Professional Documents
Culture Documents
O objetivo desta VPN fornecer acesso ao nosso ambiente, mais especificamente o servidor do ICN (SVR56) para que So Paulo possa realizar as cargas do ICN de SP e RJ. Ela foi ativada no dia 29/10/2012. Abaixo os requisitos necessrios: Parceiro (lado remoto) o Mquina Linux CentOS 6.3 ou superior o Pacote Openswan instalado e configurado o IP Externo fixo o Duas placas de rede, uma na rede local e outra na rede WAN o Firewall iptables desativado ou com as excees configuradas o SELinux desativado CIEE-RS (nosso lado) o Criar fase 1 e fase 2 no Fortigate o Criar roteamento esttico o Criar regras liberando trfego entre nossa LAN e a VPN o Adicionar no Zabbix para monitoramento
Caso necessrio abrir chamado com a PBI (para configurao do Fortigate) ou com a LM2 (para a configurao do Linux)
Configuraes de rota: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 186.231.56.240 * 255.255.255.248 U 1 0 0 eth1 172.30.0.0 * 255.255.255.0 U 1 0 0 eth0 default 186-231-56-241. 0.0.0.0 UG 0 0 0 eth1 Sistema Operacional:
Linux openswan.cieesp.org.br 2.6.32-279.9.1.el6.x86_64 #1 SMP Tue Sep 25 21:43:11 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux Configuraes do IPSEC Instalao do Openswan:
# yum install openswan # certutil -N -d /etc/ipsec.d/ *senha em branco # ipsec newhostkey --bits 1024 --hostname `hostname` --output /tmp/ipsec.secrets --configdir /etc/ipsec.d/ # ipsec showhostkey left
Arquivo /etc/ipsec.conf:
Arquivo /etc/ipsec.conf:
Configuraes da fase 2:
Criar duas regras no Fortigate, uma permitindo o trfego da VPN para a rede local e uma permitindo o trfego da rede local para a VPN:
Verificado se a conexo est ativa no Linux: service ipsec status Vai retornar algo parecido com isto: IPsec running - pluto pid: 3035 pluto pid 3035 1 tunnels up Monitoramento da VPN no Zabbix:
Links teis: http://www.vivaolinux.com.br/artigo/VPN-com-Openswan-e-Iptables-%28fazendo-NAT%29 http://www.vivaolinux.com.br/artigo/VPN-SitetoSite-Openswan-x-ASA-%28Cisco%29 http://firewallguru.blogspot.com.br/2009/08/site-to-site-vpn-openswan-to-fortinet.html Contato do CIEE-SP para eventuais problemas: Mrio Cabral mariocabral@cieesp.org.br (11) 3040-9459