gateway para um link de entrada específico

Criando um template customizado para o CACTI

Leitura recomendada

Debian 9: como instalar TL-WN823N v2 (TP-LINK)

Montagem de Cluster

Instalando DNS Server (BIND) no CentOS 7

PABX IP Asterisk - Instalação no Debian/Ubuntu

Tutorial de instalação e configuração do CACIC 3.1.15

  
Comentários
[1] Comentário enviado por marcoaurelio22 em 12/07/2017 - 19:47h

Muito bom o artigo, Parabéns.
Já utilizei por um bom tempo algo parecido, atualmente utilizo strongswan + quagga(bgp), fazendo redundancia e balanceamento entre a MPLS + 2 VPNS e hoje o tempo de virada esta em 2 segundos, praticamente transparente para o usuario. é uma ótima alternativa.

[2] Comentário enviado por fabio_cirino em 13/07/2017 - 14:20h

Parabéns.... Ficou muito bom seu artigo.

[3] Comentário enviado por sergeimartao em 14/07/2017 - 14:13h


[1] Comentário enviado por marcoaurelio22 em 12/07/2017 - 19:47h

Muito bom o artigo, Parabéns.
Já utilizei por um bom tempo algo parecido, atualmente utilizo strongswan + quagga(bgp), fazendo redundancia e balanceamento entre a MPLS + 2 VPNS e hoje o tempo de virada esta em 2 segundos, praticamente transparente para o usuario. é uma ótima alternativa.



Não tinha ideia que daria pra fazer isso também usando o quagga, muito interessante, quando sai um artigo mostrando essa solução?! rs
Vlw!

[4] Comentário enviado por sergeimartao em 14/07/2017 - 14:14h


[2] Comentário enviado por fabio_cirino em 13/07/2017 - 14:20h

Parabéns.... Ficou muito bom seu artigo.


Vlw Cirino!!


Contribuir com comentário