EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Manual para alteração da configuração dos roteadores FORTIGATE das

franqueadas para estabelecer a VPN através de DNS ao invés de endereço IP

1. Contextualização

Em virtude da iminente mudança do provedor de Internet que atualmente atende os

Correios, a faixa de endereçamento IP de Internet usada pelos Correios irá mudar.
Como a maioria dos equipamentos da rede franqueada está configurada para
estabelecer a VPN através de endereço IP específico, será necessário alterar a
configuração dos roteadores das franqueadas para conectarem-se preferencialmente
através de um nome DNS, ao invés de endereço IP.

2. Objetivo

Orientar as franqueadas que utilizam o roteador modelo FORTIGATE sobre as

alterações que precisam ser realizadas para que estas não sejam afetadas pela
mudança do IP de Internet do peer VPN dos Correios.
Embora este manual esteja bem detalhado, é recomendável que as franqueadas façam
esta alteração através do seu técnico de TI.

3. Instruções para alteração da configuração

ATENÇÃO: é obrigação e direito da franqueada possuir a senha de acesso ao seu

roteador, pois é um equipamento de sua propriedade. Frequentemente algumas
franqueadas reportam que não possuem a senha de acesso. É importante aproveitar
essa oportunidade que todas as franqueadas precisarão alterar a configuração do seu
roteador, para solicitar a senha de acesso ao seu técnico e guardá-la em local seguro.

3.1. Backup

3.1.1. Realizar Backup das configurações atuais

Em primeiro lugar, é recomendável realizar uma cópia de backup das configurações do

roteador. Assim, caso a mudança não seja bem sucedida, será possível retornar à
configuração atual, que está funcionando normalmente.

Página 1 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Após entrar com as credenciais de usuário e senha de administração do roteador,

clicar na opção “backup” conforme ilustrado na tela abaixo.

Na tela seguinte:
[1] verificar se a opção “PC Local” está selecionada (com essa opção marcada, o
backup será realizado localmente para a estação que está acessando o roteador);
[2] Clicar no botão “Backup”;
[3] A depender do navegador de Internet e das configurações dele, o arquivo de
backup será baixado automaticamente para a pasta padrão de Downloads, sem
nenhuma tela adicional (foi o nosso caso abaixo), ou o navegador apresentará uma
tela para o usuário selecionar a pasta onde ele quer salvar o arquivo.

Página 2 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

3.1.2. Como restaurar o backup das configurações

Caso seja necessário restaurar o backup das configurações, retornar à página inicial
de configurações, clicando em “Sistema Painel Status” no menu do lado
esquerdo, e clicar na opção “Restaurar”, conforme indicado na tela abaixo.

[1] Selecionar a opção “PC Local”;

[2] Clicar no botão “Escolher arquivo” e na tela que for exibida, selecionar o arquivo
de backup na pasta onde ele foi armazenado no computador que está acessando o
roteador.
[3] Clicar no botão “Restaurar”. O roteador precisará ser reiniciado para que a
configuração salva no arquivo de backup seja carregada.

Página 3 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

3.2. Alteração das configurações

Percorrer os menus clicando em “VPN” “Chave Automática (IKE)”, selecionar a

configuração de Fase 1 e clicar em “Editar”, conforme destacado de vermelho na
figura abaixo.

Conforme explicado no comentário da figura abaixo, por uma limitação desse modelo
de roteador, não é possível alterar o campo “Gateway Remoto”. Por causa disso, será
necessário apagar todas as configurações de VPN e configurá-las da forma correta
para utilização de DNS. Mas antes de deletar as configurações, é preciso tomar nota
de algumas configurações que podem ser diferentes a depender da franqueada. Anotar
as configurações indicadas nas instruções da figura abaixo.

Página 4 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

É preciso anotar também as configurações de Fase 2. Selecionar a linha

correspondente à Fase 2 e clicar em “Editar” conforme figura abaixo.

Na tela abaixo, clicar no botão “Avançado” e anotar os parâmetros de configuração

de Fase 2 que estiverem configurados no roteador para serem usados posteriormente.

Deletar as configurações de VPN.

Atenção: a partir deste ponto, as ações que serão tomadas irão provocar a queda da
conexão VPN da franqueada com os Correios – executar em horário acordado com o
responsável pela franqueada.

