O objetivos desse artigo s\u00e3o:<\/p>\n
- \n
- Criar o ambiente de simula\u00e7\u00e3o usando o GNS3 e configurar regras b\u00e1sicas do firewall.<\/li>\n
- Mostrar a instala\u00e7\u00e3o e configura\u00e7\u00e3o do Openswan no Debian Jessie<\/em> em ambas as pontas (Peers).<\/li>\n
- Validar o funcionamento da conex\u00e3o VPN IPsec.<\/li>\n<\/ul>\n
Antes de come\u00e7ar:<\/p>\n
Ao longo do artigo estarei citando a matriz da empresa XPTO sendo Site-A e o novo escrit\u00f3rio sendo Site-B.
\nSempre que referir a “Site” quero dizer local, escrit\u00f3rio, empresa, e n\u00e3o ao significado mais comum que \u00e9 relacionado a sites de internet, ou seja fazer uma VPN Site-to-Site \u00e9 fechar uma conex\u00e3o entre dois escrit\u00f3rios ou empresas.<\/p>\n<\/p>\n
\nOs servidores com hostname D8-xxxx ser\u00e3o maquinas virtuais no VirtualBox<\/em> utilizadas pelo GNS3, o Desk02 e BB-Saida-Internet ser\u00e3o t\u00faneis configurado no host hospedeiro.<\/p>\nEstudo de caso:<\/p>\n
A empresa XPTO possui uma matriz (Site-A) com duas redes, 172.16.10.0\/24 \u00e9 a rede servidores onde existe uma aplica\u00e7\u00e3o de intranet, a rede de desktop \u00e9 172.16.0.0\/24, por ser adepta de software open decidiu usar firewalls, servidores e desktop Linux<\/a>, optando pela distribui\u00e7\u00e3o Debian 8.<\/p>\n
Recentemente adquiriu um novo escrit\u00f3rio (Site-B), que ser\u00e1 implantado outra aplica\u00e7\u00e3o que ir\u00e1 se comunicar com os servidores do escrit\u00f3rio principal (Site-A) a rede de servidores desse escrit\u00f3rio \u00e9 192.168.0.0\/24. Devido aos altos custos de um link ponto a ponto decidiu adquirir um link de internet para comunica\u00e7\u00e3o entre os sites, o Site-A possui o IP v\u00e1lido 201.27.8.2 e o Site-B 187.8.230.2, no entanto os dados que trafegam entre os servidores s\u00e3o sigilosos e por isso a comunica\u00e7\u00e3o deve ser criptografada. Portando \u00e9 necess\u00e1rio a implanta\u00e7\u00e3o de uma solu\u00e7\u00e3o simples, r\u00e1pida e segura para conectar os sites.<\/p>\n
O primeiro software que vem na mente do administrador de rede \u00e9 o Openswan, que atende a todos os requisitos.<\/p>\n
Descri\u00e7\u00e3o dos hosts:<\/p>\n
- \n
- D8-FW02 – Firewall do Site-A onde sera instalado o Openswan.<\/li>\n
- D8-FW01 – Firewall do Site-B onde sera instalado o Openswan.<\/li>\n
- D8-SRV02 – Servidor de aplica\u00e7\u00e3o do Site-A.<\/li>\n
- D8-SRV01 – Servidor de aplica\u00e7\u00e3o do Site-B.<\/li>\n
- D8-BB01 – Servidor que far\u00e1 o papel de backbone da operadora de internet entre os dois sites, de forma resumida ele ser\u00e1 apenas um servidor em bridge entre os dois sites e um gateway de internet para todos os hosts.<\/li>\n
- Desk02 – Desktop do Site-A que utilizar\u00e1 o t\u00fanel tap1.<\/li>\n
- BB-Saida-Internet – Backbone que permite a sa\u00edda para internet de toda rede GNS, utilizar\u00e1 o t\u00fanel tap0.<\/li>\n<\/ul>\n
Abstraindo o estudo de caso a cima, a situa\u00e7\u00e3o da empresa XPTO \u00e9 a seguinte:<\/p>\n
![\"Linux:](\"http:\/\/img.vivaolinux.com.br\/imagens\/artigos\/comunidade\/thumb_Imagem_01.png\")
<\/a><\/div>\n<\/p>\n
CONFIGURANDO VMS E HOST HOSPEDEIRO<\/h1>\n
<\/p>\n
