Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Visão geral e práticas recomendadas do Cisco Business VPN

Opções de download

  • PDF     (129.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (95.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (90.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de Janeiro de 2020
ID do documento:1585753960779450

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Objetivo

O objetivo deste documento é fornecer uma visão geral das melhores práticas de VPN (Virtual Private Network Rede Virtual Privada) para qualquer pessoa nova na Cisco Business.

Introduction

Parece que há tanto tempo que o único lugar onde você podia trabalhar era no escritório. Talvez se lembre, de volta ao dia, de ter que ir ao escritório no fim de semana para resolver um problema de trabalho. Não havia outra maneira de obter dados dos recursos da empresa, a menos que você estivesse fisicamente no seu escritório. Esses dias acabaram. Nos dias de hoje, você pode estar em movimento; fazer negócios em casa, em outro escritório, numa cafeteria ou até em outro país. O lado negativo é que os hackers estão sempre procurando pegar seus dados confidenciais. O simples uso da Internet pública não é seguro. O que você pode fazer para obter flexibilidade e segurança? Configure uma VPN!

Uma conexão VPN permite que os usuários acessem, enviem e recebam dados de uma rede privada, passando por uma rede pública ou compartilhada, como a Internet, mas ainda garantindo uma conexão segura a uma infraestrutura de rede subjacente para proteger a rede privada e seus recursos.

Um túnel VPN estabelece uma rede privada que pode enviar dados com segurança usando criptografia para codificar os dados e autenticação para garantir a identidade do cliente. Os escritórios corporativos frequentemente usam uma conexão VPN, pois ela é útil e necessária para permitir que seus funcionários tenham acesso à sua rede privada mesmo que estejam fora do escritório.

Normalmente, as VPNs site a site conectam redes inteiras entre si. Eles estendem uma rede e permitem que os recursos do computador de um local estejam disponíveis em outros locais. Através do uso de um roteador com capacidade de VPN, uma empresa pode conectar vários locais fixos em uma rede pública, como a Internet.

A configuração cliente-local de uma VPN permite que um host remoto, ou cliente, atue como se estivesse localizado na mesma rede local. Uma conexão VPN pode ser configurada entre o roteador e um endpoint depois que o roteador tiver sido configurado para conexão com a Internet. O cliente VPN depende das configurações do roteador VPN, além do requisito de configurações correspondentes para estabelecer uma conexão. Além disso, alguns dos aplicativos de cliente VPN são específicos da plataforma, eles também dependem da versão do sistema operacional (SO). As configurações devem ser exatamente as mesmas ou não podem se comunicar.

Uma VPN pode ser configurada com qualquer uma das seguintes opções:

Se você nunca configurou uma VPN antes, receberá muitas informações novas em todo este artigo. Este não é um guia passo a passo, mas uma visão geral para referência. Portanto, seria útil ler este artigo na íntegra antes de continuar e tentar configurar uma VPN em sua rede. Links para etapas específicas são fornecidos neste artigo.

Produtos de terceiros, que não sejam da Cisco, incluindo o TheGreenBow, OpenVPN, Shrew Soft e EZ VPN não são suportados pela Cisco. São incluídos estritamente para fins de orientação. Se precisar de suporte sobre esses itens além do artigo, entre em contato com o terceiro para obter suporte.

Benefícios do uso de uma conexão VPN

  • Usar uma conexão VPN ajuda a proteger dados e recursos confidenciais da rede.
  • Ele oferece conveniência e acessibilidade para funcionários remotos ou corporativos, já que eles poderão acessar facilmente os recursos do escritório principal sem ter que estar fisicamente presente e ainda assim manter a segurança da rede privada e seus recursos.
  • A comunicação usando uma conexão VPN fornece um nível mais alto de segurança comparado a outros métodos de comunicação remota. Um algoritmo de criptografia avançado torna isso possível, protegendo a rede privada de acesso não autorizado.
  • As localizações geográficas reais dos usuários são protegidas e não expostas a redes públicas ou compartilhadas como a Internet.
  • Uma VPN permite que novos usuários ou um grupo de usuários sejam adicionados sem a necessidade de componentes adicionais ou de uma configuração complicada.

