Central de Ajuda

Leitura de 6 min

Comunicação de dispositivos por VPN IKEV2

Introdução

A VPN IKEv2 (Internet Key Exchange version 2) é um protocolo de tunelamento seguro que permite a troca de dados criptografados através da internet. Esta documentação aborda a configuração e uso da VPN IKEv2 no sistema, fornecendo uma solução robusta para comunicação segura entre dispositivos móveis ou desktops e a rede da empresa.

O objetivo da documentação em questão, é orientar como realizar a criação de uma VPN IKEv2, para utilizações diversas de comunicação segura.

ALERTA

Caso a VPN esteja sendo criada para comunicação entre Sistema e OLT, recomendamos entrar em contato com o Suporte via Opa! Suite.

Caso a VPN esteja apresentando falhas, recomendamos entrar em contato com o Suporte via OPA! Suite.

Entrega de Valor

  • Proporciona comunicação segura e criptografada
  • Oferece reconexão rápida em caso de perda de conexão
  • Suporta uma variedade de dispositivos, incluindo móveis e desktops
  • Melhora a segurança para acesso remoto à rede corporativa

Requisitos

  1. Internet com IP Público (sem CGNAT)
  2. Equipamento Mikrotik com versão RouterOS 6.38 ou superior
  3. Certificado digital válido

Estrutura da Configuração

Etapas Principais:

  1. Configuração do DDNS Cloud Mikrotik
  2. Criação de Interface Virtual
  3. Configuração de Endereço IP
  4. Criação de Pool de IPs
  5. Configuração de Certificados
  6. Configuração do Servidor IKEv2
  7. Configuração de Firewall

Configuração Passo a Passo

1. DDNS Cloud Mikrotik

  1. Acesse o menu IP Cloud
  2. Ative o serviço DDNS
  3. Anote o endereço gerado no campo DNS Name

2. Interface Virtual

  1. Acesse o menu Bridge
  2. Adicione uma nova interface virtual
  3. Defina um nome para a interface

3. Endereço IP

  1. Acesse IP Address
  2. Adicione um IP à interface virtual criada
  3. O IP escolhido será o Gateway de navegação dos clientes conectados na VPN, portanto, no passo a seguir, ele não poderá ser distribuído para uso.

4. Pool de IPs

  1. Acesse IP Pool
  2. Crie um novo pool para distribuição de IPs aos clientes VPN

5. Firewall IKEv2

  1. Acesse IP Firewall
  2. Selecione Filter Rules
  3. A VPN Ikev2 com IPsec necessitará das portas UDP 1500 e UDP 500 acessíveis, por isso,será permitido o tráfego nelas a partir da pool criada anteriormente.

6. Firewall IPsec

Será criado uma nova regra de firewall permitindo o tráfego de IPSec.

Siga o caminho:

  1. IP Firewall
  2. Na aba General, preencha os campos: Chain: Input Src. Address: 10.200.0.0/24 (A faixa de IPs escolhida anteriormente)
  3. Na aba Advanced selecione IPsec Policy: in e ipsec
  4. Na aba Action selecione Action: accept.

Os procedimentos a seguir envolvem a criação de três certificados. Recomendamos máxima atenção para evitar qualquer erro durante a criação.

7. Certificados

  1. Acesse System Certificates
  2. Gere um novo certificado CA
  3. Crie um certificado de servidor assinado pelo CA

Em General, preencha os seguintes campos:

Name: Defina o nome do certificado; Common Name: Defina o nome comum do certificado;
Days Valid: Prazo de validade deste certificado.

Em Key Usage, marque os seguintes campos:

crl sign key cert. sign

8. Certificado CA

Após gerar o certificado, clique com botão direito em Sign e depois no botão Start. Esse procedimento sinalizará o certificado como ativo. Ao finalizar, no campo progress, aparecerá escrito Done, indicando o término.

9. Certificado do servidor

  1. System Certificates
  2. Crie um novo certificado
  3. Aba General Name: Defina o nome do certificado;
    Common Name: Defina o nome comum do certificado;
    Days Valid: Prazo de validade deste certificado;
    Subject Alt. Name: Define o método de conexão do certificado servidor. No passo 1 foi escolhido o DNS da Cloud, mas caso você tenha IP Público fixo, selecione IP e no próximo campo, preencha o IP para acesso.
  4. Na aba Key Usage selecione a opção “tls server”.
  5. Após gerar o certificado, clique com botão direito em Sign. No campo CA, selecione o certificado de CA criado anteriormente e depois clique no botão Start.

10. Certificado cliente

  1. System Certificates
  2. Crie um novo certificado
  3. Na aba General Name: Defina o nome do certificado Common Name: Defina o nome comum do certificado Days Valid: Prazo de validade deste certificado.
  4. Na aba Key Usage o certificado, marque a opção “tls client”.
  5. Após gerar o certificado, clique com o botão direito e depois em Sign. No campo CA, selecione o certificado de CA criado anteriormente e depois clique no botão Start.

11. IPsec/Mode Configs

  1. IP IPsec Name: Defina o nome do modo de configuração e marque a caixa Responder.
    Address Pool: Selecione a Pool criada no passo 4;
    Address Prefix Length: Prefixo de entrega de IPs, mantenha 32 bits;
    Static DNS: Defina o DNS primário e secundário para navegação do cliente VPN.

  2. Use a aba Profiles para definir as Hashs de criptografias, adicione um novo. Defina um novo nome para o perfil e marque as opções aes-128 aes-256 Proposal Check: Obey Lifetime: 1d 00:00:00 NAT transversal - Check DPD Interval: 120 DPD Maximum Failures: 5

12. IPsec Proposals

  1. IP IPsec
  2. Proposals defina a proposta de troca de dados por meio de encriptação com o cliente.

Name: Define o nome do Perfil;
Lifetime: Tempo útil que cada sessão poderá ficar ativa, neste exemplo 8 horas. 3. Marque as seguintes opções Auth. Algorithms: sha1 e sha256 Encr. Algorithms: aes-256 cbc, aes-256 gcm e aes-256 ctr Lifetime: 08:00:00 PFS Group: None

13. IPsec Group

  1. IP IPsec
  2. Groups Na aba Groups, será criado um novo Grupo. Defina o nome e aplique para salvar.

14. IPsec Policies

  1. IP IPsec
  2. Adicione uma nova Policy e marque a opção Template.
    Selecione o grupo criado no passo 13.
  3. Acesse a aba Action e selecione a proposta criada no passo 12 no campo Proposal.

15. IPsec Peers

  1. IP IPsec
  2. Peers Name: Descrição do Peer;
    Profile: Selecione o perfil criado no passo 14;
    Exchange Mode: Selecione o modo IKE2. Habilite as opções Passive e Send INITIAL_CONTACT.

16. IPsec Identities

  1. IP IPsec
  2. Identities Peer: Vincule o Peer criado no passo 17; Auth. Method: Selecione Digital Signature; Certificate: Selecione o certificado de servidor; Remote Certificate: Selecione o certificado de cliente; Policy Template Group: Selecione o grupo criado no passo 12; My ID Type: Defina como Automático; Remote ID type: Defina como Ignore; Match By: Defina como Certificate; Mode Configuration: Selecione o modo de configuração criado no passo 11; Generate Policy: Defina como Port Strict.

17. Exportar certificados

  1. Menu System Certificates
  2. Clique com o botão direito no certificado de CA e exporte com o tipo PEM.
  3. No campo File Name: Defina o nome do arquivo.
  4. Em seguida Clie export

Casos de Uso

Acesso Remoto Seguro

  1. Configure a VPN IKEv2 no servidor
  2. Exporte o perfil VPN para dispositivos dos usuários
  3. Usuários conectam-se remotamente à rede corporativa de forma segura

Conexão entre Filiais

  1. Configure a VPN IKEv2 em cada filial
  2. Estabeleça túneis VPN entre as filiais
  3. Permita comunicação segura entre as redes das filiais

Fluxo de Trabalho para Configuração

graph TD
    A[Configurar DDNS] --> B[Criar Interface Virtual]
    B --> C[Configurar Endereço IP]
    C --> D[Criar Pool de IPs]
    D --> E[Gerar Certificados]
    E --> F[Configurar Servidor IKEv2]
    F --> G[Ajustar Firewall]
    G --> H[Testar Conexão]
    H --> I[Exportar Perfil para Clientes]

Considerações Finais

A implementação da VPN IKEv2 oferece uma solução robusta e segura para comunicação remota. Certifique-se de seguir cuidadosamente todos os passos de configuração e manter os certificados e chaves de segurança atualizados. Realize testes regulares para garantir o funcionamento adequado da VPN.

Etiquetas

VPN IKEv2 Seguranca Acessos

Leia Também

Rede Neutra Estrutura de rede

Visão de gráfico