O Kerio Control suporta VPN (Rede Privada Virtual). O Kerio Control inclui uma implementação proprietária da VPN, chamada Kerio VPN. O Kerio VPN pode ser usado para:


 Servidor Kerio VPN para conectar clientes como desktops, notebooks, dispositivos móveis, etc.


• Túnel Kerio VPN para conectar LANs.


Configurando o Servidor Kerio VPN


O Servidor Kerio VPN oferece aos clientes desktops, notebooks, dispositivos móveis etc. Uma maneira segura de se conectar à rede.


NOTA: Você deve habilitar a comunicação através da VPN nas Regras de Tráfego antes de começar a configurar o Kerio VPN Server.



Configurando a interface


Para configurar a interface:


    1. Na interface de administração, vá para Interfaces.


    2. Clique duas vezes em Servidor VPN.


    3. Na caixa de diálogo Propriedades do servidor VPN, em Geral, marque Habilitar servidor Kerio VPN.


    4. Na guia Kerio VPN, selecione um certificado válido.


    5. A porta 4090 está configurada como padrão. Os protocolos TCP e UDP são usados.


NOTAS: Não mude para outra porta sem um motivo adequado.


Se não for possível executar o servidor VPN na porta especificada, o erro será relatado no Error log.


6. Para especificar uma rota VPN manualmente, leia a seção Configurando o roteamento.


7. O Kerio VPN Server direciona o tráfego dos clientes VPN de duas maneiras:


    • Somente o tráfego que termina na rede Kerio Control passa pelo firewall - modo padrão. Esse tipo de conexão é chamado de     tunelamento dividido.


    • Todo o tráfego passa pelo firewall - selecione os clientes VPN que acessam internet através da VPN.


    

    8. Verifique se sua regra padrão de acesso à Internet (NAT) inclui o item clientes VPN.




9. Salve as configurações.


Configurando o roteamento



Por padrão, são definidas rotas para todas as sub-redes locais no lado do servidor VPN. Outras redes para as quais uma rota VPN será configurada para o cliente podem ser especificadas:


1. Na interface de administração, vá para Interfaces.


2. Clique duas vezes no servidor VPN.


3. Na guia Kerio VPN, clique em Rotas personalizadas.


4. Clique em Adicionar.


5. Na caixa de diálogo Adicionar rota, defina uma rede, máscara e descrição. Em caso de colisão, rotas personalizadas são usadas.


6. Salve as configurações.


NOTA: Use a máscara de rede 255.255.255.255 para definir uma rota para um host específico. Pode ser útil ao adicionar uma rota a um host na zona desmilitarizada no lado do servidor VPN.



Configurando o DNS


O Kerio VPN Server precisa de um servidor DNS para ser usado. Existem duas opções de configuração possíveis:


    • Usando o servidor DNS Kerio Control


Para usar o servidor DNS no Kerio Control para Kerio Control VPN Clients:


    1. Na interface de administração, vá para Interfaces

.

    2. Clique duas vezes em Servidor VPN.


    3. Na guia DNS, selecione Usar Kerio Control como servidor DNS.


    4. Selecione Selecionar automaticamente o sufixo do domínio.


    5. Clique em OK.


O Kerio Control usa seu próprio servidor DNS para clientes Kerio Control VPN e usa o sufixo de domínio específico para a rede Kerio Control.


 

• Usando o servidor DNS externos


Para atribuir servidores DNS específicos aos clientes Kerio Control VPN:

1. Na interface de administração, vá para Interfaces.


2. Clique duas vezes em Servidor VPN.


3. Na guia DNS, selecione Usar servidores DNS específicos.


4. No DNS primário, digite um nome de domínio totalmente qualificado.


5. (Opcional) No DNS secundário, digite um nome de domínio totalmente qualificado do servidor DNS de backup.


6. Se você deseja usar um sufixo de domínio diferente, selecione Usar sufixo de domínio específico. Em seguida, digite o sufixo do domínio


7. Clique em OK.


Os servidores DNS são atribuídos a todos os clientes da Kerio Control VPN e o sufixo do domínio é alterado.


NOTAPara usar o WINS nos clientes VPN do Kerio Control, selecione a guia WINS na caixa de diálogo Propriedades do servidor VPN e especifique o servidor WINS.


Configurando clientes VPN do Kerio Control


As seguintes condições devem ser atendidas para permitir a conexão de clientes remotos às redes locais:


    • O Kerio VPN Client deve estar instalado em clientes remotos. Para obter mais informações, consulte Instalando e Configurando o Kerio Control VPN Client.


    • Na seção Usuários e grupos > Usuários, verifique se os Usuários podem se conectar usando a VPN para seus usuários.


    • A conexão com o servidor VPN da Internet, bem como a comunicação entre os clientes VPN, deve ser permitida pelas regras de tráfego. Existe uma regra de política de tráfego padrão que deve ser ativada. Caso contrário, há um serviço definido para o Kerio VPN (TCP / UDP 4090), caso você não possua essa regra.


NOTA: Os clientes VPN do Kerio Control conectados ao firewall são monitorados na seção Status > Clientes VPN.



Configurando o Túnel do Kerio VPN


O túnel do Kerio VPN permite que o administrador conecte agentes localizados em áreas geográficas separadas em uma única rede.


O túnel do Kerio VPN oferece autenticação e criptografia para garantir uma conexão rápida e segura.


