Criando uma VPN Site a Site no ISA 2004
Por Alberto Oliveira
Publicado em: 13 de agosto de 2006
Descritivo
Este artigo tem por objetivo mostrar como criar uma VPN Site to Site no ISA 2004, utilizando PPTP.
Com o crescimento da necessidade de comunicação entre empresas e a diminuição do valor das conexões internet, a cada dia se torna mais comum as filiais de uma determinada empresa se conectando à sua sede, para transmissão e compartilhamento de informações. Pela sensibilidade dos dados trafegados, se faz necessária uma conexão segura e com controle granular. Uma VPN Site-To-Site é um cenário onde um usuário da rede de uma filial tem acesso protegido a matriz, de forma transparece e controlada. A segurança é realizada, transparentemente, pelo tunel VPN, entre os dois pontos. Esses pontos podem ser roteadores, firewalls ou ambos.
O ISA 2000 já implementava VPN Site-To-Site e o ISA 2004 veio aumentar as possibilidades e capacidades de uma conexão deste tipo, provendo maior compatibilidade com outros dispositivos e VPN , multiplicidade de redes e controle granular da transmissão de dados.
O ISA 2004 suporta 3 tipos de protolocos para VPN: PPTP, L2TP e IPSEC, com chave compartilhada. Esse último foi incorporado a versão 2004 do ISA, para permitir compatibilidade com equipamentos com suporte a VPN de terceiros, citando como exemplo o PIX, da Cisco. Dos protocolos acima citados, o que provê o maior nível de segurança é o L2TP, sendo o alvo do próximo artigo de VPN a ser publicado.
Solução
Para configurar uma VPN site to site, no ISA Server, precisamos seguir alguns passos. Vamos começar definindo a rede onde será realizada a conexão.
Abra o ISA management
Expandir o nome do servidor
Ir em Virtual Private Networks
Selecione, à direita, a guia Remote Sites
Na aba tasks, clique em Select Access Networks
Defina a rede a ser utilizada para a conexão
Depois de definir a rede de acesso, vamos selecionar o range de acesso
Clique em address assignment
Para utilizar ip´s de sua rede interna, selecione a guia Dynamic host configuration protocol
Caso deseje definir um range ip diferente da rede interna, selecione Static Address pool
Clique em add
Defina o range ip desejado
Clique em Ok
Agora defina o método de autenticação.
Clique na guia Authentication
Escolha o método de autenticação desejado
Para o exemplo, utilizaremos Microsoft Encrypted Authentication Version 2 (MS-CHAPV2)
Clique na guia add remote site network
Defina o nome de sua rede remota
Defina o protocolo utilizado (para o exemplo, PPTP)
Informe o ip do servidor de VPN remoto
Defina os parâmetros de autenticação para conexão com o site remoto
Atenção: Os parâmetros acima dependem da autenticação utilizada. Caso seja em domínio, a guia Domain deve ser preenchida com o nome netbios do domínio remoto. Ex: Domain: adteste. Para o nome de usuário, utilize a seguinte premissa: Se o nome de sua conexão VPN for VPN_TESTE, o nome do usuário será TESTE_VPN.Certifique-se que de o usuário foi criado e possui permissão de dial-in
Clique em next
Defina, caso ainda não o tenha feito, o range de endereços para o site remoto
Clique em next
Clique em finish
Clique em Apply, para validar as novas configurações
Para finalizar a parte de VPN, clique na guia VPN Clients
Clique em Enable VPN Client Access
A seguinte mensagem irá aparecer:
Clique em ok
Clique em Apply para validar as novas configurações
Uma vez terminada a parte de VPN, vamos ao relacionamento entre as redes
1.
2. Clique em Networks
Clique em Network Rules
Clique em Create a New Network Rule
Clique em next
Defina a rede de onde os pacotes serão originados
Clique em next
Defina a rede de destino dos pacotes
Clique em next
Defina o tipo de relacionamento (Para o exemplo, utilizaremos route)
Clique em next
Clique em finish para terminar a configuração
Clique em Apply para validar as alterações.
Por último, vamos configurar a Firewall policy, para possibilitar o tráfego de pacotes entre as redes.
1.
2. Clique em firewall policy
Na aba Tasks, clique em Create a New Access Rule
Defina o nome de sua regra
Clique em next
Selecione o tipo de ação da regra (para o exemplo, usaremos Allow)
Clique em next
Defina que protocolos poderão trafegar entre as redes (para o exemplo, usaremos all outbound traffic)
Clique em next
Defina a rede de onde o pacote irá partir.
Atenção: Se os requisitos de comunicação entre as redes forem IGUAIS, podemos colocar as duas redes como origem e destino, para evitar a criação de mais de uma regra. Para controle granular, é recomendada a criação de duas regras. Uma em cada direção.Clique em next
Defina a rede onde o pacote irá chegar
Clique em next
Defina para que usuários/grupos a regra será aplicada
Clique em next
Clique em finish para finalizar o wizard
Clique em apply para validar as alterações
Pronto. Os mesmos passos realizados acima deverão ser feitos no outro servidor de VPN, tomando os cuidados de inverter a ordem das configurações, quando necessário. As configurações são: Usuário da VPN, nome da conexão, range ip e ip do servidor remoto.
Conclusão
Dessa forma, configuramos a VPN site to site entre dois ISA Servers, possibilitando a comunicação segura e controlada entre duas redes distintas.