[GTER] RES: Estruturação de VPN
Felipe Santos - Rasputin
felipe.nix at gmail.com
Wed Feb 18 17:25:39 -03 2009
Recomendaria..
Ipsec para site-to-site ( Openswan, Racoon são gratuítos)
Openvpn para client.
SSL-Explorer para clientless... todos são faceis de instalar e configurar,
tem suporte da comunidade opensource de sobra e resolverão seu cenário por
completo.
#========================#
Felipe Santos '<\( Rasputin )/>'
E-mail/Gtalk: felipe.nix at gmail.com
MSN: flph2 at hotmail.com
Comunidade Openswan-BR
www.br.openswan.org
Mantenedor EOS-Linux
eos.brc.com.br
#========================#
2009/2/18 Marconi Pereira <marconipp at hotmail.com>
>
> Galera,
>
> agradeço demais a todas as contribuições e repassarei todos esses emails
> para o amigo que me pediu ajuda.
>
> Particularmente eu tenho uma VPN site-to-site aqui e é uma desgraça, vive
> dando xabu. Com tantos bons comentários sobre o OpenVPN, eu vou testar a
> implementação aqui!
>
> Mais uma vez, obrigado a todos.
> []s
> Marconi
>
>
> ----------------------------------------
> > Date: Wed, 18 Feb 2009 15:45:13 -0300
> > From: giulianocm at uol.com.br
> > To: giulianocm at uol.com.br; gter at eng.registro.br
> > Subject: Re: [GTER] RES: Estruturação de VPN
> >
> > Para usuarios moveis, a sugestao e utilizar SSL VPN.
> >
> > E bem mais flexivel, com alto nivel de seguranca tambem.
> >
> > Vc faz tudo via BROWSER, com alto nivel de integracao com a questao de
> > autorizacao por grupos de usuarios (LDAP, MS AD, RADIUS, TACACS, etc).
> >
> > Varios players tem solucoes dedicadas de SSL VPN:
> >
> >
> > - JUNIPER
> >
> > - F5
> >
> > - CITRIX
> >
> > - FORTINET (mais simples, mas ja vem dentro do proprio firewall).
> >
> >
> > Algumas perguntas para dimensionar:
> >
> > - Qual o numero de usuarios remotos ?
> >
> > - Qual a banda de internet ?
> >
> > - Vc tera links ponto a ponto na topologia ?
> >
> > - Que tipos de servico o usuario precisar acessar ?
> >
> > - Vc fara bloqueios UTM no trafego dos usuarios: filtro URL, Anti-Spam,
> > Anti-Virus, IPS ?
> >
> > - Vc autenticara os usuarios ?
> >
> > - Precisa de integracao com AD para autenticar ? Precisa de Single Sign
> > On com ingra Microsoft ?
> >
> > - Precisa de que niveis de seguranca no micro do usuario remoto ?
> >
> > - Precisa de ambientes virtuais separados, quando o usuario por exemplo,
> > estiver utilizando uma maquina do MAC Donalds pra acessar a sua intranet
> ?
> >
> > ..
> >
> > Acredito que tenhamos mais algumas questoes sobre roteamento, NAT, QoS,
> > uso ou nao de sistema de VoIP.
> >
> > Tudo isso ajudara a definir melhor a tecnologia que vc podera utilizar.
> >
> > Qualquer duvida, me comunique.
> >
> > Obrigado,
> >
> > Giuliano
> >
> >
> >
> >
> >
> >> Para aplicacoes ponto a ponto, nos utilizamos os dispositivos da
> JUNIPER.
> >>
> >> A Juniper ja implementa SHA-2 e DH14 no fechamento do tunnel com IKEv1.
> >>
> >> Tambem poderemos utiliza IKEv2.
> >>
> >> E muito estavel e robusto e nao apresenta nenhum tipo de problema com
> >> protocolos de roteamento.
> >>
> >> Acho que 2 players no seu caso, poderao atende-lo bem (CUSTO X
> BENEFICIO):
> >>
> >> - JUNIPER (familia SSG - melhor implementacao de IPSEC que conheco)
> >> - FORTINET (se precisar adicionamente de UTM por perfil de grupos de
> >> usuarios do AD da microsoft ...)
> >>
> >>
> >> Att,
> >>
> >> Giuliano
> >>
> >>
> >>
> >>
> >>
> >>> Ja tive problemas sérios com o IPSec. certa vez deu problema com um
> >>> dos link
> >>> da Operadora e as VPN que usava IPsec não funcionava.. a sorte que
> >>> mudei para
> >>> o OpenVPN e até lá então no tive problemas..
> >>>
> >>> 2009/2/18 Alexandre Franco de Moraes :
> >>>> IPSEC recomendo para site-to-site. Já tive problemas com usuários
> >>>> moveis e
> >>>> NAT ...
> >>>> Hoje eu uso OpenVPN.