Para configurar o túnel do Kerio VPN:


Adicionando um novo túnel Kerio VPN


1. Na interface de administração, acesse Interfaces.


2. Clique em Adicionar> Túnel VPN.


3. Digite um nome para o novo túnel. Cada túnel Kerio VPN deve ter um nome exclusivo. Este nome é usado na tabela de interfaces, nas regras de tráfego e nas estatísticas da interface.


4. Defina o túnel como:


Ativo para conectar-se a um terminal remoto. Digite o nome do host do servidor VPN Kerio remoto. Especifique também o número da porta se for diferente de 4090 (por exemplo, server.company.com:4100).


Passivo se o extremo local do túnel tiver um endereço IP fixo e aceitar apenas conexões de entrada.


5. Como Tipo, selecione Kerio VPN.


6. Na guia Autenticação, especifique a impressão digital para os certificados do servidor VPN Kerio local e remoto. Se o terminal local estiver no modo ativo, o certificado do terminal remoto e sua impressão digital poderão ser baixados clicando em Detectar certificado remoto. Na configuração do servidor remoto, especifique a impressão digital desse servidor local.


7. Salve suas configurações.


NOTA: Todas as redes locais em cada local devem ter sub-redes IP exclusivas. Antes de conectar dois sites usando o Kerio VPN Tunnel, verifique se os intervalos de rede local não são os mesmos. Caso contrário, o roteamento não funcionará.


Configurando o roteamento


Por padrão, são definidas rotas para todas as sub-redes locais no servidor Kerio VPN. Você também pode especificar outras rotas:


1. Na interface de administração, acesse Interfaces.


2. Clique duas vezes em um túnel VPN.


3. Na guia Redes remotas, selecione Usar rotas personalizadas. Se Usar rotas fornecidas automaticamente pelo ponto de extremidade remoto também estiver selecionado, rotas personalizadas serão usadas em caso de colisão.


4. Clique em Adicionar.


5. Na caixa de diálogo Adicionar rota, defina uma rede, máscara e descrição.


6. Salve suas configurações.


Configurando túneis de vários sites


A Kerio Control VPN troca automaticamente informações de roteamento com base na mesma ordem em que estabelece cada túnel. Ele não implementa priorização ou roteamento de caminho ideal. Para cenários que envolvem mais de dois túneis VPN, você pode designar um ponto de extremidade central em uma topologia em estrela.


Por exemplo, se você tiver quatro sites denominados A, B, C e D e designar D como o terminal central. A configuração dos túneis é feita da seguinte maneira:


A <------> D


B <------> D


C <------> D


A topologia em estrela força todo o roteamento da VPN através de um único ponto de extremidade. Caso esse ponto de extremidade esteja indisponível, todos os sites se tornam inacessíveis. Para melhorar a confiabilidade dessa topologia, você pode designar um terminal central secundário usando a configuração de failover da VPN.



Configurando o VPN failover


Se o Kerio Control usar o balanceamento de carga entre vários links da Internet, é possível usar o failover da VPN.


O failover da VPN garante que um túnel Kerio VPN seja restabelecido automaticamente caso o link principal usado para o túnel VPN fique indisponível.


Para configurar o failover, insira todos os pontos de extremidade remotos (por nome de host ou endereço IP), separados por ponto e vírgula, nas propriedades do túnel Kerio VPN (veja a imagem abaixo).


NOTA: Ao tentar estabelecer o túnel, o Kerio Control percorre a lista de pontos de extremidade na mesma ordem em que estão listados nas Propriedades do túnel da VPN.





Exemplo - Empresa com uma filial



Este exemplo descreve como conectar duas redes locais da empresa usando o túnel Kerio VPN.


Neste exemplo:


• O escritório central (o gateway padrão) usa o endereço IP público 85.17.210.230 com newyork.company.com como o nome DNS. O servidor da filial usa um endereço IP dinâmico atribuído pelo DHCP.


• A sede possui duas sub-redes, LAN1 e LAN2 com company.com como o nome DNS. A rede da filial possui uma única sub-rede, LAN, e usa branch.company.com como o nome DNS.


O tráfego entre redes e clientes VPN segue estas regras:


• Os clientes VPN podem se conectar à LAN1 e à rede da filial (LAN).


• Os usuários não podem se conectar aos clientes VPN de qualquer rede.


• Na filial, os usuários podem conectar-se apenas à rede LAN1 e apenas os serviços WWW, FTP e Microsoft SQL estão disponíveis.


• Não há restrições para conexões do escritório central para a filial



Você deve definir as seguintes configurações:


1. Na sede, administração do Kerio Control, defina o túnel Kerio VPN. O terminal ativo está na filial (endereço IP dinâmico). O ponto final passivo está no servidor da sede (endereço IP público).


2. Verifique se o túnel foi criado. Caso contrário, consulte o log de Erros, verifique as impressões digitais do certificado e a disponibilidade do servidor remoto.


3. Nas regras de tráfego, permita o tráfego entre a rede local, a rede remota e os clientes VPN.





4. Defina restrições de tráfego no servidor da sede. No servidor da filial, apenas o tráfego entre a rede local e o túnel da VPN é ativado.




5. Teste a conexão de cada rede local. Teste a disponibilidade através dos endereços IP e nomes DNS. Use os comandos do sistema ping e tracert (traceroute). Se o teste através do endereço IP não responder, verifique a configuração da regra de tráfego e verifique se as sub-redes não colidem. Se o teste do endereço IP estiver OK e o teste do DNS falhar (host desconhecido), verifique a configuração do DNS.