[CT01] Estabelecendo uma conexão Site-to-Site IPsec entre o Forefront TMG 2010 e um Linksys RV042 VPN Router

Introdução

Neste tutorial irei mostrar como configurar o Forefront TMG 2010 para estabelecer uma conexão Site-to-Site IPSec com um Linksys RV042 VPN Router. O Linksys RV042 é um roteador de banda larga que possui duas entradas WAN (que serve para fazer balanceamento ou redundância), é Firewall e tem suporte a VPN.

Cenário

O Linksys RV042 é muito usado para interligar escritórios remotos pequenos (filiais) à matriz, fazendo com que os usuários tenham acesso as recursos hospedados na Matriz, como por exemplo: Serviços de Correio interno, sistemas da empresa e etc.

A imagem abaixo ilustra o cenário utilizado neste tutorial:

 Forefront TMG 2010-CT01_01 Figura 1: Cenário utilizado.

A Rede da Matriz é composta por servidores e estações de trabalho e na borda existe um servidor com o Forefront TMG 2010 instalado. A máquina do TMG possui duas interfaces de rede, uma para a Rede Interna (10.1.1.5) e outra para a Rede Externa (201.20.20.21).

A Rede da Filial é composta por um servidor controlador de domínio e file Server, mais as estações de trabalho. Os clientes da Filial precisam acessar os recursos da Rede Interna da Matriz, como por exemplo: Sistema ERP, Correio Interno, Terminal Service e etc. para isso foi utilizado um Linksys RV042 para interligar a Filial >> Matriz usando uma VPN site-to-site utilizando IPSec.

A Filial possui na borda um Lynksys RV042 Router que serve também como firewall e roteia a internet para os clientes desta Filial, no RV042 a interface da rede Interna esta configurada com o endereço (192.168.1.1) e Externa (189.89.89.89).

Nota: Os dois roteadores mostrado em cada localidade é referente à operadora que presta o serviço de internet. Exemplo: Oi, Embratel, Intelig e etc.

Escopo das Redes

1. Matriz:

      A) Rede Interna: 10.1.0.0/255.255.252.0
      B) Interface Externa do TMG: 201.20.20.21

2. Filial:

     A) Rede Interna: 192.168.1.0/255.255.255.0 
     B) Interface Externa do Linksys RV042: 189.89.89.89

Criando as configurações da VPN Site-to-Site utilizando o protocolo IPSec no TMG 2010

Primeiro de tudo temos que configurar um lado, neste caso vamos começar configurando na parte da Matriz que será no Forefront TMG 2010.

1. Abra a console de gerenciamento do TMG.
2. Clique em Remote Access Policy (VPN).
3. E em VPN Remote Sites clique em Create VPN Site-to-Site Connection para iniciar a configuração:

Forefront TMG 2010-CT01_02  Figura 2: Criando uma conexão Site-to-Site.

Logo em seguida é aberto Wizard para iniciar a configuração:

1. No campo Site-to-site network name dê um nome a conexão que irá ser criada, no caso inserimos o nome Filial AJU.
2. Clique em Next para continuar.

Forefront TMG 2010-CT01_03
Figura 3:
Nomeando a conexão.

Neste tutorial estaremos utilizando o Protocolo IPSec como configuração, por tanto na tela VPN Protocol escolha a opção IP Security protocol (IPsec) tunnel mode depois clique em Next para continuar:

Forefront TMG 2010-CT01_04
Figura 4: Escolhendo o Protocolo da conexão.

Nesta etapa iremos definir os endereços externos de cada localidade, isso será necessário para poder estabelecer a conexão dos dois pontos.

1. No campo Remote VPN gateway IP address estaremos definindo o IP da FILIAL (189.89.89.89).
2. Em Local VPN gateway IP address estaremos definindo o IP da MATRIZ por onde a FILIAL irá estabelecer a conexão VPN, no nosso caso é 201.20.20.21.
3.
Clique em Next para continuar.

Forefront TMG 2010-CT01_05
Figura 5: Especificando os IPs da Matriz e Filial.

Na tela IPsec Authentication iremos definir o método de autenticação:

1. No campo Use pre-shared key for authentication defina uma palavra chave e lembre-se dela posteriormente. No caso definimos uma key chamada P@ssw0rd.
2. Clique em Next para continuar.

Forefront TMG 2010-CT01_06
Figura 6: Inserindo a pre-shared key usada na autenticação.

Em Network Address iremos definir a(s) range(s) da rede remota, neste caso iremos esta adicionando a range da nossa Filial, clique em Add Range para adicionar. Assim que tiver adicionado a range, clique em Next para continuar:

Forefront TMG 2010-CT01_07
Figura 7: Especificando as ranges existentes na Filial.

Nota: Por padrão no TMG 2010 quando você configura uma VPN site-to-site utilizando o protocolo IPSec ele automaticamente já adiciona o IP (gateway remoto) da Filial na lista de Network Addresses. Como eu retirei e deixei somente a range que existe na Filial a seguinte mensagem me foi apresentada, nada impede que simplesmente clique em Ok para continuar:

 Forefront TMG 2010-CT01_08
Figura 8: Warning.

Agora em Site-to-Site Network Rule iremos criar uma regra de rede onde irá permitir o roteamento entre a Rede da Filial e a Rede da Matriz. Você pode optar por criar depois, mas é interessante já aproveitar a facilidade que o wizard da conexão já oferece, veja que ele mesmo já deu um nome à regra:

Forefront TMG 2010-CT01_09
Figura 9: Criando a regra para o roteamento entre as redes.

