Informativo Tcnico

Siemens Enterprise Communications GSI - Technology Center So Paulo

Configurando tnel VPN entre um sistema HiPath 3000 V7 e um HiPath 2000 V2.0.
Verso: 1.0 Categoria: HiPath 2000/3000 Autor: Clvis Aristides Ribeiro Data: 03/03/2009

vlido o documento visualizado via ISI em https://sistemas.siemens.com.br/isi/

As informaes contidas neste documento so de propriedade de Siemens Enterprise Communication. No podero ser usadas, reproduzidas ou divulgadas a terceiros salvo quando especificamente permitido por escrito pelo proprietrio. O recebedor destas informaes, ao det-las e us-las, concorda em proteger as mesmas contra perda, roubo ou uso indevido. Esse documento cpia no controlada quando impresso no todo ou em partes.

VPN

Contedo
1 2 3 4 5 Objetivo....................................................................................................... 3 Apresentao Bsica.................................................................................. 3 Caractersticas de funcionamento............................................................ 4 Configurando os sistemas HiPath 3000 V7 e o HiPath 2000 V2.0......... 5 Restries...................................................................................................26

SEN GSI TC Technology Center So Paulo

Pgina 2/26

VPN

Objetivo

Este informativo tcnico tem como objetivo demonstrar como se configura um tnel VPN padro entre os sistemas HiPath 2000 V2.0 e um HiPath 3000 V7, esta mesma configurao se aplicar se for configurado um tnel VPN entre dois sistemas HiPath 2000 V2.0 ou dois sistemas HiPath 3000 V7.

2 Apresentao Bsica.
A facilidade de tnel VPN nos sistemas HiPath 2000 2.0 e HiPath 3000 V7 um dispositivo de segurana para que os clientes tenham seu fluxo de voz e dados protegidos atravs de encriptao de pacotes em uma rede no segura. Para configurar tneis VPN nos sistemas HiPath 2000 e HiPath 3000 so necessrias as licenas de CA e de IPSEC nos dois sistemas. A licena de CA ser utilizada em caso de tnel VPN atravs de certificado. Obs.: Os endereos IP utilizados neste informativo tcnico so endereos de teste, os endereos IP do cliente provavelmente sero diferentes e devero ser fixos. O IPtrunking entre as centrais dever ser configurado apontando o endereo IP da interface LAN de cada sistema (IPtrunking padro). Em caso de dvida sobre limite de trafego de dados atravs do tnel VPN nos sistemas HiPath 2000 V2.0 e HiPath 3000 V7 consulte os manuais dos sistemas, pois cada cliente ter seu cenrio e trafego de dados (voz e dados) diferentes.

SEN GSI TC Technology Center So Paulo

Pgina 3/26

VPN

3 Caractersticas de funcionamento.
Aps configurar um tnel VPN entre os sistemas HiPath 2000 V2.0 e HiPath 3000 V7 os dados que trafegaro entre estes sistemas sero encriptados, assim sendo, no podero ser alterados ou visualizados por terceiros. Veja abaixo um exemplo de uma captura de pacotes feito sobre um tnel VPN entre os sistemas HiPath 2000 V2.0 e HiPath 3000 V7:

Fig. 1

Neste momento da captura de pacotes estava em curso uma chamada entre o ramal 101 do HiPath 3000 V7 e o ramal 205 do HiPath 2000 V2.0, pois esta configurado um IPtrunking entre os dois sistemas. Como voc pode notar os pacotes trocados entre os dois sistemas foram encriptados e no podem ser alterados ou visualizados por terceiros.

SEN GSI TC Technology Center So Paulo

Pgina 4/26

VPN

4 Configurando os sistemas HiPath 3000 V7 e o HiPath 2000 V2.0.

1- Cenrio do tnel VPN entre os sistemas HiPath 3000 V7 e HiPath 2000 V2.0

Fig. 2

As verses utilizadas no cenrio do informativo tcnico so as seguintes: HiPath 3800 V7 R5.5.0; HG1500 V7 R5.2.0 HiPath 2000 V2.0 R5.3.0; Manager E V7.0 R5.3.0; Java verso V6.

SEN GSI TC Technology Center So Paulo

Pgina 5/26

VPN 2- Como j informado anteriormente os sistemas devero ter as licenas de IPSEC e CA para podermos configurar o tnel VPN. HiPath 3000 V7

Fig. 3 HiPath 2000 V2.0

Fig. 4

SEN GSI TC Technology Center So Paulo

Pgina 6/26

VPN

Configurao do sistema HiPath 3000 V7 (HiPath 3000 Matriz)

1. Configure o endereo IP da WAN. Ser necessrio reset do mdulo HG1500 aps esta configurao;

Fig. 5

2. O Default Router do HiPath 3000 ser o endereo IP configurado na WAN;

Fig. 6

SEN GSI TC Technology Center So Paulo

Pgina 7/26

VPN 3. Criar uma rota esttica para alcanar a rede do HiPath 2000 atravs do tunel VPN;

Fig. 7

4. Na opo Security voc configurar a VPN no HiPath 3000;

Fig. 8

SEN GSI TC Technology Center So Paulo

Pgina 8/26

VPN 5. Criando e configurando o tnel VPN no HiPath 3000 (Matriz);

Fig. 9

6. Configurar o tnel VPN conforme campos abaixo (lembre-se que os endereos IP utilizados mudam conforme a rede do cliente):

Add Configured IPsec Tunnel

Tunnel Data Name of the Tunnel: Type of the Local Tunnel Endpoint: Local Tunnel Endpoint Address: Type of the Remote Tunnel Endpoint: Remote Tunnel Endpoint Address: Session Key Handling: Suggested Encryption Algorithms AES DES 3DES Suggested Hash Algorithms MD5 Key Exchange Data
HiPath 2000 Filial Host 10.10.10.20 Host 10.10.10.30 Automatically, using IKE protocol

SEN GSI TC Technology Center So Paulo

Pgina 9/26

VPN

SHA1 hours Suggested Lifetime of the Session Keys: Suggested Lifetime of the Key Exchange Session:
8 8

min.
0 0

sec.
0 0

Gigabyte Suggested Data Volume of the Session Keys:

0

Megabyte
0

Kilobyte
0

unlimited

7. Configurar o tnel VPN para funcionar com pre-shared key. A pr-shared key dever ser a mesma na configurao do tnel VPN nos dois sistemas interligados, exemplo de senha: siemens. (O cliente dever escolher sua senha);

Fig. 10

SEN GSI TC Technology Center So Paulo

Pgina 10/26

VPN

8. Criar as seguintes regras (rules): 1 Criar regra (rules) para acesso ao prprio mdulo HG1500 do sistema HiPath 3000 (Matriz);

Fig. 11

2 Criar regra oposta da regra 2;

Fig. 12

SEN GSI TC Technology Center So Paulo

Pgina 11/26

VPN

3 Cria regra (rules) para acesso ao prprio HiPath 3000 V7;

Configured IPsec Rule

Priority: 3 Service: Any Service Rule-Based Action: PASS Encryption Required: No Rule State: Enabled

Source Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0

Destination Address
Type: Host IP Address: 172.24.13.100

4 Criar regra oposta da regra 3;

Add Configured IPsec Rule for opposite direction

Priority: 3 Service: Any Service Rule-Based Action: PASS Encryption Required: No Rule State: Enabled

Source Address
Type: Host IP Address: 172.24.13.100

Destination Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0

SEN GSI TC Technology Center So Paulo

Pgina 12/26

VPN

5 Criar regra (rules) para as interfaces WAN dos sistemas;

Configured IPsec Rule

Priority: 5 Service: Any Service Rule-Based Action: PASS Encryption Required: No Rule State: Enabled

Source Address
Type: Host IP Address: 10.10.10.20

Destination Address
Type: Host IP Address: 10.10.10.30 6 Criar regra oposta da regra 5;

Add Configured IPsec Rule for opposite direction

Priority: 5 Service: Any Service Rule-Based Action: PASS Encryption Required: No Rule State: Enabled

