Configure uma VPN site a site usando o dispositivo de rede Vyatta


Introdução

Usando um dispositivo Vyatta, você pode estabelecer uma conexão VPN site a site segura entre sua infraestrutura de nuvem em qualquer site da Rackspace e seu centro de dados ou local de infraestrutura existente.

Essa conexão VPN site a site permite que você estenda sua infraestrutura de TI para a Rackspace Cloud e "exploda" requisitos extras de computação para a Rackspace Cloud.

Vyatta dá suporte a VPNs baseadas em política e em rota. Neste artigo, mostramos como configurar uma VPN baseada em política no Vyatta.

Para acessar um guia completo sobre a configuração de VPN na Vyatta, clique aqui

Para obter orientação sobre a configuração das regras de firewall relevantes para permitir o tráfego da VPN no Vyatta, consulte o seguinte artigo:

http://www.rackspace.com/knowledge_center/article/configuring-interface-based-firewall-on-the-vyatta-network-appliance

IPsec no Vyatta

Existem três componentes principais da arquitetura de segurança do Protocolo Internet (IPsec):

  • O protocolo Cabeçalho de Autenticação (AH)
  • O protocolo Encapsulating Security Payload (ESP)
  • O protocolo Internet Key Exchange (IKE), anteriormente denominado ISAKMP/Oakleyte

Desses protocolos, atualmente o dispositivo Vyatta oferece suporte ao ESP, que criptografa a carga útil do pacote, e impede que seja monitorado; e ao IKE, que fornece um método seguro de intercambiar chaves criptográficas e negociar métodos de autenticação e criptografia.

O diagrama abaixo mostra uma conexão VPN site a site entre dois sites. Para simplicidade, mostramos a configuração de VPN site a site entre dois sites Rackspace (ambos usando Vyatta).

 

Lista de verificação de configuração de VPN site a site

Para implementar com sucesso uma conexão site a site VPN IPsec, você deve completar as seguintes configurações nos dois pontos finais IPsec:

  • Configurar a interface e o endereço IP.
  • Ativar a interface para IPsec VPN.
  • Configurar o par.
  • Definir o grupo IKE especificado na configuração do par.
  • Configurar o túnel VPN.
  • Defina o grupo ESP especificado no túnel.
  • Configure o endereço IP local especificado para o par na interface ativada pela VPN.

Além disso, se o NAT estiver configurado para acesso de saída à internet, excluiremos a conexão VPN site a site do NAT.

Configure uma VPN site a site

Este artigo descreve como configurar uma VPN site a site usando dois dispositivos Vyatta.

Você pode configurar uma VPN site a site para qualquer um dos seguintes centros de dados de nuvens: (DFW - Dallas), (ORD - Chicago), (IAD - Virgínia), (HKG - Hong Kong) e (SYD - Sydney). Para fins deste exemplo, vamos pressupor que um dispositivo esteja localizado no centro de dados DFW e o outro esteja no centro de dados ORD.

Para completar essa configuração, você seguirá os seguintes passos:

  1. Ativar a VPN no dispositivo Vyatta no centro de dados DFW.
  2. Configurar um grupo IKE no dispositivo Vyatta no centro de dados DFW.
  3. Configurar um grupo ESP no dispositivo Vyatta no centro de dados DFW.
  4. Criar uma conexão ao dispositivo Vyatta no centro de dados ORD.
  5. Configurar o Vyatta-ORD.
  6. Verificar o status do túnel.
  7. Excluir a VPN site a site do NAT (somente necessário se o NAT de origem estiver/for ser configurado para acesso internet de saída).

Passo 1. Ativar a VPN no Vyatta-DFW

Observação: eth0 é a interface pública habilitada para IPsec

  1. Entre na aplicação Vyatta usando ssh:
    ssh vyatta@64.X.X.101

    Onde 64.x.x.101 é o endereço IP do dispositivo Vyatta. Você verá a mensagem de boas-vindas da Vyatta e uma solicitação de senha.

    Depois de entrar no dispositivo, você pode digitar "?" ou pressionar a tecla Tab para obter ajuda.

  2. Entre no modo de configuração:
    vyatta@vyatta: configure
    vyatta@vyatta#

    O símbolo # indica que você está no modo de configuração.

