Este documento mostra como configurar o VPN Setup Wizard no RV160 e RV260.
A tecnologia evoluiu e os negócios geralmente são conduzidos fora do escritório. Os dispositivos são mais móveis e os funcionários frequentemente trabalham em casa ou à medida que viajam. Isso pode causar algumas vulnerabilidades de segurança. Uma VPN (Virtual Private Network) é uma excelente maneira de conectar funcionários remotos a uma rede segura. Uma VPN permite que um host remoto atue como se estivesse conectado à rede protegida no local.
Uma VPN estabelece uma conexão criptografada em uma rede menos segura como a Internet. Ele garante o nível apropriado de segurança para os sistemas conectados. Um túnel é estabelecido como uma rede privada que pode enviar dados com segurança usando técnicas de autenticação e criptografia padrão do setor para proteger os dados enviados. Uma VPN de acesso remoto geralmente depende do Internet Protocol Security (IPsec) ou do Secure Socket Layer (SSL) para proteger a conexão.
As VPNs fornecem acesso de Camada 2 à rede de destino; eles exigem um protocolo de tunelamento, como o Point-to-Point Tunneling Protocol (PPTP) ou o Layer 2 Tunneling Protocol (L2TP), sendo executado na conexão IPsec básica. A VPN IPsec suporta VPN site a site para um túnel gateway a gateway. Por exemplo, um usuário pode configurar o túnel VPN em um local de filial para se conectar ao roteador no local corporativo, de modo que o local da filial possa acessar a rede corporativa com segurança. A VPN IPsec também suporta VPN cliente-servidor para túnel host-para-gateway. A VPN do cliente para o servidor é útil ao conectar do laptop/PC de casa a uma rede corporativa através do servidor VPN.
O roteador da série RV160 suporta 10 túneis e o roteador da série RV260 suporta 20 túneis. O Assistente para configuração de VPN orienta o usuário ao configurar uma conexão segura para um túnel IPsec site a site. Isso simplifica a configuração evitando parâmetros complexos e opcionais, de modo que qualquer usuário possa configurar o túnel IPsec de maneira rápida e eficiente.
. RV160
. RV260
. 1.0.0.13
Etapa 1. Faça login na página de configuração da Web no roteador local.
Note: Chamaremos o roteador local de Roteador A e o roteador remoto de Roteador B. Neste documento, usaremos dois RV160 para demonstrar o Assistente de configuração de VPN.
Etapa 2. Navegue até VPN > VPN Setup Wizard.
Etapa 3. Na seção Introdução, insira um nome de conexão no campo Inserir um nome de conexão. Entramos no HomeOffice como nosso nome de conexão.
Etapa 4. No campo Interface, selecione uma interface na lista suspensa se estiver usando um RV260. O RV160 tem apenas um link de WAN, portanto, você não poderá selecionar uma interface na lista suspensa. Clique em Avançar para prosseguir para a seção Configurações do roteador remoto.
Etapa 5. Selecione um tipo de conexão remota na lista suspensa. Selecione IP estático ou FQDN (Fully Qualified Domain Name) e insira o endereço IP da WAN ou o FQDN do gateway que deseja conectar no campo Endereço remoto. Neste exemplo, o IP estático foi selecionado e o endereço IP da WAN do roteador remoto (Roteador B) foi inserido. Em seguida, clique em Avançar para ir para a próxima seção.
Etapa 6. Na seção Rede local e remota, em Seleção de tráfego local, selecione o IP local (Sub-rede, Single ou Any) na lista suspensa. Se você selecionar Sub-rede, insira o endereço IP da sub-rede e a máscara de sub-rede. Se você selecionar Single, insira um endereço IP. Se Any foi selecionado, vá para a próxima etapa para configurar a Seleção de tráfego remoto.
Passo 7. Na Seleção de tráfego remoto, selecione o IP remoto (Sub-rede, única ou qualquer) na lista suspensa. Se você selecionar Sub-rede, insira o endereço IP da sub-rede e a máscara de sub-rede do roteador remoto (Roteador B). Se você selecionar Single, insira o endereço IP. Em seguida, clique em Avançar para configurar a seção Perfil.
Note: Se você selecionou Qualquer para Seleção de Tráfego Local, selecione Sub-rede ou Única para a Seleção de Tráfego Remoto.
Etapa 8. Na seção Perfil, selecione um nome para o perfil IPsec na lista suspensa. Para esta demonstração, new-profile foi selecionado como o perfil IPsec.
