(2) Comentários

Por André Ortega, 09/02/2010 10:22

O L2TP – Layer 2 Tunnel Protocol, foi desenvolvido pelo IETF com base o PPTP (Microsoft) e no Cisco L2F, para a configuração de VPN. Porém este protocolo não fornece qualquer tipo de criptografia e/ou confidencialidade, logo para criarmos uma VPN segura, temos que usar outros mecanismos, como o IPSec.

Primeiro o IPSec fornece um canal seguro, utilizando o IKE e o AES normalmente, e então o L2TP prove o túnel.

Já vimos aqui mesmo no brainwork, como o IPSec funciona, e até um exemplo de configuração de VPN IPSec entre dois roteadores.

Atualmente é normal utilizar apenas o IPSec, já que ele pode atender sozinho a necessidade de criar o túnel e garantir a segurança (criptografia, autenticação e integridade). Porém o L2TP possui pelo menos três grandes vantagens:

1. Permite passar multicast pela VPN;
2. O Windows possui um client VPN L2TP nativo (não é preciso um software adicional);
3. Padrão de mercado (multi vendor);

Configurando VPN L2TP/IPSec no roteador

Vamos ver como configurar uma VPN L2TP/IPSec em um roteador, para permitir a conexão remota de usuários (VPN Remote Access).

1°) Configure a autenticação que os usuário utilizarão. Neste exemplo os usuários serão criados no próprio roteador.

aaa new-model
aaa authentication ppp default local
username brainwork password senha123

2°) Habilite o VPDN (Virtual Private Dial-up Network), configure o grupo para que o roteador permita conexões de entrada e especifique o Template e o protocolo layer 2 a ser utilizado. VPN-L2TP é o nome do grupo.

vpdn enable
vpdn-group VPN-L2TP
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication

3°) Agora, vamos configurar os parâmetros do IPSec, para garantir a segurança da VPN. Mais detalhes sobre o IPSec podem ser encontrados em outros post aqui no brainwork.

crypto isakmp policy 10
! Tipo de criptografia e autenticação do grupo IPSec
encr 3des
authentication pre-share
group 2
! Pré-shared que deverá ser configurada também no client
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TRANSET esp-3des esp-sha-hmac
! Modo transport deve ser utilizado
mode transport
!
crypto dynamic-map DYMAP 10
! Permite a utilização de NAT junto com o túnel
set nat demux
set transform-set TRANSET
!
crypto map cisco 10 ipsec-isakmp dynamic DYMAP

4°) Crie um pool de endereçamento, que os client utilizarão quando se conectarem.

ip local pool vpn_pool 192.168.100.200 192.168.100.250

5°) Crie o Virtual Template, que foi amarrado ao VPDN no 2° passo. Neste template definimos o tipo de criptografia do PPP e a autenticação utilizada, além de informar o pool que usaremos.

interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool vpn_pool
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2

6°) Por fim, associe o crypto map a interface WAN.

interface FastEthernet0/0
description CONEXAO WAN
crypto map cisco

Configurando o client no Windows para conexão

1°) No Windows XP, clique em Iniciar > Conectar-se > Mostrar todas as Conexões.

2°) Na janela Conexões de Rede, de dois cliques em Assistente para novas conexões > Avançar e então selecione  Conectar-me a uma rede em meu local de trabalho e então Avançar.

3°) A seguir, selecione Conexão VPN (rede virtual privada), e Avançar.

4°) Na janela que se abrirá, de um nome qualquer para a nova conexão e clique Avançar e em seguida informe o IP da interface WAN do roteador.

5°) A conexão VPN foi criada, mas ainda faltam algumas configurações. Clique em Propriedades.

6°) Vá até a aba Segurança, e clique em Configurações de IPSec… Na janela seguinte selecione Usar chave pré-compartilhada para autenticação e coloque cisco123 (configurado no 3° passo da configuração do roteador). Clique Ok.

7°) Ainda na aba Segurança, selecione a opção Avançada (configurações personalizadas), e depois clique em Configurações.

8°) Selecione a opção Permitir estes protocolos, e habilite Microsoft CHAP (MS-CHAP) e Microsoft CHAP versão 2 (MS-CHAP v2).

9°) De volta a tela de login, informe o usuário e senha cadastrador no roteador e clique em conectar.

10°) Pronto, a VPN foi fechada.

Mais informações sobre a configuração de VPN L2TP em roteadores Cisco aqui.

Até a próxima.

Só um comentário

Por André Ortega, 04/02/2010 10:22

Para quem dificuldade em criar access-lists ou apenas para conferir o resultado da ACL antes de aplicá-la, uma boa opção é o Cisco ACL Editor and Simulator (que não é desenvolvido pela Cisco). Com este programa inserimos as informações e ele cria a ACL.

Além de criar, também é possível verificar o que acontecerá com o tráfego que passar pela lista de acesso. Com a access-list já criada, clique no ícone com a engrenagem para iniciar a simulação. Especifique o tráfego, indicando se é TCP, UDP, o IP de origem e destino, bem como as portas e pronto.

Esta funcionalidade lembra o Packet Tracer, que temos no ASDM (ASA/PIX), e que talvez um dia seja integrado no IOS.

O programa é pago, mas conta com uma demo de 30 dias para testá-lo.

Para fazer o download do Cisco ACL Editor and Simulator visite a página do desenvolvedor.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 01/02/2010 10:21

A Cisco anunciou o End Of Sales do 4500 para 31 de julho de 2010. Não chega a a ser surpresa, já que há algum tempo temos a venda o 4500-E, substituto natural do 4500. Mas considerando a qualidade deste equipamento e a grande quantidade de unidades vendidas em todo o mundo, não poderíamos deixar passar sem uma nota.

Apesar de encerrar as vendas ainda este ano, até 2015 ainda é possível ter suporte para os equipamentos.

Os quatro modelos desta linha (4503, 4506, 4507 e 4510) deverão ser migrados para seus correspondentes 4503-E, 4506-E, 4507-E e 4510-E, gradativamente (inclusive a Cisco oferece um bundle com chassi 4503 +  Sup5L + uma placa de 48 portas Gigabit com um bom desconto).

Além dos chassis, as supervisoras também chegaram ao fim da linha, restando apenas os modelos  WS-X4516-10GE, WS-X45-SUP6L-E e WS-X45-SUP6-E. Outros módulos também tiveram o EoS anunciado.

Veja o anúncio oficial.

Até a próxima.