Olá a todos!

Este case surgiu de uma necessidade de ligar uma unidade distante com a nossa sede, sem precisar gastar muito, pois no lugar existem apenas dois funcionários.

Meu último desafio (nem foi tão grande assim) foi conectar uma unidade do litoral à nossa sede. Os usuários conectavam-se via PPTP, mas não estava muito legal dessa forma. A solução encontrada: criar um túnel site-to-site através de IPsec.

Para a unidade foi utilizado um roteador Cisco RV042 pelo fato de ser uma unidade bem pequena, não tendo muito espaço para comportar equipamentos maiores (como é de minha preferência). Na sede, utilizei uma máquina com Ubuntu Server.

Na ponta da sede, o que fiz foi instalar o pacote OpenSwan:

# apt-get install openswan

E editar os seguintes arquivos: /etc/ipsec.conf


Em seguida, devemos configurar o arquivo /etc/ipsec.secrets (no Ubuntu, o arquivo é: /var/lib/openswan/ipsec.secrets.inc):


A configuração acima permite que qualquer máquina que tenha as configurações adequadas e a mesma chave configurada acima, conecte-se ao túnel. Caso não queira essa configuração, basta alterar "%any" para o IP público da outra ponta.

Caso o túnel esteja configurado no firewall, é necessário adicionar a seguinte regra:


Caso esteja em uma máquina atrás do firewall, a regra muda para:


E também essa:


Agora é só configurar a outra ponta, que pode ser outra máquina GNU/Linux ou um equipamento, como o Cisco RV042, utilizando as mesmas configurações, porém não esquecendo de fazer as devidas alterações de IPs.

* Lembrando: Essa é uma VPN básica. Existem muito mais recursos de segurança a serem explorados, e cabe a cada um decidir o que é necessário para cada caso.

Esta dica também foi publicada em: ::Unix for Life::: IPSec

Espero que tenha sido útil.
Até a próxima!