A página VPN > Configurações fornece os recursos para configurar as políticas de VPN. É possível configurar políticas de VPN site a site e políticas de GroupVPN nessa página.
Uma VPN (redes virtuais privadas) fornece uma conexão segura entre dois ou mais computadores ou redes protegidas pela Internet pública. Ela fornece a autenticação para garantir que as informações estejam indo de/para as partes corretas. Ela fornece segurança para proteger as informações de exibição ou de adulterações na rota.
Antes da invenção de IPsec (Internet Protocol Security) e de SSL (Secure Socket Layer), as conexões seguras entre redes ou computadores remotos precisavam de uma linha dedicada ou de um link por satélite. Isso era ambos inflexíveis e caros.
Uma VPN cria uma conexão com a confiabilidade e segurança semelhantes, estabelecendo um túnel seguro através da Internet. Como este túnel não é uma conexão física, é mais flexível - é possível alterá-la a qualquer momento para adicionar mais nós, alterar os nós ou removê-lo completamente. Ela é também muito menos dispendiosa, porque utiliza a infraestrutura existente da Internet.
Há dois tipos principais de VPN em uso popular hoje:
• VPN IPsec: O IPsec é um conjunto de protocolos de segurança na camada de processamento de pacotes de comunicação de rede. Uma vantagem do IPsec é que arranjos de segurança podem ser tratados sem exigir alterações nos computadores de usuários individuais. O SonicOS oferece suporte a criação e o gerenciamento de VPNs IPsec.
O IPsec oferece duas opções de serviço de segurança: O cabeçalho de autenticação (AH), que permite essencialmente a autenticação do remetente de dados, e o ESP (Encapsulating Security Payload), que oferece suporte a autenticação do remetente e a criptografia de dados também. As informações específicas associadas a cada um desses serviços são inseridas no pacote em um cabeçalho que segue o cabeçalho do pacote IP.
• SSL VPN: O SSL (Secure Socket Layer) é um protocolo para gerenciar a segurança de uma transmissão de mensagem na Internet, geralmente, por HTTPS. O SSL usa uma camada de programa localizada entre as camadas HTTP (protocolo de transferência de hipertexto) e o TCP (protocolo de controle de transporte) da Internet. O SSL usa o sistema de criptografia de chave pública e privada de RSA, que também inclui o uso de um certificado digital. Uma SSL VPN usa SSL para proteger o túnel de VPN.
Uma vantagem da SSL VPN é que o SSL foi criado na maioria dos navegadores da Web. Nenhum hardware ou software de cliente de VPN especial é necessário.
Note A Dell SonicWALL faz os dispositivos SSL VPN com os quais é possível usar em conjunto ou independentemente de um dispositivo de segurança de rede da Dell SonicWALL ao executar o SonicOS. Para obter informações sobre os dispositivos da Dell SonicWALL SSL VPN, consulte o site da Dell SonicWALL: http://www.SonicWALL.com/US/products/Secure_Remote_Access.HTML
Tráfego de VPN IPsec é protegido em dois estágios:
• Autenticação: A primeira fase estabelece a autenticidade do remetente e do destinatário do tráfego usando uma troca da parte de chave pública de um par de chaves pública-privada. Esta fase deverá ser bem-sucedida antes do túnel de VPN poder ser estabelecido.
• Criptografia: O tráfego no túnel de VPN é criptografado, usando um algoritmo de criptografia, como AES ou 3DES.
A menos que você usar uma chave manual (que deve ser digitada de forma idêntica em cada nó na VPN), a troca de informações para autenticar os membros da VPN e criptografar/descriptografar os dados usa o protocolo IKE (Internet Key Exchange) para trocar informações de autenticação (chaves) e estabelecer o túnel de VPN. O SonicOS oferece suporte a duas versões do IKE, versão 1 e versão 2.
IKE versão 1
O IKE versão 1 usa um processo de duas fases para proteger o túnel de VPN.
• IKE fase 1 é a fase de autenticação. Os nós ou gateways no final do túnel autenticam-se uns aos outros, trocam chaves de criptografia/descriptografia e estabelecem o túnel seguro.
• IKE fase 2 é a fase de negociação. Uma vez autenticado, a dois nós ou gateways negociam os métodos de criptografia e verificação de dados (usando uma função de hash) para ser usado em dados transmitidos através da VPN e negociam o número de SAs (associações seguras) no túnel e seu tempo de vida antes de solicitar a renegociação das chaves de criptografia/descriptografia.
IKE fase 1
Em IKE v1, há dois modos de troca de informações de autenticação: Modo principal e Modo agressivo.
Modo principal: O nó ou o gateway que inicia a VPN consulta o nó ou o gateway na extremidade de recepção e eles trocam métodos de autenticação, chaves públicas e informações de identidade. Isso geralmente requer seis mensagens para frente e para trás. A ordem das mensagens de autenticação em Modo principal é:
1. O iniciador envia uma lista de algoritmos criptográficos em que o iniciador oferece suporte.
2. O respondente responde com uma lista de algoritmos criptográficos suportados.
3. O iniciador envia uma chave pública (parte de um par de chaves pública/privada Diffie-Hellman) para o primeiro algoritmo criptográfico com suporte mútuo.
4. O respondente responde com a chave pública para o mesmo algoritmo criptográfico.
5. O iniciador envia informações de identidade (geralmente um certificado).
6. O respondente responde com informações de identidade.
Modo agressivo: Para reduzir o número de mensagens trocadas durante a autenticação pela metade, a negociação de qual algoritmo criptográfico usar é eliminada. O iniciador propõe um algoritmo e o respondente responde se ele oferece suporte a esse algoritmo:
1. O iniciador propõe um algoritmo criptográfico para usar e enviar sua chave pública.
2. O respondente responde com uma chave pública e uma prova de identidade.
3. O iniciador envia uma prova de identificação. Após a autenticação, o túnel de VPN é estabelecido com duas SAs, uma de cada nó para o outro.
IKE fase 2
Em IKE fase 2, as duas partes negociam o tipo de segurança a ser usado, quais métodos de criptografia usar para o tráfego através do túnel (se necessário) e negociam a vida útil do túnel antes que recriação de chave seja necessária.
Os dois tipos de segurança para pacotes individuais são:
• ESP (Encryption Secured Payload), no qual a parte de dados de cada pacote é criptografada usando um protocolo negociado entre as partes.
• AH (Cabeçalho de autenticação), no qual o cabeçalho de cada pacote contém informações de autenticação para garantir que as informações sejam autenticadas e que não tenham sido violadas. Nenhuma criptografia é usada para os dados com o AH.
O SonicOS oferece suporte para os seguintes métodos de criptografia para tráfego através da VPN.
• DES
• 3DES
• AES-128
• AES-192
• AES-256
É possível encontrar mais informações sobre o IKE v1 nas três especificações que definem inicialmente IKE, RFC 2407, RFC 2408 e RFC 2409, disponível na Web em:
• http://www.FAQs.org/RFCs/rfc2407.HTML
• http://www.FAQs.org/RFCs/rfc2408.HTML
• http://www.FAQs.org/RFCs/rfc2409.HTML
IKE versão 2
O IKE versão 2 é um protocolo mais recente para negociar e estabelecer associações de segurança. Recursos de IKEv2 aprimorados de segurança, uma arquitetura simplificada e suporte aprimorado para usuários remotos.
IKEv2 é o tipo de proposta padrão para novas políticas de VPN.
Os gateways secundário são suportados com o IKEv2.
O IKEv2 não é compatível com o IKE v1. Se usar o IKEv2, todos os nós na VPN deverão usar o IKEv2 para estabelecer os túneis.
O DHCP sobre a VPN não oferece suporte no IKEv2.
O IKEv2 tem as seguintes vantagens sobre IKEv1:
• Mais seguro
• Mais confiável
• Mais simples
• Mais rápido
• Extensível
• Menos trocas de mensagens para estabelecer conexões
• Suporte de autenticação de EAP
• Suporte MOBIKE
• Transversal NAT embutido
• Keep Alive é habilitado como padrão
O IKEv2 oferece suporte a alocação de endereço IP e EAP para habilitar diferentes métodos de autenticação e cenários de acesso remoto. Usar o IKEv2 reduz consideravelmente o número de trocas de mensagens necessárias para estabelecer um Modo principal SA sobre IKE v1, enquanto estiver sendo mais seguro e flexível que Modo agressivo IKE v1. Isso reduz os atrasos durante a recriação de chave. Visto que as VPNS aumentam para incluir mais e mais túneis entre vários nós ou gateways, o IKEv2 reduz o número de SAs necessários por túnel, reduzindo, assim, a largura de banda necessária e as despesas de manutenção do sistema.
As SAs em IKEv2 são chamadas de SAs filhas e podem ser criadas, modificadas e excluídas independentemente a qualquer momento durante a vida do túnel de VPN.
Inicialização e Autenticação no IKE v2
O IKE v2 inicializa um túnel de VPN com um par de trocas de mensagens (dois pares de mensagem/resposta).
• Inicializar a comunicação: O primeiro par de mensagens (IKE_SA_INIT) negocia algoritmos de criptografia, valores de uso único de troca (valores aleatórios gerados e enviados para proteção contra mensagens repetidas) e executa uma troca de chave pública.
a. O iniciador envia uma lista de algoritmos de criptografia com suporte, chaves pública e um valor de uso único.
b. O respondente envia o algoritmo de criptografia selecionado, a chave pública, um número de uso único e uma solicitação de autenticação.
• Autenticar: O segundo par de mensagens (IKE_AUTH) autentica as mensagens anteriores, as identidades de troca e os certificados e estabelece a primeira CHILD_SA. As partes dessas mensagens são criptografadas e a integridade protegida com chaves estabelecidas por meio de troca IKE_SA_INIT, portanto, as identidades são ocultas contra bisbilhoteiros e todos os campos em todas as mensagens são autenticados.
a. O iniciador envia a prova de identidade, como um segredo compartilhado ou um certificado e uma solicitação para estabelecer uma SA filha.
b. O respondente envia a prova de identidade correspondente e conclui a negociação de uma SA filha.
