Esta seção contém os seguintes exemplos para ajudá-lo a construir a VPN:

• "Utilizar o Servidor VPN como um Servidor de Fronteira"
• "Utilizar o Servidor VPN atrás de um Firewall"
• "Configurar uma VPN em uma Rede Privada"

Uma VPN permite que empresas enviem informações confidenciais através da rede pública --- a Internet --- ou dentro de uma rede privada sem riscos. Como as informações são criptografadas, a confidencialidade é preservada até que elas atinjam um membro peer da VPN. Uma VPN oferece a segurança de uma linha dedicada, sem a despesa correspondente.

NOTA: Para obter informações adicionais, consulte o FAQ do BorderManager em: http://suppport.novell.com/cgi-bin/search/tidfinder.cgi?2926411. Se você estiver utilizando a função de pesquisa Novell Knowledge Base, o número TID será 2926411.

Você pode utilizar uma VPN site-a-site das seguintes formas:

• Para trocar informações seguras pela Internet

  Nesse caso, os servidores VPN em dois ou mais sites remotos utilizam a Internet para trocar informações confidenciais criptografadas. Os servidores VPN podem se conectar diretamente com a Internet ou se conectar através de um firewall ou um roteador de alta velocidade existente. Este capítulo fornece exemplos dos dois casos. Nesses exemplos, vamos supor que você selecionou a opção Setup BorderManager for Secure Access to Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação do BorderManager.

• Para trocar informações seguras dentro de uma rede privada

  Nesse caso, é configurada uma VPN em uma intranet corporativa ou em uma rede privada para trocar informações criptografadas. É fornecido um exemplo desse caso neste capítulo.

Utilizar o Servidor VPN como um Servidor de Fronteira

Esta seção discute os dois seguintes cenários possíveis para a utilização do servidor VPN como um servidor de fronteira:

• Servidores VPN que utilizam a mesma rede para os endereços público e privado
• Servidores VPN que utilizam redes diferentes para os endereços público e privado

Servidores VPN que Utilizam a Mesma Rede para os Endereços Público e Privado

Neste exemplo, a empresa tem escritórios em dois sites remotos: San José e Atenas, como mostrado na Figura 3-1. Os escritórios Financeiro e corporativo encontram-se em San José e o escritório de Contabilidade encontra-se em Atenas. Em cada escritório, os endereços público e privado estão em uma sub-rede diferente do mesmo endereço de rede IP Classe B. Os dois escritórios devem compartilhar os dados sem permitir que outros usuários de redes não protegidas pelos servidores VPN acessem os dados de dentro da empresa ou através da Internet.

Nos dois sites, o servidor VPN está conectado diretamente com a Internet e está sendo utilizado como o servidor de fronteira. O procedimento a seguir mostra como se conectar com os dois sites remotos deste exemplo configurando os dois servidores de fronteira como servidores VPN e utilizando um túnel criptografado para enviar dados entre os sites.

Figura 3-1. Sites Remotos que Utilizam a Mesma Rede para os Endereços Público e Privado Ligados por Nós da VPN Conectados Diretamente com a Internet

Para conectar dois sites remotos da Internet que utilizam uma VPN, execute os seguintes passos:

1. Escolha um servidor master para a VPN.

   Neste exemplo, é selecionado o site de San José, pois a equipe dos Serviços de Informações Corporativas, melhor equipada para gerenciar a VPN, encontra-se no escritório corporativo.

2. Entre em contato com um ISP e providencie a conectividade com a Internet. Anote o endereço IP público e a máscara de sub-rede que o ISP fornecer.

   NOTA: Repita esses passos para cada site que fará parte da VPN.

   Neste exemplo, o endereço IP público e a máscara de sub-rede do servidor master VPN em San José são 135.27.180.1 e FF.FF.FC.0, respectivamente. O endereço IP público e a máscara de sub-rede do servidor slave VPN em Atenas são 135.145.188.25 e FF.FF.FC.0, respectivamente.

3. Escolha um endereço IP e uma sub-rede a serem utilizados para a interface do túnel da VPN.

   Como esse endereço nunca será enviado pela Internet, ele pode ser qualquer endereço não registrado, por exemplo, 10.0.0.1 e FF.0.0.0 para o servidor master e 10.0.0.2 e FF.0.0.0 para o servidor slave.

