(4) Comentários

Por Leandro Oliveira, 29/03/2012 17:34

Talvez você ainda não saiba, mas os produtos da Apple (IPhone, IPad, Mac OS X) possuem um client de VPN nativo da Cisco, o que torna desnecessário a instalação de um client IPSec quando a solução dos concentradores tiver como base os produtos da empresa de San Francisco.
A idéia deste post é mostrar o processo de configuração em um Mac OS X (Lion), considerando que o equipamento concetrador (PIX, ASA, VPN3000 ou Router) já esteja configurado para VPN do tipo remote access, mão a massa…

O primeiro passo é abrir o menu Network em System Preferences

Dentro da janela Network clique no sinal de + no canto inferior esquerdo para adicionar uma nova conexão de rede, selecionando na nova janela que se abrirá as opções de Interface, VPN Type como mencionados abaixo, na opção Service Name atribua o nome que lhe for conveniente, clique em Create.

Depois que a conexão for criada ela aparecerá do lado esquerdo com o status em amarelo, clique na conexão e posteriormente em Authetication Settings

Na janela que abrirá basta cadastrar o nome do grupo e a shared secret ou certificado digital, clique em OK

Pronto! Sua conexão VPN esta pronta para uso bastando apenas clicar em Connect para estabelece-la

Até a próxima…

Leandro Oliveira

Seja o primeiro a comentar

Por André Ortega, 23/11/2011 13:50

Quando criamos uma VPN remote access, onde os usuários usam um cliente para realizar o acesso remoto, o mais comum é que cada usuário tenha suas credenciais (usuário e senha/token/certificado).

Mas eventualmente é necessário o uso de credenciais compartilhadas. Ou seja, pessoas diferentes realizam o acesso utilizando o mesmo usuário e senha, simultaneamente.

Por padrão o ASA permite que até 3 conexões VPN sejam estabelecidas com o mesmo usuário. Mas podemos aumentar (ou diminuir) este número de acordo com a necessidade.

Com a configuração default, caso um quarto usuário tente se logar na VPN usando o username vpnuser1, um dos usuários será desconectado.

Para mudar este parâmetro, basta usar o comando vpn-simultaneous-logins, dentro do group-policy em uso.

Aumentando o número de logins simultâneos na VPN, com o mesmo usuário:

group-policy BRAIN attributes

vpn-simultaneous-logins 5

Mais informação sobre este comando aqui.

Até a próxima.

(5) Comentários

Por André Ortega, 11/02/2010 10:22

Quem utiliza VPN Remote Access com terminação em gateways Cisco sofre com um problema: O client IPSec Cisco não suporta instalação no Windows 64 bits, como podemos ver neste link.

Para contornar este problema podemos utilizar o Shrew Soft VPN Access Manager, desenvolvido pela Shrew, que é gratuíto e conta com versões para toda a família Windows, 32 e 64 bits.

Após fazer o download no site do desenvolvedor (menos de 3 MB) e instalar o aplicativo (Next, next, finish), vamos configurá-lo.

1°) Clique em Add, para criar um novo profile, e na aba General informe o IP do concentrador VPN, no campo Host Name or Ip Address.

2°) Depois vá para a aba Authentication, e em Authentication Method selecione Mutual PSK + XAuth (se for assim que seu equipamento – roteador/firewall ou outro concentrador VPN – estiver configurado. No Campo Key ID String coloque o nome do grupo (VPN_Group_Name, no exemplo), também configurado no Gateway VPN.

3°) Ainda na aba Authentication, selecione a sub-aba Credentials e especifique a mesma Pre Shared Key que foi configurada no concentrador VPN.

4°) Configuração finalizada. Você pode renomear o profile, colocando o nome do local onde a conexão será realizada, por exemplo.

Para conectar à VPN basta selecionar o ícone e clicar em Connect. Quando forem solicitadas as credenciais informe o usuário e senha.

O Shrew Soft VPN também permite a importação de profile criado no client da Cisco (.pfc).

Até a próxima.

(5) Comentários

Por André Ortega, 09/02/2010 10:22

O L2TP – Layer 2 Tunnel Protocol, foi desenvolvido pelo IETF com base o PPTP (Microsoft) e no Cisco L2F, para a configuração de VPN. Porém este protocolo não fornece qualquer tipo de criptografia e/ou confidencialidade, logo para criarmos uma VPN segura, temos que usar outros mecanismos, como o IPSec.

