O Kerio IPsec VPN Server oferece aos clientes desktops, notebooks, dispositivos móveis etc. uma maneira segura de se conectar à rede.


Para implementar o Kerio IPsec VPN Server, é necessário fazer alterações na configuração no servidor e também no lado do cliente.


Configurando o lado do servidor


Para proteger a comunicação no lado do servidor, você pode usar os dois ou um dos métodos abaixo:


• uma chave pré-compartilhada (PSK, segredo compartilhado)

• um certificado SSL


Configurando o servidor VPN IPsec com uma chave pré-compartilhada


A chave pré-compartilhada é uma senha compartilhada para todos os usuários que usam uma VPN IPsec.



1. Na interface de administração, acesse Interfaces.


2. Clique duas vezes no servidor VPN.


3. Na caixa de diálogo Propriedades do servidor VPN, marque Ativar servidor VPN IPsec. Observe que o Kerio Control pode fornecer o servidor VPN Kerio e o servidor VPN IPsec simultaneamente.


4. Na guia VPN IPsec, selecione um certificado SSL válido na lista pop-up Certificado.


5. Marque Usar chave pré-compartilhada e digite a chave.


6. Salve as configurações.


Configurando o servidor IPsec com um certificado SSL


1. Na interface de administração, acesse Interfaces.


2. Clique duas vezes em Servidor VPN.


3. Na caixa de diálogo Propriedades do servidor VPN, marque Ativar servidor VPN IPsec.


4. Na guia VPN IPsec, selecione um certificado SSL válido na lista pop-up Certificado.


5. Na guia VPN IPsec, marque Usar certificado para clientes.


6. Salve as configurações.


    Configurando o Lado do Cliente


No lado do cliente, apenas um dos dois métodos pode estar disponível. Uma chave pré-compartilhada ou um certificado SSL. Cada usuário deve fornecer suas credenciais para autenticação.


    Configurando clientes com uma chave pré-compartilhada


Informe aos usuários o que preparar para a configuração de seus clientes:


• Tipo de VPN: L2TP IPsec PSK


• Nome do host ou endereço IP do Kerio Control


• Chave pré-compartilhada (PSK, segredo compartilhado)


• Nome de usuário e senha para acesso ao firewall



    Configurando Clientes com um Certificado SSL


Todas as máquinas clientes precisam ter o certificado importado para o repositório de certificação confiável. Instrua seus usuários a entrar em contato com o suporte técnico em caso de uma mensagem de certificado inválido.


Configurando o túnel VPN IPsec


O túnel Kerio IPsec VPN permite ao administrador conectar agentes localizados em áreas geográficas separadas em uma única rede.


O túnel Kerio IPsec VPN oferece autenticação e criptografia para garantir uma conexão rápida e segura.


NOTA: Para conectar dois ou mais controles Kerio via túnel VPN, use o Kerio VPN. Diferentemente do túnel Kerio IPsec VPN, o túnel Kerio VPN pode procurar rotas em redes remotas automaticamente.


Para configurar o túnel Kerio IPsec VPN:


Antes de começar:


Prepare a seguinte lista:


• Habilite a regra de tráfego pré-configurada dos Serviços VPN nos dois pontos de extremidade do túnel.


• ID do terminal remoto. Na maioria dos servidores, é chamado de ID local.


• Uma lista de todas as rotas atrás do terminal remoto.


• Se você deseja usar um certificado SSL, prepare o certificado SSL do terminal remoto ou uma autoridade + ID do certificado SSL remoto. Você deve importar o certificado ou a autoridade para o Kerio Control.


Configurando o método de autenticação


Você pode selecionar um dos seguintes métodos:


    ➢ Autenticação de chave OpenPreshared


Este método é mais fácil de configurar. Ambos os pontos de extremidade usam a mesma senha para autenticação:


1. Na interface de administração, acesse Interfaces.


2. Clique em Adicionar > Túnel VPN.


3. Digite um nome para o novo túnel.


4. Defina o túnel como ativo e digite o nome do host do terminal remoto. Pelo menos um terminal deve ser definido como ativo. O terminal ativo estabelece e mantém uma conexão com o terminal passivo.


5. Selecione Tipo: IPsec.


6. Selecione Chave pré-compartilhada e digite a chave.


7. Copie o valor do campo ID local do Kerio Control para o ID remoto do terminal remoto e vice-versa. ID local predefinido é o nome do host do Kerio Control. Se você alterar o nome do host do Kerio Control, o ID local também será alterado.


8. (Opcional) Na cifra de Fase 1 e 2, clique em Alterar e configurar cifras manualmente. Pode ser necessário se você deseja conectar o Kerio Control ao firewall de terceiros.


9. Nas guias Redes Remotas e Redes Locais, você deve definir todas as redes remotas, incluindo sub-rede para clientes VPN e todas as redes locais que não são detectadas pelo Kerio Control.