Página 5 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Percorrer o menu, clicando em “Firewall” “Política”, Selecionar as regras

relacionadas à VPN e clicar em “Delete”, Será exibida uma janela para confirmar a
operação. Clique no botão “OK”.

Se a VPN foi configurada usando “Interface Mode”, é necessário apagar também a rota
criada para a interface. Percorrer o menu clicando em “Router” “Estática”
“Rota Estática”, selecionar a rota referente à Interface (linha que a coluna
“Dispositivo” possui o nome da Fase 1 da VPN) e clicar em “Delete”. Uma janela será
exibida solicitando a confirmação da operação. Clicar no botão “OK”.

Página 6 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Deletar as configurações de Fase 1 e Fase 2 de VPN. Percorrer o menu clicando em

“VPN” “Chave Automática (IKE)”, selecionar as linhas referentes às configurações
de Fase 1 e Fase 2 e clicar em “Delete”. Uma janela será exibida solicitando a
confirmação da operação. Clicar no botão “OK”.

Criar novamente todas as configurações de VPN usando o tipo de “Gateway Remoto”:

“DNS Dinâmico”. Percorrer o menu, clicando em “VPN” “Chave Automática (IKE)”
e clicar em “Criar Fase 1”.

Seguir as instruções detalhadas da figura abaixo.

IMPORTANTE: no nosso exemplo iremos utilizar o nome “ECT” como Fase 1 da VPN.
Este nome será referenciado em várias outras configurações posteriormente. Se a

Página 7 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

franqueada escolher outro nome para a Fase 1, deve ter em mente que sempre que
aparecer a palavra “ECT” nas telas de configuração, está se referenciando a Fase 1
criada abaixo e fazer a devida substituição pelo nome que ela escolher. Como ela será
criada no modo Interface, em algumas telas de configuração ela vai aparecer como se
fosse uma interface de rede.

Configurar a Fase 2. Clicar em “Criar Fase 2”.

Página 8 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Seguir as instruções detalhadas da tela abaixo.

Criar as regras de Firewall. Percorrer o menu clicando em “Firewall” “Política”

“Política” e clicar em “Create New”.

Página 9 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Configurar a primeira regra conforme tela abaixo e clicar em “OK”.

Configurar a segunda regra conforme tela abaixo e clicar em “OK”.

Criação de rotas. Percorrer o menu clicando em “Router” “Estática” “Rota

Estática”. Clicar em “Create New” para cada uma das rotas da tabela abaixo. Criar
cada rota conforme especificado em cada uma das linhas.

Página 10 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

IP de Destino/Máscara Dispositi Gatewa Distânci Prioridad Observaçõe

vo y a e s
10.0.0.0/255.0.0.0 ECT - 10 0 Rota para
acessar os
sistemas
internos dos
Correios
através da
VPN
172.16.0.0/255.240.0.0 ECT - 10 0 Rota para
acessar os
sistemas
internos dos
Correios
através da
VPN
192.168.0.0/255.255.0.0 ECT - 10 0 Rota para
acessar os
sistemas
internos dos
Correios
através da
VPN
IP do DNS primário do wan IP do 5 0 Rota para o
provedor ou outro servidor default servidor
de DNS na Internet, como o gateway DNS
usado no exemplo (DNS do do primário
Google): provedor
8.8.8.8/255.255.255.255
*a decisão de qual servidor
configurar é da franqueada
IP do DNS secundário do wan IP do 5 0 Rota para o
provedor ou outro servidor default servidor
de DNS na Internet, como o gateway DNS
usado no exemplo (DNS do do secundário
Google): provedor
8.8.4.4/255.255.255.255
*a decisão de qual servidor
configurar é da franqueada
200.160.0.0/255.255.240.0 wan IP do 5 0 Rota para a
default faixa do
gateway NIC.br para
do permitir
provedor atualização
de hora por
NTP no
roteador

Página 11 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Para exemplificar, segue a tela configurada conforme o nosso exemplo.

Observação: atenção para as rotas destacadas de vermelho. No nosso exemplo, o “IP
do default gateway do provedor” é “200.252.60.1”, mas este IP é diferente para cada
franqueada, então não deve ser preenchido esse campo com o mesmo valor que está
na tela de exemplo. No item 3.4 será demonstrado como conseguir o IP do default
gateway do provedor se ele for disponibilizado automaticamente por ele.