Aqui est\u00e3o todas as configura\u00e7\u00f5es utilizadas nas VMs e no host hospedeiro para deixar o ambiente do GNS3 funcional:<\/p>\nHost: D8-SRV02<\/p>\n
Editar o arquivo interfaces:<\/p>\n
# vim \/etc\/network\/interfaces<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
# IP da eth0<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 172.16.10.150
\nnetmask 255.255.255.0
\ngateway 172.16.10.254<\/div>\nHost: D8-FW02<\/p>\n
Editar arquivo interfaces:<\/p>\n
# vim \/etc\/network\/interfaces<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
# Rede de servidores<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 172.16.10.254
\nnetmask 255.255.255.0<\/p>\n# Rede de desktops<\/span>
\nallow-hotplug eth1
\niface eth1 inet static
\naddress 172.16.0.254
\nnetmask 255.255.255.0<\/p>\n# Rede WAN<\/span>
\nallow-hotplug eth2
\niface eth2 inet static
\naddress 201.27.8.2
\nnetmask 255.255.255.252
\ngateway 201.27.8.1<\/div>\nCriar script de iptables fwregras.sh:<\/p>\n
# vim \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Adicionar o seguinte conte\u00fado:<\/p>\n
#!\/bin\/bash<\/span>
\n# Permitir a passagem de pacotes pelo firewall<\/span>
\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward<\/p>\n# Limpar as regras anteriores de NAT, caso o script seja executado mais de uma vez<\/span>
\niptables -t nat -F<\/p>\n# Permitir a passagem dos IPs privados sem entrar no NAT<\/span>
\niptables -t nat -A POSTROUTING -d 10.0.0.0\/8 -o eth2 -j ACCEPT
\niptables -t nat -A POSTROUTING -d 172.16.0.0\/12 -o eth2 -j ACCEPT
\niptables -t nat -A POSTROUTING -d 192.168.0.0\/16 -o eth2 -j ACCEPT<\/p>\n# NAT para qualquer IP de origem da rede interna<\/span>
\niptables -t nat -A POSTROUTING -s 172.16.0.0\/24 -o eth2 -j MASQUERADE
\niptables -t nat -A POSTROUTING -s 172.16.10.0\/24 -o eth2 -j MASQUERADE<\/div>\nAlterar permiss\u00e3o do script fwregras.sh:<\/p>\n
# chmod 755 \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:<\/p>\n
# vim \/etc\/rc.local<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
\/usr\/local\/bin\/fwregras.sh
\nexit 0<\/div>\nHost: D8-FW01<\/p>\n
Editar o arquivo interfaces:<\/p>\n
# vim \/etc\/network\/interfaces<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
# Rede de servidores<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 192.168.0.254
\nnetmask 255.255.255.0<\/p>\n# Rede WAN<\/span>
\nallow-hotplug eth1
\niface eth1 inet static
\naddress 187.8.230.2
\nnetmask 255.255.255.252
\ngateway 187.8.230.1<\/div>\nCriar script de iptables fwregras.sh:<\/p>\n
# vim \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Adicionar o seguinte conte\u00fado:<\/p>\n
# Permitir a passagem de pacotes pelo firewall<\/span>
\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward<\/p>\n# Limpar as regras anteriores de NAT, caso o script seja executado mais de uma vez<\/span>
\niptables -t nat -F<\/p>\n# Permitir a passagem dos IPs privados sem entrar no NAT<\/span>
\niptables -t nat -A POSTROUTING -d 10.0.0.0\/8 -o eth1 -j ACCEPT
\niptables -t nat -A POSTROUTING -d 172.16.0.0\/12 -o eth1 -j ACCEPT
\niptables -t nat -A POSTROUTING -d 192.168.0.0\/16 -o eth1 -j ACCEPT<\/p>\n# NAT para qualquer IP de origem da rede interna<\/span>