10. Salve as configurações.


    ➢ Autenticação de certificado OpenSSL


A autenticação com um certificado SSL requer um certificado SSL válido nos dois pontos de extremidade.


• O certificado SSL do terminal remoto é importado no Kerio Control (Definições > Certificados SSL).


• A autoridade que assinou o certificado remoto é importada no Kerio Control (Definições > Certificados SSL). Você também precisa saber o ID local (nome distinto) do certificado remoto.


Quando o certificado / autoridade SSL for importado, siga estas instruções:


1. Na interface de administração, acesse Interfaces.


2. Clique em Adicionar > Túnel VPN.


3. Digite um nome para o novo túnel.


4. Defina o túnel como ativo e digite o nome do host do terminal remoto. Pelo menos um terminal deve ser definido como ativo. O terminal ativo estabelece e mantém uma conexão com o terminal passivo.


5. Selecione Tipo: IPsec.


6. Selecione certificado remoto:


 Não está no armazenamento local - apenas uma autoridade foi importada para o Kerio Control. Copie o ID do certificado SSL remoto para o campo ID Remoto e vice-versa: importe a autoridade Kerio Control para o terminal remoto e copie o ID Local em algum lugar do terminal remoto.


▪ Selecione o certificado SSL remoto. Exporte o certificado do Kerio Control e importe-o para o terminal remoto.


7. (Opcional) Na cifra de Fase 1 e 2, clique em Alterar e configurar cifras manualmente. Pode ser necessário se você deseja conectar o Kerio Control ao firewall de terceiros. Para detalhes, consulte Configurando cifras IKE.


8. Salve as configurações.


Configurando cifras na troca de chaves (IKE)


NOTA: Novo no Kerio Control 9.2!


O Kerio Control pode usar várias cifras IKE durante o processo de conexão e autorização do túnel IPsec. Em muitos casos, essas cifras são comuns entre os terminais e nenhuma configuração personalizada é necessária.


Em outros casos, pode ser necessário atribuir cifras personalizadas. Portanto, você pode configurar as cifras IKE no Kerio Control manualmente:


Configurando a Autenticação


1. Na interface de administração, acesse Interfaces.


2. Selecione o túnel IPsec VPN e clique em Editar.


3. Na caixa de diálogo VPN Tunnel Properties, clique em Change na guia Authentication.




4. Na configuração das cifras do túnel da VPN, selecione Cifras personalizadas.


5. Nos menus suspensos, altere as cifras da mesma maneira que são definidas no outro firewall ou dispositivo.


6. Clique em OK duas vezes.



Ambos os pontos de extremidade devem se conectar com sucesso e você pode verificá-lo na seção Interfaces. O túnel IPsec está ativado.


Configuração de redes locais


O túnel IPsec do Kerio Control pode detectar a maioria de suas redes locais. Para habilitar a detecção automática:


1. Na interface de administração, acesse Interfaces.


2. Selecione o túnel IPsec VPN e clique em Editar.


3. Na caixa de diálogo Propriedades do túnel da VPN, selecione Usar redes locais determinadas automaticamente. As redes locais determinadas automaticamente são:


▪ Todas as redes sem interface com a Internet sem rota padrão.


▪ Redes estáticas.


▪ Redes remotas de outros túneis IPsec.


▪ Redes remotas personalizadas especificadas manualmente dos túneis Kerio VPN.

▪ Sub-rede VPN.


    4. Se você definir rotas personalizadas, selecione Usar redes personalizadas também.


NOTA: Para configurar a interoperabilidade Kerio VPN - VPN IPsec VPN, adicione também redes conectadas via Kerio Control VPN que não são definidas manualmente na configuração do túnel Kerio VPN.


    5. Clique OK.




Redes das seguintes interfaces não são detectadas automaticamente:


• Interfaces do grupo Interfaces da Internet


• Interfaces com uma rota padrão


• Redes descobertas dinamicamente pelo Kerio VPN


Configuração de redes remotas


A VPN IPsec não pode procurar rotas remotas. Você deve inseri-los manualmente.


Configurando o VPN failover


Se o Kerio Control estiver com balanceamento de carga entre vários links da Internet, é possível usar o failover da VPN. Isso garante que um túnel da VPN seja restabelecido automaticamente caso o link principal usado para o túnel da VPN fique indisponível.


Para configurar o failover:


1. Na interface de administração, acesse Interfaces.


2. Selecione o túnel IPsec VPN e clique em Editar.




3. Insira todos os pontos de extremidade remotos (por nome do host ou endereço IP), separados por ponto e vírgula, nas propriedades do túnel da VPN.


NOTAAo tentar estabelecer o túnel, o Kerio Control percorre a lista de pontos de extremidade na mesma ordem em que estão listados nas Propriedades do túnel da VPN.