Etapa 9. Escolha IKEv1 (Internet Key Exchange Version 1) ou IKEv2 (Internet Key Exchange Version 2) como sua versão IKE. O IKE é um protocolo híbrido que implementa a troca de chaves Oakley e a troca de chaves Skeme dentro da estrutura ISAKMP (Internet Security Association and Key Management Protocol). O IKE fornece autenticação dos peers IPsec, negocia chaves IPsec e negocia associações de segurança IPsec. O IKEv2 é mais eficiente porque leva menos pacotes para fazer a troca de chaves e suporta mais opções de autenticação, enquanto o IKEv1 só faz autenticação baseada em certificado e chave compartilhada. Neste exemplo, IKEv1 foi selecionado como nossa versão IKE.
Note: Se o seu dispositivo suporta IKEv2, então é recomendável usar IKEv2. Se seus dispositivos não suportam IKEv2, use IKEv1. Ambos os roteadores (local e remoto) precisam usar a mesma versão IKE e as mesmas configurações de segurança.
Etapa 10. Na seção Opções da Fase 1, selecione um grupo DH (Diffie-Hellman) (Grupo 2 - 1024 bits ou Grupo 5 - 1536 bits) na lista suspensa. O DH é um protocolo de troca de chaves, com dois grupos de tamanhos de chave primária diferentes: O Grupo 2 tem até 1.024 bits e o Grupo 5 tem até 1.536 bits. Usaremos o Grupo 2 - 1024 bits para esta demonstração.
Note: Para obter velocidade mais rápida e segurança mais baixa, escolha Grupo 2. Para velocidade mais lenta e segurança mais alta, escolha Grupo 5. O grupo 2 é selecionado por padrão.
Etapa 11. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar ou descriptografar pacotes de Encapsulating Security Payload (ESP)/Internet Security Association and Key Management Protocol (ISAKMP). O Triple Data Encryption Standard (3DES) usa a criptografia DES três vezes, mas agora é um algoritmo legado. Isso significa que ele só deve ser usado quando não há alternativas melhores, pois ainda oferece um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de bloqueio". O Advanced Encryption Standard (AES) é um algoritmo criptográfico projetado para ser mais seguro que o DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um invasor tente todas as chaves possíveis. Recomenda-se usar AES em vez de 3DES. Neste exemplo, usaremos AES-192 como nossa opção de criptografia.
Note: Aqui estão alguns recursos adicionais que podem ajudar a: Configurando a segurança para VPNs com IPSec e criptografia de última geração.
Etapa 12. O método de autenticação determina como os pacotes de cabeçalho do protocolo de payload de segurança de encapsulamento (ESP - Encapsulating Security Payload Protocol) são validados. O MD5 é um algoritmo de hash unidirecional que produz um resumo de 128 bits. O SHA1 é um algoritmo de hash unidirecional que produz um resumo de 160 bits, enquanto o SHA2-256 produz um resumo de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256). SHA2-256 foi selecionado para este exemplo.
Etapa 13. O SA Lifetime (Sec) informa a quantidade de tempo, em segundos, em que um SA IKE está ativo nesta fase. Uma nova associação de segurança (SA) é negociada antes do tempo de vida expirar para garantir que uma nova SA esteja pronta para ser usada quando a antiga expirar. O padrão é 28800 e o intervalo é de 120 a 86400. Usaremos o valor padrão de 28800 segundos como nosso SA Lifetime para a Fase I.
Note: Recomenda-se que a sua SA Lifetime na Fase I seja mais longa que a sua SA Lifetime de Fase II. Se você tornar sua Fase I mais curta que a Fase II, então terá que renegociar o túnel para frente e para trás frequentemente ao contrário do túnel de dados. O túnel de dados é o que precisa de mais segurança, então é melhor ter a vida na Fase II para ser mais curta que na Fase I.
Etapa 14. Digite a chave pré-compartilhada a ser usada para autenticar o peer IKE remoto. Você pode digitar até 30 caracteres de teclado ou valores hexadecimais, como My_@123 ou 4d795f40313233. As duas extremidades do túnel VPN devem usar a mesma chave pré-compartilhada.
Note: Recomendamos que você altere a chave pré-compartilhada periodicamente para maximizar a segurança da VPN.
Etapa 15. Na seção Opções da Fase II, selecione um protocolo na lista suspensa.
. ESP - Selecione ESP para criptografia de dados e insira a criptografia.
. AH - Selecione para integridade de dados em situações em que os dados não são secretos, mas devem ser autenticados.
Etapa 16. Selecione uma opção de criptografia (3DES, AES-128, AES-192 ou AES-256) na lista suspensa. Esse método determina o algoritmo usado para criptografar ou descriptografar pacotes de Encapsulating Security Payload (ESP)/Internet Security Association and Key Management Protocol (ISAKMP). O Triple Data Encryption Standard (3DES) usa a criptografia DES três vezes, mas agora é um algoritmo legado. Isso significa que ele só deve ser usado quando não há alternativas melhores, pois ainda oferece um nível de segurança marginal, mas aceitável. Os usuários só devem usá-lo se for necessário para compatibilidade com versões anteriores, pois ele é vulnerável a alguns ataques de "colisão de bloqueio". O Advanced Encryption Standard (AES) é um algoritmo criptográfico projetado para ser mais seguro que o DES. O AES usa um tamanho de chave maior que garante que a única abordagem conhecida para descriptografar uma mensagem é que um invasor tente todas as chaves possíveis. Recomenda-se usar AES em vez de 3DES. Neste exemplo, usaremos AES-192 como nossa opção de criptografia.
