Academia Volkswagen

Manual de Administrao Sistemas de Servios

MASS 1 Comunicao
VPN
Contedo
1.
2.
3.
4.
5.

Introduo
Aquisio do mdulo VPN
Infraestrutura na concessionria
Configurao inicial do mdulo VPN SonicWall
Implementao e testes

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 1/13

Comunicao VPN
Instrues detalhadas

1. Introduo
Dentro do conceito de Sistemas de Servios VW as Concessionrias devem acessar as
aplicaes e sistemas existentes de forma on line e exclusivamente atravs de um link de
comunicao com acesso seguro
seguro.
Para que este link seguro possa ser estabelecido as Concessionrias devero utilizar um
mdulo de hardware especfico, conforme definio e recomendaes da VWB.
Atravs deste mdulo ser estabelecida uma comunicao tipo VPN (Virtual Private
Network) configurada com parmetros especficos para garantir a conexo com o portal de
sistemas VW.

2. Aquisio do mdulo VPN

A aquisio de um mdulo VPN Sonicwall deve ser feita diretamente pela Concessionria
VW junto ao representante oficial da marca Sonicwall, conforme instrues a seguir.

2.1. Informaes para o pedido

Dever ser solicitada a cotao dos itens abaixo:
SonicWALL TZ Series Firewall
Unrestricted node
Ref. 01-SSC-8734
SonicWALL Dynamic Support 8x5 for TZ100 Unrestricted node
1 Year
Ref. 01-SSC-7276

2.2. Ofertas adicionais

Alm dos itens acima existem servios adicionais que podem ser ofertados pelo
representante, tais como garantia estendida, suporte diferenciado, etc..
Este servios adicionais somente devero ser adquiridos se a Concessionria julgar
necessrio, conforme suas necessidades ou polticas internas.

2.3. Representante comercial

Corpflex
p
- Cleomedes Marangoni
g
cleomedes.marangoni@corpflex.com.br
Tel PABX: (11) 4208-9500
Cel.: (11) 8457-7833
Alameda Tocantins, 125 - 30 andar
Ed. West Side Alphaville
Barueri - So Paulo SP
CEP 06455-020
06455 020
B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012
Somente para uso interno

Pgina 2/13

Comunicao VPN
Instrues detalhadas

2.4. Dados tcnicos

As informaes detalhadas devem ser consultadas no site do fabricante no endereo
http://www.sonicwall.com/br/ . Localize os dados do produto TZ 100.
S
Seguem
alguns
l
d
dos principais
i i i d
dados
d t
tcnicos:
i

3.

Nmero mdio de usurios concorrentes = 120 USURIOS

N de usurios concorrentes com autenticao AD / LDAP = 100 USURIOS

Suporta at 2 links Internet de operadoras distintas

Realiza redundncia entre links de operadoras

p
distintas

Realiza balanceamento WEB entre 02 links

Link Internet recomendado = at 10 Mbps

Interfaces: 5 portas 10/100

Stateful firewall performance: 100 Mbps

UTM Performance: 25 Mbps

p

VPN Performance: 75 Mbps (3DES/AES)

Conexes concorrentes: 6.000

Infraestrutura na concessionria

Para que a implementao do mdulo VPN possa ser efetuada so necessrios alguns
requisitos e condies na Concessionria.

3.1. Link de internet

Em funo da diversidade de provedores e tipos de servio de Internet, algumas
recomendaes mnimas precisam ser consideradas.
O link disponvel deve ser dimensionado para suportar os sistemas de Servios e as
aplicaes normais da Concessionria.
De modo geral recomenda-se inicialmente para as aplicaes dos sistemas de servios um
link de internet de 2Mbps.
Tambm recomendvel estabelecer uma poltica interna de utilizao o monitoramento
deste recurso, gerenciando as aplicaes concorrentes e inibindo a utilizao para fins no
relacionados aos trabalhos da Concessionria (acesso a redes sociais, downloads, etc.).

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 3/13

Comunicao VPN
Instrues detalhadas

3.2. Suporte interno de TI (pessoa de contato)

necessrio que o processo seja internamente suportado por algum com os
conhecimentos necessrios de TI.
Esta pessoa de contato tambm deve ter os acessos e privilgios para executar as
modificaes eventualmente necessrias.

3.3. Rede dados na concessionria

O acesso aos sistemas de servios somente pode ser efetuado a partir de micros e
equipamentos que possam estabelecer a comunicao VPN atravs do mdulo Sonicwall.
Dentro do processo de servios, diversos colaboradores tem esta necessidade de acesso
(Agendamento, Consultores Tcnicos, Oficina e Garantia).
A melhor alternativa promover a integrao do mdulo VPN Sonicwall em sua rede de
dados de forma que os sistemas possam ser acessados de qualquer ponto da sua rede.
As solues tcnicas para esta integrao dependem das caractersticas especficas e
condies do seu Concessionrio.
Esta integrao deve permitir que a solicitao de acesso a VPN seja resolvida pela sua infra
estrutura de hardware e software a partir de qualquer ponto da sua rede de dados (DHCP,
NAT, proxy, IP tables ou qualquer outra possibilidade cabvel).

