Busca


imprimir pdf

Configurar a VPN IPSEC sobre o servidor Extranet Group Work


Generalidades


O servidor Extranet Group work é entregue com o suporte para VPN IPSEC mas apenas no âmbito de uma ligação para ele mesmo e não para a criação de uma VPN entre duas redes distantes. IPSEC está aqui associado ao L2TP, o que permite aos utilizadores criar com facilidade a sua ligação VPN via um assistente Windows da mesma maneira que ele o faria para um ligação PPTP.

Um pouco de técnica...


Na hora de uma ligação L2TP/IPSEC, como esta foi implementada por Microsoft, cada pacote IP esta encapsulado em PPP encapsulado por sua vez em L2TP, ele próprio cifrado pela camada IPSEC. A autenticação faz-se a dois níveis: IPSEC (por "chave pública" ou certificados X509, ver abaixo) e PPP (por login/password como com PPTP).

Os dois modos de autenticação possíveis de utilizar com IPSEC são os seguintes:

  • chave pública: repousa sobre a partilha de uma password comum conhecidas pelos utilizadores da VPN. Esta solução é considerada como limitada de um ponto de vista de segurança mas simples a implementar. É esta solução que daremos mais relevância neste guia.

  • certificados X509: solução muito segura mas muito pesada em termos de implementação. Ela necessita a implementação de um Autoridade de Certificação (AC) para gerar os certificados de autenticação. Este AC deverá depois entregar um certificado a cada máquina a ligar ao VPN.

Parametrização do VPN IPSEC com autenticação por chave pública


Nota: Para continuar, deve possuir conhecimentos básicos em linha de comando Linux (ligação SSH, edição de um ficheiro...).

  • ligue-se por SSH ao seu servidor com o utilizador root.
  • edite o ficheiro /etc/ipsec/ipsec.secrets. Este ficheiro contem duas linhas: uma para a autenticação através dos certificados e uma para a autenticação por chave pública (Pre-Shared-Key ou PSK).
  • na linha: PSK "xxxxxx", substitui xxxxxx por uma password de sua escolha. Não hesite em escolher uma password muito complexa. Esta só será introduzida uma única vez pelos utilizadores, no momento da parametrização da sua ligação (é a sua password Easy Group Work que eles deverão depois utilizar cada vez que eles se ligarão)
  • Guardar o ficheiro e voltar a correr o serviço ipsec (Openswan): /etc/init.d/ipsec restart
  • Teste a ligação seguindo a secção IPSEC do guia: OvpnIpsec