   NOTA: O servidor master e todos os servidores slave devem utilizar endereços IP na mesma rede ou sub-rede para as interfaces de túnel da VPN.

4. Instale o software NetWare^® e o BorderManager no servidor master.

5. Utilize o NIASCFG para configurar os protocolos e o roteamento no servidor master:

   • Configure uma interface de WAN para se conectar com o ISP.
   • Crie uma configuração de chamada de WAN para se conectar com o ISP.
   • Habilite o TCP/IP.
   • Vincule o TCP/IP com a interface de WAN que conecta o servidor VPN com o ISP (135.27.180.1). Essa interface deve ter um endereço IP registrado.
   • Reinicialize o sistema para que essas mudanças tenham efeito.

6. Estabeleça uma conexão com o ISP e verifique se o servidor master consegue se comunicar com o roteador do ISP.

   Faça isso antes de adicionar a VPN. Antes de testar a conexão, verifique se os filtros do BorderManager estão configurados para permitir a passagem de pacotes ICMP. Após o teste, os filtros devem retornar à configuração anterior. Se você configurou a chamada como Permanente-Automática, o servidor deverá se conectar com o ISP logo após a reinicialização do sistema. Se você configurou a chamada como qualquer outro tipo, talvez precise iniciar a chamada carregando o CALLMGR no console e inicializando uma chamada de WAN IP para o ISP. Após a conexão da chamada, emita o comando PING para o roteador do ISP digitando LOAD PING no prompt do console e digitando o endereço IP do roteador (fornecido pelo ISP). Se conseguir emitir o comando PING para o roteador do ISP, você estará conectado ao ISP e deverá ser capaz de atingir qualquer local da Internet, incluindo os outros sites depois que eles forem conectados.

7. Selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor master VPN. Faça o seguinte:

   • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 135.27.180.1 como o endereço IP público e FF.FF.FC.0 como a máscara de sub-rede.

   • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.1 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.

     NOTA: O NIASCFG adiciona automaticamente alguns filtros para evitar que o endereço IP do túnel da VPN seja enviado através da interface pública e evitar que o endereço IP público seja enviado através da interface do túnel.

   • Gere as informações criptográficas do servidor master VPN.

   • Copie as informações criptográficas para um disquete.

   Consulte "Configurar o Servidor Master" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor master.

8. Se você não selecionou a opção Setup BorderManager for Secure Access to the Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação, carregue o BRDCFG e selecione essa opção.

9. Envie o arquivo MINFO.VPN com as informações criptografadas do servidor master para o administrador que está configurando o servidor slave VPN.

10. Repita o Passo 4, o Passo 5, o Passo 6 e o Passo 8 para o servidor slave.

11. No servidor slave VPN, selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor slave VPN. Faça o seguinte:

    • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 135.145.188.25 como o endereço IP público e FF.FF.FC.0 como a máscara de sub-rede.
    • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.2 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.
    • Gere as informações criptográficas do servidor slave VPN utilizando o arquivo de informações criptográficas do servidor master (MINFO.VPN). Entre em contato com o administrador do servidor master e verifique se os valores das sínteses se correspondem.
    • Copie as informações criptográficas do servidor slave para um arquivo.

    Consulte "Configurar um Servidor Slave" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor slave.

12. Envie o arquivo SINFO.VPN com as informações criptográficas do servidor slave de volta para o administrador que está configurando o servidor master VPN.

13. Na estação de trabalho administrativa, instale o snap-in do BorderManager para o utilitário Administrador do NetWare, se ainda não estiver instalado.

    O programa de instalação desse utilitário (SETUP.EXE) estará no diretório \PUBLIC\BRDMGR\SNAPINS no volume SYS: do servidor após a instalação do BorderManager.

    NOTA: Execute esse passo em um cliente autenticado na árvore do NDS^TM em que o servidor master VPN se encontra. A máquina deve estar logada com os direitos Supervisionar para o servidor master VPN. Se ele for o primeiro servidor VPN ou servidor de fronteira da árvore, serão necessários os direitos Supervisionar para o diretório raiz para estender o esquema do NDS.

14. Em uma estação de trabalho de administração, logue na árvore do NDS em que o servidor master VPN se encontra e inicie o utilitário Administrador do NetWare.

15. Clique duas vezes no objeto Servidor que representa o servidor BorderManager a ser utilizado como servidor master VPN.

