VPN IPSec entre Google Compute Engine e Fortigate

Muitas vezes há necessidade em conexão de seu datacenter na nuvem e seu ambiente interno, assim uma boa alternativa técnica e financeira é a criação de túneis VPN entre o datacenter e sua Matriz ou seus escritórios.

Hoje quero compartilhar com vocês um case de sucesso com túnel VPN IPSec, entre a estrutura Google Compute Engine(GCE) e UTM Fortigate 100D.

Neste exemplo prático de configuração que iremos detalhar, omiti informações quanto a estrutura interna do Google Compute Engine, como rede interna e firewall principal, sendo que iremos focar apenas no ambiente necessário para configuração da VPN entre o GCE e Fortigate 100D.

O ambiente Google Compute Engine, no momento da escrita deste artigo, apresenta uma versão Alpha de um concentrador VPN, porém nosso objetivo aqui é demonstrar a configuração VPN utilizando uma instância interna do GCE como concentrador VPN.

Como concentrador VPN IPSec dentro da estrutura do GCE criamos uma máquina virtual, ou instância, onde utilizamos o sistema operacional Debian7-Wheezy em conjunto com o VPN Server StrongSwan.

O objetivo desta VPN é permitir que a matriz e filiais do cliente, possam acessar uma determinada aplicação em um servidor Windows 2008 R2, que foi instanciado dentro da estrutura do Google Compute Engine.

Este cenário talvez não seja adequado para seu ambiente, sempre vale estudo profundo quanto as questões de segurança envolvidas, fique a vontade em nos consultar caso deseje montar um cenário semelhante.

As configurações que seguem abaixo são funcionais, validadas e se encontram no momento em ambiente de produção.

STRONGSWAN (/etc/ipsec.conf)

config setup 

conn myconn

 authby=psk

 auto=start

 dpdaction=hold

 esp=aes128-sha1-modp2048!

 forceencaps=yes

 ike=aes128-sha1-modp2048!

 keyexchange=ikev2

 mobike=no

 type=tunnel

 left=%any

 leftid=130.X.Y.Z

 leftsubnet=10.120.0.0/16

 leftauth=psk

 leftikeport=4500

 lifetime=600s

 ikelifetime=600s

 rekey=no

 right=186.A.B.C

 rightsubnet=192.168.224.0/24

 rightauth=psk

 rightikeport=4500

FORTINET (Configuration)

config vpn ipsec phase1-interface

   edit "togce"

       set interface "port1"

       set ike-version 2

       set keylife 600

       set proposal aes128-sha1

       set dhgrp 14

       set remote-gw 130.X.Y.Z

   next

end

config vpn ipsec phase2-interface

   edit "gcenet"

       set phase1name "togce"

       set proposal aes128-sha1

       set dhgrp 14

       set keepalive enable

       set auto-negotiate enable

       set keylifeseconds 600

       set src-subnet 192.168.224.0 255.255.255.0

       set dst-subnet 10.120.0.0 255.255.0.0

   next

end

Caso necessite montar um ambiente de segurança com uso de VPN, ou então queira conhecer um pouco mais sobre os benefícios financeiros e técnicos que a computação em nuvem pode trazer para a sua empresa, fique a vontade em nos contatar.

Utilize sempre a sua Saída de Emergência!