Base de conhecimento
Encontre respostas para suas dúvidas em quatro fontes de conhecimento diferentes ao mesmo tempo, simplificando o processo de pesquisa.

CLOUD - IAAS - Criar VPN para o ambiente IaaS

 

time.png Tempo aproximado para leitura: 00:15:00 min

Dúvida
Como criar uma VPN para o ambiente IaaS no T-Cloud?

Ambiente
CLOUD - IAAS - Todos os ambientes

Solução

A rede privada virtual (VPN) do T-Cloud IaaS utiliza o protocolo IPSec para estabelecer o túnel utilizado para a troca de dados e o protocolo IKE (Internet Key Exchange) para o gerenciamento das chaves que serão usadas para configurar um canal seguro e autenticado entre dois dispositivos. 

A VPN  do T-Cloud IaaS é do tipo Site-to-Site e é baseada no modelo de roteamento (route-based). Ou seja, a comunicação entre as redes do cliente e a TOTVS é baseada no uso de roteamento estático.

A conexão pela VPN ocorre pela Internet, porém os dados que são trocados no túnel são privados e criptografados.

Confira exemplo abaixo:

 

Como a VPN é baseada nos protocolos IKE e IPSec, a comunicação pode utilizar as seguintes portas/protocolos:

  • IKE: porta 500 UDP e em alguns cenários a porta 4500 UDP caso seja idêntica à porta de NAT (Network Address Translation).
  • IPSec: como o IPSec utilizado é em modo de tunelamento (IP com ESP), a comunicação utiliza o protocolo IP (protocolo ID 50). 

 

Algumas observações importantes sobre a VPN TOTVS IaaS:

  • Atualmente, a TOTVS não fornece VPN baseada no modelo de políticas (policy-based).
  • Apenas um SA (Security Association) é suportado. Sendo assim, é recomendável configurar no equipamento do lado cliente a utilização do SA como “Local:0.0.0.0 Remote:0.0.0.0” e controlar as comunicações entre as redes (TOTVS e Cliente) utilizando as rotas estáticas.
  • A VPN da TOTVS não suporta alta disponibilidade entre túneis VPN. Se houver mais de uma VPN que compartilhe a mesma rota, é necessário a reconfiguração das rotas para o outro túnel de forma manual. 
  • A VPN da TOTVS funciona no modo passivo. Ou seja, a inicialização da VPN tem que sempre ser feita pelolado cliente.
  • Atualmente o uso da feature de Load Balance através da VPN não é suportada. 

 

A contratação da VPN deve ser realizada antes do provisionamento. Para obter mais informações acesse o artigo: Realizar Compra pela Calculadora.

 

Para ter uma comunicação pela VPN, é necessário criar os seguintes recursos:

  • VPN: A VPN é o objeto que deve ser utilizado para trafegar os dados de forma segura e criptografada pelo túnel IPSec.
  • Rotas: As rotas são necessárias tanto no lado do Cliente quanto no lado da Totvs, pois é desta forma que será possível comunicar as redes pela tabela de roteamento.
  • Política de Segurança (Entrada): A política de segurança faz a proteção à nível de máquina virtual onde é necessário efetuar a liberação do acesso de entrada para que o tráfego da rede lado Cliente consiga chegar até a máquina virtual IaaS destino.
  • Política de Segurança (Saída): A política de segurança faz a proteção à nível de máquina virtual onde é necessário efetuar a liberação do acesso de saída para que o tráfego da rede lado TOTVS consiga chegar até a máquina virtual IaaS destino.
  • Liberação do tráfego de entrada (Cliente): É necessário liberar o tráfego de origem da rede das máquinas virtuais para que haja a comunicação.

 

A criação dos recursos acima requer permissões específicas. Para obter mais informações sobre quais perfis de acesso possuem a permissão, acesse o artigo: Perfis de Acesso IaaS T-Cloud.

 

Veremos à seguir como criar e configurar uma rede privada virtual (VPN):

 

1. Acesse o portal T-Cloud com suas credenciais de acesso:

mceclip0.png

 

2. Navegue pelo menu IaaS e acesse o menu “Configurações Gerais”:

 

3. Ao chegar na tela Configurações Gerais, clique na aba “Conectividade”. Em seguida, clique na sub-aba VPN, conforme imagem abaixo:

 

4. Para iniciar a criação de uma VPN, clique em “Nova VPN”, conforme destacado na imagem abaixo

 

5. Será apresentada a tela de criação de VPN. O T-Cloud irá analisar e informar se existem recursos de VPN disponíveis para uso:

 

6. Realize o preenchimento dos campos conforme as orientações abaixo:

a. Nome da VPN: é o nome que será configurado para a VPN.

b. Perfil IKE (Fase 1): indica o perfil IKE que será utilizado. A configuração do IKE (fase 1) no T-Cloud IaaS é baseada em perfis, em que cada perfil suporta algumas configurações de criptografia específicas. O equipamento da VPN (firewall ou roteador) do lado do cliente deve ser configurado com base nas configurações suportadas no perfil selecionado.

Atualmente os seguintes perfis de IKE são suportados:

IKE_Flex-AES_128_256-SHA_ALL-DH_ALL-Key_28800

Algoritmo de Criptografia: AES 256, AES 128
Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group, 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 28800

IKE_Flex-AES_128_256-SHA_ALL-DH_ALL-Key_86400

Algoritmo de Criptografia: AES 256, AES 128
Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 86400

IKEv1-AES_128_256-SHA_ALL-DH_ALL-key_28800

Algoritmo de Criptografia: AES 256, AES 128

Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 28800 

IKEv1-AES_128_256-SHA_ALL-DH_ALL-key_86400

Algoritmo de Criptografia: AES 256, AES 128
Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 86400

IKEv2-AES_ALL-SHA_ALL-DH_ALL-key_28800

Algoritmo de Criptografia: AES 256, AES 128, AES GCM 128, AES GCM 192, AES GCM 256
Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 28800

IKEv2-AES_ALL-SHA_ALL-DH_ALL-key_86400

Algoritmo de Criptografia: AES 256, AES 128, AES GCM 128, AES GCM 192, AES GCM 256
Algoritmo de Hash: SHA1, SHA2 256, SHA2 384, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2, Group 5, Group 15, Group 16, Group 21, Group 19, Group 20
Security Association (SA) Lifetime: 86400

c. Perfil IPSEC (Fase 2): indica o perfil IPSec que será utilizado. A configuração do IPSec (fase 2) no T-Cloud IaaS é baseada em perfis, em que cada perfil suporta algumas configurações de criptografia específicas. O equipamento da VPN (firewall ou roteador) do lado do cliente deve ser configurado com base nas configurações suportadas no perfil selecionado.

Atualmente os seguintes perfis de IPSec são suportados:

IPSEC-AES_ALL-SHA_ALL-DH_ALL-Key_3600

Algoritmo de Criptografia: AES 128, AES 256, AES GCM 128, AES GCM 192
Algoritmo de Hash: SHA1, SHA2 384, SHA2 256, SHA2 512
Diffie–Hellman (Troca de Chave): Group 14, Group 2,Group 5,Group 15,Group 16,Group 21,Group 19,Group 20
Security Association (SA) Lifetime: 3600

IPSEC-AES_ALL-SHA_ALL-NO_PFS-Key_3600

Algoritmo de Criptografia: AES 128, AES 256, AES GCM 128, AES GCM 192
Algoritmo de Hash: SHA1, SHA2 384, SHA2 256, SHA2 512
Diffie–Hellman (Troca de Chave): NO PFS.
Security Association (SA) Lifetime: 3600

d. Endereço de Peering: é o endereço IP público do equipamento do cliente (firewall ou roteador). 