16. Clique na página Configuração do BorderManager e clique na guia VPN.

17. Clique duas vezes em Site Master a Site no item Habilitar Serviço.

    O servidor master deve fazer parte da lista Membros da VPN. Por exemplo, se você chamou o servidor master de "Corporativo", Corporativo deverá ser mostrado como um membro da VPN com o endereço IP 135.27.180.1, como configurado no Passo 7.

18. Configure manualmente uma lista de redes protegidas por esse servidor master VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 135.27.188.0 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 135.127.188.0 como o endereço de rede IP.

    5. Digite FF.FF.FC.0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional e clique em OK para retornar à página principal da VPN.

19. Clique em Adicionar para adicionar o servidor slave à lista Membros da VPN.

20. Especifique o nome do caminho e o nome do arquivo de informações criptográficas do servidor slave (SINFO.VPN).

21. Peça ao administrador do servidor slave VPN que utilize o NIASCFG para autenticar as informações criptográficas e verificar se os valores das sínteses de mensagens se correspondem. Clique em Sim se os valores forem correspondentes.

    Para autenticar as informações criptográficas através do NIASCFG, selecione o seguinte caminho: Configure NIAS (Configurar NIAS) > VPN (Virtual Private Network) > Authenticate Encryption Information (Autenticar Informações de Criptografia ).

22. Clique em Sim para configurar manualmente uma lista de redes protegidas por esse servidor slave VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 135.145.180.0 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 135.145.180.0 como o endereço de rede IP.

    5. Digite FF.FF.FC.0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional, modifique outros parâmetros da VPN se necessário e clique em OK para retornar à página principal da VPN.

    NOTA: Nesse ponto, o servidor master reconhece o servidor slave, mas as informações de configuração da VPN ainda não foram atualizadas no servidor slave. O servidor slave deve ser atualizado para que a VPN seja ativada. Verifique se os servidores master e slave estão conectados com a Internet através dos respectivos ISPs para que possam se comunicar entre si e para que o servidor master possa atualizar o servidor slave.

23. Atualize a configuração inteira da VPN em todos os seus membros.

    1. Na página principal da VPN, clique em Status.

    2. Clique em Sincronizar Todos para atualizar a configuração atual em todos os membros da VPN.

       Essa configuração pode demorar algum tempo, dependendo dos tipos de conexões com a Internet e do número de membros a serem atualizados. Quando o processo for completado, todos os membros deverão ter o status "Atualizado".

    3. Se qualquer membro da VPN permanecer com o status "Sendo Configurado", selecione esse membro ou o servidor master e verifique os erros de configuração no registro de auditoria.

    4. Clique em OK.

       Agora a VPN está configurada entre dois sites. Você pode adicionar mais sites e atualizar todos os membros ao mesmo tempo. Para adicionar outro site, repita do Passo 9 ao Passo 23.

Observe que é preciso evitar que o endereço IP público do firewall seja divulgado através da interface do túnel da VPN. Se ele for conhecido através dessa interface, os pacotes destinados ao endereço IP público passarão pela interface do túnel da VPN e nunca chegarão.

Do ponto de vista do roteamento, a interface do túnel da VPN é apenas outra interface. Um dos atributos dessa interface é que todas as rotas divulgadas por ela adicionam um custo de apenas um. Como a interface do túnel da VPN fornece o custo mais baixo a qualquer rede ou host divulgado através dela, todo o acesso futuro a essa rede ou host será feito através da interface do túnel da VPN, caso em que os dados serão criptografados. Entretanto, como as redes conhecidas através da interface do túnel da VPN podem ser divulgadas pela interface pública, você pode desejar configurar filtros para evitar que essas redes sejam divulgadas.

Neste exemplo, o servidor VPN está diretamente conectado à Internet. Configure essa máquina como um firewall para proteger o servidor e as máquinas localizadas atrás dela. Implemente uma filtragem básica utilizando os filtros RIP TCP/IP e os filtros de reencaminhamento de pacotes TCP/IP. Para que nenhum cliente acesse a Internet, configure todos os parâmetros como Negar e só autorize o tráfego que passe por eles. Se você selecionou a opção Setup BorderManager for Secure Access to Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação, esses filtros serão configurados para você e não será necessária qualquer configuração adicional.

