IPSec VPN

IPsec VPN permite a conexão segura entre o ambiente da unidade e da nuvem.

geral

Para começar a configurar basta clicar em NEW.

wizard_01

Sempre coloque um nome e uma descrição que identifique a rede e sua função.

Nota

O Security Profile deve ser alterado ao final da criação.

wizard_02

Configure o método de autenticação da VPN, no caso de uso de certificados ele tem que ser carregado na nuvem antes do uso.

wizard_03

Configure os IPs de acesso a VPN e quais as redes vão conseguir acessar a rede da nuvem.

Nota

Lembrando que as redes da nuvem e da unidade não podem se sobrepor.

wizard_04

Verifique a configuração e finalize o assistente.

selecao

Uma vez terminado o assistente. É possível selecionar e editar o SECURITY PROFILE CUSTOMIZATION

seguranca_01

Alterar as configurações de Encryption para pelo menos AES-256 e Digest SHA 2 - 512

seguranca_02

Alterar as configurações de Encryption para pelo menos AES-256 e Digest SHA 2 - 512

Finalize o dialogo.

A VPN já está configurada do lado da Nuvem.

Temos alguns modelos para configuração do lado da Unicamp.

STRONGSWAN

Configuração funcional do IPSec

conn nv2
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left="ip publico site local"
leftsubnet="subnet site local"
right="ip publico VCD"
rightsubnet="subnet privada VCD"
ike=aes256-sha512-modp2048!
esp=aes256-sha512-modp2048!
aggressive=no
keyingtries=%forever
ikelifetime=86400s
lifetime=3600s
dpddelay=60s
dpdtimeout=120s
dpdaction=restart

Possível configuração com interface VICI

connections {
    vpn-nuvem {
        version = 2
        proposals = aes256-sha512-modp2048
        local_addrs = "ip publico site local"
        remote_addrs = "ip publico VCD"
        local {
            auth = psk
            id = "ip publico site local"
        }
        remote {
            auth = psk
            id = "ip publico VCD"
        }
        children {
            vpn-nuvem-child {
            local_ts = "subnet site local"
            remote_ts = "subnet privada VCD"
            esp_proposals = aes256-sha512-modp2048
            ipcomp = no
            mode = tunnel
            start_action = start
            }
        }
    }
}
secrets {
    ike-creds {
    id = "ip publico site local"
    secret = "psk"
    }
}

Fonte

pfSense

Criar Tunnel

pfsense1

Informar IP público Nuvem 2.0 e a pre-shared key.

pfsense2

Preencher configurações da fase 1.

pfsense3

pfsense4

Informar range de IP local e range de IP da Nuvem 2.0.

pfsense5

Preencher configurações da fase 2.

pfsense6

Liberar firewal para protoco ESP.

pfsense7

VPN estabelecida.

pfsense8

Liberar regras de firewall conforme necessidade. Exemplo ICMP.

pfsense9