Criando uma VPN Site a Site no ISA 2004

Por Alberto Oliveira

Publicado em: 13 de agosto de 2006

Descritivo

Este artigo tem por objetivo mostrar como criar uma VPN Site to Site no ISA 2004, utilizando PPTP.

Com o crescimento da necessidade de comunicação entre empresas e a diminuição do valor das conexões internet, a cada dia se torna mais comum as filiais de uma determinada empresa se conectando à sua sede, para transmissão e compartilhamento de informações. Pela sensibilidade dos dados trafegados, se faz necessária uma conexão segura e com controle granular. Uma VPN Site-To-Site é um cenário onde um usuário da rede de uma filial tem acesso protegido a matriz, de forma transparece e controlada. A segurança é realizada, transparentemente, pelo tunel VPN, entre os dois pontos. Esses pontos podem ser roteadores, firewalls ou ambos.

O ISA 2000 já implementava VPN Site-To-Site e o ISA 2004 veio aumentar as possibilidades e capacidades de uma conexão deste tipo, provendo maior compatibilidade com outros dispositivos e VPN , multiplicidade de redes e controle granular da transmissão de dados.

O ISA 2004 suporta 3 tipos de protolocos para VPN: PPTP, L2TP e IPSEC, com chave compartilhada. Esse último foi incorporado a versão 2004 do ISA, para permitir compatibilidade com equipamentos com suporte a VPN de terceiros, citando como exemplo o PIX, da Cisco. Dos protocolos acima citados, o que provê o maior nível de segurança é o L2TP, sendo o alvo do próximo artigo de VPN a ser publicado.

Solução

Para configurar uma VPN site to site, no ISA Server, precisamos seguir alguns passos. Vamos começar definindo a rede onde será realizada a conexão.

1. Abra o ISA management

2. Expandir o nome do servidor

3. Ir em Virtual Private Networks

4. Selecione, à direita, a guia Remote Sites

5. Na aba tasks, clique em Select Access Networks

6. Defina a rede a ser utilizada para a conexão
   

Depois de definir a rede de acesso, vamos selecionar o range de acesso

1. Clique em address assignment
   

2. Para utilizar ip´s de sua rede interna, selecione a guia Dynamic host configuration protocol

3. Caso deseje definir um range ip diferente da rede interna, selecione Static Address pool

4. Clique em add

5. Defina o range ip desejado

6. Clique em Ok
   

Agora defina o método de autenticação.

1. Clique na guia Authentication

2. Escolha o método de autenticação desejado

3. Para o exemplo, utilizaremos Microsoft Encrypted Authentication Version 2 (MS-CHAPV2)
   

4. Clique na guia add remote site network

5. Defina o nome de sua rede remota
   

6. Defina o protocolo utilizado (para o exemplo, PPTP)
   

7. Informe o ip do servidor de VPN remoto
   
   

8. Defina os parâmetros de autenticação para conexão com o site remoto
   Atenção: Os parâmetros acima dependem da autenticação utilizada. Caso seja em domínio, a guia Domain deve ser preenchida com o nome netbios do domínio remoto. Ex: Domain: adteste. Para o nome de usuário, utilize a seguinte premissa: Se o nome de sua conexão VPN for VPN_TESTE, o nome do usuário será TESTE_VPN.

9. Certifique-se que de o usuário foi criado e possui permissão de dial-in

10. Clique em next
    

11. Defina, caso ainda não o tenha feito, o range de endereços para o site remoto

12. Clique em next
    

13. Clique em finish
    

14. Clique em Apply, para validar as novas configurações
    

Para finalizar a parte de VPN, clique na guia VPN Clients

1. Clique em Enable VPN Client Access

2. A seguinte mensagem irá aparecer:
   

3. Clique em ok

4. Clique em Apply para validar as novas configurações
   

Uma vez terminada a parte de VPN, vamos ao relacionamento entre as redes

1.
2. Clique em Networks

3. Clique em Network Rules
   

4. Clique em Create a New Network Rule

5. Clique em next
   

6. Defina a rede de onde os pacotes serão originados

7. Clique em next
   

8. Defina a rede de destino dos pacotes

9. Clique em next
   

10. Defina o tipo de relacionamento (Para o exemplo, utilizaremos route)

11. Clique em next
    

12. Clique em finish para terminar a configuração
    

13. Clique em Apply para validar as alterações.

Por último, vamos configurar a Firewall policy, para possibilitar o tráfego de pacotes entre as redes.

1.
2. Clique em firewall policy

3. Na aba Tasks, clique em Create a New Access Rule

4. Defina o nome de sua regra

5. Clique em next
   

6. Selecione o tipo de ação da regra (para o exemplo, usaremos Allow)

7. Clique em next
   

8. Defina que protocolos poderão trafegar entre as redes (para o exemplo, usaremos all outbound traffic)

9. Clique em next
   

10. Defina a rede de onde o pacote irá partir.
    Atenção: Se os requisitos de comunicação entre as redes forem IGUAIS, podemos colocar as duas redes como origem e destino, para evitar a criação de mais de uma regra. Para controle granular, é recomendada a criação de duas regras. Uma em cada direção.

11. Clique em next
    

12. Defina a rede onde o pacote irá chegar

13. Clique em next
    

14. Defina para que usuários/grupos a regra será aplicada

15. Clique em next
    

16. Clique em finish para finalizar o wizard
    

17. Clique em apply para validar as alterações
    

Pronto. Os mesmos passos realizados acima deverão ser feitos no outro servidor de VPN, tomando os cuidados de inverter a ordem das configurações, quando necessário. As configurações são: Usuário da VPN, nome da conexão, range ip e ip do servidor remoto.

Conclusão

Dessa forma, configuramos a VPN site to site entre dois ISA Servers, possibilitando a comunicação segura e controlada entre duas redes distintas.