Negociando SAs no IKE v2
Essa troca consiste em um único par de solicitação/resposta e era conhecida como uma troca de fase 2 no IKE v1. Pode ser iniciada pelas extremidades da SA após a conclusão das as trocas iniciais.
Todas as mensagens após a troca inicial são protegidas criptograficamente usando as chaves negociadas e os algoritmos criptográficos nas duas primeiras mensagens da troca IKE.
O ponto de extremidade pode iniciar uma troca CREATE_CHILD_SA, portanto, nesta seção o termo "iniciador" refere-se ao ponto de extremidade que inicia essa troca.
1. O iniciador envia uma oferta SA filha e, se os dados deverem ser criptografados, o método de criptografia e a chave pública.
2. O respondente envia a oferta SA filha aceita e, se as informações de criptografia tiverem sido incluídas, uma chave pública.
Note É possível encontrar mais informações sobre o IKE v2 na especificação, RFC 4306, disponível na Web em: http://www.ietf.org/RFC/rfc4306.txt
Para obter informações sobre como configurar as VPNs no SonicOS, consulte:
• Configurando VPNs no SonicOS
Configurando políticas de GroupVPN
• Configurações VPN site a site
• Criando políticas de VPN site a site
• Controle de regra de acesso VPN adicionada automaticamente
For an overview of VPNs in SonicOS Enhanced, see VPN > Configurações.
A VPN da SonicWALL, com base na implementação de VPN IPsec padrão de mercado, fornece uma solução fácil de configurar e segura para conectar usuários móveis, trabalhadores a distância, escritórios remotos e parceiros através da Internet. Os usuários móveis, trabalhadores a distância e outros usuários remotos com banda larga (DSL ou cabo) ou acesso à Internet dial-up podem facilmente e com segurança acessar os recursos de rede com o Dell SonicWALL Global VPN Client e o GroupVPN no firewall. As redes de escritórios remotos podem se conectar de forma segura à rede usando conexões de VPN site a site que permitem conexões de VPN de rede a rede.
Note Para obter mais informações sobre o Dell SonicWALL Global VPN Client, consulte o Guia do administrador do Dell SonicWALL Global VPN Client.
O GroupVPN fornece provisionamento de política de VPN automática para o Global VPN Client. O recurso de GroupVPN no dispositivo de segurança de rede da Dell SonicWALL e no Global VPN Client simplificam drasticamente o gerenciamento e implantação de VPN. Utilizando a tecnologia de provisionamento de política de cliente, defina as políticas de VPN para usuários do Global VPN Client. Essas informações de política são baixadas automaticamente do firewall (Gateway de VPN) para o Global VPN Client, polpando os usuários remotos da carga de conexões de provisionamento de VPN.
É possível configurar os túneis de GroupVPN ou de VPN de site a site usando a Interface de gerenciamento. É possível definir até quatro políticas de GroupVPN, uma para cada zona. Também é possível criar várias VPNs de site a site. O número máximo de políticas que é possível adicionar depende do modelo de SonicWALL.
Note Os usuários remotos devem ter explicitamente permissão de acesso aos recursos de rede nas páginas Usuários > Usuários locais ou Usuários > Grupos locais. Ao configurar usuários locais ou grupos locais, a guia Acesso de VPN afetará a capacidade de clientes remotos que usam o GVC que se conecta ao GroupVPN; também afetará os usuários remotos que usam o NetExtender e os marcadores SSL VPN Virtual Office ao acessar os recursos da rede. Para permitir que os usuários do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos ou grupos de endereço da rede devem ser adicionados à lista de “permissões” na guia Acesso VPN.
A seção Configurações de VPN Global da página VPN > Configurações exibe as seguintes informações:
Habilitar VPN deve ser selecionada para permitir políticas de VPN por meio de políticas de segurança da Dell SonicWALL.
• Identificador de firewall exclusivo - o valor padrão é o número de série do firewall. É possível alterar o Identificador e usá-lo para configurar túneis de VPN.
Todas as políticas de VPN existentes são exibidas na tabela Políticas de VPN. Cada entrada exibe as seguintes informações:
Nome: Exibe o nome padrão ou o nome de política de VPN definido pelo usuário.
• Gateway: Exibe o endereço IP do firewall remoto. Se 0.0.0.0 for usado, nenhum gateway será exibido.
• Destinos: Exibe os endereços IP das redes de destino.
• Conjunto de criptografias: Exibe o tipo de criptografia usada para a política de VPN.
• Habilitar: Marcar a caixa de seleção permite a política de VPN. Desmarcar a caixa de seleção a desabilita.
• Configurar: Clicar no ícone Editar permite editar a política de VPN. Clicar no ícone Excluir 
permite excluir a política de VPN. As políticas de GroupVPN predefinidas não podem ser excluídas, portanto, os ícones Excluir estarão esmaecidos. As políticas de GroupVPN também têm um ícone Disco para exportar a configuração de políticas de VPN como um arquivo para a instalação local por SonicWALL Global VPN Clients.
O número de políticas de VPN definidas, políticas habilitadas e o número máximo de Políticas permitidas é exibido abaixo da tabela. É possível definir até quatro políticas de GroupVPN, uma para cada zona. Essas políticas de GroupVPN são listadas, por padrão, na tabela Políticas de VPN como GroupVPN de WAN , GroupVPN de LAN , GroupVPN de DMZ e GroupVPN de WLAN. Clicar no ícone de edição na coluna Configurar para o GroupVPN exibida a janela Política de VPN para configurar a política de GroupVPN.
Abaixo da tabela Políticas de VPN estão os seguintes botões:
• Adicionar - acessa a janela Política de VPN para configurar políticas de VPN site a site.
• Excluir - exclui a caixa (marcada) selecionada antes do nome da política de VPN na coluna Nome. Não é possível excluir as políticas de GroupVPN.
• Excluir tudo - exclui todas as políticas de VPN na tabela Políticas de VPN, exceto as políticas de GroupVPN padrão.
Navegando e classificando as entradas de políticas de VPN
A tabela Políticas de VPN fornece fácil paginação para a visualização de um grande número de políticas de VPN. É possível navegar um grande número de políticas de VPN listadas na tabela Políticas de VPN usando a barra de controle de navegação localizada na parte superior direita da tabela Políticas de VPN. A barra de controle de navegação inclui quatro botões. O botão extremo esquerdo exibe a primeira página da tabela. O botão extremo direito exibe a última página. Os botões de seta do lado esquerdo e direito moveram a página anterior ou seguinte, respectivamente.
É possível inserir o número da política (o número listado antes do nome da política na coluna N° Nome) no campo Itens para mover para uma política de VPN específica. A configuração de tabela padrão exibe 50 entradas por página. É possível alterar esse número padrão de entradas para tabelas na página Sistema > Administração.
É possível classificar as entradas na tabela clicando no cabeçalho da coluna. As entradas são classificadas por ordem crescente ou decrescente. A seta à direita da entrada de coluna indica o status de classificação. Uma seta para baixo significa ordem crescente. Uma seta para cima indica uma ordem decrescente.
Túneis de VPN ativos no momento
Uma lista de túneis de VPN ativos no momento é exibida nesta seção. A tabela lista o nome da Política de VPN, os endereços IP da LAN local e os endereços IP de rede de destino remoto, bem como o endereço IP de gateway de mesmo nível.
Clique no botão Renegociar para forçar o Cliente de VPN a renegociar o túnel de VPN.
Exibindo estatísticas de túnel de VPN
Na tabela Túneis de VPN ativos atualmente, clique no ícone Estatísticas na linha para um túnel exibir as estatísticas nesse túnel. O ícone Estatísticas de túnel de VPN exibe:
• Hora de criação: A data e hora em que o túnel veio em existência.
• Túnel válido até: O momento em que o túnel expira e é forçado a renegociar.
• Pacotes de entrada: O número de pacotes recebidos desse túnel.
• Pacotes de saída: O número de pacotes enviados a partir desse túnel.
• Bytes de entrada: O número de bytes recebidos desse túnel.
• Bytes de saída: O número de bytes enviados desse túnel.
• Pacotes fragmentados de entrada: O número de pacotes fragmentados recebidos desse túnel.
• Pacotes fragmentados de saída: O número de pacotes fragmentados enviados desse túnel.
Para obter informações detalhadas sobre como configurar VPNs no SonicOS, consulte:
• Configurando políticas de GroupVPN
• Configurações VPN site a site
• Criando políticas de VPN site a site
• Controle de regra de acesso VPN adicionada automaticamente
Configurando políticas de GroupVPN
As políticas de GroupVPN facilitam a configuração e implementação de vários Global VPN Clients pelo administrador do firewall. O GroupVPN só está disponível para Global VPN Clients e é recomendável usar certificados XAUTH/RADIUS ou de terceiros em conjunto com a VPN de Grupo para segurança adicional.
Para obter mais informações sobre o Global VPN Clients, consulte o Guia do administrador do Dell SonicWALL Global VPN Client.
Na página Rede > Zonas, é possível criar políticas de GroupVPN para todas as zonas. O SonicOS fornece duas políticas de GroupVPN padrão para as zonas WAN e WLAN, visto que, geralmente, são as zonas menos confiáveis. Essas duas políticas de GroupVPN padrão estão listadas no painel Políticas de VPN na página VPN > Configurações:
• GroupVPN de WAN
• GroupVPN de WLAN
Na caixa de diálogo Política de VPN, no menu Método de autenticação, é possível escolher a opção IKE usando segredo pré-compartilhado ou a opção IKE usando certificados de terceiros para o Modo de criação de chaves de IPsec.
O SonicOS oferece suporte a criação e o gerenciamento de VPNs IPsec.
Configurando o GroupVPN com IKE usando o segredo pré-compartilhado na zona de WAN
Para configurar o GroupVPN de WAN, siga estas etapas:
1. Clique no ícone de edição para a entrada GroupVPN de WAN. A caixa de diálogo Política de VPN é exibida.
Na guia Geral, IKE usando segredo pré-compartilhado é a configuração padrão para o Método de autenticação. Um segredo compartilhado é gerado automaticamente pelo firewall no campo Segredo compartilhado ou é possível gerar seu próprio segredo compartilhado. Os Segredos compartilhados devem ter pelo menos quatro caracteres. Não é possível alterar o nome de qualquer política de GroupVPN.