Servidores VPN que Utilizam Redes Diferentes para os Endereços Público e Privado

Como mostrado na Figura 3-2, este cenário é igual ao cenário anterior, exceto pelo fato de que os endereços público e privado utilizam endereços IP Classe B diferentes em cada escritório.

O procedimento deste cenário é quase igual ao procedimento do cenário anterior, com as seguintes diferenças:

• Utilize FF.FF.F0.0 como as máscaras de rede das interfaces públicas.
• Em vez de configurar uma lista de redes protegidas no Passo 18 e no Passo 22, selecione Habilitar IP RIP para configurar a utilização de um protocolo de roteamento dinâmico.

Figura 3-2. Sites Remotos que Utilizam Redes Diferentes para os Endereços Público e Privado Ligados por Nós da VPN Conectados Diretamente com a Internet

Utilizar o Servidor VPN atrás de um Firewall

Neste exemplo, o servidor master VPN para o escritório Financeiro em San José está atrás de um servidor firewall conectado com a Internet, como mostrado na Figura 3-3. O endereço IP público e a máscara de sub-rede para o servidor VPN são parte de uma rede local. O firewall tem o endereço IP 200.20.176.12 na conexão com a Internet. O servidor master VPN tem o endereço IP público 220.150.17.65. A rede local está utilizando a máscara de sub-rede FF.FF.FF.C0.

O servidor slave em Atenas está conectado através de um ISP. O endereço IP público e a máscara de sub-rede são 135.145.188.25 e FF.FF.FC.0, respectivamente. Os dois escritórios compartilham dados que devem ser criptografados e enviados através de um túnel da VPN. O procedimento mostra como conectar os dois sites remotos utilizando um túnel criptografado para enviar os dados.

Figura 3-3. Sites Remotos Ligados por Nós da VPN atrás de um Firewall

Para conectar sites remotos na Internet utilizando uma VPN através de um firewall, execute os seguintes passos:

1. Escolha um servidor master para a VPN.

   Neste exemplo, é selecionado o site de San José, pois a equipe dos Serviços de Informações Corporativas, melhor equipada para gerenciar a VPN, encontra-se no escritório corporativo.

2. Entre em contato com um ISP e providencie a conectividade com a Internet para o servidor slave. Anote o endereço IP público e a máscara de sub-rede que o ISP fornecer.

   NOTA: Repita esses passos para cada site que fará parte da VPN.

   Neste exemplo, o endereço IP público e a máscara de sub-rede do servidor master VPN em San José são 220.150.17.65 e FF.FF.FF.C0, respectivamente. O endereço IP público e a máscara de sub-rede do servidor slave VPN em Atenas são 135.145.188.25 e FF.FF.FC.0, respectivamente.

3. Escolha um endereço IP e uma máscara a serem utilizados para a interface do túnel da VPN.

   Como esse endereço nunca será enviado pela Internet, ele pode ser qualquer endereço não registrado, por exemplo, 10.0.0.1 e FF.0.0.0 para o servidor master e 10.0.0.2 para o servidor slave.

   NOTA: O servidor master e todos os servidores slave devem utilizar endereços IP na mesma rede ou sub-rede para as interfaces de túnel da VPN.

4. Instale o NetWare e o BorderManager no servidor master.

5. Utilize o NIASCFG para configurar os protocolos e o roteamento no servidor master:

   • Configure uma interface de LAN para se conectar com a rede local atrás do firewall.
   • Habilite o TCP/IP.
   • Vincule o TCP/IP com a interface de LAN que conecta o servidor VPN com o firewall (220.150.17.65). Essa interface deve ter um endereço IP registrado.
   • Reinicialize o sistema para que essas mudanças tenham efeito.

6. Estabeleça uma conexão com o roteador do firewall e verifique se o servidor master consegue se comunicar com o roteador do ISP.

   Faça isso antes de adicionar a VPN. Antes de testar a conexão, verifique se o firewall está configurado para permitir a passagem de pacotes ICMP. Após o teste, os filtros devem retornar à configuração anterior. Como a conectividade com a Internet é fornecida pelo firewall ou outro roteador, não é necessária uma chamada de WAN. Digite LOAD PING no prompt do console e digite o endereço IP do roteador do ISP. Se conseguir emitir o comando PING para o roteador, você estará conectado ao ISP e deverá ser capaz de atingir qualquer local da Internet, incluindo os outros sites depois que eles forem conectados.

7. Selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor master VPN. Faça o seguinte:

   • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 220.150.17.65 como o endereço IP público e FF.FF.FF.C0 como a máscara de sub-rede.

   • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.1 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.

     NOTA: O NIASCFG adiciona automaticamente alguns filtros para evitar que o endereço IP do túnel da VPN seja enviado através da interface pública e evitar que o endereço IP público seja enviado através da interface do túnel.

   • Gere as informações criptográficas do servidor master VPN.

   • Copie as informações criptográficas para um disquete.

   Consulte "Configurar o Servidor Master" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor master.

8. Se você não selecionou a opção Setup BorderManager for Secure Access to the Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação, carregue o BRDCFG e selecione essa opção.

9. Envie o arquivo MINFO.VPN com as informações criptografadas do servidor master para o administrador que está configurando o servidor slave VPN.

10. Repita o Passo 4, o Passo 5, o Passo 6 e o Passo 8 para o servidor slave.

11. No servidor slave VPN, selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor slave VPN. Faça o seguinte:

    • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 135.145.188.25 como o endereço IP público e FF.FF.FC.0 como a máscara de sub-rede.
    • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.2 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.
    • Gere as informações criptográficas do servidor slave VPN utilizando o arquivo de informações criptográficas do servidor master (MINFO.VPN). Entre em contato com o administrador do servidor master e verifique se os valores das sínteses se correspondem.
    • Copie as informações criptográficas do servidor slave para um arquivo.

    Consulte "Configurar um Servidor Slave" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor slave.

12. Envie o arquivo SINFO.VPN com as informações criptográficas do servidor slave de volta para o administrador que está configurando o servidor master VPN.

13. Na estação de trabalho administrativa, instale o snap-in do BorderManager para o utilitário Administrador do NetWare, se ainda não estiver instalado.

    O programa de instalação desse utilitário (SETUP.EXE) estará no diretório \PUBLIC\BRDMGR\SNAPINS no volume SYS: do servidor após a instalação do BorderManager.

    NOTA: Execute esse passo em um cliente autenticado na árvore do NDS em que o servidor master VPN se encontra. A máquina deve estar logada com os direitos Supervisionar para o servidor master VPN. Se ele for o primeiro servidor VPN ou servidor de fronteira da árvore, serão necessários os direitos Supervisionar para o diretório raiz para estender o esquema do NDS.

14. Em uma estação de trabalho de administração, logue na árvore do NDS em que o servidor master VPN se encontra e inicie o utilitário Administrador do NetWare.

15. Clique duas vezes no objeto Servidor que representa o servidor BorderManager a ser utilizado como servidor master VPN.

16. Clique na página Configuração do BorderManager e clique na guia VPN.

17. Clique duas vezes em Site Master a Site no item Habilitar Serviço.

    O servidor master deve fazer parte da lista Membros da VPN. Por exemplo, ser você chamou o servidor master de "Corporativo", Corporativo deverá ser mostrado como um membro da VPN com o endereço IP 220.150.17.65, como configurado no Passo 7.

18. Configure manualmente uma lista de redes protegidas pelo servidor master VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 220.150.17.128 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 220.150.17.128 como o endereço de rede IP.

    5. Digite FF.FF.FF.C0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional e clique em OK para retornar à página principal da VPN.

19. Clique em Adicionar para adicionar o servidor slave à lista Membros da VPN.

20. Especifique o nome do caminho e o nome do arquivo de informações criptográficas do servidor slave (SINFO.VPN).

21. Peça ao administrador do servidor slave VPN que utilize o NIASCFG para autenticar as informações criptográficas e verificar se os valores das sínteses de mensagens se correspondem. Clique em Sim se os valores forem correspondentes.

    Para autenticar as informações criptográficas através do NIASCFG, selecione o seguinte caminho: Configure NIAS (Configurar NIAS) > VPN (Virtual Private Network) > Authenticate Encryption Information (Autenticar Informações de Criptografia ).

22. Clique em Sim para configurar manualmente uma lista de redes protegidas por esse servidor slave VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 135.145.180.0 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 135.145.180.0 como o endereço de rede IP.

    5. Digite FF.FF.FC.0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional, modifique outros parâmetros da VPN se necessário e clique em OK para retornar à página principal da VPN.