\niptables -t nat -A POSTROUTING -s 192.168.0.0\/24 -o eth1 -j MASQUERADE<\/div>\nAlterar permiss\u00e3o do script fwregras.sh:<\/p>\n
# chmod 755 \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:<\/p>\n
# vim \/etc\/rc.local<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
\/usr\/local\/bin\/fwregras.sh
\nexit 0<\/div>\nHost: D8-SRV01<\/p>\n
Editar o arquivo interfaces:<\/p>\n
# vim \/etc\/network\/interfaces<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
# IP da eth0<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 192.168.0.250
\nnetmask 255.255.255.0
\ngateway 192.168.0.254<\/div>\nHost: D8-BB01<\/p>\n
Editar o arquivo interfaces:<\/p>\n
# vim \/etc\/network\/interfaces<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
# Rede para sa\u00edda da internet<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 177.8.8.2
\nnetmask 255.255.255.252
\ngateway 177.8.8.1<\/p>\n# Bloqueando o roteamento de IPs privados<\/span>
\nup route add -net 10.0.0.0\/8 reject
\nup route add -net 172.16.0.0\/12 reject
\nup route add -net 192.168.0.0\/16 reject<\/p>\n# Rede do Site-B<\/span>
\nallow-hotplug eth1
\niface eth1 inet static
\naddress 187.8.230.0
\nnetmask 255.255.255.252<\/p>\n# Rede do Site-A<\/span>
\nallow-hotplug eth0
\niface eth0 inet static
\naddress 201.27.8.0
\nnetmask 255.255.255.252<\/div>\nCriar script de iptables fwregras.sh:<\/p>\n
# vim \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Adicionar o seguinte conte\u00fado.<\/p>\n
#!\/bin\/bash<\/span>
\n# Permitir a passagem de pacotes pelo firewall<\/span>
\necho 1 > \/proc\/sys\/net\/ipv4\/ip_forward<\/p>\n# NAT necess\u00e1rio para a comunica\u00e7\u00e3o funcionar com a interface tuntap<\/span>
\niptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<\/div>\nAlterar permiss\u00e3o do script fwregras.sh<\/p>\n
# chmod 755 \/usr\/local\/bin\/fwregras.sh<\/strong><\/p>\n
Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:<\/p>\n
# vim \/etc\/rc.local<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
\/usr\/local\/bin\/fwregras.sh
\nexit 0<\/div>\nHOST HOSPEDEIRO<\/h1>\n
Configura\u00e7\u00f5es do tunel tap0, utilizado para simular Desk02:<\/p>\n
$ sudo ip tuntap add dev tap1 mode tap<\/strong>
\n$ sudo ifconfig tap1 172.16.0.100 netmask 255.255.255.0 up<\/strong><\/p>\nConfigura\u00e7\u00f5es do tunel tap1, utilizado para simular o BB-Saida-internet:<\/p>\n
$ sudo ip tuntap add dev tap0 mode tap<\/strong>
\n$ sudo ifconfig tap0 177.8.8.1 netmask 255.255.255.0 up<\/strong><\/p>\nRota para a rede de servidores Site-A:<\/p>\n
$ sudo route add -net 172.16.10.0\/24 gw 172.16.0.254<\/strong><\/p>\n
Rota para a rede de servidores Site-B:<\/p>\n
$ sudo route add -net 192.168.0.0\/24 gw 172.16.0.254<\/strong><\/p>\n
Permitir a passagem de pacotes pela interface:<\/p>\n
$ sudo sh -c “echo 1 > \/proc\/sys\/net\/ipv4\/ip_forward”<\/strong><\/p>\n
Mascarar a sa\u00edda permitindo o acesso a internet das VMs, substituir wlp9s0 pela interface de rede do host hospedeiro:<\/p>\n
$ sudo iptables -t nat -A POSTROUTING -o wlp9s0 -j MASQUERADE<\/strong><\/p>\n<\/div>\n
<\/p>\n
INSTALA\u00c7\u00c3O E CONFIGURA\u00c7\u00c3O DO OPENSWAN<\/h1>\n
<\/p>\n