  3. Ative a VPN em eth0 no Vyatta-DFW:
    set vpn ipsec ipsec-interfaces interface eth0
  4. Visualize a configuração da interface IPsec:
    vyatta@vyatta# show vpn ipsec ipsec-interfaces
    interface eth0

Nota: não emita ainda o comando de autorização!

Passo 2. Configurar o grupo IKE no Vyatta-DFW

O grupo IKE permite que você predefina um conjunto de uma ou mais propostas a serem usadas na negociação da Fase 1 do IKE, e depois disso a associação de segurança (SA) ISAKMP pode ser configurada. Para cada proposta do grupo, as seguintes informações são definidas:

  • A cifragem que criptografa pacotes durante a fase IKE
  • A função hash que autentica pacotes durante a fase 1 do IKE
  • Duração da associação

Neste exemplo, criamos o grupo IKE-1W no Vyatta-DFW. Esse grupo IKE contém duas propostas:

  • A proposta 1 usa AES-256 como cifragem de criptografia e SHA-1 como algoritmo hash
  • A proposta 2 usa AES-128 como cifragem de criptografia e SHA-1 como algoritmo hash (opcional)

A duração de uma proposta desse grupo IKE é definida para 3600 segundos.

  1. Crie o nodo de configuração para a proposta 1 do grupo IKE, IKE‐ 1W:
    set vpn ipsec ike‐group IKE‐1W proposal 1
    
  2. Defina a cifragem da criptografia para a proposta 1:
    set vpn ipsec ike‐group IKE‐1W proposal 1 encryption aes256 
  3. Defina o algoritmo hash para a proposta 1:
    set vpn ipsec ike‐group IKE‐1W proposal 1 hash sha1
    
  4. Defina a duração para o grupo IKE inteiro:
    set vpn ipsec ike‐group IKE‐1W lifetime 3600
    
  5. Visualize o grupo IKE:
    show vpn ipsec ike‐group IKE‐1W
    lifetime 3600 proposal 1 encryption aes256 hash sha1 } proposal 2 encryption aes128 hash sha1 }

Nota: não emita ainda o comando de autorização!

Passo 3. Configurar o GRUPO ESP no Vyatta-DFW

Neste exemplo criamos um grupo ESP, ESP-1W no Vyatta-DFW. Esse grupo ESP contém duas propostas:

  • A proposta 1 usa AES-256 como cifragem de criptografia e SHA-1 como algoritmo hash
  • A proposta 2 usa DES triplo como cifragem de criptografia e MD5 como algoritmo hash (opcional)

A duração de uma proposta desse grupo ESP é definida para 1800 segundos.

  1. Crie o nodo de configuração para a proposta 1 do grupo ESP IKE‐ 1W:
    set vpn ipsec esp‐group ESP‐1W proposal 1
    
  2. Defina a cifragem da criptografia para a proposta 1:
    set vpn ipsec esp‐group ESP‐1W proposal 1 encryption aes256 
  3. Defina o algoritmo hash para a proposta 1:
    set vpn ipsec esp‐group ESP‐1W proposal 1 hash sha1
    
  4. Defina a duração para o grupo ESP inteiro:
    set vpn ipsec esp‐group ESP‐1W lifetime 1800
    
  5. Visualize o grupo ESP:
    show vpn ipsec esp‐group ESP‐1W
    lifetime 1800{ proposal 1 encryption aes256 hash sha1 } proposal 2 { encryption 3des hash sha1 }

Nota: não emita ainda o comando de autorização!

Passo 4. Criar a conexão com o site remoto, Vyatta-ORD

Lista de verificação de conexão site a site

  • O endereço IP do par remoto.
  • O modo de autenticação que os pares usarão para autenticar um ao outro (será usado PSK)
  • O grupo IKE a ser usado na conexão.
  • O grupo ESP a ser usado na conexão.
  • O endereço IP nesse sistema Vyatta a ser usado para o túnel.
  • O CIDR ou host se comunicando para cada extremidade do túnel (rede isolada nos cloud servers) .

