Escolar Documentos
Profissional Documentos
Cultura Documentos
VPN C2S
Introdução
Este tutorial visa fornecer as informações básicas para a instalação e configuração de um cliente
VPN C2S para conexão com a VPN da Reitoria usando sistemas operacionais Linux.
O uso de um contêiner Docker facilita o transporte da solução entre as diversas distribuições Linux
Esta solução pode ser adaptada para uso concomitante com as VPNs C2S dos campus.
O primeiro passo para a utilização do cliente VPN C2S em Docker é a instalação do serviço Docker
Existem diversas formas para a instalação do Docker e Docker-Compose nas distribuições Linux
A instalação destas distribuições na foi validada pela reitoria até o momento da escrita deste
documento, porém, acreditamos que devido a natureza da distribuição do serviço, este deve
Até que a validação seja feita sugerimos que busque na documentação de sua distribuição Linux a
Após a instalação dos requisitos básicos, podemos agora executar o contêiner com o Cliente VPN
C2S.
unzip vpn.zip
cd vpn_ifsp_dockerchmod +x vpn
Para poder se conectar a VPN C2S, você deverá entrar com seu usuário e senha cadastrados na
Altere disso:
“ ...
command: >
...
command: >
...
Feitos os ajustes anteriores, para utilizar o cliente VPN C2S Docker basta executar os comandos
abaixo:
Ativar a VPN
~/bin/vpn_ifsp_docker/vpn ativar
Desativar a VPN
~/bin/vpn_ifsp_docker/vpn desativar
Agradecimentos especiais ao colega Douglas Andrade por criar os arquivos nos quais este
tutorial é baseado.
VPN C2S
Introdução
Este tutorial visa fornecer as informações básicas para a instalação e configuração de um cliente
VPN C2S para conexão com a VPN da Reitoria usando sistemas operacionais MacOS.
Este suporte é extraoficial e não foi testado diretamente pela reitoria, mas sim através de
parceiros.
Instalação
1) Instalação do TunTap
O projeto TunTap fornece as extensões de kernel necessárias para que o MacOS X possa criar
Este é o cliente VPN IPSec que iremos utilizar para nos conectar na VPN, composto do daemon
3) Conectando na VPN
Para se conectar, siga os mesmos passos do manual da VPN C2S para Linux disponível AQUI (a
"vpn_c2s_ifsp.vpn" no Qikea.
Agradecimentos especiais ao colega Rodrigo Noll do IFRS por nos ajudar com os
Site: https://www.strongswan.org/
Introdução
O cliente VPN IPsec StrongSwan surge como uma alternativa ao cliente VPN da Forcepoint para
Linux, Android, Windows e muitos outros; ele é constantemente atualizado e suporta IKEv1 e IKEv2
1) Instalação
Versão testada: Raspberry Pi 3B+
Para utilizar a VPN C2S com StrongSwan no Raspberry pi, siga os seguintes procedimentos:
sudo apt-get update && sudo apt-get install strongswan libcharon-extra-plugins strongswan-swanctl char
Agora devemos baixar o certificado do Firewall Forcepoint da Reitoria para a pasta
/etc/ipsec.d/cacerts/ :
2.1) IKEv1
A conexão via IKEv1 é a mais comum para o ambiente de VPN C2S com a Reitoria, para utiliza-la,
faça o seguinte:
# basic configuration
config setup
#conn default
conn %default
ikelifetime=8h
keylife=24h
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
compress=no
aggressive=no
fragmentation=yes
dpdaction=restart
forceencaps=yes
#conn IFSP-RET
conn vpn-ifsp-ret
# right part
right=200.133.214.9
rightauth=pubkey
rightsendcert=yes
# left part
left=%any
leftid=<seuprontuario>
leftauth=xauth
xauth_identity="seuprontuario@ifsp.edu.br"
leftfirewall=yes
leftsourceip=%config
# ike part
type=tunnel
modeconfig=pull
mobike=no
ike="aes256-sha1-modp1536"
esp="3des-sha1"
auto=start
conn net-192.168.2.0/24
also=vpn-ifsp-ret
rightsubnet=192.168.2.0/24
type=tunnel
auto=start
conn net-192.168.3.0/24
also=vpn-ifsp-ret
rightsubnet=192.168.3.0/24
type=tunnel
auto=start
conn net-192.168.6.0/24
also=vpn-ifsp-ret
rightsubnet=192.168.6.0/24
type=tunnel
auto=start
conn net-10.3.0.0/16
also=vpn-ifsp-ret
rightsubnet=10.10.22.0/24
type=tunnel
auto=start
conn net-10.10.1.0/24
also=vpn-ifsp-ret
rightsubnet=10.10.1.0/24
type=tunnel
auto=start
conn net-10.10.2.0/24
also=vpn-ifsp-ret
rightsubnet=10.10.2.0/24
type=tunnel
auto=start
conn net-10.10.21.0/24
also=vpn-ifsp-ret
rightsubnet=10.10.21.0/24
type=tunnel
auto=start
conn net-10.10.22.0/24
also=vpn-ifsp-ret
rightsubnet=10.10.22.0/24
type=tunnel
auto=start
conn net-45.236.121.0/25
also=vpn-ifsp-ret
rightsubnet=45.236.121.0/25
type=tunnel
auto=start
conn net-45.236.121.128/26
also=vpn-ifsp-ret
rightsubnet=45.236.121.128/26
type=tunnel
auto=start
conn net-45.236.121.192/27
also=vpn-ifsp-ret
rightsubnet=45.236.121.192/27
type=tunnel
auto=start
include /var/lib/strongswan/ipsec.conf.inc
Não se esqueça de adicionar seu prontuário no arquivo!!
