Configuração de túnel VPN L2TP-IPSec Based

1. Acesse a página de configuração do Firewall através do endereço 192.168.1.1.

2. No menu do lado esquerdo, clique sobre a opção Objects, em seguida sobre Address Book e Interface Addresses. Clique em Add > IP Address.

3. Defina um nome para a faixa de endereços (sugestão: range-l2tp). Defina a faixa de endereços que será distribuída para os clientes L2TP

Clique em OK

4. No menu do lado esquerdo, clique sobre a opção VPN Objects, em seguida em IPSec Algorithms. Clique em Add > IPSec Algorithm.

5. Defina um nome para a proposta de chaves. No campo Encryption Algorithms, marque os algoritmos que serão utilizados pelos clientes L2TP (por padrão, 3DES e DES). No campo Integrity Algorithms, marque as opções MD5 e SHA1.

Clique em OK.

6. Clique sobre Objects, em seguida sobre Authentication Objects, Add > Pre-Shared Key. Defina um nome para a senha que será utilizada no túnel IPSec. Selecione Passphrase e defina a senha a ser utilizada

Clique em OK.

7. No menu do lado esquerdo, clique sobre a opção Interfaces, em seguida sobre IPSec e em Add > IPSec Tunnel.

8. Defina um nome para o túnel (sugestão: ipsec-tunnel), preencha os campos conforme descrito abaixo:

• Local Network: selecione a interface externa pela qual os usuários se conectarão (no exemplo, wan1_ip)

• Remote Network: defina a rede remota que irá se conectar ao servidor IPSec (no exemplo, all-nets para todas as redes da Internet)

• Remote Endpoint: defina o IP remoto que irá se conectar (no exemplo, all-nets para todas as redes da Internet)

• Encapsulation Mode: selecione Transport

• IKE Algorithms: selecione Medium (a critério)

• IKE Lifetime: defina 28800 (a critério)

• IPSec Algorithms: selecione o objeto criado no passo 5 • IPSec Lifetime (segundos): defina 3600 (a critério) • IPSec Lifetime (KBytes): defina 250000 (a critério)

Clique sobre a guia Authentication.

9. Marque a opção Pre-Shared Key e selecione o objeto criado no passo 6.

Clique sobre a guia Routing.

10. Marque as opções Allow DHCP over IPsec from single-host clients e Dynamically add route to the remote network when a tunnel is established

Clique em OK

11. No menu do lado esquerdo, clique sobre a opção PPTP/L2TP Servers, em seguida em Add > PPTP/L2TP Server.

12. Defina um nome para o túnel L2TP (sugestão: l2tp-server ), preencha os campos conforme descrito abaixo:

• Inner IP Address: defina o endereço de IP interno ao qual os clientes L2TP terão acesso ao se conectarem à VPN (no exemplo, lan_ip)

• Tunnel Protocol: selecione L2TP • Outer Interface Filter: selecione o objeto criado para o túnel IPSec (criado no

passo 8) • Server IP: Defina a interface que deverá permanecer em Listening para que

seja estabelecido o túnel VPN (no exemplo, wan1_ip)

Clique sobre a guia PPP Parameters.

13. Mantenha marcadas todas as opções dos campos General e Microsoft Point-to-Point Encryption (MPPE). No campo IP Pool, opção IP Pool, selecione o objeto criado no passo 2 com a faixa de endereços de IP a serem distribuídos aos clientes L2TP.

Clique sobre a guia Add Route.

14. No campo Proxy Arp, mova a interface interna que manterá comunicação com os clientes L2TP para o campo Selected (no nosso exemplo, Lan1).

Clique em OK.

15. No menu do lado esquerdo, clique sobre a opçao User Authentication, em seguida sobre Local User Database e adicione um base de dados de usuários através da opção Add > Local User Database.

16. Defina um nome para a base de usuários (sugestão: users-l2tp). A tele será automaticamente redirecionada para a criação de usuários. Adicione-os clicando em Add > User, defina a senha de acesso.

Clique em OK.

17. Clique sobre a opção User Authentication Rules, em seguida em Add > UserAuthRule. Defina um nome para a regra de usuários e preencha os campos conforme descrito abaixo:

• Agent: selecione PPP

• Authentication Source: selecione Local • Interface: selecione o objeto referente ao servidor L2TP criado no passo 12.

• Originator IP: selecione all-nets.

• Terminator IP: selecione wan1_ip.

Clique sobre a guia Authentication Options

18. Na opção Local User Database, selecione o base de usuários criada no passo 16

Clique em OK.

19. No menu do lado esquerdo, clique sobre a opção Rules, em seguida em IP Rules. Caso deseje, crie uma pasta para adicionar as regras referentes ao túnel L2TP. Clique em Add > IP Rule para adicionar as regras a seguir:

1º Regra

• Name: defina um nome para a regra (sugestão: fromClients) • Action: allow

• Services: all-services • Schedule: none (pode ser definido um horário para operação da regra)

• Source Interface: selecione o objeto referente ao túnel L2TP • Source Network: selecione o objeto referente à faixa de IPs

• Destination Interface: selecione a interface de destino dos clientes (no exemplo, lan1) • Destination Network: selecione a rede de destino dos clientes (no exemplo, lan1net)

Clique em OK.

2º Regra

• Name: defina um nome para a regra (sugestão: toClients) • Action: allow

• Services: all-services • Schedule: none (pode ser definido um horário para operação da regra) • Source Interface: selecione a interface de destino dos clientes (no exemplo, lan1)

• Source Network: selecione a rede de destino dos clientes (no exemplo, lan1net) • Destination Interface: selecione o objeto referente ao túnel L2TP

• Destination Network: selecione o objeto referente à faixa de IPs

Clique em OK.

20. Para finalizar, clique na opção Configuration no menu superior, em seguida em Save and Activate para salvar as configurações.