Monday, 1 June 2015

VPN Google Cloud e Amazon AWS ou VPN strongSwan e pfSense (ikev1)


Saída de Emergência

VPN - Sua Rede Particular na Internet

Em nosso último projeto de migração de servidores de gerenciamento para o ambiente do Google Cloud, nos deparamos com um grande desafio que se referia a integração do concentrador VPN do cliente, que é baseado na plataforma pfSense à estrutura do Google Cloud Compute Engine, assim iremos compartilhar com vocês nesse post o caminho das pedras para a configuração do strongSwan, o qual utilizamos no ambiente do Google Cloud.

A configuração do pfSense, foi omitida visto a simplicidade em configurar tal produto, visto que a interface é gráfica e deverá ser apenas transcrito os padrões de criptografia, chave e redes abaixo descritos.

O pfSense é uma plataforma de segurança baseada no FreeBSD, sendo que o pfSense provê diversas funcionalidades, sendo as principais Firewall, VPN e Roteamento Avançado, assim com o uso do pfSense você é capaz de estabelecer todo o ambiente de intranet segura entre as várias regiões do Amazon AWS e as redes das diversas localidades do cliente. Vale lembrar que o pfSense é disponível para o AWS via AWS Marketplace, porém no ambiente do Google Cloud devemos utilizar outras possibilidades para este tipo de ambiente e assim para estes cenários, podemos utilizar soluções flexíveis como o strongSwan.

O strongSwan é uma das melhores opções disponíveis quando o pfSense não é uma opção, desta forma demonstro abaixo o script de configuração do strongSwan para um túnel IPSec IKEv1.

strongSwan (ipsec.conf)
conn myconn
 fragmentation = yes
 keyexchange = ikev1
 reauth = yes
 forceencaps = no
 rekey = yes
 installpolicy = yes
 type = tunnel
 dpdaction=restart
 dpddelay = 10s
 dpdtimeout = 60s
 auto = route
 left = %any
 right = A.B.C.D # Endereço IP do pfSense
 leftid = W.X.Y.Z # Endereço IP Estático do strongSwan
 ikelifetime = 28800s
 lifetime = 3600s
 ike = aes256-sha1-modp1024!
 esp = aes256-sha1-modp1024!
 leftauth = psk
 rightauth = psk
 rightid = A.B.C.D # Endereço IP do PFSense
 aggressive = no
 rightsubnet = 192.168.16.0/24 #Endereço do segmento de rede suportado pelo pfSense
 leftsubnet = 10.240.0.0/16 # Endereço do segmento de rede Google Cloud

Caso queira reduzir custos de redes dedicadas, com o uso de VPN, ou ainda reduzir custos da sua atual estrutura de servidores migrando estes para o ambiente do Google Cloud, fique a vontade em conversar conosco, pois sempre teremos a melhor opção de segurança, custos e tecnologia disponíveis para o tamanho do seu negócio.

Utilize sempre a sua Saída de Emergência!



No comments:

Post a Comment