e. Senha de Acesso (Pre-Shared Key): é a senha utilizada para a autenticação da VPN. Esta senha deve ser a mesma em ambos os equipamentos da VPN (Cliente e TOTVS).

f. IP do túnel: é o endereço IP que será utilizado na interface do túnel da VPN O endereço IP do túnel pode ser utilizado para realizar o roteamento da rede Cliente para a rede TOTVS e vice-versa. Pode ser configurado um endereço IP /30 que será utilizado como “gateway” da TOTVS e o próximo endereço IP será utilizado como “gateway” do lado do cliente. Portanto, o equipamento do lado do cliente (firewall ou roteador) e a VPN IaaS devem possuir endereços IPs que estejam na mesma rede. Como, por exemplo, pode ser configurado o endereço IP 169.254.1.1/30 logo, o próximo endereço IP disponível, será o 169.254.1.2/30.

7. Confira abaixo um exemplo com todos os campos preenchidos. Para inserir o IP do Túnel, clique no ícone de “+” conforme a imagem. Após preencher os campos, clique na caixa de seleção "Estou de acordo com o termo de uso", e clique em “Salvar”:

 

8. Será apresentada a seguinte mensagem com o número da solicitação. Você poderá acompanhar o andamento da criação da VPN no menu Ações, no canto superior direito da mesma tela.



 

 

9. Após a conclusão da solicitação, atualize as informações da página clicando no ícone "Recarregar Listagem":

 

10. Depois de atualizar as informações da página, a VPN será apresentada. Um dos campos apresentados é o "Totvs Address”. Este endereço IP é o endereço de peering do lado TOTVS, e deve ser configurado no equipamento do lado cliente:

 

11. Após realizar as configurações necessárias no equipamento do lado cliente, atualize as informações da página novamente para verificar se a VPN está “UP”. Se a VPN estiver "UP” a configuração foi realizada com sucesso. Agora é necessário criar as rotas e as políticas de segurança.

 

12. Agora é necessário criar as rotas da VPN. Clique na aba "Listagem de Perfis de Rotas":

Obs: para obter mais informações sobre os perfis de rotas, acesse o artigo: Criar Perfil de Rotas de VPN.

 

13. Clique na oção "Criar Perfil de Rotas". Será apresentada a tela de criação de perfil de rotas:


 

14. Insira o nome e descrição do perfil:

 

15. Digite o endereço IP da rede on premise e adicione a rota clicando no botão [ + ]

 

16. Selecione a VPN criada anteriormente:

 

17. Com os campos preenchidos, clique em "Confirmar":

 

18. Será apresentada a seguinte mensagem com o número da solicitação. Você poderá acompanhar o andamento da criação do perfil de rotas no menu Ações, no canto superior direito da mesma tela.


 

19. Após a conclusão da solicitação, clique no ícone “Recarregar Listagem” e verifique se o perfil foi criado:

 

20. Com a VPN configurada e o perfil de rotas criado, é necessário realizar as liberações do tráfego no IaaS. Ainda no menu Configurações Gerais", acesse a aba "Conectividade" e depois "Políticas de Segurança":

 

21. Após acessar a aba “Política de Segurança”, será necessário criar quatro políticas de segurança, sendo duas do tipo “Entrada” (TCP e UDP) e duas do tipo “Saída” (TCP e UDP).

 

22. No menu "Entrada", clique na opção “Nova Regra”:

 

23. Será apresentada a tela de criação de regra de entrada.

 

24. Em “Origem”, selecione a opção “IP” e insira o mesmo endereço IP da rede on premise que foi inserido na etapa 15 durante a criação do perfil de rotas.:

 

25. Em “Destino”, é possível selecionar o Ambiente ou IP. Selecione o ambiente ou endereço IP das rede do IaaS e clique em "Continuar":

 

26. Em “Portas”, é possível especificar as portas ou liberar Todas.

 

27. Em Protocolo”, selecione a opção TCP. No campo “Label” insira alguma descrição da regra e clique em “Continuar”:

 

28. Revise as configurações da regra e clique em “Salvar”:

Obs: no exemplo abaixo foi selecionado um Ambiente como destino e a liberação de Todas as portas.