3. Clique na guia Propostas para continuar o processo de configuração.
Na seção Proposta de IKE (fase 1), use as seguintes configurações:
– Selecione o Grupo DH no menu Grupo DH.
Note O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem trabalhar com o Grupo DH 2. Eles são incompatíveis com os Grupos DH 1 e 5.
– Selecione 3DES, AES-128 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
5. Na seção Proposta de IPsec (fase 2), selecione as configurações a seguir:
– Selecione o protocolo desejado no menu Protocolo.
– Selecione 3DES, AES-128 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Selecione Habilitar segredo de encaminhamento perfeito, se desejar uma troca de chave Diffie-Hellman adicional como uma camada de segurança adicionada. Selecione Grupo 2 no menu Grupo DH.
Note O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem trabalhar com o Grupo DH 2. Eles são incompatíveis com os Grupos DH 1 e 5.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
6. Clique na guia Avançado.
Selecione qualquer uma das seguintes configurações opcionais que deseja aplicar à política de GroupVPN:
– Habilitar difusão seletiva de rede do Windows (NetBIOS) - permite o acesso a recursos de rede remota navegando no ambiente de rede do Windows®.
– Habilitar difusão seletiva - habilita o tráfego de difusão seletiva de IP, como o fluxo de áudio (incluindo VoIP) e aplicativos de vídeo, para passar através do túnel de VPN.
– Gerenciamento por meio deste SA: - Se estiver usando a política de VPN para gerenciar o firewall, selecione o método de gerenciamento, HTTP ou HTTPS.
– Gateway padrão - permite que o administrador de rede especifique o endereço IP da rota de rede padrão para a entrada de pacotes IPsec para esta política de VPN. Os pacotes de entrada são decodificados pelo firewall e comparados à rotas estáticas configuradas no firewall. Como os pacotes podem ter qualquer destino de endereço IP, é impossível configurar rotas estáticas suficientes para lidar com o tráfego. Para os pacotes recebidos por meio de um túnel IPsec, o firewall procura uma rota. Se nenhuma rota for encontrada, o dispositivo de segurança verificará se há um gateway padrão. Se for detectado um gateway padrão, o pacote será roteado através do gateway. Caso contrário, o pacote será descartado.
– Exigir autenticação de clientes VPN por meio de XAUTH - requer que todo o tráfego de entrada neste túnel de VPN seja de um usuário autenticado. O tráfego não autenticado não é permitido no túnel de VPN. O grupo Usuários confiáveis é selecionado, por padrão. É possível selecionar outro grupo de usuários ou Todos a partir de Grupo de usuários para usuários XAUTH.
– Permitir o acesso de cliente VPN não autenticado - permite habilitar o acesso de cliente VPN não autenticado. Se você desmarcar Exigir autenticação de clientes VPN por meio de XAUTH, o menu Permitir acesso de cliente VPN não autenticado será ativado. Selecione um objeto de endereço ou grupo de endereços no menu de opções predefinidas ou selecione Criar novo objeto de endereço ou Criar novo grupo de endereços para criar um novo.
8. Clique na guia Cliente, selecione qualquer uma das configurações a seguir que desejar aplicar à política de GroupVPN.
Armazenar em cache o nome de usuário e senha XAUTH no Cliente - permite que o Global VPN Client armazene em cache o nome de usuário e a senha.
: •: Nunca - o Global VPN Client não tem permissão de armazenar em cache o nome de usuário e a senha. Será solicitado ao usuário um nome de usuário e senha, quando a conexão for habilitada e também a cada vez que houver uma recriação de chave IKE fase 1.
: •: Sessão única - o nome de usuário e senha do usuário do Global VPN Client será solicitado a cada vez que a conexão for habilitada e será válido até que a conexão seja desabilitada. O nome de usuário e a senha é usado através da recriação de chave IKE fase 1.
: •: Sempre - o nome de usuário e senha do usuário do Global VPN Client será solicitado apenas uma vez, quando a conexão estiver habilitada. Quando solicitado, o usuário terá a opção de armazenar em cache o nome de usuário e a senha.
– Configurações do adaptador virtual - o uso do adaptador Virtual pelo GVC (Global VPN Client) é dependente de um servidor DHCP, o SonicOS interno ou um servidor DHCP externo especificado, para alocar endereços para o adaptador virtual. Em casos em que o endereçamento previsível era um requisito, é necessário obter o endereço MAC do adaptador virtual e criar uma reserva de concessão DHCP. Para reduzir a sobrecarga administrativa de fornecimento previsível de endereçamento do adaptador virtual, é possível configurar o GroupVPN para aceitar o endereçamento estático da configuração de IP do adaptador virtual. Este recurso requer o uso do SonicWALL GVC.
: •: Nenhum - um adaptador virtual não será usado por esta conexão de GroupVPN.
: •: Concessão de DHCP - o adaptador virtual obterá sua configuração de IP apenas do servidor DHCP, conforme configurar na página VPN > DHCP sobre VPN.
: •: Concessão de DHCP ou configuração manual - quando o GVC se conectar ao firewall, a política do firewall instruirá o GVC a usar um adaptador virtual, mas as mensagens DHCP serão suprimidas, se o adaptador Virtual tiver sido configurado manualmente. O valor configurado é registrado pelo firewall, para que ele possa transmitir por proxy o ARP para o endereço IP atribuído manualmente. Por design, não há atualmente nenhuma limitação nas atribuições de endereço IP para o adaptador virtual. Apenas os endereços estáticos duplicados não são permitidos.
– Permitir conexões a - o tráfego de rede do cliente que corresponde às redes de destino de cada gateway é enviado através do túnel de VPN desse gateway específico.
: •: Apenas este gateway - permite que uma única conexão seja ativada de cada vez. O tráfego que corresponde às redes de destino conforme especificado na política do gateway é enviado através do túnel de VPN. Se essa opção for selecionada com Definir rota padrão como este gateway, o tráfego da Internet também será enviado através do túnel de VPN. Se essa opção for selecionada sem selecionar Definir rota padrão como este gateway, o tráfego da Internet será bloqueado.
: •: Todos os gateways seguros - permite que uma ou mais conexões sejam habilitadas ao mesmo tempo. O tráfego que corresponde às redes de destino de cada gateway é enviado através do túnel de VPN desse gateway específico. Se essa opção for selecionada junto com Definir rota padrão como este gateway, o tráfego da Internet também é enviado através do túnel de VPN. Se essa opção for selecionada sem Definir rota padrão como este gateway, o tráfego da Internet será bloqueado. Apenas um dos vários gateways pode ter Definir rota padrão como este gateway habilitado.
: •: Túneis de divisão - permite que o usuário VPN tenha a conectividade de Internet local e a conectividade de VPN.
– Definir rota padrão como este gateway - habilite esta caixa de seleção, se todas as conexões de VPN remota acessarem a Internet através deste túnel de VPN. Apenas é possível configurar uma política de VPN para usar essa configuração.
– Usar chave padrão para provisionamento de cliente simples - usa o Modo agressivo para a troca inicial com o gateway e os clientes VPN utilizam uma chave padrão pré-compartilhada para autenticação.
9. Clique em OK.
Configurando o GroupVPN com IKE usando certificados de terceiros
Para configurar o GroupVPN com IKE usando certificados de terceiros, siga estas etapas:
CAUTION Antes de configurar o GroupVPN com IKE usando certificados de terceiros, os certificados devem ser instalados no firewall.
1. Na página VPN > Configurações clique no ícone de edição em Configurar. A janela Política de VPN é exibida.
Na seção Política de segurança, selecione IKE usando certificados de terceiros no menu Método de autenticação. Por padrão, o nome da política de VPN é GroupVPN e não pode ser alterado.
3. Selecione um certificado para o firewall no menu Certificado de gateway.
4. Selecione um dos seguintes tipos de ID de mesmo nível tipos no menu Tipo de ID de mesmo nível:
– ID de e-mail e Nome de domínio - os tipos ID de e-mail e Nome de domínio baseiam-se no campo Nome alternativo do assunto do certificado, que não está contido em todos os certificados, por padrão. Se o certificado não contiver um campo Nome alternativo do assunto, este filtro não funcionará. Os filtros ID de e-mail e Nome de domínio podem conter uma cadeia de caracteres ou uma cadeia parcial de caracteres que identifica o intervalo aceitável necessário. As cadeias de caracteres inseridas não diferenciam maiúsculas de minúsculas e podem conter os caracteres curingas * (para mais de 1 caractere) e? (para um único caractere). Por exemplo, a cadeia de caracteres *@sonicwall.com quando ID de e-mail estiver selecionado, permitirá que qualquer pessoa com um endereço de e-mail que seja finalizado com sonicwall.com tenha acesso; a cadeia de caracteres *sv.us.sonicwall.com quando o Nome de domínio estiver selecionado, permitirá que qualquer pessoa com um nome de domínio que seja finalizado com sv.us.sonicwall.com tenha acesso.
– Nome distinto - com base no campo Nome distinto do assunto de certificados, que está contido em todos os certificados, por padrão. O formato de qualquer Nome distinto do assunto é determinado pela autoridade emissora de certificado. Os campos comuns são País (C=), organização (O=), unidade organizacional (UO=), nome comum (CN=), localidade (L=) e variam de acordo com a autoridade emissora de certificado. O campo Nome distinto do assunto real em um certificado X.509 é um objeto binário que deve ser convertido em uma cadeia de caracteres para fins de correspondência. Os campos são separados pelo caractere de barra invertida, por exemplo: /C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
: •: Até três unidades organizacionais podem ser especificadas. O uso é c=*;o=*;ou=*;ou=*;ou=*;cn=*. A entrada final não precisa conter uma ponto e vírgula. Deve-se inserir pelo menos uma entrada, ou seja, c=us.
5. Insira o filtro de ID de mesmo nível no campo Filtro de ID de mesmo nível.
6. Verifique Permitir apenas certificados de mesmo nível assinados pelo emissor do gateway para especificar que certificados de mesmo nível devem ser assinados pelo emissor especificado no menu Certificado de gateway.
