O túnel Kerio IPsec VPN permite que o administrador conecte usuários localizados em áreas geográficas separadas em uma única rede. Kerio Control permite configurar o túnel IPSec com endpoints remotos de terceiros, serviços ou firewalls, como Cisco, Mikrotik, etc.
O túnel Kerio IPsec VPN oferece autenticação e criptografia para garantir uma conexão rápida e segura.
NOTA
Para conectar dois ou mais Kerio Controls por meio de um túnel VPN, use o Kerio VPN. Ao contrário do túnel Kerio IPsec VPN, o túnel Kerio VPN é capaz de buscar rotas em redes remotas automaticamente.
AVISO
Kerio Control não oferece suporte aos protocolos OpenVPN e SOCKS5 para VPN.
Pré-requisitos
• Habilite a regra de tráfego pré-configurada dos Serviços VPN em ambas as extremidades do túnel.
• O ID do terminal remoto. Na maioria dos servidores, é chamado de ID local.
• Uma lista de todas as rotas por trás do endpoint remoto.
• Se você deseja usar um certificado SSL, prepare o certificado SSL do terminal remoto ou uma autoridade + ID do certificado SSL remoto. Você deve importar o certificado ou a autoridade para Kerio Control.
Configurando o Método de Autenticação
Você pode selecionar um dos seguintes métodos:
▪ Autenticação de chave pré-compartilhada:
Este método é fácil de configurar. Ambos os endpoints usam a mesma senha para autenticação:
1. Na interface de administração, vá para Interfaces.
2. Clique em Adicionar > Túnel VPN.
3. Digite o nome do novo túnel.
4. Defina o túnel como ativo e digite o nome do host do terminal remoto. Pelo menos um terminal deve ser definido como ativo. O terminal ativo estabelece e mantém uma conexão com o terminal passivo.
5. Selecione o tipo: IPsec.
6. Selecione a chave pré-compartilhada e digite a chave.
7. Copie o valor do campo ID local do Kerio Control para o ID remoto do endpoint remoto e vice-versa. ID local predefinido é o nome do host do Kerio Control. Se você alterar o nome de host do Kerio Control, o ID local também será alterado.
8. (Opcional) Na cifra de Fase 1 e Fase 2, clique em Alterar e configure as cifras manualmente. Isso pode ser necessário se você deseja conectar o Kerio Control com o firewall de terceiros. Confira Configurando cifras IKE.
9. Nas guias Redes remotas e Redes locais, você deve definir todas as redes remotas, incluindo sub-rede para clientes VPN e todas as redes locais que não são detectadas pelo Kerio Control.
10. Salve as configurações.
▪ Autenticação de certificado SSL
A autenticação com um certificado SSL requer um certificado SSL válido em ambos os terminais.
• O certificado SSL do endpoint remoto é importado no Kerio Control (Definições > Certificados SSL).
• A autoridade que assinou o certificado remoto é importada no Kerio Control (Definições > Certificados SSL). Você também precisa saber a ID local (nome distinto) do certificado remoto.
Quando o certificado / autoridade SSL for importado, siga estas instruções:
1. Na interface de administração, vá para Interfaces.
2. Clique em Adicionar > Túnel VPN.
3. Digite o nome do novo túnel.
4. Defina o túnel como ativo e digite o nome do host do terminal remoto. Pelo menos um terminal deve ser definido como ativo. O terminal ativo estabelece e mantém uma conexão com o terminal passivo.
5. Selecione o tipo: IPsec.
6. Selecione o certificado remoto:
• Não está armazenado localmente - apenas a autoridade foi importada para o Kerio Control. Copie o ID do certificado SSL remoto para o campo ID remoto e vice-versa: importe a autoridade Kerio Control para o endpoint remoto e copie o ID local em algum lugar no endpoint remoto.
• Selecione o certificado SSL remoto. Exporte o certificado do Kerio Control e importe-o para o endpoint remoto.
7. (Opcionalmente) Nas cifras da Fase 1 e da Fase 2, clique em Alterar e configure as cifras manualmente. Isso pode ser necessário se você deseja conectar o Kerio Control com o firewall de terceiros. Para obter detalhes, consulte Configurando cifras IKE.
8. Salve as configurações.
Configurando Cifras em 'Key Exchange' (IKE)
NOTA
Novo no Kerio Control 9.2!