Quando comecei a montar o ambiente tive uma surpresa ao descobrir que o Openswan<\/a> n\u00e3o est\u00e1 dispon\u00edvel no reposit\u00f3rio oficial do Debian 8 Jessie, para instalar precisei usar o sources.list do Debian 7 Wheezy.<\/p>\nCaso utilize Openswan no Debian 8 deixe nos coment\u00e1rios como est\u00e1 o funcionamento do servi\u00e7o, pois n\u00e3o testei a fundo se existia alguma incompatibilidade ou instabilidade.<\/p>\n
Instalando o Openswan, executar nos servidores D8-FW01 e D8-FW02:<\/p>\n
# apt-get update<\/strong>
\n# apt-get install openswan<\/strong><\/p>\nConfigurando o Openswan, editar arquivo ipsec.conf, deixar a mesma configura\u00e7\u00e3o em ambos os servidores.<\/p>\n
# vim \/etc\/ipsec.conf<\/strong><\/p>\n
Esse \u00e9 o principal arquivo de configura\u00e7\u00e3o do IPsec, poder\u00edamos configurar todos os t\u00faneis aqui, por\u00e9m acho pouco pr\u00e1tico, por isso sempre adiciono a linha include “\/etc\/ipsec.d\/ipsec.*”,com isso qualquer arquivo salvo no diret\u00f3rio \/etc\/ipsec.d\/ e que comece com ipsec \u00e9 lido e pode se tornar uma conex\u00e3o VPN, bem interessante para quando temos muitos t\u00faneis VPN com empresas e escrit\u00f3rios diferentes. Deixe o arquivo com o seguinte conte\u00fado:<\/p>\n
# \/etc\/ipsec.conf – Openswan IPsec configuration file<\/span>
\n# This file:\u00a0\u00a0\/usr\/share\/doc\/openswan\/ipsec.conf-sample<\/span>
\n#<\/span>
\n# Manual:\u00a0\u00a0\u00a0\u00a0\u00a0ipsec.conf.5<\/span>
\nversion 2.0
\n# basic configuration<\/span>
\nconfig setup
\ndumpdir=\/var\/run\/pluto\/
\nnat_traversal=yes
\nnhelpers=0
\nprotostack=netkey
\nplutodebug=none
\nklipsdebug=none
\n# Add connections here<\/span>
\ninclude \/etc\/ipsec.d\/ipsec.*<\/div>\nDevemos criar o arquivo de conex\u00e3o VPN IPsec, a \u00fanica regra nesse caso \u00e9 que o nome do arquivo deve come\u00e7ar com ipsec. \u00c9 interessante colocar um nome para identificar a conex\u00e3o de formar f\u00e1cil, gosto de usar a seguinte nomenclatura:<\/p>\n
ipsec.empresa.destino <\/samp><\/p>\n
Sendo assim o nome do arquivo ficar\u00e1:<\/p>\n
- \n
- Site-A: ipsec.xpto.site-b<\/li>\n
- Site-B: ipsec.xpto.site-a<\/li>\n<\/ul>\n
Criar o arquivo de conex\u00e3o do IPsec com o Site-B, para o servidor D8-FW02:<\/p>\n
# vim \/etc\/ipsec.d\/ipsec.xpto.site-b<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
conn xpto-site-b1
\ntype=tunnel
\nleft=201.27.8.2
\nleftsubnets={172.16.0.0\/24172.16.10.0\/24}
\nleftnexthop=201.27.8.1
\nright=187.8.230.2
\nrightsubnet=192.168.0.0\/24
\nauthby=secret
\nauth=esp
\nkeylife=24h
\nkeyexchange=ike
\nike=3des-md5-modp1024
\nesp=3des-md5-96
\nrekey=no
\nrekeymargin=8h
\nrekeyfuzz=25%
\npfs=no
\nauto=start<\/div>\nCriar o arquivo de conex\u00e3o do IPsec com o Site-A, para o servidor D8-FW01:<\/p>\n
# vim \/etc\/ipsec.d\/ipsec.xpto.site-a<\/strong><\/p>\n
Deixar com o seguinte conte\u00fado:<\/p>\n
conn xpto-site-a
\ntype=tunnel
\nleft=187.8.230.2
\nleftsubnets=192.168.0.0\/24
\nleftnexthop=187.8.230.1
\nright=201.27.8.2
\nrightsubnets={172.16.10.0\/24,172.16.0.0\/24}
\nauthby=secret
\nauth=esp
\nkeylife=24h
\nkeyexchange=ike
\nike=3des-md5-modp1024
\nesp=3des-md5-96
\nrekey=no
\nrekeymargin=8h
\nrekeyfuzz=25%
\npfs=no
\nauto=start<\/div>\nOs \u00fanicos itens que precisam ser alterados s\u00e3o:<\/p>\n
- \n