Complete os seguintes passos:

  1. Configure o par. O endereço 198.x.x.101 é o endereço IP do par remoto
    edit vpn ipsec site‐to‐site peer 198.x.x.101
  2. Defina o modo de autenticação:
    set authentication mode pre‐shared‐secret
    
  3. Forneça o string que será usado para gerar chaves de criptografia:
    set authentication pre‐shared‐secret SECRET
    
  4. Especifique o grupo ESP padrão para todos os túneis:
    set default‐esp‐group ESP‐1W
    
  5. Especifique o grupo IKE:
    set ike‐group IKE‐1W
    
  6. Identifique o endereço IP neste sistema Vyatta (local) a ser usado para esta conexão:
    set local-address 64.x.x.101
    
  7. Crie uma configuração de túnel, e forneça a sub-rede local para esse túnel:
    set tunnel 1 local prefix 192.168.1.0/24
    
  8. Forneça a sub-rede remota para o túnel:
    set tunnel 1 remote prefix 192.168.3.0/24
    
  9. Volte ao topo da árvore de configuração:
    top
  10. Agora emita o comando de autorização:
    commit

Passo 5. Configurar o Vyatta-ORD

 Para concluir essa configuração, repita os mesmos passos no dispositivo Vyatta no centro de dados ORD, usando o endereçamento IP, ESP e IKE. Esta configuração inclui os seguintes passos:

  1. Ativar a VPN no dispositivo Vyatta no centro de dados ORD.
  2. Configurar um grupo IKE no dispositivo Vyatta no centro de dados ORD.
  3. Configurar um grupo ESP no dispositivo Vyatta no centro de dados ORD.
  4. Criar uma conexão ao dispositivo Vyatta no centro de dados DFW.

Use as seções precedentes para completar a configuração no Vyatta-ORD, e a seguir volte ao Passo 6 abaixo.

Passo 6. Verificar o status do túnel

Com os dois dispositivos Vyatta configurados, você pode verificar o status do túnel.

Verifique se o túnel está ativo:

vyatta@vyatta:~$ show vpn ipsec sa
Peer ID / IP Local ID / IP
------------ -------------
198.x.x.101 64.x.x.101
Tunnel State Bytes Out/In Encrypt Hash NAT-T A-Time L-Time Proto ------ ----- ------------- ------- ---- ----- ------ ------ ----- 1 up 0.0/0.0 aes256 sha1 no 906 1800 all

Verifique o status do túnel:

vyatta@vyatta:~$ show vpn ipsec status
IPSec Process Running PID: 13088

1 Active IPsec Tunnels

IPsec Interfaces :
        eth0    (64.x.x.101)


Passo 7. Excluir o tráfego VPN site a site do NAT

Essa configuração será necessária se você estiver usando o Vyatta para executar NAT de saída para acesso à internet, como mostrado aqui

Se o NAT de origem já tiver sido configurado ou precisar ser configurado, a seguinte configuração precisará ser aplicada para que o tráfego VPN não seja convertido no Vyatta.

A configuração abaixo pressupõe que a regra 10 do NAT de origem já foi configurada. A regra 10 converte todo o tráfego saindo do eth0 para usar o endereço IP da interface pública no Vyatta como IP de origem para tráfego originado em 192.168.1.0/24. Como essa regra NAT interromperia o tráfego que precisa passar pela VPN, precisamos adicionar a regra 5 (já que as regras NAT são lidas sequencialmente) para que esse tráfego seja excluído do NAT. (Veja a palavra-chave "excluir" abaixo). Aqui 192.168.3.0/24 é o prefixo remoto e 192.168.1.0/24 é o prefixo local.

set nat source rule 5 destination address '192.168.3.0/24'
set nat source rule 5 'exclude'
set nat source rule 5 outbound-interface 'eth0'
set nat source rule 5 source address '192.168.1.0/24'
set nat source rule 5 translation address 'masquerade'

 

Regra NAT 10 original para tráfego de saída/Internet:

set nat source rule 10 outbound-interface 'eth0'
set nat source rule 10 source address '192.168.1.0/24'
set nat source rule 10 translation address 'masquerade'
commit
 

 

 



Este conteúdo foi útil?




© 2011-2013 Rackspace US, Inc.

Salvo indicação em contrário, o conteúdo deste site está licenciado sob uma licença não adaptada de Creative Commons Attribution-NonCommercial-NoDerivs 3.0


Ver detalhes da licença e o AVISO LEGAL