Nota: Caso tenha mais alguma rede na matriz que você deseje que seja roteada, clique em Add para adicionar.Já em Site-to-Site Network Access Rule iremos criar a regra que permite quais serão o protocolos a serem permitidos entre a Rede da Filial >> Rede Matriz e vice-versa. No exemplo deixei que todos os protocolos fossem liberados, caso não seja a sua necessidade selecione apenas os protocolos que deseja permitir:

Forefront TMG 2010-CT01_10
Figura 10: Especificando quais protocolos serão permitidos entre as redes.

Clique em Finish para finalizar a criação da conexão Site-to-Site:

Forefront TMG 2010-CT01_11
Figura 11: Finalizando a criação da conexão.

Antes de aplicar as configurações criadas, iremos modificar as propriedades da conexão Filial AJU que acabamos de criar:

1. Selecione a conexão, em seguida clique com o botão direito do mouse e clique em Properties.

Forefront TMG 2010-CT01_12
Figura 12: Acessando as propriedades da conexão site-to-site criada.

2. Nas propriedades da conexão clique na aba Connection e depois em IPsec Settings:

Forefront TMG 2010-CT01_13
Figura 13: Acessando a opção IPsec Settings.

Em IPsec Configuration:

1. Na aba Phase I garanta as configurações mostradas da figura abaixo (Figura 14):

Forefront TMG 2010-CT01_14
Figura 14: Configurações do IPsec.

1. Na aba Phase II a mesma coisa.
2. Depois clique em Ok para finalizar.

Forefront TMG 2010-CT01_15
Figura 15: Configurações do IPsec.

E agora clique em Apply para aplicar todas as configurações realizadas:

Forefront TMG 2010-CT01_16
Figura 16: Aplicando as configurações.

Criando as configurações da VPN site-to-site utilizando o protocolo IPSec no Lynksys RV042

O Lynksys RV042 vem com um IP pré-configurado de fábrica. Para acessa-lo será necessário acessar o endereço HTTP://192.168.1.1, o login e senha default de fábrica é admin.Note que na figura abaixo (Figura 17) eu tenho duas interfaces conectadas: Na porta 1 esta conectado a rede local da Filial e interface Internet (WAN1) esta ligada ao roteador da minha operadora de internet:

Forefront TMG 2010-CT01_17
Figura 17: Painel de gerenciamento do RV042.

Nota: Caso tenha dúvidas do IP, login e senha de fábrica consulte o manual que vem junto com o produto.Agora iremos configurar a conexão VPN no Linksys, para isso clique no menu VPN:

1. Depois clique no botão Add New Tunnel.

Forefront TMG 2010-CT01_18
Figura 18: Criando a conexão Site-to-Site.

Agora iremos escolher o layout da conexão que iremos configurar:

2. Para nosso cenário iremos utilizar a primeira opção (RV042 local >> VPN Device remoto), clique em Add Now para continuar:

Forefront TMG 2010-CT01_19
Figura 19: Escolhendo o layout da conexão a ser criada.

Nesta etapa iremos configurar as propriedades das conexões que estamos criando:

1. Em Tunnel Name dê um nome a sua conexão, no caso coloquei Matriz.
2. Em Iterface defina a qual esta conectada diretamente com a internet (roteador ISP), no meu caso é a WAN1.

Em Local Group Setup iremos definir as configurações da Filial, veja que automaticamente ele já definiu o IP address da interface externa (WAN1).

1. Defina a subnet da Filial.

Em Remote Group Setup iremos definir as configurações da Matriz, em IP address nós atribuímos o ip da Matriz (201.20.20.21).

2. Defina a subnet da Matriz.

Forefront TMG 2010-CT01_20
Figura 20: Configurando a VPN Site-to-Site.

Dando continuidade na mesma tela:

1. Em IPSec Setup deixe as configurações iguais como mostra a figura abaixo (Figura 21) destacado em vermelho.
2. No campo Preshared Key lembre-se de colocar a mesma key definida anteriormente no Forefront TMG 2010, caso contrário não será possível estabelecer conexão.
3. Para finalizar clique em Save Settings para salvar as configurações.

Forefront TMG 2010-CT01_21
Figura 21: Configurando a VPN Site-to-Site.

Em Tunnel Status na figura abaixo (Figura 22) mostra os status da conexão que acabamos de criar:

Forefront TMG 2010-CT01_22
Figura 22: Status da VPN (esperando estabelecer conexão).

A figura abaixo mostra a conexão estabelecida com a Matriz:

Forefront TMG 2010-CT01_23
Figura 23: Status da VPN (conexão estabelecida com a Matriz).

Testando comunicação com a Matriz:

Forefront TMG 2010-CT01_24
Figura 24: Testando a conexão com a Matriz.

Testando comunicação com a Filial:

Forefront TMG 2010-CT01_25
Figura 25: Testando a conexão com a Filial.

Conclusão

Neste tutorial vimos como configurar o Forefront Threat Management Gateway 2010 para estabelecer uma conexão VPN Site-to-Site utilizando o protocolo IPSec com um Linksys RV042 VPN Router.

Autor: Charles Santos Tavares

E-mail: charlestavares@hotmail.com
Blog: https://charlestavares.wordpress.com
Twitter: @charlesstavares

Sobre charlestavares
Nothing

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: