[GTER] RES: Estruturação de VPN

Marconi Pereira marconipp at hotmail.com
Wed Feb 18 17:07:23 -03 2009


Galera,
 
agradeço demais a todas as contribuições e repassarei todos esses emails para o amigo que me pediu ajuda.
 
Particularmente eu tenho uma VPN site-to-site aqui e é uma desgraça, vive dando xabu. Com tantos bons comentários sobre o OpenVPN, eu vou testar a implementação aqui!
 
Mais uma vez, obrigado a todos.
[]s
Marconi
 

----------------------------------------
> Date: Wed, 18 Feb 2009 15:45:13 -0300
> From: giulianocm at uol.com.br
> To: giulianocm at uol.com.br; gter at eng.registro.br
> Subject: Re: [GTER] RES: Estruturação de VPN
>
> Para usuarios moveis, a sugestao e utilizar SSL VPN.
>
> E bem mais flexivel, com alto nivel de seguranca tambem.
>
> Vc faz tudo via BROWSER, com alto nivel de integracao com a questao de
> autorizacao por grupos de usuarios (LDAP, MS AD, RADIUS, TACACS, etc).
>
> Varios players tem solucoes dedicadas de SSL VPN:
>
>
> - JUNIPER
>
> - F5
>
> - CITRIX
>
> - FORTINET (mais simples, mas ja vem dentro do proprio firewall).
>
>
> Algumas perguntas para dimensionar:
>
> - Qual o numero de usuarios remotos ?
>
> - Qual a banda de internet ?
>
> - Vc tera links ponto a ponto na topologia ?
>
> - Que tipos de servico o usuario precisar acessar ?
>
> - Vc fara bloqueios UTM no trafego dos usuarios: filtro URL, Anti-Spam,
> Anti-Virus, IPS ?
>
> - Vc autenticara os usuarios ?
>
> - Precisa de integracao com AD para autenticar ? Precisa de Single Sign
> On com ingra Microsoft ?
>
> - Precisa de que niveis de seguranca no micro do usuario remoto ?
>
> - Precisa de ambientes virtuais separados, quando o usuario por exemplo,
> estiver utilizando uma maquina do MAC Donalds pra acessar a sua intranet ?
>
> ..
>
> Acredito que tenhamos mais algumas questoes sobre roteamento, NAT, QoS,
> uso ou nao de sistema de VoIP.
>
> Tudo isso ajudara a definir melhor a tecnologia que vc podera utilizar.
>
> Qualquer duvida, me comunique.
>
> Obrigado,
>
> Giuliano
>
>
>
>
>
>> Para aplicacoes ponto a ponto, nos utilizamos os dispositivos da JUNIPER.
>>
>> A Juniper ja implementa SHA-2 e DH14 no fechamento do tunnel com IKEv1.
>>
>> Tambem poderemos utiliza IKEv2.
>>
>> E muito estavel e robusto e nao apresenta nenhum tipo de problema com
>> protocolos de roteamento.
>>
>> Acho que 2 players no seu caso, poderao atende-lo bem (CUSTO X BENEFICIO):
>>
>> - JUNIPER (familia SSG - melhor implementacao de IPSEC que conheco)
>> - FORTINET (se precisar adicionamente de UTM por perfil de grupos de
>> usuarios do AD da microsoft ...)
>>
>>
>> Att,
>>
>> Giuliano
>>
>>
>>
>>
>>
>>> Ja tive problemas sérios com o IPSec. certa vez deu problema com um
>>> dos link
>>> da Operadora e as VPN que usava IPsec não funcionava.. a sorte que
>>> mudei para
>>> o OpenVPN e até lá então no tive problemas..
>>>
>>> 2009/2/18 Alexandre Franco de Moraes :
>>>> IPSEC recomendo para site-to-site. Já tive problemas com usuários
>>>> moveis e
>>>> NAT ...
>>>> Hoje eu uso OpenVPN.
>>>>
>>>> Alexandre
>>>>
>>>> -----Mensagem original-----
>>>> De: gter-bounces at eng.registro.br
>>>> [mailto:gter-bounces at eng.registro.br] Em
>>>> nome de Luiz Neto
>>>> Enviada em: quarta-feira, 18 de fevereiro de 2009 13:15
>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>>> Assunto: Re: [GTER] Estruturação de VPN
>>>>
>>>> IPSEC é um lixo? Caro? Só vai dar dor de cabeça?
>>>>
>>>> 1. Tenho funcionando em vários clientes sem problema algum.