Note: Aqui estão alguns recursos adicionais que podem ajudar a: Configurando a segurança para VPNs com IPSec e criptografia de última geração.
Etapa 17. O método de autenticação determina como os pacotes de cabeçalho do protocolo de payload de segurança de encapsulamento (ESP - Encapsulating Security Payload Protocol) são validados. O MD5 é um algoritmo de hash unidirecional que produz um resumo de 128 bits. O SHA1 é um algoritmo de hash unidirecional que produz um resumo de 160 bits, enquanto o SHA2-256 produz um resumo de 256 bits. SHA2-256 é recomendado porque é mais seguro. Certifique-se de que ambas as extremidades do túnel VPN usem o mesmo método de autenticação. Selecione uma autenticação (MD5, SHA1 ou SHA2-256). SHA2-256 foi selecionado para este exemplo.
Etapa 18. Digite no SA Lifetime (Sec), que é o tempo, em segundos, que um túnel VPN (IPsec SA) está ativo nesta fase. O valor padrão para a Fase 2 é 3600 segundos.
Etapa 19. Quando o Perfect Forward Secret (PFS) está ativado, a negociação de IKE Fase 2 gera um novo material chave para a criptografia e autenticação do tráfego IPsec. O Perfect Forward Secsecret é usado para melhorar a segurança das comunicações transmitidas pela Internet usando criptografia de chave pública. Marque a caixa para habilitar esse recurso ou desmarque a caixa para desabilitar esse recurso. Este recurso é recomendado. Se marcada, selecione um Grupo DH. Neste exemplo, Grupo2 - 1024 bits é usado.
Etapa 20. No Salvar como um novo perfil, digite um nome para o novo perfil que acabou de criar. Clique em Next (Avançar) para ver o resumo da sua configuração de VPN.
Etapa 21. Verifique as informações e clique em Enviar.
No roteador remoto, você precisaria configurar as mesmas configurações de segurança do roteador local, mas usar o endereço IP do roteador local como o tráfego remoto.
Etapa 1. Efetue login na página de configuração da Web do roteador remoto (Roteador B) e navegue até VPN > Assistente de configuração de VPN.
Etapa 2. Insira um nome de conexão e escolha a interface que será usada para a VPN se você estiver usando um RV260. O RV160 tem apenas um link de WAN, portanto, você não poderá selecionar uma interface na lista suspensa. Em seguida, clique em Avançar para continuar.
Etapa 3. Nas Configurações do Roteador Remoto, selecione o Tipo de Conexão Remota e insira o endereço IP da WAN do Roteador A. Em seguida, clique em Avançar para continuar para a próxima seção.
Etapa 4. Selecione o tráfego local e remoto. Se você selecionou a Sub-rede no campo Seleção de Tráfego Remoto, insira a sub-rede do endereço IP privado do Roteador A. Em seguida, clique em Avançar para configurar a seção Perfil.
Etapa 5. Na seção Perfil, selecione as mesmas configurações de segurança do Roteador A. Também inserimos a mesma chave pré-compartilhada do Roteador A. Em seguida, clique em Avançar para ir para a página Resumo.
Opções da Fase I:
Opções da Fase II:
Etapa 6. Na página Resumo, verifique se as informações que você acabou de configurar estão corretas. Em seguida, clique em Enviar para criar sua VPN Site a Site.
Note: Todas as configurações que o roteador está usando no momento estão no arquivo Running Configuration, que é volátil e não é retido entre as reinicializações. Para manter a configuração entre as reinicializações, certifique-se de copiar o arquivo de configuração atual para o arquivo de configuração de inicialização depois de concluir todas as alterações. Para isso, clique no botão Salvar exibido na parte superior da página ou navegue para Administração > Gerenciamento de configuração. Em seguida, verifique se sua origem está executando a configuração e se destino é configuração de inicialização. Clique em Apply.
Você deve ter configurado com êxito uma VPN site a site usando o Assistente de configuração de VPN. Siga as etapas abaixo para verificar se a VPN site a site está conectada.
Etapa 1. Para verificar se sua conexão foi estabelecida, você deve ver um status Conectado quando navegar para VPN > VPN IPSec > Site a Site.
Etapa 2. Navegue até Status and Statistics > VPN Status e verifique se o túnel Site a Site está Habilitado e UP.