7. Clique na guia Propostas.
8. Na seção Proposta de IKE (fase 1), selecione as configurações a seguir:
– Selecione o Grupo DH no menu Grupo DH.
Note O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem trabalhar com o Grupo DH 2. Eles são incompatíveis com os Grupos DH 1 e 5.
– Selecione 3DES, AES-128 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
9. Na seção Proposta de IPsec (fase 2), selecione as configurações a seguir:
– Selecione o protocolo desejado no menu Protocolo.
– Selecione 3DES, AES-128 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Selecione Habilitar segredo de encaminhamento perfeito, se desejar uma troca de chave Diffie-Hellman adicional como uma camada de segurança adicionada. Selecione Grupo 2 no menu Grupo DH.
Note O cliente L2TP do Windows 2000 e o cliente L2TP do Windows XP apenas podem trabalhar com o Grupo DH 2. Eles são incompatíveis com os Grupos DH 1 e 5.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
10. Clique na guia Avançado e selecione qualquer uma das seguintes configurações opcionais que desejar aplicar à Política de GroupVPN:
– Habilitar difusão seletiva de rede do Windows (NetBIOS) - permite o acesso aos recursos de rede remota navegando no ambiente de rede do Windows.
– Habilitar difusão seletiva - habilita o tráfego de difusão seletiva de IP, como o fluxo de áudio (incluindo VoIP) e aplicativos de vídeo, para passar através do túnel de VPN.
– Gerenciamento por meio deste SA - se estiver usando a política de VPN para gerenciar o firewall, selecione o método de gerenciamento, HTTP ou HTTPS.
– Gateway padrão - usado em um site central em conjunto com um site remoto usando a caixa de seleção Rotear todo o tráfego da Internet através deste SA. O gateway da LAN padrão permite que o administrador da rede especifique o endereço IP da rota da LAN padrão para entrada de pacotes IPsec para esta SA. Os pacotes de entrada são decodificados pelo firewall e comparados à rotas estáticas configuradas no firewall. Como os pacotes podem ter qualquer destino de endereço IP, é impossível configurar rotas estáticas suficientes para lidar com o tráfego. Para pacotes recebidos através de um túnel IPsec, o firewall pesquisa uma rota para a LAN. Se nenhuma rota for encontrada, o firewall verificará um gateway da LAN padrão. Se um gateway da LAN padrão for detectado, o pacote será roteado através do gateway. Caso contrário, o pacote será descartado.
– Habilitar verificação de OCSP e URL do respondente OCSP - permite o uso do OCSP (Online Certificate Status Protocol ) para verificar o status do certificado VPN e especifica a URL na qual verificar o status do certificado. Consulte Usando o OCSP com dispositivos de segurança de rede da Dell SonicWALL em VPN > Configurações.
– Exigir autenticação de clientes VPN por meio de XAUTH - requer que todo o tráfego de entrada nesta política de VPN seja de um usuário autenticado. O tráfego não autenticado não é permitido no túnel de VPN.
– Grupo de usuários para usuários XAUTH - permite selecionar um grupo de usuários definidos para a autenticação.
– Todo acesso de cliente VPN não autenticado - permite especificar segmentos de rede para acesso do Global VPN Client não autenticado.
11. Clique na guia Cliente e selecione qualquer uma das seguintes caixas que desejar aplicar ao provisionamento do Global VPN Client:
– Armazenar em cache o nome de usuário e senha XAUTH - permite ao Global VPN Client armazenar em cache o nome de usuário e a senha. Selecionar de:
: •: Nunca - o Global VPN Client não tem permissão de armazenar em cache o nome de usuário e a senha. Será solicitado ao usuário um nome de usuário e senha, quando a conexão for habilitada e também a cada vez que houver uma recriação de chave IKE fase 1.
: •: Sessão única - será solicitado ao usuário o nome de usuário e senha, quando a conexão for habilitada e será válido até que a conexão seja desabilitada. Este nome de usuário e senha é usado através da recriação de chave IKE fase 1.
: •: Sempre - será solicitado ao usuário o nome de usuário e senha apenas uma vez, quando a conexão estiver habilitada. Quando solicitado, o usuário terá a opção de armazenar em cache o nome de usuário e a senha.
– Configurações do adaptador virtual - o uso do adaptador Virtual pelo GVC (Global VPN Client) é dependente de um servidor DHCP, o SonicOS interno ou um servidor DHCP externo especificado, para alocar endereços para o adaptador virtual. Em casos em que o endereçamento previsível era um requisito, é necessário obter o endereço MAC do adaptador virtual e criar uma reserva de concessão DHCP. Para reduzir a sobrecarga administrativa de fornecimento previsível de endereçamento do adaptador virtual, é possível configurar o GroupVPN para aceitar o endereçamento estático da configuração de IP do adaptador virtual. Este recurso requer o uso do SonicWALL GVC.
: •: Nenhum - um adaptador virtual não será usado por esta conexão de GroupVPN.
: •: Concessão de DHCP - o adaptador virtual obterá sua configuração de IP apenas do servidor DHCP, conforme configurar na página VPN > DHCP sobre VPN.
: •: Concessão de DHCP ou configuração manual - quando o GVC se conectar ao firewall, a política do firewall instruirá o GVC a usar um adaptador virtual, mas as mensagens DHCP serão suprimidas, se o adaptador Virtual tiver sido configurado manualmente. O valor configurado é registrado pelo firewall, para que ele possa transmitir por proxy o ARP para o endereço IP atribuído manualmente. Por design, não há atualmente nenhuma limitação nas atribuições de endereço IP para o adaptador virtual. Apenas os endereços estáticos duplicados não são permitidos.
– Permitir conexões a - o tráfego de rede do cliente que corresponde às redes de destino de cada gateway é enviado através do túnel de VPN desse gateway específico.
: •: Apenas este gateway - permite que uma única conexão seja ativada de cada vez. O tráfego que corresponde às redes de destino conforme especificado na política do gateway é enviado através do túnel de VPN. Se essa opção for selecionada com Definir rota padrão como este gateway, o tráfego da Internet também será enviado através do túnel de VPN. Se essa opção for selecionada sem selecionar Definir rota padrão como este gateway, o tráfego da Internet será bloqueado.
: •: Todos os gateways seguros - permite que uma ou mais conexões sejam habilitadas ao mesmo tempo. O tráfego que corresponde às redes de destino de cada gateway é enviado através do túnel de VPN desse gateway específico. Se essa opção for selecionada junto com Definir rota padrão como este gateway, o tráfego da Internet também é enviado através do túnel de VPN. Se essa opção for selecionada sem Definir rota padrão como este gateway, o tráfego da Internet será bloqueado. Apenas um dos vários gateways pode ter Definir rota padrão como este gateway habilitado.
: •: Túneis de divisão - permite que o usuário VPN tenha a conectividade de Internet local e a conectividade de VPN.
– Definir rota padrão como este gateway - habilitará esta caixa de seleção, se todas as conexões de VPN remota acessarem a Internet por meio deste SA. Apenas é possível configurar uma SA para usar essa configuração.
– Usar chave padrão para provisionamento de cliente simples - usa o Modo agressivo para a troca inicial com o gateway e os clientes VPN utilizam uma chave padrão pré-compartilhada para autenticação.
12. Clique em OK.
Exportando a política de cliente VPN
Se você desejar exportar as definições de configuração do Global VPN Client para um arquivo para que os usuários importem para seus Global VPN Clients, siga estas instruções:
CAUTION O GroupVPN SA deve ser habilitado no firewall para exportar um arquivo de configuração.
1. Clique no ícone Disco na coluna Configurar para a entrada de GroupVPN na tabela Políticas de VPN. A janela Exportar política de cliente VPN é exibida.
Formato rcf é necessário para o SonicWALL Global VPN Clients é selecionado, por padrão. Os arquivos salvos no formato rcf podem ser criptografados com senha. O firewall fornece um nome de arquivo padrão para o arquivo de configuração, que você pode alterar.
3. Clique em Sim. A janela Exportação de política de VPN é exibida.
4. Digite uma senha no campo Senha e insira-a novamente no campo Confirmar Senha, se desejar criptografar o arquivo exportado. Se você escolher não inserir uma senha, o arquivo exportado não será criptografado.
5. Clique em Enviar. Se você não inseriu uma senha, uma mensagem será exibida, confirmando sua escolha.
6. Clique em OK. É possível alterar o arquivo de configuração antes de salvar.
7. Salve o arquivo
8. Clique em Fechar.
O arquivo pode ser salvo ou enviado eletronicamente aos usuários remotos para configurar seus Global VPN Clients.
Ao projetar conexões de VPN, certifique-se de todos os documentos pertinentes às informações de endereçamento IP e crie um diagrama de rede para usar como uma referência. Uma folha de planejamento de amostra é fornecida na próxima página. O firewall deve ter um Endereço IP de WAN roteável, se ele for estático ou dinâmico. Em uma rede VPN com endereços IP estáticos e dinâmicos, o gateway de VPN com o endereço dinâmico deve iniciar a conexão de VPN.
As configurações de VPN site a site podem incluir as seguintes opções:
• Filiais (Gateway para Gateway) - uma SonicWALL é configurada para se conectar a outra SonicWALL por meio de um túnel de VPN. Ou, uma SonicWALL está configurada para se conectar através de IPsec ao firewall de outro fabricante.
• Design de Hub e Spoke - todos os gateways do SonicWALL VPN são configurados para conectarem-se a um ponto central, como um firewall corporativo. O hub deve ter um endereço IP estático, mas os spokes podem ter endereços IP dinâmicos. Se o spokes forem dinâmicos, o hub deve ser um dispositivo de segurança de rede da Dell SonicWALL.
• Design de malha - todos os sites que se conectam a outros sites. Todos os sites devem ter endereços IP estáticos
Criando políticas de VPN site a site
É possível criar ou modificar políticas de VPN existentes usando a janela Política de VPN. Clicar no botão Adicionar na tabela Políticas de VPN exibe a janela Política de VPN para configurar as seguintes políticas de VPN de modo de criação de chave IPsec:
• Configurando uma Política de VPN com IKE usando segredo pré-compartilhado
• Configurando uma política de VPN usando a chave manual
• Configurando uma política de VPN com IKE usando um certificado de terceiros
Esta seção também contém informações sobre como configurar uma rota estática para atuar como um failover, no caso do túnel de VPN ficar inativo. Consulte Configurando failover de VPN para uma rota estática para obter mais informações.