    NOTA: Nesse ponto, o servidor master reconhece o servidor slave, mas as informações de configuração da VPN ainda não foram atualizadas no servidor slave. O servidor slave deve ser atualizado para que a VPN seja ativada. Verifique se os servidores master e slave estão conectados com a Internet através dos respectivos ISPs para que possam se comunicar entre si e para que o servidor master possa atualizar o servidor slave.

23. Atualize a configuração inteira da VPN em todos os seus membros.

    1. Na página principal da VPN, clique em Status.

    2. Clique em Sincronizar Todos para atualizar a configuração atual em todos os membros da VPN.

       Essa configuração pode demorar algum tempo, dependendo dos tipos de conexões com a Internet e do número de membros a serem atualizados. Quando o processo for completado, todos os membros deverão ter o status "Atualizado".

    3. Se qualquer membro da VPN permanecer com o status "Sendo Configurado", selecione esse membro ou o servidor master e verifique os erros de configuração no registro de auditoria.

    4. Clique em OK.

       Agora a VPN está configurada entre dois sites. Você pode adicionar mais sites e atualizar todos os membros ao mesmo tempo. Para adicionar mais sites, repita do Passo 9 ao Passo 23.

Observe que é preciso evitar que o endereço IP público do firewall seja divulgado através da interface do túnel da VPN. Se ele for conhecido através dessa interface, os pacotes destinados ao endereço IP público passarão pela interface do túnel da VPN e nunca chegarão.

Do ponto de vista do roteamento, a interface do túnel da VPN é apenas outra interface. Um dos atributos dessa interface é que todas as rotas divulgadas por ela adicionam um custo de apenas um. Como a interface do túnel da VPN fornece o custo mais baixo a qualquer rede ou host divulgado através dela, todo o acesso futuro a essa rede ou host será feito através da interface do túnel da VPN, caso em que os dados serão criptografados. Entretanto, como as redes conhecidas através da interface do túnel da VPN podem ser divulgadas pela interface pública, você pode desejar configurar filtros para evitar que essas redes sejam divulgadas.

Neste exemplo, o acesso dos clientes privados à Internet é controlado provavelmente pelo firewall. Porém, dependendo da configuração do firewall, você pode desejar implementar a filtragem utilizando os filtros RIP TCP/IP e os filtros de reencaminhamento de pacotes TCP/IP para evitar o acesso à Internet.

Configurar uma VPN em uma Rede Privada

Neste exemplo, os servidores Financeiro e de Contabilidade em San José estão na intranet corporativa ou na rede privada, como mostrado na Figura 3-4. Neste cenário, não são necessários o acesso à Internet e um ISP, apenas a conectividade IP entre o servidor master e o servidor slave. O servidor master tem o endereço IP público 135.27.180.1 e a rede local está utilizando a máscara de sub-rede FF.FF.FC.0. Neste exemplo, o servidor master e o servidor slave devem utilizar endereços de sub-rede diferentes, pois estão em segmentos diferentes da LAN. O servidor slave tem o endereço IP 135.27.184.1 e a máscara de sub-rede FF.FF.FC.0.

Embora isso não seja mostrado neste exemplo, os nós da VPN também poderiam ser unidos utilizando uma conexão ponto-a-ponto, que exige que os nós tenham o mesmo endereço de rede.

Os dois departamentos compartilham os dados que devem ser criptografados e enviados por um túnel da VPN. O procedimento mostra como conectar os dois segmentos da LAN utilizando um túnel criptografado para enviar os dados.

Figura 3-4. Segmentos da LAN em uma Intranet Ligada por uma VPN

Para configurar uma VPN de modo a operar dentro de uma intranet, execute os seguintes passos:

1. Escolha um servidor master para a VPN.

   Neste exemplo, é selecionada uma máquina cuja segurança física e o acesso pela equipe dos Serviços de Informações Corporativas sejam fáceis.

2. Escolha um endereço IP e uma máscara a serem utilizados para a interface do túnel da VPN.

   Como esse endereço nunca será enviado pela Internet, ele pode ser qualquer endereço não registrado, por exemplo, 10.0.0.1 e FF.0.0.0 para o servidor master e 10.0.0.2 para o servidor slave.

   NOTA: O servidor master e todos os servidores slave devem utilizar endereços IP na mesma rede ou sub-rede para as interfaces de túnel da VPN.