Source Address
Type: Host IP Address: 10.10.10.30

Destination Address
Type: Host IP Address: 10.10.10.20

SEN GSI TC Technology Center So Paulo

Pgina 13/26

VPN 7 Regra para o tnel VPN;

Configured IPsec Rule

Priority: 100 Service: Any Service Rule-Based Action: PASS Encryption Required: Yes Rule State: Enabled

Source Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0

Destination Address
Type: Subnet IP Subnet Address: 172.24.12.0 Subnet Mask: 255.255.255.0

Tunnels for Encryption

Tunnel on Receive Side: No Tunnel Assignment Tunnel on Transmit Side: HiPath 2000 Filial

SEN GSI TC Technology Center So Paulo

Pgina 14/26

VPN

8 Criar regra oposta da regra 100. Regra para o tnel VPN;

Add Configured IPsec Rule for opposite direction

Priority: 100 Service: Any Service Rule-Based Action: PASS Encryption Required: Yes Rule State: Enabled

Source Address
Type: Subnet IP Subnet Address: 172.24.12.0 Subnet Mask: 255.255.255.0

Destination Address
Type: Subnet IP Subnet Address: 172.24.13.0 Subnet Mask: 255.255.255.0

Tunnels for Encryption

Tunnel on Receive Side: HiPath 2000 Filial Tunnel on Transmit Side: No Tunnel Assignment 9. Ativar as tabelas configuradas;

Fig. 13

SEN GSI TC Technology Center So Paulo

Pgina 15/26

VPN

10. Ativar o IPSEC no HiPath 3000 (ativar os tneis VPN configurados no HiPath 3000);

Fig. 14

11. O IPSEC j esta ativado no HiPath 3000, todos os tneis VPN configurados j esto ativos;

Fig. 15

SEN GSI TC Technology Center So Paulo

Pgina 16/26

VPN

Configurao do sistema HiPath 2000 V2.0 (HiPath 2000 Filial)

1. Configure o endereo IP da WAN. Ser necessrio reset do HiPath 2000 aps esta configurao;

Fig. 16

2. O Default Router do HiPath 2000 ser o endereo IP configurado na WAN;

Fig. 17

SEN GSI TC Technology Center So Paulo

Pgina 17/26

VPN

3. Criar uma rota esttica para alcanar a rede do HiPath 3000 atravs do tnel VPN;

Fig.18

4. Na opo Segurana voc configurar a VPN no HiPath 2000;

Fig. 19

SEN GSI TC Technology Center So Paulo

Pgina 18/26

VPN

5. Criando e configurando o tnel VPN no HiPath 2000 (Filial);

Fig. 20

6. Configurar o tnel VPN conforme campos abaixo (lembre-se que os endereos IP utilizados mudam conforme a rede do cliente):

Adicionar Tnel IPsec configurado

Dados de tnel Dados de mudana de chave Nome do tnel: Tipo de ponto final do tnel local: Endereo de ponto final do tnel local : Tipo de ponto final do tnel remoto: Endereo de ponto final do tnel remoto: Tratamento da chave de sesso: Algoritmos de codificao recomendados AES DES 3DES Algoritmos hash recomendados
HiPath 3000 Matriz Host 10.10.10.30 Host 10.10.10.20 Automtico, com o protocolo IKE

SEN GSI TC Technology Center So Paulo

Pgina 19/26

VPN

MD5 SHA1 Hrs. Vida til recomendada das chaves de sesso: Vida til recomendada da sesso de mudana de chave:
8 8

Mn.
0 0

s
0 0

Gigabyte Megabyte Kilobyte ilimitado Volume de dados recomendado das chaves de sesso:
0 0 0

ndice de parmetros de segurana: Chave de sesso (codificao): Chave de sesso (hash): ndice de parmetros de segurana: Chave de sesso (codificao): Chave de sesso (hash):

Activar 'Perfect Forward Secrecy': Procedimento de autenticao para os parceiros VPN: Chave pr-compartilhada: Repetio da chave pr-compartilhada : Nota: ainda no h certificado disponvel. Grupo DH 1 Grupo DH 2 Grupo DH 5
Chaves pr-compartilhadas