Riscos do uso de uma conexão VPN

  • Pode haver riscos à segurança devido a configurações incorretas. Como o projeto e a implementação de uma VPN podem ser complicados, é necessário confiar a tarefa de configurar a conexão a um profissional experiente e bem informado para garantir que a segurança da rede privada não seja comprometida.
  • Pode ser menos confiável. Como uma conexão VPN requer uma conexão com a Internet, é importante ter um provedor com uma reputação comprovada e testada para fornecer um excelente serviço de Internet e garantir um tempo de inatividade mínimo ou nulo.
  • Se ocorrer uma situação em que haja necessidade de adicionar uma nova infraestrutura ou um novo conjunto de configurações, problemas técnicos podem surgir devido à incompatibilidade, especialmente se envolver produtos ou fornecedores diferentes daqueles que você já está usando.
  • Velocidades de conexão lentas podem ocorrer. Se você estiver usando uma conexão de ISP que fornece serviço VPN gratuito, é de esperar que sua conexão também esteja lenta, já que esses provedores não priorizam as velocidades de conexão. É importante observar que o throughput da VPN depende dos recursos de hardware do roteador.

Para obter mais informações sobre como as VPNs funcionam, clique aqui.

Dicas a serem usadas ao configurar uma VPN

  1. Use uma sub-rede IP de LAN diferente em ambas as extremidades enquanto configura a VPN entre locais diferentes. Por exemplo, se o site ao qual você se conecta usar um esquema de endereçamento 192.168.x.x, use uma sub-rede 10.x.x.x ou 172.16.x.x - 172.31.x.x. Outra opção seria ter máscaras de sub-rede diferentes. Quando você altera o endereço IP do roteador, os dispositivos no DHCP (Dynamic Host Configuration Protocol) capturariam automaticamente um endereço IP nessa sub-rede.
  2. Use o IP público estático na interface WAN do roteador para uma conectividade VPN estável.
  3. Certifique-se de que o nível de criptografia e autenticação selecionado seja o mesmo do roteador ao qual você deseja estabelecer um túnel VPN para a VPN.
  4. Certifique-se de que a PSK e a Vida útil da chave inseridas sejam iguais às do roteador remoto. Uma PSK pode ser o que você quer que seja, apenas precisa corresponder no local e com o cliente quando eles se configuram como um cliente em seu computador. Dependendo do dispositivo, pode haver símbolos proibidos que você não pode usar. A vida útil principal é a frequência com que o sistema altera a chave. Um certificado é preferido, pois é considerado mais seguro.
  5. Para a maioria das VPNs, os clientes não precisam de um certificado para usar uma VPN, é apenas para verificação através do roteador. Por exemplo, o OpenVPN requer certificados de cliente e de site.
  6. Defina sua vida útil da SA na fase I por mais tempo do que sua vida útil da SA da fase II. Se você tornar sua Fase I mais curta que a Fase II, então terá que renegociar o túnel para frente e para trás frequentemente ao contrário do túnel de dados. Um túnel de dados precisa de mais segurança, por isso é melhor ter a vida útil na Fase II para ser mais curta do que na Fase I.
  7. Altere todas as senhas para algo mais complexo.

Tipos de VPN

SSL (Secure Sockets Layer)

Os roteadores Cisco Business série RV34x suportam uma VPN SSL, usando o AnyConnect. O RV160 e o RV260 têm a opção de usar o OpenVPN, que é outra VPN SSL. O servidor VPN SSL permite que os usuários remotos estabeleçam um túnel VPN seguro usando um navegador da Web. Este recurso permite fácil acesso a uma ampla variedade de recursos da Web e aplicativos habilitados para a Web usando o protocolo HTTP sobre suporte ao navegador HTTPS (Hypertext Transfer Protocol Secure).

A VPN SSL permite que os usuários acessem remotamente redes restritas, usando um caminho seguro e autenticado criptografando o tráfego da rede.