O Kerio Control pode usar várias cifras IKE durante o processo de conexão e autorização do túnel IPsec. Em muitos casos, essas cifras são comuns entre os terminais e nenhuma configuração personalizada é necessária.
Em outros casos, pode ser necessário atribuir cifras personalizadas. Portanto, você pode configurar criptografias IKE no Kerio Control manualmente:
▪ Configurando a autenticação
1. Na interface de administração, vá para Interfaces.
2. Selecione o túnel VPN IPsec e clique em Editar.
3. Em Propriedades do túnel VPN, clique em Alterar na guia Autenticação.
4. Em Configuração de codificações de túnel VPN, selecione Codificações personalizadas.
5. Nos menus suspensos, altere as cifras da mesma forma como são definidas no outro firewall ou dispositivo.
6. Clique em OK duas vezes. O nó da interface mostrará uma nova conexão VPN.
7. Ambos os terminais devem se conectar com sucesso e você pode verificá-lo na seção Interfaces. O túnel IPsec está ativo. Para obter mais informações, consulte Configuração do túnel VPN IPSec com outro dispositivo.
▪ Configurando Redes Locais
O túnel Kerio Control IPsec pode detectar a maioria de suas redes locais. Para ativar a detecção automática:
1. Na interface de administração, vá para Interfaces.
2. Selecione o túnel VPN IPsec e clique em Editar.
3. Em Propriedades do túnel VPN selecione Usar redes locais determinadas automaticamente. As redes locais determinadas automaticamente são:
• Todas as redes de interfaces que não sejam de Internet sem rota padrão.
• Redes estáticas.
• Redes remotas de outros túneis IPsec.
• Redes remotas personalizadas especificadas manualmente de túneis Kerio VPN.
• Sub-rede VPN.
4. Se você definir rotas personalizadas, selecione Usar redes personalizadas também.
NOTA
Para configurar a interoperabilidade do Kerio VPN - VPN IPsec, adicione também redes conectadas via Kerio Control VPN, que não são definidas manualmente na configuração do túnel Kerio VPN.
5.Clique OK.
As redes das seguintes interfaces não são detectadas automaticamente:
• Interfaces do grupo Interfaces de Internet
• Interface com uma rota padrão
• Redes descobertas dinamicamente pelo Kerio VPN
Configurando Redes Remotas
A VPN IPsec não é capaz de buscar rotas remotas. Você deve inseri-los manualmente. Para obter mais informações, consulte Conectar vários escritórios via Kerio VPN e túneis IPsec.
Configurando VPN Failover
Se o Kerio Control estiver sendo usado para balanceamento de carga entre vários links da Internet, é possível usar um failover de VPN. Isso garante que um túnel VPN seja restabelecido automaticamente caso o link principal usado para o túnel VPN se torne indisponível.
Para configurar o failover:
1. Na interface de administração, vá para Interfaces.
2. Selecione o túnel VPN IPsec e clique em Editar.
3. Insira todos os terminais remotos (por nome de host ou endereço IP), separados por ponto e vírgula, nas propriedades do túnel VPN.
NOTA
Ao tentar estabelecer o túnel, o Kerio Control percorre a lista de endpoints na mesma ordem em que estão listados nas Propriedades do túnel VPN.
