Habilitando VPN Site-To-Site

Owned by Former user (Deleted)
Last updated: Nov 09, 2022 by Former user (Deleted)Version comment
6 min read

Neste manual iremos demostrar como habilitar a VPN Site-to-Site em sua Rede na Cloud, do tipo VPC. Lembrando que este tipo de VPN somente é suportado em Redes do Tipo VPC, Redes do Tipo Isolada não a suportam.

Uma conexão VPN site a site ajuda a estabelecer uma conexão segura de um datacenter corporativo para a infraestrutura em nuvem. Isso permite que os usuários acessem as VMs convidadas estabelecendo uma conexão VPN com o roteador virtual da conta a partir de um dispositivo no datacenter da empresa. 

Você também pode estabelecer uma conexão segura entre duas configurações de VPC ou zonas de alta disponibilidade em seu ambiente. Ter esse recurso elimina a necessidade de estabelecer conexões VPN com VMs individuais.

A diferença da VPN remota é que as VPNs de site para site conectam redes inteiras umas às outras, por exemplo, conectando uma rede de filial a uma rede de matriz da empresa. Em uma VPN site a site, os hosts não têm software cliente VPN; eles enviam e recebem tráfego TCP / IP normal por meio de um gateway de VPN.

Índice

Pré-requisitos

Antes de começar, valide os seguintes processos:



Etapa 1: Criando VPN Gateway 

  1. Acesse sua conta pelo site da BRASCLOUD clicando no botão "Conecte-se" ou pelo link.

  2. O Gateway VPN será onde você irá definir as configurações gerais referente a conexão VPN, lembrando que deve-se manter as mesmas configurações de Criptografia em ambos os Sites, acesse RedeGateway VPN e clique em adicionar.

    Observações

    Um gateway de cliente VPN pode ser conectado a apenas um gateway de VPN por vez.

    Info

    Explicação sobre os campos a serem preenchidos:


    • Nome : um nome exclusivo para o gateway do cliente VPN criado.

    • Gateway : o endereço IP do gateway remoto.

    • Lista CIDR : A lista CIDR convidada das sub-redes remotas. Digite um CIDR ou uma lista separada por vírgula de CIDRs. Certifique-se de que uma lista CIDR de convidado não seja sobreposta com o CIDR da VPC ou outro CIDR convidado. O CIDR deve ser compatível com RFC1918.

    • Chave pré-compartilhada IPsec : A codificação pré-compartilhada é um método em que os pontos de extremidade da VPN compartilham uma chave secreta. Esse valor de chave é usado para autenticar o gateway do cliente e o gateway da VPN do VPC entre si.

    Nota

    Os peers IKE (pontos de extremidade VPN) autenticam uns aos outros, calculando e enviando um hash de dados com chave que inclui a chave Pré-compartilhada. Se o peer receptor for capaz de criar o mesmo hash independentemente usando sua chave Preshared, ele saberá que ambos os peers devem compartilhar o mesmo segredo, autenticando assim o gateway do cliente.

    Criptografia IKE : A política do Internet Key Exchange (IKE) para a fase 1. Os algoritmos de criptografia suportados são AES128, AES192, AES256 e 3DES. A autenticação é realizada por meio das chaves pré-compartilhadas.

    Nota

    A fase 1 é a primeira fase no processo IKE. Nessa fase inicial de negociação, os dois pontos de extremidade da VPN concordam com os métodos a serem usados para fornecer segurança ao tráfego IP subjacente. A fase 1 autentica os dois gateways VPN entre si, confirmando que o gateway remoto tem uma chave pré-compartilhada correspondente.

    Nota

    É necessário que seja utilizada o IKE versão 2.

    • IKE Hash : o hash IKE para a fase 1. Os algoritmos de hash suportados são SHA1 e MD5.

    • IKE DH : Um protocolo de criptografia de chave pública que permite que duas partes estabeleçam um segredo compartilhado em um canal de comunicação inseguro. O grupo Diffie-Hellman de 1536 bits é usado no IKE para estabelecer chaves de sessão. As opções suportadas são Nenhum, Grupo-5 (1536 bits) e Grupo-2 (1024 bits).