Configurando uma Política de VPN com IKE usando segredo pré-compartilhado
Para configurar uma Política de VPN usando IKE (troca de chave de Internet), siga as etapas abaixo:
1. Acesse a página VPN > Configurações.
A página Política de VPN é exibida.
2. Clique no botão Adicionar.
A caixa de diálogo Política de VPN será exibida.
3. No menu Tipo de política, selecione o tipo de política que deseja criar.
4. Na guia Geral, selecione IKE usando segredo pré-compartilhado no menu Método de autenticação.
5. Insira um nome para a política no campo Nome.
6. Insira o nome de host ou o endereço IP da conexão remota no campo Nome ou endereço do gateway primário do IPsec.
7. Se o dispositivo de VPN remota oferece suporte a mais de um ponto terminal, é possível inserir opcionalmente um segundo nome de host ou endereço IP de conexão remota no campo Nome ou endereço do gateway secundário do IPsec.
8. Insira uma senha de Segredo compartilhado a ser usada para configurar a associação de segurança dos campos Segredo compartilhado e Confirmar segredo compartilhado. O segredo compartilhado deve ter pelo menos quarto caracteres e deve ser composto por números e letras.
Opcionalmente, especifique um ID de IKE local (opcional) e um ID de IKE de mesmo nível (opcional) para esta política. Por padrão, o Endereço IP (ID_IPv4_ADDR) é usado para negociações de Modo principal e o firewall Identificador (ID_USER_FQDN) é usado para o Modo agressivo.
9. Clique na guia Rede.
Em Redes locais, selecione uma rede local em Escolher rede local na lista, se uma rede local específica puder acessar o túnel de VPN. Se os hosts neste lado da conexão de VPN estiverem obtendo seu endereçamento de um servidor DHCP no lado do túnel remoto, selecione Rede local obtém endereços IP usando DHCP por meio deste túnel de VPN. Se o tráfego puder ser originado de qualquer rede local, selecione Qualquer endereço. Use esta opção, se um par tiver selecionado Usar este túnel de VPN como rota padrão para todo o tráfego de Internet.
Note Não há suporte para DHCP sobre VPN com o IKEv2.
11. Em Redes de destino, selecione Usar este túnel de VPN como rota padrão para todo o tráfego de Internet, se o tráfego de qualquer usuário local não puder deixar o firewall, a menos que ele esteja criptografado. Apenas é possível configurar uma SA para usar essa configuração. Se o lado remoto desta conexão de VPN dever obter seu endereçamento de um servidor DHCP neste lado do túnel, selecione Rede de destino obtém endereços IP usando o servidor DHCP por meio desse túnel. Como alternativa, selecione Escolher rede de destino na lista e selecione grupo ou objeto de endereço.
12. Clique em Propostas.
Em Proposta de IKE (fase 1), selecione Modo principal, Modo agressivo ou IKEv2 no menu Troca. Geralmente, o Modo agressivo será usado quando o endereçamento de WAN for atribuído dinamicamente. O IKEv2 faz com que toda a negociação ocorra por meio de protocolos de IKE v2, em vez de usar o IKE fase 1 e fase 2. Se você usar o IKE v2, ambas as extremidades do túnel de VPN deverão usar o IKE v2.
14. Em Proposta de IKE (fase 1), os valores padrão para Grupo DH, criptografia, Autenticação e Duração são aceitáveis para a maioria das configurações de VPN. Certifique-se de que os valores de fase 1 do outro lado do túnel sejam configurados para correspondência. Também é possível escolher AES-128, AES-192, ou AES-256 no menu Autenticação, em vez de 3DES para segurança de autenticação aprimorada.
15. Em proposta de IPsec (fase 2), os valores padrão para Protocolo, Criptografia, Autenticação, Habilitar segredo de encaminhamento perfeito, Grupo DH e Duração são aceitos para a maioria das configurações de SA de VPN. Certifique-se de que os valores de fase 2 do outro lado do túnel sejam configurados para correspondência.
16. Clique na guia Avançado e selecione qualquer uma das seguintes configurações opcionais que deseja aplicar à política de VPN:
– Se você tiver selecionado Modo principal ou Modo agressivo na guia Propostas:
Selecione Habilitar keep alive para usar mensagens de pulsação entre pares neste túnel de VPN. Se uma extremidade do túnel falhar, o uso de Keepalives permitirá a renegociação automática do túnel, uma vez que os lados ficarem disponíveis novamente sem precisar aguardar a duração proposta para serem expirados.
: •: Por padrão, a configuração Suprimir criação automática de regras de acesso para política de VPN não é habilitada para permitir que o tráfego de VPN atravesse as zonas apropriadas.
: •: Para exigir a autenticação XAUTH pelos usuários antes de permitir que o tráfego atravesse este túnel, selecione Exigir a autenticação de cliente VPN por XAUTH e selecione um grupo de usuários para especificar os usuários permitidos no Grupo de usuários para XAUTH.
: •: Selecione Habilitar difusão seletiva de rede do Windows (NetBIOS) para permitir o acesso a recursos de rede remota navegando no ambiente de Rede do Windows®.
: •: Selecione Habilitar difusão seletiva para permitir que o tráfego de difusão seletiva IP, como o fluxo de áudio (incluindo VoIP) e aplicativos de vídeo, passe por meio do túnel de VPN.
: •: Selecione Permitir aceleração para habilitar o redirecionamento de tráfego que corresponde esta política ao dispositivo WAN Acceleration (WXA).
: •: Selecione Aplicar políticas de NAT, se desejar que o firewall traduza ambas as redes, local e remota, que se comunicam por meio deste túnel de VPN. Para executar a tradução de endereço de rede na rede local, selecione ou crie um objeto de endereço no menu Rede local traduzida. Para traduzir a rede remota, selecione ou crie um objeto de endereço no menu Rede remota traduzida. Geralmente, se a NAT for necessária em um túnel, local ou remoto deverá ser traduzido, mas não ambos. Aplicar políticas de NAT é especificamente útil em casos em que ambos os lados de um túnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
: •: Para gerenciar o SonicWALL local por meio do túnel de VPN, selecione HTTPS em Gerenciamento por meio deste SA. Selecione HTTP, HTTPS ou ambos no login do usuário por meio deste SA para permitir que os usuários efetuem login usando SA.
: •: Se desejar usar um roteador na LAN para tráfego inserindo este túnel destinado a uma sub-rede desconhecida, por exemplo, se você tiver configurado o outro lado como Usar este túnel de VPN como rota padrão para todo o tráfego de Internet, deverá inserir o endereço IP do roteador no campo Gateway de LAN padrão (opcional).
: •: Selecione uma interface ou zona no menu Política de VPN ligada a. A WAN de zona será a seleção preferencial, se você estiver usando o balanceamento de carga de WAN e desejar permitir que a VPN use qualquer interface de WAN.
– Se você tiver selecionado IKEv2 na guia Propostas:
Selecione Habilitar keep alive para usar mensagens de pulsação entre pares neste túnel de VPN. Se uma extremidade do túnel falhar, o uso de Keepalives permitirá a renegociação automática do túnel, uma vez que os lados ficarem disponíveis novamente sem precisar aguardar a duração proposta para serem expirados.
: •: Selecione Suprimir criação automática de regras de acesso para política de VPN para desativar as regras de acesso automático criadas entre zonas de LAN e de VPN para esta política de VPN.
: •: Selecione Habilitar difusão seletiva de rede do Windows (NetBIOS) para permitir o acesso a recursos de rede remota navegando no ambiente de Rede do Windows®.
: •: Selecione Habilitar difusão seletiva para permitir que o tráfego de difusão seletiva IP, como o fluxo de áudio (incluindo VoIP) e aplicativos de vídeo, passe por meio do túnel de VPN.
: •: Selecione Permitir aceleração para habilitar o redirecionamento de tráfego que corresponde esta política ao dispositivo WAN Acceleration (WXA).
: •: Selecione Aplicar políticas de NAT, se desejar que o firewall traduza ambas as redes, local e remota, que se comunicam por meio deste túnel de VPN. Para executar a tradução de endereço de rede na rede local, selecione ou crie um objeto de endereço no menu Rede local traduzida. Para traduzir a rede remota, selecione ou crie um objeto de endereço no menu Rede remota traduzida. Geralmente, se a NAT for necessária em um túnel, local ou remoto deverá ser traduzido, mas não ambos. Aplicar políticas de NAT é especificamente útil em casos em que ambos os lados de um túnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
: •: Para gerenciar o SonicWALL local por meio do túnel de VPN, selecione HTTPS em Gerenciamento por meio deste SA. Selecione HTTP, HTTPS ou ambos no login do usuário por meio deste SA para permitir que os usuários efetuem login usando SA.
: •: Insira o Gateway de LAN padrão, se você tiver mais de um gateway e desejar que ele sempre seja usado primeiro.
: •: Selecione uma interface ou zona no menu Política de VPN ligada a. A WAN de zona será a seleção preferencial, se você estiver usando o balanceamento de carga de WAN e desejar permitir que a VPN use qualquer interface de WAN.
: •: Por padrão, em Configurações IKEv2 (visível apenas se você tiver selecionado IKEv2 para Troca na guia Propostas), a caixa de seleção Não enviar pacote de acionamento durante a negociação SA de IKE estará desmarcada e deverá ser selecionada apenas quando necessário para fins de interoperabilidade.
O termo pacote de acionamento refere-se ao uso de cargas iniciais de seletor de tráfego preenchidas com os endereços IP do pacote que fez com que a negociação SA iniciasse. É prática recomendável incluir pacotes de acionamento para ajudar o Respondente de IKEv2 na seleção dos intervalos corretos do endereço IP protegido de seu Banco de dados de política de segurança. Nem todas as implementações oferecem suporte esse recurso, portanto, pode ser apropriado desabilitar a inclusão de pacotes de acionamento para alguns IKE de mesmo nível.