>>>> 2. Existem dezenas de projetos opensource de IPSEC ou seja "de grátis"
>>>> 3. Praticamente 100% de appliances, roteadores e etc são compatíveis
>>>> com IPSEC, nunca vi nenhum compatível com OpenVPN. (Isso sim pode dar
>>>> uma grande dor de cabeça)
>>>>
>>>>
>>>> Itamar, acho que você está equivocado.
>>>>
>>>> Att,
>>>>
>>>> Luiz Neto.
>>>>
>>>>
>>>>
>>>>
>>>> 2009/2/18 Kurt Kraut :
>>>>> 2009/2/18 Itamar Reis Peixoto :
>>>>>> eu recomendo utilizar o openvpn, posso te garantir que ira` funcionar
>>>> 1000%
>>>>>> fuja do ipsec
>>>>>>
>>>>>> ipsec `e lixo, custa caro e so vai te dar dor de cabeca
>>>>>>
>>>>>>
>>>>>> 2009/2/18 Marconi Pereira :
>>>>>>> Bom dia pessoal,
>>>>>>>
>>>>>>> um amigo me pediu uma indicação de alguma empresa que faça o seguinte
>>>> trabalho no Rio de Janeiro, durante o mês de abril, com as seguintes
>>>> características:
>>>>>>> 1- Dimensionar, instalar, configurar e administrar uma estrutura de
>>>> conexão remota VPN padrão IPSec e SSL nas dependências de um
>>>> escritório no
>>>> Rio de Janeiro;
>>>>>>> 2- Permitir um mínimo de 30 acessos simultâneos de usuário remotos
>>>> utilizando software cliente (client-based);
>>>>>>> 3- Permitir um mínimo de 45 acessos simultâneos de usuários
>>>>>>> remotos sem
>>>> a utilização de software cliente através de SSL (clientless)
>>>>>>> 4- Permitir a conexão de pelos menos duas redes remotas (site to
>>>>>>> site).
>>>>>>>
>>>>>>> (ps.: incluir todo o hardware necessário).
>>>>>>>
>>>>>>> Contatos em PVT.
>>>>>>> Obrigado,
>>>>>>> Marconi
>>>>>>>
>>>>>>>
>>>>>>> _________________________________________________________________
>>>>>>> Stay up to date on your PC, the Web, and your mobile phone with
>>>>>>> Windows
>>>> Live.
>>>>>>> http://clk.atdmt.com/MRT/go/msnnkwxp1020093185mrt/direct/01/
>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> ------------
>>>>>>
>>>>>> Itamar Reis Peixoto
>>>>>>
>>>>>> e-mail/msn: itamar at ispbrasil.com.br
>>>>>> sip: itamar at ispbrasil.com.br
>>>>>> skype: itamarjp
>>>>>> icq: 81053601
>>>>>> +55 11 4063 5033
>>>>>> +55 34 3221 8599
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>> Aloha,
>>>>>
>>>>>
>>>>> Também referendo o uso do OpenVPN. Tem clientes para quase todos os
>>>>> sistemas operacionais. Com uma conf de menos de 10 linhas dá para
>>>>> fazer uma VPN ponto a ponto. É fácil modificar nele MTU e até
>>>>> adicionar compressão lzo.
>>>>>
>>>>>
>>>>> Atenciosamente,
>>>>>
>>>>>
>>>>> Kurt Kraut (listas at kurtkraut.net)
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>>
>>>
>>> ------------------------------------------------------------------------
>>>
>>>
>>> Nenhum vírus encontrado nessa mensagem recebida.
>>> Verificado por AVG - www.avgbrasil.com.br Versão: 8.0.237 / Banco de
>>> dados de vírus: 270.10.25/1958 - Data de Lançamento: 02/18/09 08:57:00
>>>
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>>
>> ------------------------------------------------------------------------
>>
>>
>> Nenhum vírus encontrado nessa mensagem recebida.
>> Verificado por AVG - www.avgbrasil.com.br
>> Versão: 8.0.237 / Banco de dados de vírus: 270.10.25/1958 - Data de Lançamento: 02/18/09 08:57:00
>>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
_________________________________________________________________
Stay up to date on your PC, the Web, and your mobile phone with Windows Live.
http://clk.atdmt.com/MRT/go/msnnkwxp1020093185mrt/direct/01/


More information about the gter mailing list