Ir para o Menu
Pesquisar a Base de conhecimento
XG: Como passar tráfego GRE por IPsec
Número de Referência: AA-00680 Visualizações: 11692 Criado: 11-10-2018 16:06 Última Atualização: 11-10-2018 16:42

Referência Sophos: https://community.sophos.com/kb/en-us/123291

- Descrição:

Este artigo descreve como criar um túnel IPsec Site-to-Site para passar o tráfego GRE.

- O que fazer?

1. Criando um túnel IPsec Site-to-Site:

Através da interface WebAdmin do Sophos XG, vá em CONFIGURE > VPN > IPsec Connection e crie um túnel com o outro equipamento.

1.1. Adicionando Manualmente:

a. Clique em Add


b. Dê um nome ao túnel (caso queira, adicione uma descrição para identificar de maneira mais fácil).

c. Em Gateway Type, configure um equipamento como Respond Only e outro como Initiate the Connection.


d. Em Policy utilize uma política padrão ou selecione uma criada (precisam ser as mesmas em ambos equipamentos).
Configure a autenticação como preferir.


e. Em Local Subnet e Remote Subnet configure os mesmos IPs utilizados em Listening Interface e Gateway Address.


f. Clique em Save e execute os mesmos passos no outro equipamento (no caso de um Sophos XG).

1.2. Criando através do Wizard:

a. Clique em Wizard

b. Insira um nome para o túnel e clique em Start


c. Selecione Site-to-Site. Você pode escolher a política usada, assim como a matriz ou filial (a matriz geralmente apenas responde a conexão, enquanto a filial inicia a mesma).
Clique na seta para avançar.


d. Selecione o método de autenticação.
Clique na seta para avançar.


e. Selecione a interface WAN que será utilizada para conectar ao outro lado da VPN.
Insira o IP da interface em Local Subnet.
Clique na seta para avançar


f. Insira o IP da interface remota que irá conectar na VPN.
Insira este IP também em Remote Subnet.
Clique na seta para avançar.


g. Selecione o método de autenticação para usuários (geralmente deixa-se desabilitado).
Clique na seta para avançar.


h. Verifique os parâmetros e clique em Finish.


2. Criando um túnel GRE e fazendo com que passe pela IPsec:

Acesse o equipamento através de SSH (PuTTY por exemplo) e através da console (opção 4) insira os seguintes comandos:


 Observações:

- Para que o tráfego do túnel GRE passe por dentro da IPsec é obrigatório que os IPs dos gateways (tanto local quanto remoto) sejam os mesmos utilizados na VPN.
É importante também que estes IPs estejam configurados como Local Subnet e Remote Subnet na IPsec.

- local-ip e remote-ip referem-se a uma faixa qualquer de IP, porém certifique-se que elas se encontrem na mesma sub-rede.

Para certificar-se que o túnel foi criado, utilize o comando system gre tunnel show através da console.
Uma tela como esta deve aparecer:


Execute o mesmo procedimento no outro equipamento (caso seja um Sophos XG), porém inverta os parâmetros.
Para certificar-se de que os túneis estão se comunicando use o comando ping <IP da ponta remota do túnel GRE>.
Caso não funcione, verifique se o Ping e o Dynamic Routing estão habilitados para a zona VPN, para isso vá em SYSTEM > Administration > Device Access.


Enquanto executar o ping abra outra sessão do PuTTY e acesse o shell avançado do equipamento através das opções 5 e 3.
Verifique que o tráfego está passando pelos túneis GRE e IPsec em ambos os equipamentos através do comando tcpdump -ni <nome do túnel GRE> e tcpdump -ni ipsec0 respectivamente.




Clique aqui para retornar a página inicial


Atenção!!!

Para maiores informações abra um chamado para a nossa equipe de suporte através do nosso painel de controle, para isso siga as instruções disponíveis no artigo abaixo:

Instruções para Suporte Técnico - M3Corp:
http://suporte.m3corp.com.br/article/AA-00283