Confirmação
O túnel IPsec foi estabelecido com sucesso entre dois firewalls. Os registros de depuração IPsec estão mostrando uma saída semelhante:
[30/Oct/2019 13:48:10] {charon} charon: 05[IKE] initiating Main Mode IKE_SA tunnel_2_1_1_1[42] to 192.168.2.146 [30/Oct/2019 13:48:10] {charon} charon: 05[CFG] configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536 [30/Oct/2019 13:48:10] {charon} charon: 05[ENC] generating ID_PROT request 0 [ SA V V V V V ] [30/Oct/2019 13:48:10] {charon} charon: 05[NET] sending packet: from 192.168.2.113[500] to 192.168.2.146[500] (180 bytes) [30/Oct/2019 13:48:10] {charon} charon: 14[NET] received packet: from 192.168.2.146[500] to 192.168.2.113[500] (160 bytes) [30/Oct/2019 13:48:10] {charon} charon: 14[ENC] parsed ID_PROT response 0 [ SA V V V V ] [30/Oct/2019 13:48:10] {charon} charon: 14[IKE] received XAuth vendor ID [30/Oct/2019 13:48:10] {charon} charon: 14[IKE] received DPD vendor ID [30/Oct/2019 13:48:10] {charon} charon: 14[IKE] received FRAGMENTATION vendor ID [30/Oct/2019 13:48:10] {charon} charon: 14[IKE] received NAT-T (RFC 3947) vendor ID [30/Oct/2019 13:48:10] {charon} charon: 14[CFG] selecting proposal: [30/Oct/2019 13:48:10] {charon} charon: 14[CFG] proposal matches [30/Oct/2019 13:48:10] {charon} charon: 14[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536 [30/Oct/2019 13:48:10] {charon} charon: 14[CFG] configured proposals: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536 [30/Oct/2019 13:48:10] {charon} charon: 14[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1536 [30/Oct/2019 13:48:10] {charon} charon: 14[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] [30/Oct/2019 13:48:10] {charon} charon: 14[NET] sending packet: from 192.168.2.113[500] to 192.168.2.146[500] (332 bytes) [30/Oct/2019 13:48:10] {charon} charon: 06[NET] received packet: from 192.168.2.146[500] to 192.168.2.113[500] (332 bytes) [30/Oct/2019 13:48:10] {charon} charon: 06[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] [30/Oct/2019 13:48:10] {charon} charon: 06[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] [30/Oct/2019 13:48:10] {charon} charon: 06[NET] sending packet: from 192.168.2.113[500] to 192.168.2.146[500] (108 bytes) [30/Oct/2019 13:48:10] {charon} charon: 13[NET] received packet: from 192.168.2.146[500] to 192.168.2.113[500] (92 bytes) [30/Oct/2019 13:48:10] {charon} charon: 13[ENC] parsed ID_PROT response 0 [ ID HASH ] [30/Oct/2019 13:48:10] {charon} charon: 13[IKE] IKE_SA tunnel_2_1_1_1[42] established between 192.168.2.113[control]...192.168.2.146[control] [30/Oct/2019 13:48:10] {charon} charon: 13[IKE] scheduling reauthentication in 9973s [30/Oct/2019 13:48:10] {charon} charon: 13[IKE] maximum IKE_SA lifetime 10513s [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] proposing traffic selectors for us: [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] 10.10.11.0/24 [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] proposing traffic selectors for other: [30/Oct/2019 13:48:10] {charon} charon: 13[CFG] 192.168.100.0/24 [30/Oct/2019 13:48:10] {charon} charon: 13[ENC] generating QUICK_MODE request 2605570284 [ HASH SA No KE ID ID ] [30/Oct/2019 13:48:10] {charon} charon: 13[NET] sending packet: from 192.168.2.113[500] to 192.168.2.146[500] (396 bytes) [30/Oct/2019 13:48:10] {charon} charon: 03[NET] received packet: from 192.168.2.146[500] to 192.168.2.113[500] (396 bytes) [30/Oct/2019 13:48:10] {charon} charon: 03[ENC] parsed QUICK_MODE response 2605570284 [ HASH SA No KE ID ID ] [30/Oct/2019 13:48:10] {charon} charon: 03[CFG] selecting proposal: [30/Oct/2019 13:48:10] {charon} charon: 03[CFG] proposal matches [30/Oct/2019 13:48:10] {charon} charon: 03[CFG] received proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ [30/Oct/2019 13:48:10] {charon} charon: 03[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ [30/Oct/2019 13:48:10] {charon} charon: 03[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_1536/NO_EXT_SEQ [30/Oct/2019 13:48:10] {charon} charon: 03[IKE] CHILD_SA tunnel_2_1_1_1{109} established with SPIs c2532c8a_i cb758146_o and TS 10.10.11.0/24 === 192.168.100.0/24 [30/Oct/2019 13:48:11] {IPsec} reqIdUp: reqId=17, tunnelId=2 (Right subnet: 192.168.100.0/255.255.255.0 via 2) [30/Oct/2019 13:48:11] {IPsec} Registering new route 192.168.100.0/255.255.255.0 for tunnel VPN to 146 [30/Oct/2019 13:48:11] {IPsec} Touching route 192.168.100.0/255.255.255.0 (via dev: 2) [30/Oct/2019 13:48:11] {IPsec} Tunnel 2:VPN to 146 is up [30/Oct/2019 13:48:11] {IPsec} Connection info read from kernel: 192.168.2.113 === 192.168.2.146 (proto 50) [30/Oct/2019 13:48:11] {IPsec} Register tunnel VPN to 146