Antes de abordar as configurações, é importante um pouco de discussão sobre a escolha de uma solução de VPN para ambientes Linux. Por se tratar de um ambiente aberto, no Linux existe uma grande diversidade de soluções que podem ser utilizadas para implementar uma VPN para fins de estabelecimento de um túnel virtual privativo entre duas (ou mais) unidades remotas. Além de existirem várias ferramentas, também existem diferentes tipos de soluções para implementação da VPN, o que faz com que o primeiro desafio de um administrador seja a escolha da solução mais adequada no contexto do seu ambiente.
As VPNs são tradicionalmente implementadas através de túneis IPSec (solução padronizada em RFC) ou de túneis SSL/TLS. As duas abordagens trazem excelentes resultados, mas é importante ter em mente que a solução IPSec é implementada em nível de rede, enquanto que a solução TLS é implementada em nível de aplicação. De maneira simplista isso quer dizer que uma VPN IPSec é implementada diretamente entre os roteadores (em nível de rede), enquanto que uma VPN TLS é implementada entre os softwares servidor/cliente (em nível de aplicação).
Cada uma dessas modalidades tem vantagens e desvantagens. Por exemplo, como a VPN TLS é estabelecida entre as aplicações (e não entre as máquinas), normalmente ela é mais atrativa para a criação de VPNs do tipo client-to-site, em que o objetivo é que um cliente em casa ou outro local fora da empresa possa se conectar aos recursos da infraestrutura de rede da empresa, afinal o próprio software cliente da máquina do usuário se encarrega de esconder do usuário toda a complexidade de configuração da VPN. Por outro lado, a principal vantagem de implementar uma VPN através do IPSec em nível de rede, ao invés do SSL em nível de aplicação, é que existe interoperabilidade entre as soluções de diferentes fabricantes.
Obs.: Reocmendo a leitura do artigo no link abaixo caso o leitor tenha interesse em estabelecer uma VPN através da integração de uma ponta que possui um roteador Cisco (baseado no IOS) e outra ponta que possui um servidor Linux Debian (baseado no strongSwan):
http://www.cisco.com/c/pt_br/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html
Particularmente neste artigo o objetivo é trazer os procedimentos de configuração de uma
VPN IPSec para interconexão de duas unidades remotas de uma empresa através de um túnel virtual. Mesmo depois de tomada essa decisão, ainda existem várias ferramentas no Linux que podem ser utilizadas para esse fim, por exemplo: strongSwan, OpenSwan, LibreSwan, etc... Uma das soluções mais tradicionais é o
strongSwan, já que seu desenvolvimento ainda é bastante ativo e por isso a ferramenta é repleta de novos recursos, diferente do OpenSwan que parece estar estagnado apenas para versões antigas do kernel.
Abaixo baixo trago as configurações básicas de rede que foram utilizadas em cada um dos roteadores Debian, seguindo a lógica da topologia apresentada no início do artigo. Além das configurações abaixo, também é importante alterar para 1 a flag do kernel que indica ao sistema que ele tem permissão para fazer roteamento entre redes, o que pode ser feito através do comando:
sysctl -w net.ipv4.ip_forward=1
###--- Router-Site1: /etc/network/interfaces
# Interface Loopback
auto lo
iface lo inet loopack
# Conexao WAN (Internet)
auto eth0
iface eth0 inet static
address 203.0.113.2
netmask 255.255.255.252
gateway 203.0.113.1
# Conexao LAN
auto eth1
iface eth1 inet static
address 192.168.100.1
netmask 255.255.255.0
###--- Router-Site2: /etc/network/interfaces
# Interface Loopback
auto lo
iface lo inet loopack
# Conexao WAN (Internet)
auto eth0
iface eth0 inet static
address 198.51.100.2
netmask 255.255.255.252
gateway 198.51.100.1
# Conexao LAN
auto eth1
iface eth1 inet static
address 192.168.200.1
netmask 255.255.255.0
Vamos à configuração da VPN IPSec...
1) Instalação do Serviço strongSwan de VPN IPSec
Feita essa breve contextualização, vamos à instalação da ferramenta
strongSwan. Assim como nos outros artigos do blog, estou considerando que os servidores estão instalados com a distribuição Debian GNU/Linux (ou seus derivados, como o Ubuntu). A primeira etapa consiste na instalação do pacote denominado
strongswam para que os servidores Linux possam ser posterirmente configurados como roteadores VPN. Essa tarefa é simples e rápida através do APT:
root@Router-SiteA:/# apt-get update
root@Router-SiteA:/# apt-get install strongswan
root@Router-SiteB:/# apt-get update
root@Router-SiteB:/# apt-get install strongswan
2) Edição do Arquivo de Configuração e Definição da(s) VPN(s)
Dois dos arquivos mais importantes de configuração do strongSwan ficam localizados em
/etc/ipsec.conf e
/etc/ipsec.secrets. O arquivo
ipsec.conf é responsável pelas configurações gerais, além das configurações específicas de cada uma das conexões VPN. Logo, devemos editar esse arquivo em ambos os roteadores com as seguintes configurações para criar uma VPN coerente entre os pares:
###--- Router-Site1: /etc/ipsec.conf (strongSean IPSec config file)
###--- Configuracoes Gerais
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
###--- Definicao da(s) VPN(s)
conn VPN-Site1-to-Site2
left=203.0.113.2
leftsubnet=192.168.100.0/24
right=198.51.100.2
rightsubnet=192.168.200.0/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
authby=secret
auto=start
keyexchange=ikev2
type=tunnel
###--- Router-Site2: /etc/ipsec.conf (strongSean IPSec config file)
###--- Configuracoes Gerais
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
###--- Definicao da(s) VPN(s)
conn VPN-Site1-to-Site2
left=198.51.100.2
leftsubnet=192.168.200.0/24
right=203.0.113.2
rightsubnet=192.168.100.0/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
authby=secret
auto=start
keyexchange=ikev2
type=tunnel
Obsrevem nas linhas destacadas em amarelo que os parâmetros left e right fazem referência às pontas da VPN. Para facilitar o processo de cópia do arquivo de configuração nos dois roteadores Linux não faz diferença qual ponta será associada com o parâmetro
left ou
right, uma vez que o sistema observa as configurações das interfaces de rede para identificar a ponta local. No entanto, é interessante manter as infomações organizadas de forma a utilizar o parâmetro
left para fazer referência ao ponto local, enquanto que o parâmetro
right fica reservado para o ponto remoto. O leitor interessado em detalhes sobre os demais parâmetros pode obter mais informações na documentação oficial do strongSwan, disponível no link abaixo:
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
3) Definição da Chave Pré-Compartilhada (PSK)
O segundo arquivo importante de configuração do strongSwan é o
/etc/ipsec.secrets, responsável por armazenar a(s) chave(s) pré-compartilhadas que será(ão) utilizada(s) durante o processo de associação dos pares nas fases prévias de estabelecimento da VPN. Devemos editar esse arquivo em ambos os roteadores com as seguintes configurações para criar uma VPN coerente entre os pares:
###--- Router-Site1: /etc/ipsec.secrets
203.0.113.2 198.51.100.2 : PSK : 'senha13579senha02468'
###--- Router-Site2: /etc/ipsec.secrets
198.51.100.2 203.0.113.2 : PSK : 'senha13579senha02468'
Obs.: Para fins de simplicidade, neste artigo foi utilizada uma chave pré-compartilhada entre os roteadores VPN. No entanto, também é possível a utilização de certificados digitais e chaves privada/pública para adicionar mais segurança ao processo de estabelecimento do túnel. A configuração de uma VPN com uso de certificados/chaves no strongSwan não é complicada, embora demande alguns passos adicionais. Caso haja interesse dos leitores, essa configuração pode ser objeto de um próximo artigo no blog.
4) Manipulação e Checagem do Serviço da VPN IPSec
Depois de realizadas as configurações anteriores, a VPN IPSec está devidamente configurada para entrar em operação. Para ativá-la basta utilizar o comando
ipsec restart e para visualizar seu status basta utilizar os comandos
ipsec status ou
ipsec statusall, conforme pode ser observado nas saídas trazidas abaixo:
Router-Site1:/# ipsec statusall
Status of IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-586, i686):
(...) Saída Omitida
Connections:
VPN-Site1-to-Site2: 203.0.113.2...198.51.100.2 IKEv2, dpddelay=30s
VPN-Site1-to-Site2: local: [203.0.113.2] uses pre-shared key authentication
VPN-Site1-to-Site2: remote: [198.51.100.2] uses pre-shared key authentication
VPN-Site1-to-Site2: child: 192.168.100.0/24 === 192.168.200.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
VPN-Site1-to-Site2[1]: ESTABLISHED 14 seconds ago, 203.0.113.2[203.0.113.2]...198.51.100.2[198.51.100.2]
(...) Saída Omitida
VPN-Site1-to-Site2{1}: AES_CBC_256/HMAC_SHA2_256_128, 0 bytes_i, 0 bytes_o, rekeying in 7 hours
VPN-Site1-to-Site2{1}: 192.168.100.0/24 === 192.168.200.0/24
O leitor pode constatar que a configuração de uma VPN IPSec no Linux não é tão difícil quanto alguns dizem. Na realidade, possivelmente essa informação seja decorrente da comparação da configuração de uma VPN IPSec com uma VPN TLS através do OpenVPN que é reconhecida por ser mais rápida e simples.
Ainda é importante destacar que caso os roteadores Debian GNU/Linux estejam conectados atrás de um firewall de borda, é importante liberar as portas
500/UDP (utilizada na troca de chaves do ISAKMP) e
4500/UDP (utilizada pelo NAT-T). Além disso, os pacotes IPSec usam dois numéros dedicados de protocolos na camada de rede: 50 (ESP) e 51 (AH).
Por exemplo, supondo que os roteadores estejam atrás de um firewall baseado em iptables, então é necessário aceitar os pacotes nessas portas e traduzir o endereço público de destino (do firewall de borda) para o endereço privado do roteador VPN, de forma que as regras para liberação do tráfego IPSec seriam as seguintes:
iptables -t nat -A PREROUTING -p udp -d <IP_WAN> --dport 500 -j DNAT --to <IP>
iptables -t nat -A PREROUTING -p udp -d <IP_WAN> --dport 4500 -j DNAT --to <IP>
Caso o roteador Debian GNU/Linux seja o próprio firewall, o que é comum em ambientes menores, então é necessário apenas uma regra de entrada para o ISAKMP, já que não ocorre tradução (NAT-T):
iptables -t filter -A INPUT -p udp --dport 500 -j ACCEPT
Façam seus testes...
Samuel.