Visão geral

Você pode criar um túnel seguro entre duas LANs protegidas por um firewall. Este artigo descreve a criação de um túnel VPN IPsec entre Kerio Control e outro dispositivo, como Fortinet, Cisco, Mikrotik, Sophos. Ambos os terminais devem ser capazes de se comunicar automaticamente. Se ocorrer um problema e você tiver que definir os valores manualmente, consulte as tabelas a seguir para obter os valores padrão e suportados no Kerio Control. Os pontos finais remotos do túnel também podem usar os valores recomendados.

Importante

NAT em uma conexão VPN IPsec Site a Site não é compatível.


Solução

1. Modifique o /etc/ipsec.conf para definir os valores personalizados da Fase 1 e da Fase 2. Para obter mais informações sobre modificação, consulte Modificando arquivos de configuração internos.

Fase 1 (IKE):

  

VariávelValores padrões
Valores suportados

Valores não suportados

Modo

Main NAAggressive
Tipo de ID remoto
hostnameIP address

 NA

Travessia NAT 

enabled NANA 

Ciphersuite (policies)

aes128-sha1-modp2048,3des-sha1-modp1536

 NANA 

Versão

IKEv1, IKEv2 NANA 

DPD Timeouts

enabled (30 sec) NA NA

Lifetime

3 horas NA NA

 

Fase 2 (ESP):

  

Variável

Valores suportados

Valores não suportados

Modo

TúnelTransporte

Protocolo

ESPAH

Ciphersuite (policies)

aes128-sha1, 3des-sha1NA 

PFS

offNA 

Lifetime

60 mins NA


Cifras suportadas

Cada cifra consiste em três partes:

Algoritmo de criptografia - por exemplo, aes128
Algoritmo de integridade - por exemplo, sha1
Grupos Diffie Hellman - por exemplo, modp2048

Defina cifras para valores personalizados em Administração do Kerio Control > Configuração > Interfaces > Propriedades do túnel VPN IPsec (botão Alterar).


Kerio Control suporta as seguintes cifras:


Fase 1 (IKE) - cifras suportadas

  

Algoritmos de criptografia

Algoritmos de integridade 

Grupos Diffie Hellman
  • aes128 or aes (128 bit AES-CBC)
  • aes192 (192 bit AES-CBC)
  • aes256 (256 bit AES-CBC)
  • 3des (168 bit 3DES-EDE-CBC)
  • md5 (MD5 HMAC)
  • sha1 or sha (SHA1 HMAC)
  • sha2_256 or sha256 (SHA2_256_128 HMAC)
  • sha2_384 or sha384 (SHA2_384_192 HMAC)
  • sha2_512 or sha512 (SHA2_512_256 HMAC)
  • 2 (modp1024)
  • 5 (modp1536)
  • 14 (modp2048)
  • 15 (modp3072)
  • 16 (modp4096)
  • 18 (modp8192)
  • 22 (modp1024s160)
  • 23 (modp2048s224)
  • 24 (modp2048s256)

 

Fase 2 (ESP) - cifras suportadas

  

Algoritmos de criptografia

Algoritmos de integridade 

Grupos Diffie Hellman
  • aes128 or aes (128 bit AES-CBC)
  • aes192 (192 bit AES-CBC)
  • aes256 (256 bit AES-CBC)
  • 3des (168 bit 3DES-EDE-CBC)
  • blowfish256 (256 bit Blowfish-CBC)
  • md5 (MD5 HMAC)
  • sha1 or sha (SHA1 HMAC)
  • aesxcbc (AES XCBC)
  • none (no PFS)
  • 2 (modp1024)
  • 5 (modp1536)
  • 14 (modp2048)
  • 15 (modp3072)
  • 16 (modp4096)
  • 18 (modp8192)
  • 22 (modp1024s160)
  • 23 (modp2048s224)
  • 24 (modp2048s256)


Testando

A configuração personalizada é refletida no arquivo /etc/ipsec.conf.


As cifras de túnel VPN IPSec personalizadas estão em vigor no arquivo /opt/kerio/winroute/winroute.cfg.