Com isso, todas as configurações estão concluídas. Verificar se a VPN foi

estabelecida. Percorrer o menu clicando em “VPN” “Monitor” e verificar se a
coluna “Status” consta “ Derrubar”. Em caso afirmativo, a VPN está estabelecida.

Página 12 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Caso a VPN não tenha sido estabelecida, o técnico de TI da franqueada deve verificar
as configurações de servidores de DNS utilizados pelo roteador e testar se o
equipamento está conseguindo resolver os nomes “vpn2.correios.com.br” e/ou
“vpn4.correios.com.br”. Um indicativo para certificar se o roteador está conseguindo
resolver o DNS é a coluna “Gateway Remoto” da tela acima, se constar nela um IP é
sinal de que o roteador está conseguindo resolver, então o problema provavelmente
será em outra configuração.

Outra forma de testar se o roteador está conseguindo resolver DNS: percorrer o menu
clicando em “Sistema” “Painel” “Status” e digitar na janela “CLI console” o
comando “exec ping vpn2.correios.com.br” (se a franqueada estabelecer VPN por
Brasília) ou “exec ping vpn4.correios.com.br” (se a franqueada estabelecer VPN por
São Paulo). Se na linha seguinte for exibido que ele está tentando pingar o IP correto,
é sinal de que ele está conseguindo resolver o DNS.
Observação: Este mesmo comando pode ser usado para testar a conectividade com o
IP do default gateway do provedor, IP dos servidores DNS do provedor ou IP dos
servidores DNS da internet. Sugerimos realizar todos estes testes para tentar descobrir
a causa de um problema de conexão, se isso vier a acontecer.

Página 13 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Sugestões aos técnicos das franqueadas para tentar resolver os problemas de

resolução de nomes - verificar os seguintes itens:
1. Verificar se os IP´s dos servidores de DNS configurados no roteador estão
corretos – consultar o provedor de Internet se for preciso;
2. Realizar um teste de PING do roteador para os servidores de DNS (o teste de
ping é disponibilizado por praticamente todos os modelos de roteadores e
costuma estar na mesma tela do teste de DNS name lookup). Caso o teste
falhe, entrar em contato com o provedor de Internet e verificar por que não está
sendo possível pingar os servidores de DNS;
3. Como solução de contorno para eventuais problemas com os servidores de
DNS do provedor de Internet da AGF, o técnico pode decidir configurar outros
servidores de DNS, como por exemplo, os servidores de DNS do Google (IP´s
8.8.8.8 e 8.8.4.4).

3.3. Configurações para habilitar SNMP (opcional)

Embora esta configuração seja considerada opcional, recomendamos às franqueadas

configurar o SNMP para melhorarmos a monitoração que já temos das franqueadas.
Essa configuração irá nos auxiliar a identificar por exemplo, qual é o modelo e versão
de firmware do roteador de cada franqueada, monitoração de CPU, memória e
interface de rede para apoiar na análise de eventual lentidão do acesso da unidade,
etc.

Percorrer o menu clicando em “Sistema” “Rede” “Interface”, selecionar a linha

referente à interface “wan” e clicar em “Editar”.

Página 14 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Habilitar a opção “SNMP” e clicar no botão “OK”.

Percorrer o menu clicando em “Sistema” “Configurar” “SNMP v1/v2c” e seguir as

instruções da tela abaixo.

Página 15 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Configurar como indicado na tela abaixo e clicar em “OK”.

3.4. Como obter o IP do default gateway do provedor

Percorrer o menu clicando em “Sistema” “Rede” “Interface”, selecionar a linha

referente à interface “wan” e clicar em “Editar”.

Página 16 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Pela tela abaixo é possível obter quais são os IP´s dos servidores de DNS e do Default
Gateway do provedor de acesso à Internet. Após anotar os IP´s, clicar em “Cancelar”.

Se as informações não estiverem disponíveis na tela acima, então não são informadas
automaticamente e deverão ser solicitadas ao provedor de acesso.

3.5. Configuração do NTP (opcional)

Esse item é opcional, mas é importante manter sincronizado o horário do roteador para
facilitar a análise de problemas quando é preciso acessar os logs do roteador. Na
página inicial do roteador, na seção “Informações do Sistema”, localize a linha “Hora do
Sistema” e clique em “Modificar”.

Página 17 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS
 EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS

Configurar conforme instruções da tela abaixo.

FIM

Página 18 de 18
Config. do roteador FORTIGATE para estabelecer VPN por DNS