– Selecione uma ou as duas opções a seguir para a política de VPN de IKEv2:
: •: Aceitar tipo de certificado de Hash e URL
: •: Enviar tipo de certificado URL e Hash
Selecione essas opções, se os dispositivos puderem enviar e processar URLs de hash e de certificado, em vez dos próprios certificados. Usar as seguintes opções reduz o tamanho das mensagens trocadas.
Quando a opção Aceitar tipo de certificado de Hash e URL estiver selecionada, o firewall enviará uma mensagem HTTP_CERT_LOOKUP_SUPPORTED ao dispositivo de mesmo nível. Se o dispositivo de mesmo nível responder, enviando um certificado "Hash e URL de X.509c", o firewall poderá autenticar e estabelecer um túnel entre os dois dispositivos.
Quando a opção Enviar tipo de certificado de Hash e URL estiver selecionada, o firewall, ao receber uma mensagem de HTTP_CERT_LOOKUP_SUPPORTED, enviará um certificado "Hash e URL de X.509c" ao solicitante.
Em uma VPN, os dois firewalls de mesmo nível (FW1 e FW2) negociam um túnel. Na perspectiva de FW1, FW2 é o gateway remoto e vice-versa.
17. Clique em OK.
Configurando uma política de VPN usando a chave manual
Para configurar manualmente uma política de VPN entre os dois dispositivos da SonicWALL usando a chave manual, siga as etapas a seguir:
Configurando o dispositivo de segurança de rede da Dell SonicWALL local
1. Clique em Adicionar na página VPN > Configurações. A janela Política de VPN é exibida.
2. Na guia Geral na janela Política de VPN, selecione Chave manual no menu Modo de criação de chave IPsec. A janela Política de VPN exibe as opções de chave manuais.
Insira um nome para a política no campo Nome.
4. Insira o nome de host ou endereço IP da conexão remota no campo Nome ou endereço do gateway de IPsec.
5. Clique na guia Rede.
Selecione uma rede local em Escolher rede local na lista, se uma rede local específica puder acessar o túnel de VPN. Se o tráfego puder ser originado de qualquer rede local, selecione Qualquer endereço. Use esta opção, se um par tiver selecionado Usar este túnel de VPN como rota padrão para todo o tráfego de Internet. Apenas é possível configurar uma SA para usar essa configuração. Como alternativa, selecione Escolher rede de destino na lista e selecione grupo ou objeto de endereço.
7. Clique na guia Propostas.
Defina um SPI de entrada e um SPI de saída. Os SPIs estão hexadecimais (0123456789abcedf) e podem variar de 3 a 8 caracteres de comprimento.
CAUTION Cada associação de segurança deve ter SPIs exclusivos; duas associações de segurança não podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associação de segurança pode ser o mesmo que o SPI de saída.
9. Os valores padrão para Protocolo, Criptografia fase 2 e Autenticação fase 2 são aceitos para a maioria das configurações de SA de VPN.
Note Os valores para Protocolo, Criptografia fase 2 e Autenticação fase 2 deve correspondência aos valores no firewall remoto.
10. Insira uma chave de criptografia hexadecimal de 16 caracteres no campo Chave de criptografia ou use o valor padrão. Essa chave de criptografia é usada para configurar a chave de criptografia da SonicWALL remota, portanto, grave-a para ser usada ao configurar o firewall.
11. Insira uma chave de autenticação hexadecimal de 32 caracteres no campo Chave de autenticação ou use o valor padrão. Grave a chave a ser usada ao definir as configurações do firewall.
Tip Os caracteres hexadecimais válidos incluem 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e e f. 1234567890abcdef é um exemplo de uma chave de criptografia DES ou ARCFour válida. Se você inserir uma chave de criptografia incorreta, uma mensagem de erro será exibida na parte inferior da janela do navegador.
12. Clique na guia Avançado e selecione qualquer uma das seguintes configurações opcionais que deseja aplicar à política de VPN.
Por padrão, a configuração Suprimir criação automática de regras de acesso para política de VPN não é habilitada para permitir que o tráfego de VPN atravesse as zonas apropriadas.
– Selecione Habilitar difusão seletiva de rede do Windows (NetBIOS) para permitir o acesso a recursos de rede remota navegando no ambiente de Rede do Windows®.
– Selecione Aplicar políticas de NAT, se desejar que o firewall traduza ambas as redes, local e remota, que se comunicam por meio deste túnel de VPN. Para executar a tradução de endereço de rede na rede local, selecione ou crie um objeto de endereço na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou crie um objeto de endereço na caixa suspensa Rede remota traduzida. Geralmente, se a NAT for necessária em um túnel, local ou remoto deverá ser traduzido, mas não ambos. Aplicar políticas de NAT é especificamente útil em casos em que ambos os lados de um túnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
– Para gerenciar a SonicWALL local por meio do túnel de VPN, selecione HTTPS em Gerenciamento por meio deste SA.
– Selecione HTTP, HTTPS ou ambos em Login do usuário por meio deste SA para permitir que os usuários efetuem login usando SA.
– Se você tiver um Endereço IP para um gateway, insira-o no campo Gateway de LAN padrão (opcional).
– Selecione uma interface no menu Política de VPN ligada a.
13. Clique em OK.
14. Clique em Aceitar na página VPN > Configurações para atualizar as Políticas de VPN.
Configurando o dispositivo de segurança de rede da Dell SonicWALL remota
1. Clique em Adicionar na página VPN > Configurações. A janela Política de VPN é exibida.
2. Na guia Geral, selecione Chave manual no menu Modo de criação de chave de IPsec.
3. Insira um nome para SA no campo Nome.
4. Insira o nome de host ou endereço IP da conexão local no campo Nome ou endereço do gateway de IPsec.
5. Clique na guia Rede.
6. Selecione uma rede local em Escolher rede local na lista, se uma rede local específica puder acessar o túnel de VPN. Se o tráfego puder ser originado de qualquer rede local, selecione Qualquer endereço. Selecione Usar este túnel de VPN como rota padrão para todo o tráfego de Internet, se o tráfego de qualquer usuário local não puder deixar o firewall, a menos que ele estiver criptografado. Apenas é possível configurar uma SA para usar essa configuração. Como alternativa, selecione Escolher rede de destino na lista e selecione grupo ou objeto de endereço.
7. Clique na guia Propostas.
8. Defina um SPI de entrada e um SPI de saída. Os SPIs estão hexadecimais (0123456789abcedf) e podem variar de 3 a 8 caracteres de comprimento.
CAUTION Cada associação de segurança deve ter SPIs exclusivos; duas associações de segurança não podem compartilhar os mesmos SPIs. No entanto, cada SPI de entrada da associação de segurança pode ser o mesmo que o SPI de saída.
9. Os valores padrão para Protocolo, Criptografia fase 2 e Autenticação fase 2 são aceitos para a maioria das configurações de SA de VPN.
Note Os valores para Protocolo, Criptografia fase 2 e Autenticação fase 2 deve correspondência aos valores no firewall remoto.
10. Insira uma chave de criptografia hexadecimal de 16 caracteres no campo Chave de criptografia ou use o valor padrão. Essa chave de criptografia é usada para configurar a chave de criptografia da SonicWALL remota, portanto, grave-a para ser usada ao configurar a SonicWALL remota.
11. Insira uma chave de autenticação hexadecimal de 32 caracteres no campo Chave de autenticação ou use o valor padrão. Grave a chave a ser usada ao definir as configurações da SonicWALL remota.
Tip Os caracteres hexadecimais válidos incluem 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e e f. 1234567890abcdef é um exemplo de uma chave de criptografia DES ou ARCFour válida. Se você inserir uma chave de criptografia incorreta, uma mensagem de erro será exibida na parte inferior da janela do navegador.
12. Clique na guia Avançado e selecione qualquer uma das seguintes configurações opcionais que deseja aplicar à política de VPN:
– Por padrão, a configuração Suprimir criação automática de regras de acesso para política de VPN não é habilitada para permitir que o tráfego de VPN atravesse as zonas apropriadas.
– Selecione Habilitar difusão seletiva de rede do Windows (NetBIOS) para permitir o acesso a recursos de rede remota navegando no ambiente de Rede do Windows®.
– Selecione Aplicar políticas de NAT, se desejar que o firewall traduza ambas as redes, local e remota, que se comunicam por meio deste túnel de VPN. Para executar a tradução de endereço de rede na rede local, selecione ou crie um objeto de endereço na caixa suspensa Rede local traduzida. Para traduzir a rede remota, selecione ou crie um objeto de endereço na caixa suspensa Rede remota traduzida. Geralmente, se a NAT for necessária em um túnel, local ou remoto deverá ser traduzido, mas não ambos. Aplicar políticas de NAT é especificamente útil em casos em que ambos os lados de um túnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
Note Não será possível usar esse recurso, se você tiver selecionado Usar este túnel de VPN como a rota padrão para todo o tráfego de Internet na guia Rede.
– Para gerenciar a SonicWALL remota por meio do túnel de VPN, selecione HTTP, HTTPS ou ambas em Gerenciamento por meio deste SA.
– Selecione HTTP, HTTPS ou ambos em Login do usuário por meio deste SA para permitir que os usuários efetuem login usando SA.
– Se você tiver um Endereço IP para um gateway, insira-o no campo Gateway de LAN padrão (opcional).
– Selecione uma interface no menu Política de VPN ligada a.
13. Clique em OK.
14. Clique em Aceitar na página VPN > Configurações para atualizar as Políticas de VPN.
Tip Depois que a Rede do Windows (NetBIOS) tiver sido habilitada, os usuários poderão exibir computadores remotos em seu ambiente de Rede do Windows. Os usuários também poderão acessar recursos na LAN remota digitando endereços IP remotos dos servidores ou das estações de trabalho.
Configurando uma política de VPN com IKE usando um certificado de terceiros
Note Deve-se ter um certificado válido de uma autoridade de certificado de terceiros instalado na SonicWALL antes de poder configurar a política de VPN com IKE usando um certificado de terceiros.
Para criar uma SA de VPN usando IKE e certificados de terceiros, siga estas etapas:
1. Na página VPN > Configurações, clique em Adicionar. A janela Política de VPN é exibida.
2. Na lista Método de autenticação na guia Geral, selecione IKE usando certificados de terceiros. A janela Política de VPN exibe as opções de certificado de terceiros.
