Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

O Openswan é uma ferramenta indispensável para conectar dois sites de forma segura através da internet. Nesse artigo além de mostrar a instalação e configuração do Openswan no Debian Jessie, será simulado todo o ambiente utilizando o GNS3.

[ Hits: 18.391 ]

Por: Sergei Martao em 23/11/2015


Introdução



Há um tempo escrevi um artigo:
De introdução do GNS3, usando os conceitos apresentados, montarei um ambiente com dois servidores em locais separados que precisam se comunicar pela internet utilizando um conexão segura, o jeito mais simples é instalar o Openswan e criar uma VPN IPsec entre as localidades.

O objetivos desse artigo são:
  • Criar o ambiente de simulação usando o GNS3 e configurar regras básicas do firewall.
  • Mostrar a instalação e configuração do Openswan no Debian Jessie em ambas as pontas (Peers).
  • Validar o funcionamento da conexão VPN IPsec.

Antes de começar:

Ao longo do artigo estarei citando a matriz da empresa XPTO sendo Site-A e o novo escritório sendo Site-B.
Sempre que referir a "Site" quero dizer local, escritório, empresa, e não ao significado mais comum que é relacionado a sites de internet, ou seja fazer uma VPN Site-to-Site é fechar uma conexão entre dois escritórios ou empresas.

Os servidores com hostname D8-xxxx serão maquinas virtuais no VirtualBox utilizadas pelo GNS3, o Desk02 e BB-Saida-Internet serão túneis configurado no host hospedeiro.

Estudo de caso:

A empresa XPTO possui uma matriz (Site-A) com duas redes, 172.16.10.0/24 é a rede servidores onde existe uma aplicação de intranet, a rede de desktop é 172.16.0.0/24, por ser adepta de software open decidiu usar firewalls, servidores e desktop Linux, optando pela distribuição Debian 8.

Recentemente adquiriu um novo escritório (Site-B), que será implantado outra aplicação que irá se comunicar com os servidores do escritório principal (Site-A) a rede de servidores desse escritório é 192.168.0.0/24. Devido aos altos custos de um link ponto a ponto decidiu adquirir um link de internet para comunicação entre os sites, o Site-A possui o IP válido 201.27.8.2 e o Site-B 187.8.230.2, no entanto os dados que trafegam entre os servidores são sigilosos e por isso a comunicação deve ser criptografada. Portando é necessário a implantação de uma solução simples, rápida e segura para conectar os sites.

O primeiro software que vem na mente do administrador de rede é o Openswan, que atende a todos os requisitos.

Descrição dos hosts:
  • D8-FW02 - Firewall do Site-A onde sera instalado o Openswan.
  • D8-FW01 - Firewall do Site-B onde sera instalado o Openswan.
  • D8-SRV02 - Servidor de aplicação do Site-A.
  • D8-SRV01 - Servidor de aplicação do Site-B.
  • D8-BB01 - Servidor que fará o papel de backbone da operadora de internet entre os dois sites, de forma resumida ele será apenas um servidor em bridge entre os dois sites e um gateway de internet para todos os hosts.
  • Desk02 - Desktop do Site-A que utilizará o túnel tap1.
  • BB-Saida-Internet - Backbone que permite a saída para internet de toda rede GNS, utilizará o túnel tap0.

Abstraindo o estudo de caso a cima, a situação da empresa XPTO é a seguinte:
Linux: Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3
    Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando VMs e host hospedeiro
   3. Instalação e configuração do Openswan
   4. Validar funcionamento da VPN IPsec
Outros artigos deste autor

Simulando redes com o GNS

Criando um template customizado para o CACTI

Planejando e migrando softwares do Windows para o Linux

Utilizando o script vpnautomatica

Configurando o segundo default gateway para um link de entrada específico

Leitura recomendada

Montagem de um cluster com o MOSIX

Docker - Containers em Linux

Simulando redes com o GNS

Instalação e configuração do Nagios (versões 3.2.1 e 4.0.8)

Emulador de Redes Mininet

  
Comentários
[1] Comentário enviado por weidsom em 05/12/2015 - 19:44h


Valeu fera belo artigo!

[2] Comentário enviado por sergeimartao em 07/12/2015 - 23:14h

Fico feliz que tenha gostado, vlw!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts