O
que são os túneis (tunnelling) ?
A função de VPN nos router's Vigor2200/2300/2600/2900
permite interligar redes de computadores usando a Internet.
Apesar desta capacidade ser possível usando endereços
IP públicos, é altamente inseguro. Nas
ligações a VPN's são criados "túneis"
na Internet - ou seja, é criada uma ligação
segura entre um ponto e outro, usando uma encriptação
de Alto-Nível. Neste caso apesar da ligação
ser efectuada em redes públicas (Internet), todos
os dados que passarem dentro dessa ligação
(Túnel) serão encriptados. Fora desse
Túnel os dois routers usam endereços IP
públicos (quer sejam Estáticos ou Dinâmicos),
mas dentro desse mesmo túnel serão usados
os endereços IP da sua Rede Local (ex: 192.168.1.1
até 192.168.1.254) ao qual não poderão
ser acessíveis pela Internet. Isto tudo poderá
parecer complicado (e é!) mas a analogia é
simples.
A
analogia.....
Veja a diferença entre uma viagem de Inglaterra
para França usando um barco ou usando o Eurotunnel.
Usando o barco todas as pessoas o podem ver, conseguem
ver o que está a usar, o que está a transportar
e até o podem "capturar" - não
existe segurança ou privacidade. Usando o Eurotunnel,
apesar de fazer o mesmo trajecto, é praticamente
impossivel entrar ou sair do túnel, excepto na
entrada e na saida do túnel, ao qual é
seguro. Um observador no exterior apenas verá
um túnel, que poderá conter alguma coisa,
ou nada de todo.
É
possivel interligar redes Microsoft usando o routers
Vigor ?
Sim ! As ligações VPN permitem interligar
qualquer tipo de rede que use o protocolo TCP/IP, pelo
que se estiver a usar uma rede Microsoft , quer seja
peer-to-peer ou cliente/servidor sobre TCP/IP,
poderá interligar utilizadores e computadores
usando uma ligação VPN. O objectivo das
VPN's é pôr os routers a fazerem o mais
"complicado" (a parte toda de ligação
e encriptação) permitindo depois o acesso
á rede TCP/IP remota sem dificuldade nenhuma
(como se toda a rede estivesse no mesmo local). Isto
significa que poderá aceder a qualquer PC, Servidor,
Linux ou até uma impressora onde quer que esteja
- qualquer coisa que corra sobre o protocolo TCP/IP.
Este tipo de ligações permite ser feito
entre dois routers Vigor2200/2300/2600/2900, entre um
router Vigor2200/2600/2300 e um PC (usando um cliente
de VPN), com routers de outros fabricantes (com VPN)
ou um Servidor Windows 2000 que esteja configurado para
VPN's.
Exemplo
prático :
Imagine que tem tem um escritório em Lisboa (gama
de endereços IP: 192.168.0.0) e outro no Porto
(gama de endereços IP: 10.0.0.0). Repare como
os dois escritórios usam uma gama de endereços
IP distintas. Poderá existir uma mistura de Servidores
e Clientes em ambas as redes.
Ambos
os escritórios usam rede Microsoft. Cada escritório
tem um router Vigor2200 ligado á Internet (quer
seja via ADSL/Cabo ou RDIS). Obviamente é preferivel
uma ligação "permanente" (always-on)
á Internet para ligações a VPN's.
Cada
router Vigor2200 está configurado com os detalhes
do router "remoto". Para além do Username
e Password os detalhes mais importantes sobre o router
"remoto" são o endereço IP privado
(da rede local) e o endereço IP público.
Veja tabela seguinte :
| |
Escritório
em Lisboa |
Escritório
no Porto |
Endereço
IP Público |
194.153.10.18 |
204.153.0.18 |
Endereço
IP Privado |
192.168.0.1
- 192.168.0.254 |
10.0.0.1
- 10.0.0.254 |
Router |
192.168.0.1 |
10.0.0.1 |
PC
Servidor |
192.168.0.12 |
10.0.0.151 |
PC
Cliente |
192.168.0.34 |
10.0.0.26 |
Visto
a tabela em cima, o PC Cliente em Lisboa (192.168.0.34)
consegue obviamente comunicar com o PC Servidor em Lisboa
com o endereço 192.168.0.12. Se o PC Cliente
em Lisboa tentar comunicar com o PC Servidor que se
encontra no Escritorio do Porto (10.0.0.151) o router
Vigor2200 sabe que esse endereço IP encontra-se
no Escritório no Porto e que terá de aceder
ao endereço IP público 204.153.0.18. Após
a negociação entre os dois routers será
criado um Túnel e a partir dai poderá
então haver transmissão de dados entre
os dois escritórios.
Acesso
remoto via cliente VPN
Os
routers Vigor permitem ainda ligações
VPN's de clientes (quer estejam ligados via RDIS, Cabo,
ADSL, etc) que tenham um cliente instalado no seu sistema
(Windows 98/2000/XP...), não sendo obrigatório
ter outro router Vigor no outro lado, como mostra imagem
em baixo:
E
quanto aos endereços IP dinâmicos ?
No exemplo referido, foi presuposto que cada ligação
á Internet de cada escritório tivesse
um endereço IP fixo (194.153.10.18 e 204.153.0.18).
Isto significa que quando um dos routers precisar de
fazer comunicação com o router que se
encontra na rede remota, é necessário
saber á partida qual o endereço IP público
na Internet.do router remoto. Na realidade o mais comum
é o seu ISP disponibilizar endereços IP
dinâmicos - que mudam regularmente. Neste caso
como é que os routers poderão comunicar
entre si se não souberem o endereço IP
público do router remoto ? Simples : Usando um
serviço de DNS/URL dinâmicos (Dynamic DNS)
!
Naturalmente
estará habituado ao conceito de URL - ao qual
permite ter um nome fácil de memorizar (ex: www.draytek.com)
em vez de ter de se lembrar do endereço IP do
servidor (ex: 195.11.231.67). Todos os URL's estão
apontados para um endereço IP. Usando um dos
vários serviços de DNS dinâmicos
disponíveis na Internet poderá ter o seu
próprio URL (ex: router-porto.dyndns.org). O
router actualizará o servidor de serviços
de DNS dinâmicos cada vez que o seu endereço
IP mudar, de modo ao seu URL (router-porto.dyndns.org),
apontar sempre para o seu endereço IP actual.
Para usar esta função não necessita
de instalar nenhum software adicional, visto esta funcionalidade
estar disponivel no próprio router Vigor.
Quais
os protocolos de VPN suportados pelos Router's Vigor
?
A série de routers Vigor2200/2300/2600/2900 suporta
túneis em IPSec, PPTP, L2TP e L2TP sobre IPSec.
Os túneis em IPSec podem funcionar em modo AH
ou em modo ESP, com ou sem autenticação
e com encriptação em DES (56-bit) ou 3DES
(168-bit) para maior segurança.
Que
tipo de ligações são possiveis
com o Vigor2200/2300/2600/2900 ?
O Vigor2200/2300/2600/2900 permite estabelecer VPN's
na Internet via :
-
Utilizador
num PC com um cliente de VPN (Windows 98/NT/2K/XP)
. Uma vez ligado o utilizador poderá aceder
á rede remota através de um túnel.
-
Para
outro router Vigor2200 - Duas redes remotas interligadas
através de um túnel. Os utilizadores
de cada rede poderão aceder aos recursos
da rede remota.
-
Para
um servidor Windows 2000 configurado para VPN's.
-
Para
um Cisco™ Pix, Nokia™, Sonicwall™,
Checkpoint™, ZyWall™ or Watchguard™
com capaciade de VPN's
-
Suporte
até 8 túneis em simultâneo para
série Vigor2200/2600 (16 para o Vigor
2300/2600G e 32 para o Vigor2900) (com uma
combinação dos vários tipos
acima referidos)
Controlo
de ligações
O Vigor2200/2600 suporta até 8 (16 para o
Vigor 2300/2600G e 32 para o Vigor2900) ligações
em simultâneo a VPN's (ex: interligar o seu escritório
até oito locais remotos). Poderá controlar
as ligações efectuadas através
do menu "VPN Connection Status", onde encontrará
as ligações activas e as referentes estatísticas
(bytes transmitidos, etc). Exemplo :
...
mas qualquer router de hoje em dia não tem suporte
a VPN's ?
Não! Muitos dos routers que indicam "Suporte
a VPN's" apenas indicam que permitem passar ligações
deste género, e não necessariamente toda
a parte de autenticação e encriptação.
Ou seja, necessitará de ter sempre um servidor
ou cliente de VPN na rede local, enquanto que nos router's
Vigor todo o processamento de VPN's está inbutido
no próprio router.
Resumo
das capacidades de VPN :
-
Interligação de redes e utilizadores
usando a Internet
-
Suporte até 8 túneis
em simultâneo na série Vigor2200
e Vigor2600
-
Suporte até 16 túneis
em simultâneo na série Vigor2300,
Vigor2600G e Vigor2200E-Plus
-
Suporte até 32 túneis
em simultâneo na série Vigor2900
-
Vários tipos de ligações :
- de Cliente (Windows 9x/Windows 2000/XP) para Router
Vigor usando PPTP, L2TP
e L2TP sobre IPSec
-
de Router para Router (LAN-to-LAN) usando IPSec,
PPTP, L2TP ou L2TP
sobre IPec
-
Autenticação de chaves Pre-shared para
estabelecer ligações trust entre dois
hosts
-
Algoritmos de encriptação DES
(56-bit), 3DES (168-bit),
AES e MPPE
-
Algoritmos de integração SHA-1
e MD5 para protocolo ESP
Para saber
como configurar os Router´s Vigor para utilizar
ligações VPN consulte a nossa secção
de FAQ´s aqui
Para
mais informações sobre VPN's recomendamos
o seguinte artigo (Inglês) : "How
Virtual Private Networks Work"
|