Há duas opções para configurar o acesso em SSL:

  1. Certificado autoassinado: Um certificado assinado por seu próprio criador. Isso não é recomendado e deve ser usado apenas em um ambiente de teste.
  2. Certificado assinado pela AC: Isso é muito mais seguro e altamente recomendado. Por uma taxa, um terceiro valida que a rede é legítima e cria um Certificado CA que é anexado ao site. Para obter mais informações sobre Certificados CA, consulte a seção Certificados deste artigo.

Há links para artigos no AnyConnect neste documento. Para obter uma visão geral do AnyConnect, clique aqui.

Perfil IPsec

Easy VPN (EZVPN), TheGreenBow e Shrew Soft são VPNs de Internet Protocol Security (IPSec). As VPNs IPSec fornecem túneis seguros entre dois pares ou de um cliente para o local. Os pacotes considerados sensíveis devem ser enviados através desses túneis seguros. Os parâmetros que incluem algoritmo hash, algoritmo de criptografia, duração da chave e modo devem ser usados para proteger esses pacotes confidenciais devem ser definidos especificando as características desses túneis. Em seguida, quando o peer IPsec vê um pacote tão sensível, ele configura o túnel seguro apropriado e envia o pacote através desse túnel para o peer remoto.

Quando o IPsec é implementado em um firewall ou roteador, ele fornece uma segurança forte que pode ser aplicada a todo o tráfego que atravessa o perímetro. O tráfego em uma empresa ou grupo de trabalho não incorre na sobrecarga de processamento relacionado à segurança.

Para que as duas extremidades de um túnel VPN sejam criptografadas e estabelecidas com êxito, ambas precisam concordar com os métodos de criptografia, descriptografia e autenticação. O perfil IPsec é a configuração central no IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação nas fases I e II no modo automático e também no modo de chaveamento manual.

Os componentes importantes do IPsec incluem o Internet Key Exchange (IKE) Fase 1 e Fase 2.

A finalidade básica da fase um do IKE é autenticar os peers do IPSec e configurar um canal seguro entre os peers para permitir trocas de IKE. A fase 1 do IKE executa as seguintes funções:

  • Autentica e protege as identidades dos peers IPSec
  • Negocia uma política correspondente de Associações de Segurança IKE (SA) entre colegas para proteger a troca IKE
  • Executa uma troca Diffie-Hellman autenticada com o resultado final de ter chaves secretas compartilhadas correspondentes
  • Configura um túnel seguro para negociar os parâmetros da fase dois do IKE
  • Ocorre em dois modos, modo principal e modo agressivo

A finalidade da fase dois do IKE é negociar SAs de IPSec para configurar o túnel de IPSec. A fase dois do IKE executa as seguintes funções:

  • Negocia os parâmetros SA do IPSec protegidos por uma SA IKE existente
  • Estabelece associações de segurança IPSec
  • renegocia periodicamente as SAs de IPSec para garantir a segurança
  • Opcionalmente, executa uma troca Diffie-Hellman adicional
  • Apenas um modo usado, modo rápido

Se o Perfect Forward Secret (PFS) for especificado na política de IPSec, uma nova troca de DH será realizada com cada modo rápido, fornecendo material de chaveamento com maior entropia (vida útil do material principal) e, portanto, maior resistência a ataques criptográficos. Cada troca de DH requer grandes exponenciações, aumentando assim o uso da CPU e expondo um custo de desempenho.

Point-to-Point Tunneling Protocol (PPTP)

O PPTP é um protocolo de rede usado para criar túneis VPN entre redes públicas. Os servidores PPTP também são conhecidos como servidores Virtual Private Dialup Network (VPDN). O PPTP é algumas vezes usado em outros protocolos porque é mais rápido e tem a capacidade de trabalhar em dispositivos móveis. No entanto, é importante observar que ele não é tão seguro quanto outros tipos de VPNs. Há vários métodos para se conectar a contas do tipo PPTP. Clique nos links para saber mais:

Encapsulamento de roteamento genérico

GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que fornece uma abordagem genérica simples para transportar pacotes de um protocolo sobre outro por meio de encapsulamento.

O GRE encapsula um payload, ou seja, um pacote interno que precisa ser entregue a uma rede de destino dentro de um pacote IP externo. O túnel GRE se comporta como um link ponto-a-ponto virtual que tem dois endpoints identificados pelo endereço de origem e destino do túnel.