SEN GSI TC Technology Center So Paulo

Pgina 20/26

VPN

7. Configurar o tnel VPN para funcionar com pre-shared key. A pr-shared key dever ser mesma na configurao do tnel VPN nos dois sistemas interligados, exemplo de senha: siemens (O cliente dever escolher sua senha);

Fig. 21

8. Criar as seguintes regras (rules): 1 Criar regra (rules) para acesso ao prprio sistema HiPath 2000 (Filial);

Fig. 22

SEN GSI TC Technology Center So Paulo

Pgina 21/26

VPN 2 Criar regra oposta da regra 2;

Fig. 23

3 Criar regra (rules) para as interfaces WAN dos sistemas;

Regra IPsec configurada

Prioridade: 5 Servio: Servio qualquer Aco para a regra: PASS Codificao necessria: No Estado da regra: Activado

Endereo de origem
Tipo: Host Endereo IP: 10.10.10.30

Endereo de destino
Tipo: Host Endereo IP: 10.10.10.20

SEN GSI TC Technology Center So Paulo

Pgina 22/26

VPN

4 Criar regra oposta da regra 5;

Adicionar Regra IPsec configurada para o sentido oposto

Prioridade: 5 Servio: Servio qualquer Aco para a regra: PASS Codificao necessria: No Estado da regra: Activado

Endereo de origem
Tipo: Host Endereo IP: 10.10.10.20

Endereo de destino
Tipo: Host Endereo IP: 10.10.10.30

5 Regra para o tnel VPN;

Regra IPsec configurada

Prioridade: 100 Servio: Servio qualquer Aco para a regra: PASS Codificao necessria: Sim Estado da regra: Activado

Endereo de origem
Tipo: Subrede Endereo subrede IP: 172.24.12.0 Mscara de subrede: 255.255.255.0

Endereo de destino
Tipo: Subrede Endereo subrede IP: 172.24.13.0 Mscara de subrede: 255.255.255.0

Tneis para a codificao

Tneis no lado de recepo: Nenhuma atribuio de tnel Tneis no lado de envio: HiPath 3000 Matriz

SEN GSI TC Technology Center So Paulo

Pgina 23/26

VPN

6 Criar regra oposta da regra 100. Regra para o tnel VPN;

Add Configured IPsec Rule for opposite direction

Prioridade: 100 Servio: Servio qualquer Aco para a regra: PASS Codificao necessria: Sim Estado da regra: Activado

Endereo de origem
Tipo: Subrede Endereo subrede IP: 172.24.13.0 Mscara de subrede: 255.255.255.0

Endereo de destino
Tipo: Subrede Endereo subrede IP: 172.24.12.0 Mscara de subrede: 255.255.255.0

Tneis para a codificao

Tneis no lado de recepo: HiPath 3000 Matriz Tneis no lado de envio: Nenhuma atribuio de tnel 9. Ativar as tabelas configuradas;

Fig. 24

SEN GSI TC Technology Center So Paulo

Pgina 24/26

VPN

10. Ativar o IPSEC no HiPath 2000 (ativar os tneis VPN configurados no HiPath 2000);

Fig. 25

11. O IPSEC j esta ativado no HiPath 2000, todos os tneis VPN configurados j esto ativos;

Fig. 26

Aps efetuar todo o procedimento acima o tnel VPN entre os sistemas j dever estar funcionando.

SEN GSI TC Technology Center So Paulo

Pgina 25/26

VPN

5 Restries.
Os testes foram feitos em ambiente de Laboratrio; Utilizamos os sistemas HiPath 2000 V2.0 R5.3.0 e o HiPath 3800 V7 R5.5.0 para efetuar este IT, portanto para obter as facilidades descritas neste IT os sistemas devero utilizar estas verses ou verses superiores. Dependemos da rede do cliente para esta VPN funcionar.

SEN GSI TC Technology Center So Paulo

Pgina 26/26