Esta seção descreve as diretrizes utilizadas para evitar problemas de configuração da VPN e as ferramentas utilizadas para isolar os problemas depois que eles ocorrem. Esta seção contém as seguintes subseções:

• "Diretrizes de Configuração"
• "Ferramentas de Resolução de Problemas"

Diretrizes de Configuração

Utilize as diretrizes das seções seguintes ao configurar VPNs.

Requisitos de Topologia

• Uma máquina pode ser um membro de apenas uma VPN.
• Você pode utilizar uma VPN se a rede privada executar apenas o IPX, mas a rede deve estar conectada com a Internet. A VPN criptografa os pacotes IPX e envia-os pela Internet (IPX por IP).
• Você pode utilizar uma VPN se a rede privada executar apenas o IP, mas a rede deve estar conectada com a Internet. A VPN criptografa os pacotes IP e envia-os pela Internet (IP por IP).
• O software VPN pode ser executado na mesma máquina que qualquer proxy ou serviço baseado em TCP/UDP. Um membro da VPN também pode ser utilizado atrás de um firewall de terceiros, mas você deve permitir que os pacotes VPN destinados à porta TCP e UDP 353, porta UDP 2010 e porta TCP 213 com um ID de protocolo 57 passem pelo firewall.
• Não habilite IPTUNNEL ou IPRELAY quando utilizar uma VPN. Entretanto, o software NetWare/IP^TM pode ser utilizado e funciona corretamente.

Endereços de Túneis da VPN

• O endereço do túnel da VPN deve ser um endereço IP único na VPN.
• Todos os endereços de túneis da VPN em uma VPN devem fazer parte da mesma rede ou sub-rede.
• Não é necessário que o endereço do túnel da VPN seja um endereço registrado da Internet.
• O endereço do túnel da VPN não deve ser divulgado para a Internet.
• O endereço do túnel da VPN deve ser conhecido da rede privada.

Rotas Estáticas e Protocolos de Roteamento

• O protocolo OSPF (Open Shortest Path First) não é suportado pelas VPNs.
• As rotas estáticas devem ser configuradas para as redes IP remotas ou quando são utilizados links sob demanda.
• Para garantir que os dados sejam criptografados entre duas redes corporativas atrás de membros diferentes da VPN, faça o seguinte:
  • Se o RIP estiver habilitado na interface de túnel de cada membro da VPN no Administrador do NetWare, as atualizações do RIP sobre a rede interna serão enviadas para todos os membros através do túnel da VPN. Mesmo que os endereços da rede interna sejam divulgados pelo RIP para a Internet, a VPN de destino conhecerá uma rota menor pelo túnel da VPN e enviará os pacotes através do túnel da VPN.
  • Se o RIP estiver desabilitado na interface de túnel de cada membro da VPN, você deve utilizar o Administrador do NetWare para configurar uma lista de redes protegidas pelo servidor VPN para que o servidor master possa adicionar automaticamente rotas estáticas para todos os outros membros da VPN.

• Se você bloquear as atualizações do RIP do endereço IP público através do túnel da VPN, poderá conseguir o seguinte:
  • Evitar um loop de roteamento através do túnel da VPN e evitar o recebimento da mensagem Remote IP address is incorrectly reachable through the VPTUNNEL (O endereço IP remoto não foi acessado corretamente através do VPTUNNEL)
  • Reduzir o tráfego através do túnel da VPN
  • Fazer com que as outras VPNs respondam como se a VPN de destino só fosse atingida através do túnel

Fazer Mudanças na VPN

• Não remova um servidor slave de uma VPN se o INETCFG estiver carregado nesse servidor. Se o INETCFG estiver carregado quando o servidor slave VPN for removido, os servidores slave restantes não serão sincronizados apropriadamente.
• Sincronize todos os membros da VPN sempre que modificar os parâmetros comuns a todos esses membros. Esses parâmetros incluem os protocolos a serem vinculados, a topologia, a direção do início da conexão, os tempos de espera, as rotas estáticas e o RIP. Emita o comando SYNCHRONIZE ALL para garantir que todos os membros da VPN sejam notificados sobre as atualizações dos parâmetros.

Tamanho da MTU

Para as conexões da VPN site-a-site, o tamanho da MTU (Maximum Transmission Unit) é configurado automaticamente como 1350. Para as conexões de cliente para site, o tamanho da MTU é configurado como 1374 para acomodar o overhead dos cabeçalhos do IPSEC e do SKIP.