3. Instale o NetWare e o BorderManager no servidor master e no servidor slave.

4. Utilize o NIASCFG para configurar os protocolos e o roteamento no servidor master e no servidor slave:

   • Configure uma interface de LAN para se conectar com a rede local atrás do firewall.
   • Habilite o TCP/IP.
   • Vincule o TCP/IP com a interface de LAN (135.27.180.1 para o servidor master). Como os servidores VPN não estão conectados com a Internet, não é necessário que essa interface utilize um endereço IP registrado.
   • Reinicialize o sistema para que essas mudanças tenham efeito.

   IMPORTANTE: Verifique se o protocolo IPX^TM (Internetwork Packet Exchange^TM) não está vinculado com a interface pública de qualquer servidor VPN.

5. Verifique se existe a conectividade IP entre os membros da VPN.

   Antes de testar a conexão, verifique se os filtros do BorderManager estão configurados para permitir a passagem de pacotes ICMP. Após o teste, os filtros devem retornar à configuração anterior. Digite LOAD PING no prompt do console do servidor master VPN e digite o endereço IP do servidor slave VPN.

6. Selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor master VPN. Faça o seguinte:

   • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 135.27.180.1 como o endereço IP público e FF.FF.FC.0 como a máscara de sub-rede.

   • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.1 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.

     NOTA: O NIASCFG adiciona automaticamente alguns filtros para evitar que o endereço IP do túnel da VPN seja enviado através da interface pública e evitar que o endereço IP público seja enviado através da interface do túnel da VPN.

   • Gere as informações criptográficas do servidor master VPN.

   • Copie as informações criptográficas para um disquete.

   Consulte "Configurar o Servidor Master" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor master.

7. Se você não selecionou a opção Setup BorderManager for Secure Access to the Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação no servidor master e no servidor slave, carregue o BRDCFG e selecione essa opção.

8. Envie o arquivo MINFO.VPN com as informações criptografadas do servidor master para o administrador que está configurando o servidor slave VPN.

9. No servidor slave VPN, selecione VPN (Virtual Private Network) no menu de configuração do NIASCFG e configure o servidor slave VPN. Faça o seguinte:

   • Especifique o endereço IP público e a máscara de sub-rede. Neste exemplo, especifique 135.27.184.1 como o endereço IP público e FF.FF.FC.0 como a máscara de sub-rede.
   • Especifique o endereço IP do túnel da VPN e a máscara de sub-rede. Neste exemplo, especifique 10.0.0.2 como o endereço IP do túnel da VPN e FF.0.0.0 como a máscara de sub-rede.
   • Gere as informações criptográficas do servidor slave VPN utilizando o arquivo de informações criptográficas do servidor master (MINFO.VPN). Entre em contato com o administrador do servidor master e verifique se os valores das sínteses se correspondem.
   • Copie as informações criptográficas do servidor slave para um disquete.

   Consulte "Configurar um Servidor Slave" ou a Ajuda do BorderManager para obter o procedimento de configuração do servidor slave.

10. Envie o arquivo SINFO.VPN com as informações criptográficas do servidor slave de volta para o administrador que está configurando o servidor master VPN.

11. Na estação de trabalho administrativa, instale o snap-in do BorderManager para o utilitário Administrador do NetWare, se ainda não estiver instalado.

    O programa de instalação desse utilitário (SETUP.EXE) estará no diretório \PUBLIC\BRDMGR\SNAPINS no volume SYS: do servidor após a instalação do BorderManager.

    NOTA: Execute esse passo em um cliente autenticado na árvore do NDS na qual o servidor master VPN se encontra. A máquina deve estar logada com os direitos Supervisionar para o servidor master VPN. Se ele for o primeiro servidor VPN ou servidor de fronteira da árvore, serão necessários os direitos Supervisionar para o diretório raiz para estender o esquema do NDS.

12. Em uma estação de trabalho de administração, logue na árvore do NDS em que o servidor master VPN se encontra e inicie o utilitário Administrador do NetWare.

13. Clique duas vezes no objeto Servidor que representa o servidor BorderManager a ser utilizado como servidor master VPN.