 

29. Será apresentada a seguinte mensagem com o número da solicitação. Você poderá acompanhar o andamento da criação da política de segurança no menu Ações, no canto superior direito da mesma tela.

 

29. Repita as etapas 22 ao 28 para criar outra regra do tipo entrada, porém na etapa 27 no campo “Protocolo” selecione “UDP”:

 

30. Acesse o menu de "Saída" para criar as políticas de segurança do tipo Saída e clique na opção "Nova Regra":

 

31. Será apresentada a tela de criação de regra de saída:

 

32. Em “Origem”, selecione a mesma opção configurada como "Destino" na etapa 25.

Obs: em nosso exemplo, a origem da etapa 25 foi configurada como Ambiente.

 

33. Na opção "Destino" insira o mesmo endereço IP informado na etapa 24, e clique em "Continuar":

 

34. Em “Portas”, é possível especificar as portas ou liberar Todas.

 

35. Em Protocolo”, selecione a opção TCP. No campo “Label” insira alguma descrição da regra e clique em “Continuar”:

 

36. Revise as configurações da regra e clique em “Salvar”:

Obs: no exemplo abaixo foi selecionado um Ambiente como origem e a liberação de Todas as portas.

 

37. Será apresentada a seguinte mensagem com o número da solicitação. Você poderá acompanhar o andamento da criação da política de segurança no menu Ações, no canto superior direito da mesma tela. 

 

 

38. Repita as etapas 30 ao 36 para criar outra regra do tipo saída, porém na etapa 35 no campo “Protocolo” selecione “UDP”:

 

39. Com isso as quatro políticas de segurança foram criadas. Exemplo de como as regras serão apresentadas:

Entrada:


Saída:

 

40. Com o túnel “UP”, o perfil de rotas criado e as políticas de segurança criadas, basta realizar um teste de conectividade, por exemplo: ping, acesso RDP/SSH.

Obs: os exemplos informados acima podem não funcionar, a depender de quais portas foram informadas.

 

41. Com isso, a criação e configuração da VPN foi realizada com sucesso.

Esse artigo foi útil?
Usuários que acharam isso útil: 0 de 0

0 Comentários

Por favor, entre para comentar.
X Fechar

Olá ,

Há pendência referente a um de seus produtos contratados para a empresa ().

Entre em contato com o Centro de Serviços TOTVS para tratativa.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cobrança – Verificação de pendências financeiras . clique aqui.

TOTVS

X Fechar

Olá ,

Seu contato não está cadastrado no Portal do Cliente como um perfil autorizado a solicitar consultoria telefônica.

Por gentileza, acione o administrador do Portal de sua empresa para: (1)configurar o seu acesso ou (2)buscar um perfil autorizado para registro desse atendimento.

Em caso de dúvidas sobre a identificação do contato administrador do Portal, ligue (11) 4003-0015, opção 7 e, em seguida, opção 4 para buscar o suporte com o time de Assessoria ao Portal do Cliente. . clique aqui.

TOTVS

X Fechar

Olá ,

Para o atendimento de "Consultoria Telefônica" você deverá estar de acordo com o Faturamento.

TOTVS

X Fechar

Olá,

Algo inesperado ocorreu, e o usuario nao foi reconhecido ou você nao se encontra logado

Por favor realize um novo login

Em caso de dúvidas, entre em contato com o administrador do Portal de Clientes de sua empresa para verificação do seu usuário, ou Centro de Serviços TOTVS.

Ligue! 4003-0015 opção 4 e 9 ou registre uma solicitação para CST – Cadastros . clique aqui.

TOTVS

Chat _

Preencha os campos abaixo para iniciar o atendimento:

Chat _