Utilizar o NAT com VPNs

• Você não pode configurar um servidor VPN atrás de uma máquina que esteja executando o NAT (Network Address Translation).

• Ao utilizar o NAT e a VPN na mesma máquina, você deve digitar o seguinte comando no console do servidor:

  SET NAT DYNAMIC MODE TO PASS THRU=ON

Clientes Dial-In da VPN

• Antes que você possa logar nos servidores NetWare 5^TM utilizando apenas o IP, acesse as propriedades do Novell Client^TM, selecione Localização do Serviço e digite, pelo menos, um endereço IP de Agente do Diretório para a lista Agente do Diretório. Se você não conseguir logar, digite SLPINFO /D no prompt do DOS para acessar o status dos agentes de diretório configurados.
• Para logar nos servidores NetWare 5 utilizando apenas o IP, não selecione Criptografia IPX habilitada.
• A conexão dial-up deve ser configurada com o Tipo de Servidor Dial-Up definido como VPN da Novell.
• A opção Reply To Get Nearest Server (Responder para Obter o Servidor Mais Próximo) deve ser configurada como On no servidor VPN.
• Para que a negociação WAN de IPX seja bem-sucedida, o IPXRTR.NLM deve ser carregado e o Endereço da Rede IPX dos clientes remotos deve ser configurado através do Administrador do NetWare.
• Se o suporte de IPX estiver habilitado em um cliente VPN, a conexão LAN de IPX será desabilitada depois que a conexão IPX dial-in da VPN for estabelecida.
• Se você estiver utilizando o Novell Client, utilize a versão 2.2.0.0 ou posterior.

Filtros

• Se o servidor VPN for também a máquina do firewall que protege a rede privada da Internet, selecione a opção Setup BorderManager for Secure Access to the Public Interface (Configurar o BorderManager para Obter Acesso Seguro à Interface Pública) durante a instalação e configuração iniciais. Caso contrário, carregue o BDRCFG para configurar os filtros necessários.
• Se o servidor VPN estiver atrás de um firewall, configure os filtros de reencaminhamento de pacotes apropriados no firewall conforme determinado pela diretiva de segurança. Para obter maiores informações, consulte o Capítulo 1, "Preparar para a Configuração da VPN (Virtual Private Network)".
• Certos filtros são configurados automaticamente quando uma VPN é configurada pela primeira vez. Esses filtros são baseados no endereço público e no endereço IP do túnel da VPN conforme especificado durante a configuração. Eles são necessários para evitar que o endereço IP público seja divulgado pelo RIP através da interface do túnel da VPN e para evitar que o endereço IP do túnel da VPN seja divulgado através da interface pública. Os pacotes RIP e RIP II são bloqueados.
• Não apague os filtros adicionados automaticamente quando um servidor VPN é configurado. Os filtros IP são adicionados automaticamente para executar as seguintes ações:
  • Bloquear as atualizações do RIP do endereço IP público através do túnel da VPN
  • Bloquear as atualizações do RIP do endereço IP do túnel da VPN através de qualquer interface
  • Bloquear a divulgação de uma rota padrão através da interface do túnel da VPN

Ferramentas de Resolução de Problemas

Você pode utilizar as seguintes ferramentas para resolver problemas das VPNs:

• Estatísticas e registros do Administrador do NetWare
  • Verifique o campo de status do servidor VPN. Veja o status da sincronização e verifique qualquer status diferente de "Atualizado". Resolva os problemas acessando o registro de auditoria, conforme descrito em "Verificar o Registro de Auditoria de um Servidor VPN".
  • Acesse a janela de atividades da VPN conforme descrito em "Verificar a Atividade do Servidor VPN" e verifique se há setas vermelhas para baixo.
  • Acesse o registro de auditoria de todos os servidores VPN conforme descrito em "Verificar o Registro de Auditoria de um Servidor VPN" e verifique se há erros.

• CALLMGR

  Se você tiver uma conexão WAN entre os sites, verifique se o status do link é mostrado como desativado. Ignore o status do túnel. O status do túnel nunca é mostrado como desativado.

• MONITOR (carregado no console do servidor)

  Em Informações da LAN correspondentes à interface do túnel da VPN, veja as estatísticas para:

  • Verificar se os pacotes estão sendo transmitidos e recebidos
  • Identificar os erros

• PING (carregado no console do servidor)

  Verifique se você pode emitir o comando PING para os seguintes endereços no site remoto:

  • Endereço do túnel da VPN
  • Endereços IP públicos da VPN
  • Endereços das estações de trabalho
  • Endereço do servidor de nomes do DNS

  Para que o comando PING funcione, os filtros devem ser configurados para permitir a passagem de pacotes ICMP (Internet Control Message Protocol).

