Utilizando o script vpnautomatica
Quem trabalha com firewalls Linux interconectados por circuitos privados, sabe que não é simples provisionar um meio de backup rápido e eficiente que não seja a aquisição de um link extra, nesse artigo mostro como fazer uma contingência usando uma VPN IPsec pela internet.
Parte 3: Premissas para funcionamento
1. Acesso aos firewall sem precisar digitar a senha.
O servidor que executará o script da vpn automática precisar ter a chave SSH copiada para todos os firewalls, caso contrário toda vez que executar o script pedirá várias vezes para digitar senha tornando a execução pouco prática.
Para detalhes desse procedimento recomendo os artigos:
2. Pacote do Openswan instalado.
Todas as configurações de VPN são realizadas baseado no pacote Openswan, por isso todos os firewalls precisam te-lo instalado previamente.
3. Chaves de acesso IPsec.
Antes de fechar a VPN é necessário criar um chave de acesso em cada firewall que irá fechar a VPN.
Recomendo esse artigo sobre a configuração de chaves IPsec.
4. Pacote sudo instalado em todos os firewall.
O script utiliza o sudo para execução dos comandos, por isso esse pacote é obrigatório, além disso o login configurado no script não deve digitar senha para usar o sudo.
Para detalhes dessas configurações recomendo os artigos.
5. Regras no firewall permitindo VPN a IPsec.
Os firewalls que forem fechar a VPN IPsec precisam ter regras de INPUT permitindo que a VPN seja fechada, além de regras de FORWARD permitindo que os acesso as redes passem pela interface de internet.
6. Firewalls baseado em Debian ou derivados.
O script foi criado e testado utilizando o Debian 8, por isso para o funcionamento deve utilizar firewalls Debian ou alguma distribuição derivada, como Ubuntu.
O servidor que executará o script da vpn automática precisar ter a chave SSH copiada para todos os firewalls, caso contrário toda vez que executar o script pedirá várias vezes para digitar senha tornando a execução pouco prática.
Para detalhes desse procedimento recomendo os artigos:
- Conexões SSH sem senha fácil e descomplicado [Artigo]
- Adicionar uma chave pública no Linux | Mastigado
2. Pacote do Openswan instalado.
Todas as configurações de VPN são realizadas baseado no pacote Openswan, por isso todos os firewalls precisam te-lo instalado previamente.
3. Chaves de acesso IPsec.
Antes de fechar a VPN é necessário criar um chave de acesso em cada firewall que irá fechar a VPN.
Recomendo esse artigo sobre a configuração de chaves IPsec.
4. Pacote sudo instalado em todos os firewall.
O script utiliza o sudo para execução dos comandos, por isso esse pacote é obrigatório, além disso o login configurado no script não deve digitar senha para usar o sudo.
Para detalhes dessas configurações recomendo os artigos.
5. Regras no firewall permitindo VPN a IPsec.
Os firewalls que forem fechar a VPN IPsec precisam ter regras de INPUT permitindo que a VPN seja fechada, além de regras de FORWARD permitindo que os acesso as redes passem pela interface de internet.
6. Firewalls baseado em Debian ou derivados.
O script foi criado e testado utilizando o Debian 8, por isso para o funcionamento deve utilizar firewalls Debian ou alguma distribuição derivada, como Ubuntu.
Já utilizei por um bom tempo algo parecido, atualmente utilizo strongswan + quagga(bgp), fazendo redundancia e balanceamento entre a MPLS + 2 VPNS e hoje o tempo de virada esta em 2 segundos, praticamente transparente para o usuario. é uma ótima alternativa.