Digite um Nome para a associação de segurança no campo Nome.
4. Digite o endereço IP ou FQDN (Nome de domínio totalmente qualificado) da SonicWALL remota primária no campo Nome ou endereço do gateway primário de IPsec. Se você tiver uma SonicWALL remota secundária, insira o endereço IP ou o FQDN (nome de domínio totalmente qualificado) no campo Nome ou endereço do gateway secundário de IPsec.
5. Em Autenticação de IKE, selecione um certificado de terceiros na lista Certificado local. Você deve ter importado certificados locais antes de selecionar esta opção.
6. Selecione um dos seguinte tipos de ID de mesmo nível no menu Tipo de ID de IKE de mesmo nível:
– ID de e-mail e Nome de domínio - os tipos de ID de e-mail e Nome de domínio baseiam-se no campo Nome alternativo do assunto do certificado, que não está contido em todos os certificados, por padrão. Se o certificado contiver um Nome alternativo do assunto, esse valor deverá ser usado. Para as VPNs site a site, os caracteres curingas (como * para mais de 1 caractere ou ? para um único caractere) não poderão ser usados. O valor total do ID de e-mail ou de Nome de domínio deve ser inserido. Isso é porque as VPNs site a site devem se conectar a um único ponto, ao contrário das VPNs de grupo, que esperam vários pontos para se conectarem.
– Nome distinto - com base no campo Nome distinto do assunto dos certificados, que está contido em todos os certificados, por padrão. Conforme ocorre com o ID de e-mail e o Nome de domínio acima, todo o campo Nome distinto deve ser inserido para os caracteres curingas de VPNs site a site que não são suportados.
– O formato de qualquer Nome distinto do assunto é determinado pela autoridade emissora de certificado. Os campos comuns são País (C=), organização (O=), unidade organizacional (UO=), nome comum (CN=), localidade (L=) e variam de acordo com a autoridade emissora de certificado. O campo Nome distinto do assunto real em um certificado X.509 é um objeto binário que deve ser convertido em uma cadeia de caracteres para fins de correspondência. Os campos são separados pelo caractere de barra invertida, por exemplo: /C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
– Para localizar os detalhes de certificado (Nome alternativo do assunto, Nome distinto, etc.), navegue até a página Sistema > Certificados e clique no 
botão Exportar para o certificado.
7. Digite uma sequência de caracteres de ID no campo ID de IKE de mesmo nível.
8. Clique na guia Rede.
Em Redes locais, selecione uma rede local em Escolher rede local na lista, se uma rede local específica puder acessar o túnel de VPN. Se os hosts neste lado da conexão de VPN estiverem obtendo seu endereçamento de um servidor DHCP no lado do túnel remoto, selecione Rede local obtém endereços IP usando DHCP por meio deste túnel de VPN. Se o tráfego puder ser originado de qualquer rede local, selecione Qualquer endereço.
10. Em Redes de destino, selecione Usar este túnel de VPN como rota padrão para todo o tráfego de Internet, se o tráfego de qualquer usuário local não puder deixar o firewall, a menos que ele esteja criptografado. Apenas é possível configurar uma SA para usar essa configuração. Se o lado remoto desta conexão de VPN dever obter seu endereçamento de um servidor DHCP neste lado do túnel, selecione Rede de destino obtém endereços IP usando o servidor DHCP por meio desse túnel. Como alternativa, selecione Escolher rede de destino na lista e selecione grupo ou objeto de endereço.
11. Clique na guia Propostas.
Na seção Proposta de IKE (fase 1), selecione as configurações a seguir:
– Selecione Modo principal ou Modo agressivo no menu Troca.
– Selecione o Grupo DH desejado no menu Grupo DH.
– Selecione 3DES, AES-128, AES-192 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
13. Na seção Proposta de IPsec (fase 2), selecione as configurações a seguir:
– Selecione o protocolo desejado no menu Protocolo.
– Selecione 3DES, AES-128, AES-192 ou AES-256 no menu Criptografia.
– Selecione o método de autenticação desejado no menu Autenticação.
– Selecione Habilitar segredo de encaminhamento perfeito, se desejar uma troca de chave Diffie-Hellman adicional como uma camada de segurança adicionada. Selecione Grupo 2 no menu Grupo DH.
– Insira um valor no campo Vida útil (segundos). A configuração padrão de 28800 força o túnel a renegociar e trocar as chaves a cada 8 horas.
14. Clique na guia Avançado. Selecione as opções de configuração opcional que deseja aplicar à política de VPN:
Selecione Habilitar keep alive para usar mensagens de pulsação entre pares neste túnel de VPN. Se uma extremidade do túnel falhar, o uso de Keepalives permitirá a renegociação automática do túnel, uma vez que os lados ficarem disponíveis novamente sem precisar aguardar a duração proposta para serem expirados.
– Por padrão, a configuração Suprimir criação automática de regras de acesso para política de VPN não é habilitada para permitir que o tráfego de VPN atravesse as zonas apropriadas.
– Para exigir a autenticação XAUTH pelos usuários antes de permitir que o tráfego atravesse este túnel, selecione Exigir a autenticação de cliente VPN por XAUTH e selecione um grupo de usuários para especificar os usuários permitidos no Grupo de usuários para XAUTH.
– Selecione Habilitar difusão seletiva de rede do Windows (NetBIOS) para permitir o acesso a recursos de rede remota navegando no ambiente de Rede do Windows®.
– Selecione Habilitar difusão seletiva para permitir o tráfego de difusão seletiva por meio do túnel de VPN.
– Selecione Permitir aceleração para habilitar o redirecionamento de tráfego que corresponde esta política ao dispositivo WAN Acceleration (WXA)
– Selecione Aplicar políticas de NAT, se desejar que o firewall traduza ambas as redes, local e remota, que se comunicam por meio deste túnel de VPN. Para executar a tradução de endereço de rede na rede local, selecione ou crie um objeto de endereço no menu Rede local traduzida. Para traduzir a rede remota, selecione ou crie um objeto de endereço no menu Rede remota traduzida. Geralmente, se a NAT for necessária em um túnel, local ou remoto deverá ser traduzido, mas não ambos. Aplicar políticas de NAT é especificamente útil em casos em que ambos os lados de um túnel usam as mesmas sub-redes ou as sub-redes sobrepostas.
– Selecione Habilitar verificação de OCSP para verificar o status do certificado de VPN e especifique a URL na qual verificar o status do certificado. Consulte Usando o OCSP com dispositivos de segurança de rede da Dell SonicWALL em VPN > Configurações.
– Para gerenciar a SonicWALL remota por meio do túnel de VPN, selecione HTTP, HTTPS ou ambas em Gerenciamento por meio deste SA. Selecione HTTP, HTTPS ou ambos no login do usuário por meio deste SA para permitir que os usuários efetuem login usando SA.
– Se desejar usar um roteador na LAN para tráfego inserindo este túnel destinado a uma sub-rede desconhecida, por exemplo, se você tiver configurado o outro lado como Usar este túnel de VPN como rota padrão para todo o tráfego de Internet, deverá inserir o endereço IP do roteador no campo Gateway de LAN padrão (opcional).
– Selecione uma interface ou zona no menu Política de VPN ligada a. Uma zona será a seleção preferencial, se você estiver usando o balanceamento de carga de WAN e desejar permitir que a VPN use qualquer interface de WAN.
– Por padrão, em Configurações IKEv2 (visível apenas se você tiver selecionado IKEv2 para Troca na guia Propostas), a caixa de seleção Não enviar pacote de acionamento durante a negociação SA de IKE estará desmarcada e deverá ser selecionada apenas quando necessário para fins de interoperabilidade.
O termo pacote de acionamento refere-se ao uso de cargas iniciais de seletor de tráfego preenchidas com os endereços IP do pacote que fez com que a negociação SA iniciasse. É prática recomendável incluir pacotes de acionamento para ajudar o Respondente de IKEv2 na seleção dos intervalos corretos do endereço IP protegido de seu Banco de dados de política de segurança. Nem todas as implementações oferecem suporte esse recurso, portanto, pode ser apropriado desabilitar a inclusão de pacotes de acionamento para alguns IKE de mesmo nível.
– Selecione uma ou as duas opções a seguir para a política de VPN de IKEv2:
: •: Aceitar tipo de certificado de Hash e URL
: •: Enviar tipo de certificado URL e Hash
Selecione essas opções, se os dispositivos puderem enviar e processar URLs de hash e de certificado, em vez dos próprios certificados. Usar as seguintes opções reduz o tamanho das mensagens trocadas.
Quando a opção Aceitar tipo de certificado de Hash e URL estiver selecionada, o firewall enviará uma mensagem HTTP_CERT_LOOKUP_SUPPORTED ao dispositivo de mesmo nível. Se o dispositivo de mesmo nível responder, enviando um certificado "Hash e URL de X.509c", o firewall poderá autenticar e estabelecer um túnel entre os dois dispositivos.
Quando a opção Enviar tipo de certificado de Hash e URL estiver selecionada, o firewall, ao receber uma mensagem de HTTP_CERT_LOOKUP_SUPPORTED, enviará um certificado "Hash e URL de X.509c" ao solicitante.
Em uma VPN, os dois firewalls de mesmo nível (FW1 e FW2) negociam um túnel. Na perspectiva de FW1, FW2 é o gateway remoto e vice-versa.
15. Clique em OK.
Configurando failover de VPN para uma rota estática
Opcionalmente, é possível configurar uma rota estática para ser usada como uma rota secundária, no caso do túnel de VPN ficar inativo. A opção Permitir que o caminho de VPN tenha precedência permite criar uma rota secundária de um túnel de VPN. Por padrão, as rotas estáticas têm uma métrica de um e precedência sobre o tráfego de VPN. A opção Permitir que o caminho VPN tenha precedência proporciona precedência sobre a rota para o tráfego de VPN para o mesmo objeto de endereço de destino. Isso resulta no seguinte comportamento:
• Quando um túnel de VPN estiver ativo: as rotas estáticas que correspondem ao objeto de endereço de destino do túnel de VPN serão desativadas automaticamente, se a opção Permitir que o caminho VPN tenha precedência estiver ativada. Todo o tráfego é roteado no túnel de VPN para o objeto de endereço de destino.