Primeiro o IPSec fornece um canal seguro, utilizando o IKE e o AES normalmente, e então o L2TP prove o túnel.

Já vimos aqui mesmo no brainwork, como o IPSec funciona, e até um exemplo de configuração de VPN IPSec entre dois roteadores.

Atualmente é normal utilizar apenas o IPSec, já que ele pode atender sozinho a necessidade de criar o túnel e garantir a segurança (criptografia, autenticação e integridade). Porém o L2TP possui pelo menos três grandes vantagens:

1. Permite passar multicast pela VPN;
2. O Windows possui um client VPN L2TP nativo (não é preciso um software adicional);
3. Padrão de mercado (multi vendor);

Configurando VPN L2TP/IPSec no roteador

Vamos ver como configurar uma VPN L2TP/IPSec em um roteador, para permitir a conexão remota de usuários (VPN Remote Access).

1°) Configure a autenticação que os usuário utilizarão. Neste exemplo os usuários serão criados no próprio roteador.

aaa new-model
aaa authentication ppp default local
username brainwork password senha123

2°) Habilite o VPDN (Virtual Private Dial-up Network), configure o grupo para que o roteador permita conexões de entrada e especifique o Template e o protocolo layer 2 a ser utilizado. VPN-L2TP é o nome do grupo.

vpdn enable
vpdn-group VPN-L2TP
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication

3°) Agora, vamos configurar os parâmetros do IPSec, para garantir a segurança da VPN. Mais detalhes sobre o IPSec podem ser encontrados em outros post aqui no brainwork.

crypto isakmp policy 10
! Tipo de criptografia e autenticação do grupo IPSec
encr 3des
authentication pre-share
group 2
! Pré-shared que deverá ser configurada também no client
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TRANSET esp-3des esp-sha-hmac
! Modo transport deve ser utilizado
mode transport
!
crypto dynamic-map DYMAP 10
! Permite a utilização de NAT junto com o túnel
set nat demux
set transform-set TRANSET
!
crypto map cisco 10 ipsec-isakmp dynamic DYMAP

4°) Crie um pool de endereçamento, que os client utilizarão quando se conectarem.

ip local pool vpn_pool 192.168.100.200 192.168.100.250

5°) Crie o Virtual Template, que foi amarrado ao VPDN no 2° passo. Neste template definimos o tipo de criptografia do PPP e a autenticação utilizada, além de informar o pool que usaremos.

interface Virtual-Template1
ip unnumbered FastEthernet0/1
peer default ip address pool vpn_pool
ppp encrypt mppe 128 required
ppp authentication ms-chap-v2

6°) Por fim, associe o crypto map a interface WAN.

interface FastEthernet0/0
description CONEXAO WAN
crypto map cisco

Configurando o client no Windows para conexão

1°) No Windows XP, clique em Iniciar > Conectar-se > Mostrar todas as Conexões.

2°) Na janela Conexões de Rede, de dois cliques em Assistente para novas conexões > Avançar e então selecione  Conectar-me a uma rede em meu local de trabalho e então Avançar.

3°) A seguir, selecione Conexão VPN (rede virtual privada), e Avançar.

4°) Na janela que se abrirá, de um nome qualquer para a nova conexão e clique Avançar e em seguida informe o IP da interface WAN do roteador.

5°) A conexão VPN foi criada, mas ainda faltam algumas configurações. Clique em Propriedades.

6°) Vá até a aba Segurança, e clique em Configurações de IPSec… Na janela seguinte selecione Usar chave pré-compartilhada para autenticação e coloque cisco123 (configurado no 3° passo da configuração do roteador). Clique Ok.

7°) Ainda na aba Segurança, selecione a opção Avançada (configurações personalizadas), e depois clique em Configurações.

8°) Selecione a opção Permitir estes protocolos, e habilite Microsoft CHAP (MS-CHAP) e Microsoft CHAP versão 2 (MS-CHAP v2).

9°) De volta a tela de login, informe o usuário e senha cadastrador no roteador e clique em conectar.

10°) Pronto, a VPN foi fechada.

