Ir para o Menu
Pesquisar a Base de conhecimento
XG: Site-to-Site IPsec VPN utilizando preshared key
Número de Referência: AA-00636 Visualizações: 1032 Criado: 05-09-2017 15:28 Última Atualização: 03-11-2017 10:40

Referência Sophos: https://community.sophos.com/kb/en-us/123140

- Descrição:

Este artigo descreve os passos para configurar uma VPN Site-to-Site utilizando preshared key como método de autenticação.

- Guia rápido:

- Parâmetros da VPN:

  1.  Tenha em mãos o documento de VPN com os parâmetros que deverão ser configurados dos dois lados da VPN.
    Obs.: Caso os parâmetros não estejam alinhados, a VPN não será estabelecida.


- Como configurar:

Analise o seguinte diagrama de rede abaixo de exemplo:

1. Configurando o Sophos Firewall 1

1.1. Adicionando LAN local e remota

Entre em Hosts and Services > IP Host e selecione Add para criar uma LAN local



Entre em Hosts and Services > IP Host e selecione Add para criar uma LAN remota



1.2. Crie uma conexão VPN IPsec

Vá em VPN > IPSec Connections e selecione o Wizard. Informe o nome e clique em Start para seguir o Wizard.

Selecione Site To Site como um tipo de conexão e selecione Head Office    


Selecione o Authentication Type para preshared key    


No campo Local Subnet, selecione a LAN local criada anteriormente  


No campo Remote Subnet, selecione a LAN local criada anteriormente



Revise as configurações e clique em Finish.



Após clicar em Finish, a seguinte tela é exibida mostrando a conexão criada.


Clique no ícone em vermelho abaixo de Status (Active) para ativar a conexão.



1.3 Adicione duas regras de firewall permitindo o tráfego VPN

Acesse Firewall e clique em +Add Firewall Rule.

Crie duas regras de user/network conforme abaixo.




2. Configurando o Sophos Firewall 2

2.1. Adicionando LAN local e remota

Entre em Hosts and Services > IP Host e selecione Add para criar uma LAN local


Entre em Hosts and Services > IP Host e selecione Add para criar uma LAN remota



2.2. Crie uma conexão VPN IPsec

Vá em VPN > IPSec Connections e selecione o Wizard. Informe o nome e clique em Start para seguir o Wizard.

Selecione Site To Site como um tipo de conexão e selecione Branch Office    



Selecione o Authentication Type para preshared key.

Certifique-se de utilizar a mesma preshared key como no Firewall 1    



No campo Local Subnet, selecione a LAN local criada anteriormente 



No campo Remote Subnet, selecione a LAN local criada anteriormente 



Revise as configurações e clique em Finish.



Após clicar em Finish, a seguinte tela é exibida mostrando a conexão criada.


Clique no ícone em vermelho abaixo de Status (Active) para ativar a conexão.


2.3 Adicionando duas regras de firewall permitindo o tráfego VPN

Acesse Firewall e clique em +Add Firewall Rule.

Crie duas regras de user/network conforme abaixo.



3. Estabelecendo a conexão IPSec

Após a criação das configurações nos dois firewalls (head e branch), clique em VPN > IPSec Connections e clique no ícone em vermelho abaixo de Status (Connection).




4. Resultado

Realize um ping através de uma máquina atrás da rede do Firewall 1 para a rede do Firewall 2 e vice-versa




Vá em Firewall e verifique que as regras de VPN permitem tráfego de entrada e saída


Acesse Reports > VPN e monitore a utilização da IPSec


Clique no nome da conexão para exibir mais detalhes



Notas:

  • Se certifique que a regra de firewall VPN está no topo da lista;
  • Na configuração do Head e Branch office, o firewall na filial (branch) geralmente age como o inicializador do tunel e o Firewall da matriz (head) como responder devido as seguintes razões:
    • Quando o XG da filial está configuração com um IP dinâmico, o XG da matriz não consegue iniciar a conexão;
    • Como podem existir outros XGs em filiais, é recomendado que o XG da filial tente reconectar ao invés da matriz tentar em todas as outras filiais.

Artigos relacionados:

Em casos de dúvidas, contacte o nosso suporte enviando o documento com os parâmetros da VPN, diagrama de rede, troubleshooting realizado, bem como o erro encontrado.

Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283