Os terminais do túnel enviam cargas úteis através de túneis GRE roteando pacotes encapsulados através de redes IP que intervêm. Outros roteadores IP ao longo do caminho não analisam a carga (o pacote interno); eles só analisam o pacote IP externo à medida que o encaminham para o ponto de extremidade do túnel GRE. Ao chegar ao ponto final do túnel, o encapsulamento GRE é removido e o payload é encaminhado para o destino final do pacote.

O encapsulamento de datagramas em uma rede é feito por várias razões, como quando um servidor de origem deseja influenciar a rota que um pacote leva para alcançar o host de destino. O servidor de origem também é conhecido como o servidor de encapsulamento.

O encapsulamento IP em IP envolve a inserção de um cabeçalho IP externo sobre o cabeçalho IP existente. O endereço origem e destino no cabeçalho IP externo apontam para os pontos finais do túnel IP-em-IP. A pilha de cabeçalhos IP é usada para direcionar o pacote sobre um caminho predeterminado até o destino, desde que o administrador de rede conheça os endereços de loopback dos roteadores que transportam o pacote.

Esse mecanismo de tunelamento pode ser usado para determinar a disponibilidade e a latência para a maioria das arquiteturas de rede. Observe que o caminho inteiro da origem para o destino não precisa ser incluído nos cabeçalhos, mas um segmento da rede pode ser escolhido para direcionar os pacotes.

Protocolo de túnel camada 2

O L2TP não fornece mecanismos de criptografia para o tráfego que ele túneis. Em vez disso, ele depende de outros protocolos de segurança, como o IPSec, para criptografar os dados.

Um túnel L2TP é estabelecido entre o L2TP Access Concentrator (LAC) e o L2TP Network Server (LNS). Um túnel IPSec também é estabelecido entre esses dispositivos e todo o tráfego do túnel L2TP é criptografado usando IPSec.

Alguns termos-chave com L2TP:

  • CHAP - Challenge Handshake Authentication Protocol . Um PPP (Point to Point authentication Protocol).
  • L2TP Access Concentrator (LAC) - Um LAC pode ser um servidor de acesso à rede da Cisco conectado à rede telefônica pública comutada (PSTN). O LAC só precisa implementar mídia para operação sobre L2TP. Um LAC pode se conectar ao LNS usando uma rede local ou uma rede de longa distância, como Frame Relay público ou privado. O LAC é o iniciador das chamadas de entrada e o receptor das chamadas de saída.
  • Servidor de rede L2TP (LNS) - praticamente qualquer roteador Cisco conectado a uma rede local ou rede de longa distância, como Frame Relay público ou privado, pode atuar como um LNS. É o lado do servidor do protocolo L2TP e deve operar em qualquer plataforma que termine as sessões PPP. O LNS é o iniciador das chamadas de saída e o receptor das chamadas de entrada. A Figura 1 descreve a rotina de chamadas entre o LAC e o LNS.
  • Virtual Private Dial Network (VPDN) - Um tipo de VPN de acesso que usa PPP para fornecer o serviço.

Se desejar mais informações sobre L2TP, clique nos seguintes links:

VPNs compatíveis com os Cisco Business VPN Routers

RV34X RV32X RV160X/RV260X
IPSec (IKEv1)
ShrewSoft Yes Yes Yes
arco Yes Yes Yes
cliente incorporado Mac Yes Yes No
iPhone/iPad Yes Yes No
Android Yes Yes Yes
L2TP/IPSec Sim (PAP) No No
PPTP Sim (PAP) Sim* Sim (PAP)
Outro
AnyConnect Yes No No
Openvpn No Yes Yes
IKEv2
Windows Sim* No Sim*
Mac Yes No Yes
iPhone Yes No Yes
Android Yes No Yes

Tecnologia VPN

Dispositivos suportados

Clientes suportados*

Detalhes e avisos

IPSec (IKEv1)

RV34X, RV32X, RV160X/RV260X

Nativo: Mac, iPhone, iPad, Android


Outro: EasyVPN (Cisco VPN Client), ShrewSoft, Greenbow

Mais fácil de configurar, solucionar problemas e oferecer suporte. Ele está disponível em todos os roteadores, é simples de configurar (na maioria das vezes) e tem o melhor registro para solucionar problemas. E inclui a maioria dos dispositivos. É por isso que normalmente recomendamos a ShrewSoft (livre e funcional) e a Greenbow (não livre, mas funciona).