• IPXPING (carregado no console do servidor)

  Verifique se você pode emitir o comando PING para os seguintes endereços de outros membros da VPN:

  • Endereços de servidores VPN
  • Endereços de estações de trabalho cliente dial-in da VPN

  Para que o IPXPING funcione, os filtros devem ser configurados para permitir a passagem de pacotes IPXPING.

• TCPCON (carregado no console do servidor)
  • Verifique as tabelas de roteamento IP de cada membro da VPN para saber se existem rotas para o roteador de próximo salto correto. Para enviar dados criptografados para uma rede protegida, o roteador de próximo salto deve ser um endereço de túnel.
  • Verifique as tabelas de roteamento IP de cada membro da VPN para verificar se existe uma rota para que os membros da VPN acessem um ao outro através da interface pública. A rota é utilizada pela conexão de controle para estabelecer uma conexão através do túnel.
  • Verifique a tabela de conexões TCP para saber se os servidores slave VPN estão recebendo na porta TCP 213.
  • Verifique a tabela de conexões TCP para saber se a porta TCP e UDP 353 está ativa no gateway de autenticação.
  • Verifique a estatística de Retransmissões para saber se nenhuma retransmissão é provocada por tempos de espera incorretos.

• IPXCON (carregado no console do servidor)
  • Verifique se as informações do software NLSP^TM (NetWare Link Services Protocol^TM) estão corretas.
  • Verifique se o reencaminhamento está correto.
  • Verifique se os serviços corretos são mostrados.

• Software LANalyzer^®
  • Verifique se as informações de controle do túnel da VPN estão sendo passadas na porta TCP 213.
  • Verifique se os pacotes de dados estão sendo passados utilizando o ID de protocolo 57 (hexadecimal 39).
  • Verifique se nenhuma retransmissão foi provocada por tempos de espera incorretos, examinando o número de seqüência e o número de configuração do TCP.
  • Verifique se o conteúdo dos pacotes de dados que utilizam o ID de protocolo 57 estão apropriadamente criptografados e ilegíveis.

• FILTCFG

  Verifique se o software VPN adicionou três filtros para a interface VPTUNNEL à lista de filtros. Se estiverem faltando esses filtros, selecione o seguinte caminho no NIASCFG: Configure NIAS (Configurar NIAS) > VPN (Virtual Private Network) > Update VPN Filters (Atualizar Filtros VPN).

• Janela Status da VPN

  Se o registro em andamento for interrompido, verifique a tela Estatísticas da VPN. Se o contador Pacotes Recebidos parar, mas o contador Pacotes Enviados aumentar lentamente, o servidor VPN não estará respondendo. Verifique se a opção Reply To Get Nearest Server (Responder para Obter o Servidor Mais Próximo) está configurada como On no servidor VPN.

• Janela Estatísticas da VPN
  • Verifique o número de pacotes descartados. Se o valor for maior que 30, feche qualquer aplicativo ou sessão TCP/IP fora de uso no cliente.
  • Verifique o número de pacotes descriptografados. Se o valor for alto, pode existir um caminho menor de volta para o cliente VPN sem passar pelo servidor VPN e o túnel VPN. Verifique caminhos alternativos na configuração da rede. O número de pacotes descriptografados recebidos também é aumentado pelo recebimento de pacotes de broadcast da Internet, como pacotes de broadcast BOOTP enviados para os clientes.

• Comandos DOS do cliente VPN
  • Digite SLPINFO/D no prompt do DOS para acessar o status dos agentes de diretório configurados. Se um agente de diretório não estiver respondendo, o endereço IP configurado não existe ou a tabela de roteamento do cliente contém um erro.
  • Digite NETSTAT -R no prompt do DOS para verificar a tabela de roteamento do cliente.
  • Digite TRACERT endereço_ip no prompt do DOS para acessar a rota que os pacotes seguem para atingir o endereço IP de destino.

• Aplicativos das estações de trabalho cliente VPN
  • Para aplicativos IP, verifique se você pode acessar aplicativos remotos como servidores FTP ou servidores Web através do túnel da VPN.
  • Para aplicativos IP, utilize o comando NETSTAT -S nos clientes Windows 95 e Windows 98 para verificar erros nas pilhas IP, ICMP e TCP.
  • Para aplicativos IPX, verifique se você pode logar em um servidor NetWare remoto através do túnel da VPN.