Para verificar que tudo transcorreu bem, basta verificar o status do serviço e/ou a tabela de rotas
do sistema:
Status do serviço:
Tabela de rotas:
root@raspberrypi:/home/pi# ip route show table all10.2.1.0/24 via 192.168.15.1 dev eth0 table
220 proto static src 10.3.4.8610.10.1.0/24 via 192.168.15.1 dev eth0 table 220 proto static
src 10.3.4.8610.10.2.0/24 via 192.168.15.1 dev eth0 table 220 proto static src 10.3.4.86
10.10.21.0/24 via 192.168.15.1 dev eth0 table 220 proto static src 10.3.4.8610.10.22.0/24 via
192.168.15.1 dev eth0 table 220 proto static src 10.3.4.8645.236.121.0/25 via 192.168.15.1
dev eth0 table 220 proto static src 10.3.4.8645.236.121.128/26 via 192.168.15.1 dev eth0
table 220 proto static src 10.3.4.8645.236.121.192/27 via 192.168.15.1 dev eth0 table 220
proto static src 10.3.4.86192.168.2.0/24 via 192.168.15.1 dev eth0 table 220 proto static src
10.3.4.86192.168.3.0/24 via 192.168.15.1 dev eth0 table 220 proto static src 10.3.4.86
192.168.6.0/24 via 192.168.15.1 dev eth0 table 220 proto static src 10.3.4.86
2.2) IKEv2
compatibilidade.
Infelizmente o sucesso desta conexão vai depender de como foi configurado o Firewall Forcepoint
mais amplo suporte e também a que possui ajustes para funcionar melhor com a atual
connections {
IFSP-VPN-RET {
version = 2
proposals = aes256-aes128-sha256-sha1-modp1536
rekey_time = 0s
fragmentation = yes
dpd_delay = 300s
remote_addrs = 200.133.214.9
vips=0.0.0.0,::
local {
auth = eap
id = <seuprontuario>
eap_id = "<seuprontuario@ifsp.edu.br"
}
remote {
auth = pubkey
id = %any
sha256
RET1 {
remote_ts = 192.168.2.0/24
RET2 {
remote_ts = 192.168.3.0/24
RET3 {
remote_ts = 192.168.6.0/24
RET4 {
remote_ts = 10.2.1.0/24
RET5 {
remote_ts = 10.10.1.0/24
RET6 {
remote_ts = 10.10.2.0/24
RET7 {
remote_ts = 10.10.21.0/24
RET8 {
remote_ts = 10.10.22.0/24
RET9 {
remote_ts = 45.236.121.0/25
RET10 {
remote_ts = 45.236.121.128/26
RET11 {
remote_ts = 45.236.121.192/27
}
RET11 {
remote_ts = 45.236.121.192/27
RET12 {
remote_ts = 2801:80:2410:100::/64
RET13 {
remote_ts = 2801:80:2410:200::/64
RET14 {
remote_ts = 2801:80:2410:2100::/64
RET15 {
remote_ts = 2801:80:2410:2200::/64
RET16 {
remote_ts = 2801:80:2410:5::/64
RET17 {
remote_ts = 2801:80:2410:6::/64
RET18 {
remote_ts = 2801:80:2410:6::/64
secrets {
eap {
id = <seuprontuario>@ifsp.edu.br
secret = <suasenha>
}}
#!/bin/bash
# Este script inicia ou desativa a VPN via swanctl - o numero no contator# se refere a
while [ -n "$1" ]; do
case "$1" in
esac
shift
done
chmod +x /home/pi/vpn.sh
sudo swanctl -q
você pode consultar todas as opções deste comando utilizando swanctl --help
/home/pi/./vpn.sh -a
E para desativar a VPN:
/home/pi/./vpn.sh -d
Salve e saia.
/etc/swanctl/conf.d/ :
connections {
IFSP-VPN-RET {
version = 2
proposals = aes256-aes128-sha256-sha1-modp1536
rekey_time = 0s
fragmentation = yes
dpd_delay = 300s
remote_addrs = 200.133.214.9
vips=0.0.0.0,::
local {
auth = eap
id = <seuprontuario>
eap_id = "<seuprontuario>@ifsp.edu.br"
remote {
auth = pubkey
id = %any
children {
RET { remote_ts =
192.168.2.0/24,192.168.3.0/24,192.168.6.0/24,10.10.21.0/24,10.10.22.0/24,10.10.1.0/24,10.10.2.0/24,45.
rekey_time = 0s
secrets {
eap {
id = <seuprontuario>@ifsp.edu.br
secret = <suasenha>
}}
sudo swanctl -q
você pode consultar todas as opções deste comando utilizando swanctl --help