> >>>>
> >>>> Alexandre
> >>>>
> >>>> -----Mensagem original-----
> >>>> De: gter-bounces at eng.registro.br
> >>>> [mailto:gter-bounces at eng.registro.br] Em
> >>>> nome de Luiz Neto
> >>>> Enviada em: quarta-feira, 18 de fevereiro de 2009 13:15
> >>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> >>>> Assunto: Re: [GTER] Estruturação de VPN
> >>>>
> >>>> IPSEC é um lixo? Caro? Só vai dar dor de cabeça?
> >>>>
> >>>> 1. Tenho funcionando em vários clientes sem problema algum.
> >>>> 2. Existem dezenas de projetos opensource de IPSEC ou seja "de grátis"
> >>>> 3. Praticamente 100% de appliances, roteadores e etc são compatíveis
> >>>> com IPSEC, nunca vi nenhum compatível com OpenVPN. (Isso sim pode dar
> >>>> uma grande dor de cabeça)
> >>>>
> >>>>
> >>>> Itamar, acho que você está equivocado.
> >>>>
> >>>> Att,
> >>>>
> >>>> Luiz Neto.
> >>>>
> >>>>
> >>>>
> >>>>
> >>>> 2009/2/18 Kurt Kraut :
> >>>>> 2009/2/18 Itamar Reis Peixoto :
> >>>>>> eu recomendo utilizar o openvpn, posso te garantir que ira`
> funcionar
> >>>> 1000%
> >>>>>> fuja do ipsec
> >>>>>>
> >>>>>> ipsec `e lixo, custa caro e so vai te dar dor de cabeca
> >>>>>>
> >>>>>>
> >>>>>> 2009/2/18 Marconi Pereira :
> >>>>>>> Bom dia pessoal,
> >>>>>>>
> >>>>>>> um amigo me pediu uma indicação de alguma empresa que faça o
> seguinte
> >>>> trabalho no Rio de Janeiro, durante o mês de abril, com as seguintes
> >>>> características:
> >>>>>>> 1- Dimensionar, instalar, configurar e administrar uma estrutura de
> >>>> conexão remota VPN padrão IPSec e SSL nas dependências de um
> >>>> escritório no
> >>>> Rio de Janeiro;
> >>>>>>> 2- Permitir um mínimo de 30 acessos simultâneos de usuário remotos
> >>>> utilizando software cliente (client-based);
> >>>>>>> 3- Permitir um mínimo de 45 acessos simultâneos de usuários
> >>>>>>> remotos sem
> >>>> a utilização de software cliente através de SSL (clientless)
> >>>>>>> 4- Permitir a conexão de pelos menos duas redes remotas (site to
> >>>>>>> site).
> >>>>>>>
> >>>>>>> (ps.: incluir todo o hardware necessário).
> >>>>>>>
> >>>>>>> Contatos em PVT.
> >>>>>>> Obrigado,
> >>>>>>> Marconi
> >>>>>>>
> >>>>>>>
> >>>>>>> _________________________________________________________________
> >>>>>>> Stay up to date on your PC, the Web, and your mobile phone with
> >>>>>>> Windows
> >>>> Live.
> >>>>>>> http://clk.atdmt.com/MRT/go/msnnkwxp1020093185mrt/direct/01/
> >>>>>>> --
> >>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> ------------
> >>>>>>
> >>>>>> Itamar Reis Peixoto
> >>>>>>
> >>>>>> e-mail/msn: itamar at ispbrasil.com.br
> >>>>>> sip: itamar at ispbrasil.com.br
> >>>>>> skype: itamarjp
> >>>>>> icq: 81053601
> >>>>>> +55 11 4063 5033
> >>>>>> +55 34 3221 8599
> >>>>>> --
> >>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>> Aloha,
> >>>>>
> >>>>>
> >>>>> Também referendo o uso do OpenVPN. Tem clientes para quase todos os
> >>>>> sistemas operacionais. Com uma conf de menos de 10 linhas dá para
> >>>>> fazer uma VPN ponto a ponto. É fácil modificar nele MTU e até
> >>>>> adicionar compressão lzo.
> >>>>>
> >>>>>
> >>>>> Atenciosamente,
> >>>>>
> >>>>>
> >>>>> Kurt Kraut (listas at kurtkraut.net)
> >>>>> --
> >>>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>> --
> >>>> gter list https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>
> >>>
> >>>
> >>>
> >>>
> ------------------------------------------------------------------------
> >>>
> >>>
> >>> Nenhum vírus encontrado nessa mensagem recebida.
> >>> Verificado por AVG - www.avgbrasil.com.br Versão: 8.0.237 / Banco de
> >>> dados de vírus: 270.10.25/1958 - Data de Lançamento: 02/18/09 08:57:00
> >>>
> >>
> >>
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >>
> >> ------------------------------------------------------------------------
> >>
> >>
> >> Nenhum vírus encontrado nessa mensagem recebida.
> >> Verificado por AVG - www.avgbrasil.com.br
> >> Versão: 8.0.237 / Banco de dados de vírus: 270.10.25/1958 - Data de
> Lançamento: 02/18/09 08:57:00
> >>
> >
> >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> _________________________________________________________________
> Stay up to date on your PC, the Web, and your mobile phone with Windows
> Live.
> http://clk.atdmt.com/MRT/go/msnnkwxp1020093185mrt/direct/01/
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list