14. Clique na página Configuração do BorderManager e clique na guia VPN.

15. Clique duas vezes em Site Master a Site no item Habilitar Serviço.

    O servidor master deve fazer parte da lista Membros da VPN. Por exemplo, se você chamou o servidor master de "Corporativo", Corporativo deverá ser mostrado como um membro da VPN com o endereço IP 135.27.180.1, como configurado no Passo 6.

16. Configure manualmente uma lista de redes protegidas por esse servidor master VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 135.27.188.0 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 135.27.188.0 como o endereço de rede IP.

    5. Digite FF.FF.FC.0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional e clique em OK para retornar à página principal da VPN.

17. Clique em Adicionar para adicionar o servidor slave à lista Membros da VPN.

18. Especifique o nome do caminho e o nome do arquivo de informações criptográficas do servidor slave (SINFO.VPN).

19. Peça ao administrador do servidor slave VPN que utilize o NIASCFG para autenticar as informações criptográficas e verificar se os valores das sínteses de mensagens se correspondem. Clique em Sim se os valores forem correspondentes.

    Para autenticar as informações criptográficas através do NIASCFG, selecione o seguinte caminho: Configure NIAS (Configurar NIAS) > VPN (Virtual Private Network) > Authenticate Encryption Information (Autenticar Informações de Criptografia ).

20. Clique em Sim para configurar manualmente uma lista de redes protegidas por esse servidor slave VPN.

    Neste exemplo, deve ser configurada uma lista de redes protegidas para todos os servidores VPN mesmo que a opção Habilitar IP RIP esteja selecionada. Como as redes pública e privada são sub-redes da mesma rede, os pacotes RIP que passarem pela interface do túnel da VPN serão bloqueados pelos filtros VPN padrão. Como as rotas para as redes protegidas não podem ser conhecidas através do RIP, uma lista de redes protegidas deve ser configurada manualmente.

    Neste exemplo, você pode especificar a rede 135.27.176.0 como uma rede protegida executando os seguintes passos:

    1. Clique duas vezes no servidor slave para acessar os detalhes sobre ele.

    2. Clique em Adicionar.

    3. Selecione Rede.

    4. Digite 135.27.176.0 como o endereço de rede IP.

    5. Digite FF.FF.FC.0 como a máscara de sub-rede.

    6. Clique em OK.

    7. Especifique qualquer rede protegida adicional, modifique outros parâmetros da VPN se necessário e clique em OK para retornar à página principal da VPN.

    NOTA: Nesse ponto, o servidor master reconhece o servidor slave, mas as informações de configuração da VPN ainda não foram atualizadas no servidor slave. O servidor slave deve ser atualizado para que a VPN seja ativada. Verifique se os servidores master e slave podem se comunicar entre si para que o servidor master possa atualizar o servidor slave.

21. Atualize a configuração inteira da VPN em todos os seus membros.

    1. Na página principal da VPN, clique em Status.

    2. Clique em Sincronizar Todos para atualizar a configuração atual em todos os membros da VPN.

       Essa configuração pode demorar algum tempo, dependendo do número de membros a serem atualizados. Quando o processo for completado, todos os membros deverão ter o status "Atualizado".

    3. Se qualquer membro da VPN permanecer com o status "Sendo Configurado", selecione esse membro ou o servidor master e verifique os erros de configuração no registro de auditoria.

    4. Clique em OK.

Agora a VPN está configurada entre dois segmentos de LAN. É possível adicionar mais segmentos e atualizar todos os membros ao mesmo tempo. Você pode repetir do Passo 3 ao Passo 21 para adicionar outro servidor slave.

Observe que, se você estiver utilizando um firewall, deve evitar que o endereço IP público desse firewall seja divulgado através da interface do túnel da VPN. Se ele for conhecido através dessa interface, os pacotes destinados ao endereço IP público passarão pela interface do túnel da VPN e nunca chegarão.

Do ponto de vista do roteamento, a interface do túnel da VPN é apenas outra interface. Um dos atributos dessa interface é que todas as rotas divulgadas por ela adicionam um custo de apenas um. Como a interface do túnel da VPN fornece o custo mais baixo a qualquer rede ou host divulgado através dela, todo o acesso futuro a essa rede ou host será feito através da interface do túnel da VPN, caso em que os dados serão criptografados. Entretanto, como as redes conhecidas através da interface do túnel da VPN podem ser divulgadas pela interface pública, você pode desejar configurar filtros para evitar que essas redes sejam divulgadas.