No Windows, temos clientes ShrewSoft e Greenbow como opções, já que o Windows não tem um cliente VPN nativo IPSec puro. Para a ShrewSoft e a Greenbow, é um pouco mais envolvida, mas não difícil. Depois de configurados pela primeira vez, os perfis do cliente podem ser exportados e importados em outros clientes.

Para roteadores RV160X/RV260X, como não temos a opção Easy VPN, temos que usar a opção de cliente terceirizado, que não funciona com Mac, iPhone ou iPad. Entretanto, podemos configurar clientes ShrewSoft, Greeenbow e Android para conexão. Para clientes Mac, iPhone e iPad, recomendo IKEv2 (veja abaixo).

AnyConnect

RV34X

Windows, Mac, iPhone, iPad, Android

Alguns clientes solicitam uma solução completa da Cisco e é isso. É simples de configurar, tem registro em log, mas pode ser um desafio entender os registros. Requer requisitos de licenciamento do cliente, aumentando o custo. É uma solução completa da Cisco e é atualizada. A solução de problemas não é tão fácil quanto o IPSec, mas melhor que as outras opções de VPN.

L2TP/IPSec

RV34X

Nativo: Windows

Isso é o que eu recomendarei aos clientes que precisam usar o cliente VPN integrado no Windows. Duas advertências sobre isso são:

1. Só suportamos autenticação PAP ao usar autenticação local. Temos que entrar em cada cliente e selecionar opcional ou sem criptografia, desativar as opções MS-CHAP e ativar PAP. Isso significa que o nome de usuário/senha são enviados sem formatação. Não é uma grande venda, pois tudo é criptografado com IPSec e precisa ser configurado em cada cliente. No Windows, isso é configurável, mas não em dispositivos Mac, iPhone, iPad ou Android, portanto, realmente só pode ser usado por clientes Windows, a menos que eles tenham um servidor de autenticação externa como Radius ou LDAP.

2. Se o roteador estiver por trás de um dispositivo NAT, a conexão falhará em máquinas Windows. A solução é criar uma chave de registro em cada cliente para permitir NAT no cliente e no roteador.

IPSec (IKEv2)

RV34X, RV160X/RV260X

Nativo: Windows, Mac, iPhone, iPad, Android

O cliente nativo do Windows para IKEv2 requer autenticação de certificado, o que exige uma infraestrutura de PKI, uma vez que o roteador e todos os clientes precisam ter certificados da mesma CA (ou de outra CA confiável).

Para aqueles que querem usar o IKEv2, configuramos isso para seus dispositivos Mac, iPhone, iPad e Android e geralmente configuramos o IKEv1 para suas máquinas Windows (ShrewSoft, Greenbow ou L2TP/IPSec).

VPN aberta

RV32X, RV160X/RV260X

A VPN aberta é o cliente

Mais difícil de configurar, difícil de solucionar problemas e suporte. Suportado em RV160X/RV260X e RV320. A configuração é mais complexa do que IPSec ou AnyConnect, especialmente se eles usam certificados, o que a maioria deles usa. A solução de problemas é mais difícil, pois não temos registros úteis no roteador e confiamos nos registros do cliente. Além disso, as atualizações de versão do cliente OpenVPN alteraram sem aviso quais certificados aceitaram. Além disso, descobrimos que isso não funciona com o Chromebooks e tinha que ir para uma solução IPSec.

* Nós testamos tantas combinações quanto pudermos, se houver uma combinação específica de hardware/software, entre em contato aqui. Caso contrário, consulte o guia de configuração relacionado por dispositivo para obter a versão mais recente testada.