Mais informações sobre a configuração de VPN L2TP em roteadores Cisco aqui.

Até a próxima.

(6) Comentários

Por Rafael Leão, 08/07/2009 06:00

Continuando nossa série de posts sobre VPN IPSec, segue um exemplo da configuração passo-a-passo de uma Site-to-Site VPN, usando a CLI de 2 Cisco Routers, modelo 1721. O objetivo deste cenário é possibilitar o tráfego seguro (criptografado) entre as redes 10.1.1.0/24 e 192.168.0.0/24.

Topologia:

Configuração do BrainRT01

! Primeiramente configuraremos os parâmetros ISAKMP
BrainRT01#conf t
! O número 1 é apenas o identificador da política (podemos ter mais que uma)
BrainRT01(config)#crypto isakmp policy 1
! Método de autenticação
BrainRT01(config-isakmp)#authentication pre-share
! Algoritmo de hash SHA (neste exemplo)
BrainRT01(config-isakmp)#hash sha
! Algoritmo de criptografia; neste caso, AES-128
BrainRT01(config-isakmp)#encryption aes 128
! Troca de chaves Diffie-Hellman
BrainRT01(config-isakmp)#group 2
! Tempo de vida do Security Association em segundos
BrainRT01(config-isakmp)#lifetime 86400
BrainRT01(config-isakmp)#exit
! Chave compartilhada para comunicação com o outro peer
BrainRT01(config)#crypto isakmp key Brainwork address 200.20.20.2
BrainRT01(config)#exit

! Definição dos parâmetros IKE fase 2
BrainRT01#conf t

! Criando o transform-set, onde são definidos os parâmetros usados pelo túnel IPSec, sendo ESP-AES para criptografia
! e ESP-SHA-HMAC para hash (MYSET é o nome do transform-set)
BrainRT01(config)#crypto ipsec transform-set MYSET esp-aes esp-sha-hmac
BrainRT01(cfg-crypto-trans)#exit
! ACL definindo qual será o tráfego protegido pelo túnel IPSec
BrainRT01(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
! Criando o Crypto Map, que é o agrupamento das regras para construção do túnel (BrainRT01_to_BrainRT02 é o nome
! do crypto map e 10 é o identificador)
BrainRT01(config)#crypto map BrainRT01_to_BrainRT02 10 ipsec-isakmp
! Dentro dele, apontamos o peer remoto
BrainRT01(config-crypto-map)#set peer 200.20.20.2
! Aplicamos a ACL…
BrainRT01(config-crypto-map)#match address 101
! … e o Transform Set
BrainRT01(config-crypto-map)#set transform-set MYSET
BrainRT01(config-crypto-map)#exit
BrainRT01(config)#

! Aplicando na interface WAN de BrainRT01
BrainRT01(config)#interface Serial0
BrainRT01(config-if)#crypto map BrainRT01_to_BrainRT02
*Mar  1 01:14:25.519: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
BrainRT01(config-if)#exit
BrainRT01(config)#

Importante: As configurações acima postadas, devem ser aplicadas em BrainRT02 da mesma forma. As principais alterações serão nas regras da ACL e nos parâmetros que apontam BrainRT01 como peer IPSec.

Agora devemos conferir o resultado de nossa configuração. Seguem alguns comandos úteis para verificarmos o status de nosso trabalho, ou seja, o túnel IPSec “Up”:

BrainRT01#show crypto engine connections active

    ID Interface            IP-Address      State  Algorithm                Encrypt  Decrypt 
     1 Serial0              200.10.10.2     set    HMAC_SHA+AES_CBC          0        0
2001 Serial0              200.10.10.2     set    AES+SHA                            0      208
2002 Serial0              200.10.10.2     set    AES+SHA                        207        0

BrainRT01#

BrainRT01#show crypto session
Crypto session current status

Interface: Serial0
Session status: UP-ACTIVE
Peer: 200.20.20.2 port 500
  IKE SA: local 200.10.10.2/500 remote 200.20.20.2/500 Active
  IPSEC FLOW: permit ip 10.1.1.0/255.255.255.0 192.168.0.0/255.255.255.0
        Active SAs: 2, origin: crypto map

BrainRT01#

Espero que ajude. Até breve!