- conn – Nome do t\u00fanel VPN, muito utilizada para troubleshooting, uso o mesmo conceito do nome do arquivo, empresa-destino. Todavia pode-se deixar igual o nome em ambos os sites que n\u00e3o causa problema, \u00e9 mais quest\u00e3o de identifica\u00e7\u00e3o.<\/li>\n
- left – \u00c9 o IP v\u00e1lido do site em que se est\u00e1 (Peer).<\/li>\n
- leftsubnets – Redes que o site possui e entraram no t\u00fanel, caso seja mais de uma deve se utilizar chaves e v\u00edrgula para separar as redes.<\/li>\n
- leftnexthop – IP do gateway do IP v\u00e1lido.<\/li>\n
- right – IP v\u00e1lido do site remoto que far\u00e1 a conex\u00e3o (Peer).<\/li>\n
- rightsubnet – Redes que o site remoto possui ao entrar no t\u00fanel, caso seja mais de uma deve se utilizar chaves e v\u00edrgula para separar as redes.<\/li>\n<\/ul>\n
Precisamos ainda configurar o arquivo ipsec.secrets, respons\u00e1vel pela senha usado entre os Peers.<\/p>\n
Editar o arquivo ipsec.secrets em ambos os hosts:<\/p>\n
# vim \/etc\/ipsec.secrets<\/strong><\/p>\n
A configura\u00e7\u00e3o \u00e9 simples:<\/p>\n
left right: PSK “senha” <\/samp><\/p>\n
No D8-FW02 deixar com o seguinte conte\u00fado:<\/p>\n
201.27.8.2 187.8.230.2: PSK “123456”<\/div>\nNo D8-FW01 deixar com o seguinte conte\u00fado:<\/p>\n
187.8.230.2 201.27.8.2: PSK “123456”<\/div>\nBasta habilitar e iniciar o servi\u00e7o IPsec em ambos os servidores<\/p>\n
# systemctl enable ipsec<\/strong>
\n# systemctl start ipsec<\/strong><\/p>\n<\/div>\n<\/p>\n
VALIDAR FUNCIONAMENTO DA VPN IPSEC<\/h1>\n
<\/p>\n
Agora que tudo esta instalado e configurado basta validar o funcionamento!<\/p>\n# systemctl status ipsec<\/strong><\/p>\n
Mostra o status do servi\u00e7o do IPsec, se esta em execu\u00e7\u00e3o e se existe algum erro.<\/p>\n
![\"Linux:](\"http:\/\/img.vivaolinux.com.br\/imagens\/artigos\/comunidade\/thumb_Imagem_02.png\")
<\/a><\/div>\n# ipsec auto –status<\/strong><\/p>\n
Mostra o status de todos os t\u00faneis VPN bem \u00fatil para saber se existe alguma coisa errada, exemplo pendente fase 2. Na imagem a baixo usei o complemento | grep xpto –color para trazer itens apenas da conex\u00e3o xpto.<\/p>\n
![\"Linux:](\"http:\/\/img.vivaolinux.com.br\/imagens\/artigos\/comunidade\/thumb_Imagem_03.png\")
<\/a><\/div>\nTeste de traceroute do D8-SRV02 (Site-A) para o D8-SRV01 (Site-B):<\/p>\n
![\"Linux:](\"http:\/\/img.vivaolinux.com.br\/imagens\/artigos\/comunidade\/thumb_Imagem_04.png\")
<\/a><\/div>\nVeja que existe apenas tr\u00eas saltos:<\/p>\n
- \n
- Gateway de rede do Site-A, host D8-FW02.<\/li>\n
- Todo o caminho percorrido dentro do t\u00fanel VPN.<\/li>\n
- Host de destino.<\/li>\n<\/ol>\n
Isso porque a conex\u00e3o entre os host \u00e9 pelo t\u00fanel IPsec, se tornando uma conex\u00e3o ponto a ponto.<\/p>\n
Um detalhe importante \u00e9 que os Peers (D8-FW01 e D8-FW02) n\u00e3o entram no t\u00fanel IPsec devido ao IP de sa\u00edda (IPs v\u00e1lidos) n\u00e3o corresponderem aos leftsubnets da configura\u00e7\u00e3o do ipsec. Por isso para executar um ping ou conectar SSH devemos usar um IP da interface que corresponda ao leftsubnets.<\/p>\n
Para conectar do firewall D8-FW02 (Site-A) no servidor D8-SRV01 (Site-B):<\/p>\n
# ssh -b 172.16.0.254 192.168.0.250<\/strong><\/p>\n
Para testar a resposta do ping do firewall D8-FW02 (Site-A) no servidor D8-SRV01 (Site-B):<\/p>\n