• Quando um túnel de VPN ficar inativo: o objeto de endereço de destino do túnel VPN de correspondência de rotas estáticas será habilitado automaticamente. Todo o tráfego para o objeto de endereço de destino é roteado nas rotas estáticas.
Para configurar uma rota estática como um failover de VPN, conclua as seguintes etapas:
1. Navegue até a página Rede > Roteamento.
2. Role até a parte inferior da página e clique no botão Adicionar. A janela Adicionar política de rota é exibida.
3. Selecione a Origem, Destino, Serviço, Gateway e Interface apropriada.
4. Deixe o métrica como 1.
5. Habilite a caixa de seleção Permitir que o caminho VPN tenha precedência.
6. Clique em OK.
Para obter mais informações sobre como configurar rotas estáticas e Roteamento baseado em política, consulte Rede > Roteamento.
Uma abordagem baseada em políticas força a configuração de políticas de VPN a incluir a configuração de topologia de rede. Isso dificulta ao administrador de rede configurar e manter a política de VPN com uma topologia de rede em constante mudança.
Com a abordagem de VPN baseada em Rota, a configuração de topologia de rede é removida da configuração de política de VPN. A configuração de política de VPN cria uma Interface de túnel entre dois pontos de terminal. As rotas estática ou dinâmica podem ser adicionadas na Interface de túnel. A abordagem de VPN baseada em Rota move a configuração de rede da configuração de política de VPN para a configuração de Rota estática ou dinâmica.
Não apenas a VPN baseada em Rota torna a configuração e a manutenção da política de VPN mais fácil, uma grande vantagem do recurso da VPN baseada em Rota é que ela fornece flexibilidade em como o tráfego é roteado. Com esse recurso, os usuários agora podem definir vários caminhos para as redes sobrepostas em uma VPN de limpeza ou redundante.
A configuração de VPN baseada em Rota é um processo de duas etapas. A primeira etapa envolve a criação de uma Interface de túnel. Os conjuntos de criptografia usados para proteger o tráfego entre dois pontos de terminal são definidos na Interface de túnel. A segunda etapa envolve a criação de uma rota estática ou dinâmica usando a Interface de túnel.
A Interface de túnel será criada quando uma Política de tipo "Interface de túnel" for adicionada para o gateway remoto. A Interface de túnel deve ser associada a uma interface física e o endereço IP da interface física é usado como endereço de origem do pacote no túnel.
Adicionando uma Interface de túnel
Os procedimentos a seguir explicam como adicionar uma Interface de túnel:
1. Navegue até VPN>Configurações>Políticas de VPN. Clique no botão Adicionar. Isso abrirá a caixa de diálogo Configuração de Política de VPN.
2. Na guia Geral, selecione o tipo de política como "Interface de túnel."
3. Em seguida, navegue até a guia Proposta e configure as propostas IKE e IPSec para a negociação de túnel.
4. Navegue até a guia Avançado para configurar as propriedades avançadas para a Interface de túnel. Por padrão, Habilitar keep alive está habilitado. Isso é para estabelecer o túnel com o gateway remoto de forma proativa.
5. As outras opções avançadas a seguir podem ser configuradas:
– Permitir roteamento avançado - adiciona essa Interface de túnel na lista de interfaces na tabela de Roteamento avançado na página Rede > Roteamento. Tornando essa uma configuração opcional, isso evita a adição de todas as Interfaces de túnel para a tabela de Roteamento avançado, que ajuda a simplificar a configuração de roteamento. Consulte Configurar roteamento avançado para interfaces de túnel para obter informações sobre como configurar o roteamento avançado RIP ou OSPF para a Interface de túnel.
– Habilitar o modo de transporte - força a negociação de IPsec a usar o Modo de transporte, em vez de Modo de túnel. Isso foi introduzido para compatibilidade com Nortel. Quando essa opção for habilitada no firewall local, ela DEVERÁ ser habilitada no firewall remoto também, para que a negociação seja bem-sucedida.
– Solicitar autenticação de clientes VPN por XAUTH - requer que todo o tráfego de entrada neste túnel de VPN seja de um usuário autenticado.
– Grupo de usuários para usuários XAUTH - especifica o grupo de usuários que terão acesso a essa VPN, se XAUTH for selecionado
– Habilitar difusão seletiva de rede do Windows (NetBIOS) - permite o acesso a recursos de rede remota navegando no ambiente de rede do Windows®.
– Habilitar difusão seletiva - permite que o tráfego de difusão seletiva por meio do túnel de VPN.
– Gerenciamento por meio deste SA - permite que os usuários remotos efetuem login para gerenciar o firewall por meio do túnel de VPN.
– Login de usuário por muio deste SA - permite que os usuários efetuem login usando SA.
– Política de VPN ligada a - define a interface à qual a Interface de túnel está ligada. Essa é x1, por padrão.
Criando uma rota estática para a Interface de túnel
Após ter adicionado com êxito uma Interface de túnel, poderá criar uma Rota estática. Siga os procedimentos para criar uma Rota estática para uma Interface de túnel:
Navegue até Rede>Roteamento>Políticas de rota. Clique no botão Adicionar. Uma janela de caixa de diálogo é exibida para a adição de Rota estática. Observe que o menu suspenso "Interface" lista todas as interfaces de túnel disponíveis.
Note Se a opção "Adicionar automaticamente a regra de acesso" estiver selecionada, as regras de firewall serão adicionadas automaticamente e o tráfego será permitido entre as redes configuradas usando a interface de túnel.
Entradas de rota para diferentes segmentos de rede
Após a criação de uma interface de túnel, várias entradas de rota poderão ser configuradas para usar a mesma interface de túnel para diferentes redes. Isso fornece um mecanismo para modificar a topologia de rede sem fazer alterações na interface de túnel.
Rotas estáticas redundantes para uma rede
Após a configuração de mais de uma interface de túnel, será possível adicionar múltiplas rotas estáticas sobrepostas; cada rota estática usa uma interface de túnel diferente para rotear o tráfego. Isso fornece redundância de roteamento para que o tráfego alcance o destino.
A interface de túnel solta é uma interface de túnel pré-configurada. Essa interface fornece segurança adicional para o tráfego. Um exemplo disso seria se uma interface de ligação de rota estática fosse considerada a interface de túnel solta e todos os tráfegos para essa rota fossem descartados e não encaminhados para limpeza. Se uma ligação de rota estática para a interface de túnel estiver definida para o tráfego (origem/destino/serviço) e for desejado que o tráfego não deverá ser encaminhado para a limpeza se a a interface de túnel estiver inativa, será recomendável configurar uma ligação de rota estática para a interface de túnel solta para o mesmo tráfego de rede. Como um resultado, se a interface de túnel estiver inativa, o tráfego será descartado devido à rota estática da interface de túnel solta.
Criando uma rota estática para a Interface de túnel solta
Para adicionar uma rota estática para a interface de túnel solta, navegue até Rede > Roteamento > Políticas de roteamento. Clique no botão Adicionar. Semelhante à configuração de uma rota estática para uma interface de túnel, configure os valores para Objetos de serviço, Origem e Destino. Em Interface, selecione "Drop_tunnelIf".
Uma vez adicionada, a rota será habilitada e exibida nas Políticas de rota.
Controle de regra de acesso VPN adicionada automaticamente
Ao adicionar Políticas de VPN, o SonicOS cria automaticamente regras de acesso não editáveis para permitir que o tráfego atravesse as zonas apropriadas. Considere a seguinte Política de VPN, na qual a Rede local é definida como Sub-redes com firewall (neste caso, compreende a LAN e a DMZ) e a Rede de destino é definida como Sub-rede 192.168.169.0.
Embora, geralmente isso seja uma enorme conveniência, há algumas instâncias nas quais é possível ser preferível suprimir a criação automática de Regras de acesso para dar suporte a uma Política de VPN. Um exemplo seria o caso de uma grande implantação de VPN de hub e spoke em que todos os sites de spoke são endereços que usam espaços de endereços que podem ser facilmente ser agrupados em sub-rede. Por exemplo, suponha que desejamos fornecer acesso de/para a LAN e DMZ no site de hub para uma sub-rede em cada um dos 2.000 sites remotos, tratados da seguinte maneira:
remoteSubnet0=Network 10.0.0.0/24 (máscara 255.255.255.0, intervalo 10.0.0.0-10.0.0.255)
remoteSubnet1=Network 10.0.1.0/24 (máscara 255.255.255.0, intervalo 10.0.1.0-10.0.1.255)
remoteSubnet2=Network 10.0.2.0/24 (máscara 255.255.255.0, intervalo 10.0.2.0-10.0.2.255)
remoteSubnet2000=10.7.207.0/24 (máscara 255.255.255.0, intervalo 10.7.207.0-10.7.207.255)
Criar Políticas de VPN para cada um desses sites remotos resultará em 2.000 requisitos de Políticas de VPN, mas também criará 8.000 regras de acesso (LAN -> VPN, DMZ -> VPN, VPN -> LAN e VPN -> DMZ para cada site). No entanto, todas essas Regras de acesso serão facilmente tratadas com apenas quatro Regras de acesso para uma representação de intervalo de endereços ou agrupada em sub-rede dos sites remotos (permitir ou negar Regras de acesso mais específicas pode ser adicionado, conforme necessário):
remoteSubnetAll=Network 10.0.0.0/13 (máscara 255.248.0.0, intervalo 10.0.0.0-10.7.255.255) ou
remoteRangeAll=Range 10.0.0.0-10.7.207.255
Para habilitar esse nível de agregação, a guia Avançado da página de janela Política de VPN oferece a opção para a configuração Adicionar automaticamente regras de acesso para Política de VPN. Por padrão, a caixa de seleção é marcada, o que significa que as Regras de acesso que a acompanham serão criadas automaticamente, como elas sempre foram. Desmarcando a caixa de seleção na criação da Política de VPN, o administrador terá a capacidade e a necessidade de criar Regras de acesso personalizadas para tráfego de VPN.