Certificados

Você já visitou um site e recebeu um aviso de que ele não é seguro? Ele não o enche de confiança de que suas informações privadas são seguras, e não são! Se um site estiver seguro, você verá um ícone de cadeado fechado antes do nome do site. Este é um símbolo de que o site foi verificado como seguro. Certifique-se de ver esse ícone de cadeado fechado. O mesmo vale para a sua VPN.

Ao configurar uma VPN, você deve obter um certificado de uma autoridade de certificação (CA). Os certificados são adquiridos de sites de terceiros e usados para autenticação. É uma forma oficial de provar que seu site é seguro. Essencialmente, a AC é uma fonte confiável que verifica se você é uma empresa legítima e se pode ser confiável. Para uma VPN, você só precisa de um certificado de nível inferior a um custo mínimo. Você recebe check-out do CA e, depois que eles verificarem suas informações, eles emitem o certificado para você. Este certificado pode ser baixado como um arquivo em seu computador. Você pode então ir para o roteador (ou servidor VPN) e carregá-lo lá.

A CA usa PKI (Public Key Infrastructure, Infraestrutura de Chave Pública) ao emitir certificados digitais, que usam a criptografia de chave pública ou privada para garantir a segurança. As ACs são responsáveis por gerenciar solicitações de certificado e emitir certificados digitais. Algumas CAs de terceiros incluem IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust e Verisign.

É importante que todos os gateways em uma VPN usem o mesmo algoritmo, caso contrário eles não poderão se comunicar. Para simplificar, é recomendável que todos os certificados sejam adquiridos do mesmo terceiro confiável. Isso facilita o gerenciamento de vários certificados, pois eles precisam ser renovados manualmente.

Note: Os clientes geralmente não precisam de um certificado para usar uma VPN; é apenas para verificação através do roteador. Uma exceção a isso é o OpenVPN, que requer um certificado de cliente.

Algumas pequenas empresas optam por usar uma senha ou uma chave pré-compartilhada em vez de um certificado para simplificar. Isso é menos seguro, mas pode ser configurado sem nenhum custo.

Mais informações sobre certificados podem ser encontradas nos links abaixo:

VPN site a site em um roteador

Para o roteador local e remoto, é importante garantir que a chave pré-compartilhada (PSK)/senha/certificado usado para a conexão VPN e as configurações de segurança correspondam. Se um ou mais roteadores usarem Network Address Translation (NAT), que a maioria dos roteadores Cisco Business usa, você precisará fazer isenções de firewall para a conexão VPN nos roteadores local e remoto.

Confira estes artigos site a site para obter mais informações:

VPN de cliente para local em um roteador

Antes que uma VPN possa ser configurada no lado do cliente, um administrador precisa configurá-la no roteador.

Clique para exibir estes artigos de configuração do roteador:

Criar um perfil cliente-local

Em uma conexão VPN Cliente a Site, os clientes da Internet podem se conectar ao servidor para acessar a rede corporativa ou LAN atrás do servidor, mas ainda mantêm a segurança da rede e seus recursos. Esse recurso é muito útil, pois cria um novo túnel VPN que permite que funcionários remotos e viajantes a negócios acessem sua rede usando um software cliente VPN sem comprometer a privacidade e a segurança. Os artigos a seguir são específicos para os roteadores da série RV34x:

A VPN de cliente para site não funcionará se o encaminhamento de porta estiver definido para origem Todo o tráfego e destino Todo o tráfego.

Grupos de usuários

Os grupos de usuários são criados no roteador para uma coleção de usuários que compartilham o mesmo conjunto de serviços. Esses grupos de usuários incluem opções para o grupo, como uma lista de permissões sobre como eles podem acessar a VPN. Dependendo do dispositivo, o PPTP, o IPSec VPN de site a site e o IPSec VPN de cliente a site podem ser permitidos. Por exemplo, o RV260 tem opções que incluem o OpenVPN, mas o L2TP não é suportado. A série RV340 está equipada com AnyConnect para uma VPN SSL, bem como com o Captive Portal ou EZ VPN.