Criptografia ESP : Algoritmo Encapsulating Security Payload (ESP) dentro da fase-2. Os algoritmos de criptografia suportados são AES128, AES192, AES256 e 3DES.


Nota

A fase 2 é a segunda fase no processo IKE. A finalidade da fase 2 do IKE é negociar as associações de segurança IPSec (SA) para configurar o túnel IPSec. Na fase 2, o novo material de chaveamento é extraído da troca de chaves Diffie-Hellman na fase 1, para fornecer chaves de sessão para uso na proteção do fluxo de dados da VPN.

  • Hash ESP : Encapsulating Security Payload (ESP) para a fase 2. Os algoritmos de hash suportados são SHA1 e MD5.

  • Perfect Forward Secrecy : O Perfect Forward Secrecy (ou PFS) é a propriedade que garante que uma chave de sessão derivada de um conjunto de chaves públicas e privadas de longo prazo não seja comprometida. Essa propriedade impõe uma nova troca de chaves Diffie-Hellman. Ele fornece o material de chave que tem maior vida material chave e, portanto, maior resistência a ataques criptográficos. As opções disponíveis são Nenhum, Grupo-5 (1536 bits) e Grupo-2 (1024 bits). A segurança das principais trocas aumenta à medida que os grupos DH se tornam maiores, assim como o tempo das trocas.



Nota

Quando o PFS está ativado, para cada negociação de uma nova fase 2 SA, os dois gateways devem gerar um novo conjunto de chaves de fase 1. Isso adiciona uma camada extra de proteção que o PFS adiciona, o que garante que, se as SAs da fase 2 tiverem expirado, as chaves usadas para as novas SAs da fase 2 não foram geradas a partir do atual material de chaves da fase 1.

  • IKE Lifetime (seconds) : A duração da fase 1 da associação de segurança em segundos. O padrão é 86400 segundos (1 dia). Sempre que o tempo expirar, uma nova troca de fase 1 é realizada.

  • Tempo de vida de ESP (segundos) : A vida útil da fase 2 da associação de segurança em segundos. O padrão é 3600 segundos (1 hora). Sempre que o valor é excedido, uma nova chave é iniciada para fornecer uma nova criptografia de IPsec e chaves de sessão de autenticação.

  • Detecção Dead Peer : Um método para detectar um par não disponível do Internet Key Exchange (IKE). Selecione essa opção se quiser que o roteador virtual consulte a vivacidade de seu peer IKE em intervalos regulares. É recomendado ter a mesma configuração de DPD em ambos os lados da conexão VPN.


Etapa 2: Configurando Conexão VPN

  1. Agora iremos criar a conexão propriamente dita, utilizando o Gateway que criamos, clique em Rede > VPC, e em sua Rede VPC clique sobre o ícone de Configuração.
  2. Selecione Listar de VPN Site To Site, um mensagem será exibida na primeira vez solicitando autorização para Criar um Gateway VPC para sua rede VPC para que o outro site possa se comunicar com sua Rede. Clique em OK.
  3. Agora, serão exibidos duas Colunas:
    1. Gateway VPN: Referente ao Gateway de sua rede VPC;
    2. Conexão VPN: Referente as conexão de VPN que são criadas com base em VPN Customer Gateway;
  4. Clique em Conexão VPN > Adicionar e selecione seu VPN Customer Gateway Criado. Clique em OK.
  5. Selecione Passivo se você quiser estabelecer uma conexão entre dois roteadores virtuais VPC.

Nota

Se você quiser estabelecer uma conexão entre dois roteadores virtuais VPC, selecione Passivo apenas em um dos roteadores virtuais, que espera que o outro roteador virtual VPC inicie a conexão. Não selecione Passivo no roteador virtual VPC que inicia a conexão.

Neste momento sua VPN Site-to-Site na BRASCLOUD esta 100% configurada. Agora, deve-se realizar as configurações pertinentes em seu Site.


Próximos passos:




Canal direto de comunicação com nossos arquitetos.Ainda tem dúvidas?

Entre em contato conosco

Visite nosso canal no Youtube


« Página anterior

Próxima página »