Observe que a implementao de responsabilidade do prprio Concessionrio e as

diversas solues

tcnicas devero ser analisadas conforme a sua estrutura disponvel,

p
,
perspectivas de investimento e outros fatores.
B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012
Somente para uso interno

Pgina 4/13

Comunicao VPN
Instrues detalhadas

4. Configurao inicial do mdulo VPN

Uma vez adquirido o mdulo VPN so necessrias algumas etapas, em sequncia, para que
o mesmo seja configurado e liberado para estabelecer a comunicao exigida
exigida.

4.1. Contato com VWB informaes necessrias

A concessionria deve providenciar as seguintes informaes:
Razo Social
Nome Fantasia
Nmero do DN
Pessoa de contato
Telefone de Contato
IP da WAN para o mdulo Sonicwall (um IP reservado em sua rede interna)
Mscara
Gateway
Gate a
Numero de srie do mdulo VPN
Modelo do mdulo VPN
Enviar estas informaes para o email suporte.tecserv@volkswagen.com.br

4.2. Arquivos de configurao inicial do mdulo VPN

Mediante os dados enviados ser criado um arquivo de setup para a configurao bsica
dos parmetros do mdulo VPN, enviado para o email do responsvel pelo processo no DN.
4.2.1. Importao do arquivo para o mdulo
1. Acessar a pgina de administrao do mdulo VPN
2. Clique em System - Settings - Import Settings

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 5/13

Comunicao VPN
Instrues detalhadas

3. Na tela que surgir selecione o local do arquivo clicando em Browse

4. Localize o arquivo de configurao enviado e clique em Import

5 Cli
5.
Clique em OK

6. O mdulo VPN Sonicwall ir reinicializar aps a importao do arquivo.

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 6/13

Comunicao VPN
Instrues detalhadas

4.2.2. Setup Adicional

Aps a reinicializao do sonicwall o responsvel devera realizar algumas alteraes
manuais na configurao.
O arquivo que foi importado vem pr configurado com dados de identificao de firewall e
faixa de IP que obrigatoriamente devero ser trocados a fim de associ-los ao DN correto.
As informaes para esta configurao foram enviadas no mesmo email com o arquivo de
setup.
Na VPN Box devem ser alterados os seguintes itens:
1. Firewall name
Alterar no menu System > Administration > Ferewall Name
Ex.: R1_VPN_nomefantasia
O nome formado pelo nmero da regio da
concessionria, o tipo de servio e o nome fantasia do
concessionrio, separados por um caractere underscore.

2. LAN
Alterar no menu Network > Interfaces > LAN > Configure
I
Inserir
i uma faixa
f i Pv4
P 4d
de classe
l
A com o range 128 IPs
IP lilivres.

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 7/13

Comunicao VPN
Instrues detalhadas

3. Unique Firewall Identifier

Alterar no menu VPN > Settings > Unique Firewall Identifier
Dever conter os mesmos dados do item Firewall Name

4. Local IKE ID
Alterar no menu VPN Policies > GEDAS-CONCENTRADOR > Local IKE
ID
Alterar no menu VPN Policies > GEDAS-SGMS > Local IKE ID
Dever conter os mesmos dados do item Firewall Name

Feito isto reinicialize o mdulo VPN atravs do menu System > Restart
B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012
Somente para uso interno

Pgina 8/13

Comunicao VPN
Instrues detalhadas

4.3. Parmetros especficos para liberao

Alm do arquivo de configurao e setup adicional existem alguns pontos que precisam ser
verificados, pois podem impedir o pleno funcionamento da comunicao VPN.
4.3.1. Provedor de internet
Os servios contratados devem contemplar o uso corporativo e precisam ter comercialmente
explicitado a compreenso do uso de comunicao do tipo VPN.
Servios para uso domstico possuem diversas restries operacionais que normalmente
inviabilizam a comunicao VPN
VPN.
4.3.2. Portas de comunicao
Tanto o provedor de Internet como o ambiente de segurana interna da Concessionria
precisam assegurar que algumas portas de comunicao estejam devidamente liberadas.
Mesmo com o tnel VPN estabelecido, sem a liberao das portas os sistemas de servios
no vo funcionar.
As portas so:
UDP 500
UDP 53
TCP 53
Caso haja um sistema de Firewall na Concessionria ser necessria a criao das
seguintes regras:
Regras de Firewall - VPN
Endereo de Origem

Endereo de Destino

Protocolo

Porta de Destino

Endereo definido na
Tabela Rede Local

Qualquer Destino

UDP

500

Endereo definido na
Tabela Rede Local

Qualquer Destino

UDP

53

Endereo definido na
Tabela Rede Local

Qualquer Destino

TCP

53

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 9/13

Comunicao VPN
Instrues detalhadas

4.3.3. Domnios
As aplicaes dos sistemas de servios esto hospedadas em um domnio prprio do grupo
VW.
Para garantir o acesso a Concessionria deve configurar seus sistemas de segurana para a
liberao do domnio cpn.vwg.
4.3.4. Acesso por URLs
Todos os sistemas de servios VW devem ser acessados a partir de seus nomes de
identificao (URLs).
Uma vez que estes sistemas so baseados em IP dinmico, as solues implementadas
pela Concessionria devem ser adequadas para trabalhar com os nomes dos sites e
sistemas.
No existe a possibilidade de se fornecer listas de endereos IP dos sistemas VW
VW.

