Tendo a necessidade de estabelecer uma VPN Lan-to-Lan com IPSec*, onde um dos lados (ou até ambos) encontrem-se "atrás" de um modem ADSL Alcatel Speed Touch Pro, deve-se configurá-lo para permitir o repasse "transparente" dos pacotes do túnel VPN a ser estabelecido.
Para isso, deve-se levar em conta que o estabelecimento do túnel requer conexões ponta-a-ponta:
Para isso, deve-se levar em conta que o estabelecimento do túnel requer conexões ponta-a-ponta:
- Porta UDP 500 (ISAKMP), para o processo IKE (Internet Key Exchange), ou seja, a troca de chaves de autenticação mútua das pontas. Nesta etapa deve-se fazer o NAT do endereço público (externo) do modem para o endereço privado (interno) do dispositivo com o qual o túnel será estabelecido (endpoint);
- Protocolo nr. 50 (ESP - Encryption Security Protocol), protocolo através do qual é estabelecido o túnel criptografado e por onde trafegam os pacotes. Esta etapa não admite NAT, o que alteraria o cabeçalho (header) dos pacotes e consequentemente comprometeria o processo criptográfico. Portanto, deve-se simplesmente redirecionar todos os pacotes que chegarem à interface externa através deste protocolo para o endereço IP interno do "endpoint".
Como fazer:
- Através de um computador conectado à mesma rede "interna" onde esteja o modem ADSL (o padrão é que ele venha com o IP 10.0.0.138/255.0.0.0), acessar sua CLI (Command Line Interface) via telnet (ex.: [host]$ telnet 10.0.0.138). Ao receber o prompt solicitando usuário, deixar em branco e teclar [ENTER], e na senha, informar a senha para logar. Uma senha padrão conhecida nos Speed Touch instalados pela Brasil Telecom é "keycode&senh@01";
- No prompt "=>", entrar com os comandos "nat protocol=udp inside_addr=10.0.0.x inside_port=500 outside_addr=0.0.0.0 outside_port=500" seguido de "nat unbind application=ESP" ou "nat unbind application=ESP port=1" ou ainda "nat protocolo=50 inside_addr=10.0.0.x outside_addr=0.0.0.0";
- Os comandos não devem retornar nenhuma mensagem e devolver o prompt "=>" após serem confirmados com [ENTER]. O correto deverá ser a combinação do primeiro comando com um dos outros três, sendo incorreto para a sua versão de Modem/Firmware aquele comando que retornar uma mensagem de erro ao ser confirmado;
- Salvar a configuração alterada com o comando "config save" de então sair (não há um comando "logout" ou "exit", então saia com [CTRL]+[C] mesmo).
(*) Neste cenário, estou utilizando um túnel IPSec que utiliza apenas IKE+ESP. No caso de utilizar também AH (Authentication Header), acrescentar na segunda etapa (após o ESP), também o redirecionamento do protocolo nr. 51 (AH).
(**) Agradeço à publicação da dica do Luciano no Abusar.org (http://www.abusar.org/manuais/m_alcatel.html) e ao artigo por ele citado (http://www.ozcableguy.com/alcatel.html#vpn), que me serviram de base para este.
Nenhum comentário:
Postar um comentário