# ping -I eth0 192.168.0.250<\/strong><\/p>\n
CONSIDERA\u00c7\u00d5ES E REFER\u00caNCIAS<\/h1>\n
O script com regras iptables fwregras.sh foi escrito da forma mais simples poss\u00edvel para fazer a conex\u00e3o VPN funcionar, por\u00e9m n\u00e3o \u00e9 um firewall, as pol\u00edticas padr\u00e3o foram deixadas no default que \u00e9 ACCEPT, fiz isso pois o foco \u00e9 o Openswan e n\u00e3o o iptables.<\/p>\n
No artigo usei dois procedimentos para facilitar a escrita e entendimento por\u00e9m N\u00c3O recomendo em ambiente de produ\u00e7\u00e3o:<\/p>\n
- \n
- Todas as configura\u00e7\u00f5es foram realizadas com usu\u00e1rio root nos servidores, o ideal \u00e9 sempre usar o sudo.<\/li>\n
- A senha do arquivo \/etc\/ipsec.secrets<\/em> foi 123456, sendo uma chave muito fraca, o ideal \u00e9 usar no m\u00ednimo 16 caracteres contendo letras, n\u00fameros e caracteres especiais.<\/li>\n<\/ol>\n
N\u00e3o entrei em detalhes de cada par\u00e2metro de configura\u00e7\u00f5es do Openswan justamente por existir v\u00e1rios sites com documenta\u00e7\u00e3o melhor detalhada, segue sites que utilize como refer\u00eancias:<\/p>\n
- \n
- Manual do ipsec.conf<\/a><\/li>\n
- Wiki do Openswan<\/a><\/li>\n
- Configuring OpenSwan IPSec Server<\/a><\/li>\n
- Instalar VPN OpenSwan no Linux Ubuntu com modem adsl<\/a><\/li>\n
- Host-To-Host VPN Using Openswan<\/a><\/li>\n
- Openswan Users Multiple left and right subnets<\/a><\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
INTRODU\u00c7\u00c3O De introdu\u00e7\u00e3o do GNS3, usando os conceitos apresentados, montarei um ambiente com dois servidores em locais separados que precisam se comunicar pela internet utilizando um conex\u00e3o segura, o jeito mais simples \u00e9 instalar o Openswan e criar uma VPN IPsec entre as localidades. O objetivos desse artigo s\u00e3o: Criar o ambiente de simula\u00e7\u00e3o usando […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1,730,830,79,42,51,495,514,68,271,548,512],"tags":[349,1008,718,351,1010,1007,346,1009,807,164],"class_list":["post-4224","post","type-post","status-publish","format-standard","hentry","category-viazap","category-clusterweb","category-debian","category-firewall","category-leitura-recomendada","category-linux-linuxrs","category-profissional-de-ti","category-programacao","category-redes-2","category-seguranca-2","category-ubuntu-2","category-vpn-2","tag-com","tag-conexao","tag-configurando","tag-e","tag-gns3","tag-openswan","tag-simulando","tag-site-to-site","tag-uma","tag-vpn"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4224","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4224"}],"version-history":[{"count":1,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4224\/revisions"}],"predecessor-version":[{"id":4225,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/4224\/revisions\/4225"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4224"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4224"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4224"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Wiki do Openswan<\/a><\/li>\n
- Manual do ipsec.conf<\/a><\/li>\n
- Validar o funcionamento da conex\u00e3o VPN IPsec.<\/li>\n<\/ul>\n