5.

Implementao e testes

Cumpridos
C
id os passos anteriores
t i
recomenda-se
d
f
fazer
um teste
t t inicial
i i i ld
de comunicao
i

atravs de uma conexo direta do link de internet ao mdulo VPN.

Com isto poderemos constatar a eficincia das configuraes efetuadas no mdulo antes de
sua integrao na rede de dados do DN.

5.1. Conexo direta para teste inicial do mdulo

5.1.1. Link de internet
Na porta WAN do modulo VPN conectar um cabo de rede vindo diretamente do roteador de
internet. Esta conexo no deve passar por nenhum Switch ou Proxy de rede.
5.1.2. Acesso como administrador da VPN Box
Conecte um micro na porta LAN 1 e acesse o modulo VPN utilizando o gateway fornecido
durante a configurao inicial do modulo.

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 10/13

Comunicao VPN
Instrues detalhadas

5.1.3. Testes operacionais (ping, portas, etc.)

Acesse o menu System > Diagnostics > Diagnostic Tools > altere para a opo Ping.
Ser exibido um campo onde deve ser digitado um site de internet tipo www.terra.com.br
www terra com br
O resultado deve ser um ping bem sucedido com um tempo de resposta proporcional a
velocidade do seu link de internet
Caso isto no ocorra existe um problema de configurao ou com o link de internet.
Verifique as configuraes da WAN no menu Network > Settings > WAN.
Volte ao menu Diagnostics
g
e mude a opo
p p
para TraceRoute p
para localizar o p
ponto de
bloqueio, refazendo o teste de ping com o site de internet tipo www.terra.com.br
Obtendo sucesso na etapa acima, faa outro teste de ping utilizando o endereo IP
10.112.198.242 observando o resultado.
Caso no obtenha entre em contato com o suporte atravs do e-mail
suporte.tecserv@volkswagen.com.br
suporte
tecserv@volkswagen com br
5.1.4. Acesso aos sistemas de servios
Se os resultados do teste anterior forem satisfatrios, abra uma outra janela do navegador e
digite os seguintes endereos:
http://portal.cpn.vwg
http://cpnbb.cpn.vwg
Se tudo estiver correto voc ira acessar paginas cujo acesso depende exclusivamente da
comunicao VPN.

52
5.2

Integrao na rede de dados da concessionria

Terminados os testes isolados do mdulo VPN Sonicwall deve-se ento executar sua
integrao na rede de dados, conforme sua disponibilidade de recursos e estratgia definida
inicialmente.
Apenas como referncia,
referncia segue um resumo dos pontos desta integrao
integrao.

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 11/13

Comunicao VPN
Instrues detalhadas

5.2.1. Justificativas
O acesso aos sistemas deve ser garantido a todos os envolvidos no processo de prestao
de servios (Agendamento, Recepo, Consultores Tcnicos, Oficina, Garantia).
A melhor alternativa promover a integrao do mdulo VPN Sonicwall em sua rede de
dados de forma que os sistemas possam ser acessados de qualquer ponto da sua rede.
As solues tcnicas para esta integrao dependem das caractersticas especficas e
condies do seu Concessionrio.
5.2.2. Orientaes e recomendaes
A soluo tcnica adotada dever permitir o acesso aos sistemas de modo transparente e
amigvel para os usurios.
Deve oferecer a estabilidade e o desempenho necessrio para as atividades normais
dependentes destes sistemas.
sistemas
Ambiente estvel - A integrao no deve ficar dependente de combinaes complexas,
paliativas ou sob regras de segurana que estejam constantemente sendo alteradas sem os
devidos controles e rastreamentos.
5.2.3. Suporte parcial VWB
A implementao da integrao de responsabilidade da prpria Concessionria.
A VWB no se responsabiliza pelas alteraes promovidas a ttulo desta integrao e o
suporte tcnico que podemos prestar parcial, restringindo-se s orientaes bsicas,
eventuais pequenos ajustes de configurao e apoio nos testes operacionais.
Na pgina seguinte pode ser vista uma sugesto genrica de topologia para esta integrao.

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 12/13

Comunicao VPN
Instrues detalhadas

B-VMT-1 - MASS 1 - Comunicao VPN - edio: 03/2012

Somente para uso interno

Pgina 13/13