Essas configurações permitem que os administradores controlem e filtrem para que somente usuários autorizados possam acessar a rede. Shrew Soft e TheGreenBow são dois dos clientes VPN mais comuns disponíveis para download. Eles precisam ser configurados com base nas configurações de VPN do roteador para que possam estabelecer com êxito um túnel VPN. O seguinte artigo trata especificamente da criação de um grupo de usuários:

Ao configurar Grupos de usuários para uma VPN, certifique-se de deixar a conta admin padrão no grupo admin e criar uma nova conta de usuário e um novo grupo de usuários para VPN. Se você mover sua conta de administrador para um grupo diferente, você impedirá que você faça login no roteador. Como resultado, você teria que fazer uma redefinição de fábrica e configurar para esse roteador novamente, deixando a conta admin padrão no grupo admin sozinho.

Contas do usuário

As Contas de Usuário são criadas no roteador para permitir a autenticação de usuários locais usando o banco de dados local para vários serviços, como PPTP, VPN Client, login da Interface Gráfica de Usuário (GUI - Graphical User Interface) da Web e Secure Sockets Layer Virtual Private Network (SSLVPN - Rede Virtual Privada de Camada de Soquetes Segura). Isso permite que os administradores controlem e filtrem usuários autorizados apenas para acessar a rede. O seguinte artigo aborda especificamente a criação de uma conta de usuário:

Cliente a local no local do cliente

Em uma conexão VPN Cliente a Site, os clientes da Internet podem se conectar ao servidor para acessar a rede corporativa ou LAN atrás do servidor, mas ainda mantêm a segurança da rede e seus recursos. Esse recurso é muito útil, pois cria um novo túnel VPN que permite que funcionários remotos e viajantes a negócios acessem sua rede usando um software cliente VPN sem comprometer a privacidade e a segurança. A VPN está configurada para criptografar e descriptografar dados à medida que eles são enviados e recebidos.

O aplicativo AnyConnect trabalha com VPN SSL e é usado especificamente com roteadores RV34x. Ele não está disponível com outras séries de RV de roteadores. A partir da versão 1.0.3.15, uma licença de roteador não é mais necessária, mas as licenças precisam ser adquiridas para o lado do cliente da VPN. Para obter mais informações sobre o Cisco AnyConnect Secure Mobility Client, clique aqui. Para obter instruções sobre a instalação, selecione um dos seguintes artigos:

Há alguns aplicativos de terceiros que podem ser utilizados para VPN de cliente para site com todos os roteadores da série RV. Como dito anteriormente, a Cisco não oferece suporte a esses aplicativos; essas informações são fornecidas para fins de orientação.

O GreenBow VPN Client é um aplicativo de cliente VPN de terceiros que possibilita que um dispositivo host configure uma conexão segura para o túnel IPsec cliente-site ou SSL. Este é um aplicativo pago que inclui suporte.

O OpenVPN é um aplicativo de código aberto gratuito que pode ser configurado e usado para uma VPN SSL. Ele usa uma conexão cliente-servidor para fornecer comunicações seguras entre um servidor e um local de cliente remoto pela Internet.

O Shrew Soft é um aplicativo de código aberto gratuito que também pode ser configurado e usado para uma VPN IPsec. Ele usa uma conexão cliente-servidor para fornecer comunicações seguras entre um servidor e um local de cliente remoto pela Internet.

O Easy VPN era comumente usado em roteadores RV32x. Aqui estão algumas informações para referência:

Assistente de configuração

Os roteadores Cisco Business mais recentes vêm com um Assistente de configuração de VPN que o orienta pelas etapas de configuração. O Assistente para configuração de VPN permite configurar conexões VPN básicas de LAN para LAN e de acesso remoto e atribuir chaves pré-compartilhadas ou certificados digitais para autenticação. Consulte estes artigos para obter mais informações:

Conclusão

Este artigo o levou a uma melhor compreensão das VPNs, além de dicas para colocá-lo a caminho. Agora você deve estar pronto para configurar o seu próprio! Reserve um tempo para visualizar os links e decidir a melhor maneira de configurar uma VPN no roteador Cisco Business.

Histórico de revisões

Revisão Data de publicação Comentários
1.0
15-Jan-2020
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco