Tunelamento de IPs

11 min

o que é um tunelamento de ip? tunelamento de ip é uma técnica de rede utilizada para encapsular pacotes ip dentro de outros pacotes , geralmente também ip ou de outro protocolo de encapsulamento, com o objetivo de permitir a transmissão desses dados por uma rede intermediária que, por si só, não suporta ou não reconhece o tráfego original conceito o processo de tunelamento consiste basicamente em encapsulamento o pacote ip original é inserido dentro de um novo pacote, adicionando se um novo cabeçalho esse cabeçalho é compatível com a rede intermediária pela qual os dados serão transmitidos transporte o pacote encapsulado é encaminhado através da rede intermediária (por exemplo, a internet), como se fosse um pacote comum daquela rede desencapsulamento no destino do túnel, o pacote externo é removido, e o pacote ip original é entregue ao destino final requisitos básicos para um tunelamento de ip funcionar corretamente parte elemento parceiro informar ip de base informar plataforma de nuvem de acesso informar configurações de ipsec phase 1 receber a pre shared key enviada pela umode informar configuraçõess de ipsec phase 2 incluindo ip de rede umode informar ip externo (equivalente ao ip do peer da vpn do cliente) fornecer o cidr da vpc que será utilizada informar plataforma de nuvem de acesso informar configurações de ipsec phase 1 enviar a pre shared key informar configuraçõess de ipsec phase 2 incluindo ip de rede detalhes do fluxograma condições e passos para estruturar o túnel info este guai pressupoe a criação de um tunelamento de ip criado na amazon aws criação do arquivo do arquivo base de compartilhada criar o documento informando as configurações dos campos a serem utilizados encryption, authentication, enabled replay detation, enabled perfect forward secrecy (pfs), diffie hellman group, auto negociate, network informar no campo netrwork o cidr da vpc que será acessada na umode enviar ao parceiro criação do virtual private gateway (vgw) criar o vgw no painel de vpcs na aws criação do customer gateway (cgw) iniciar a criação de um novo cgw no painel de vpcs na aws preencher o ip address com o ip do peer da vpn do parceiro finalizar a criação criação da vpn site to site iniciar a criação de uma vpn connection no painel de vpcs; defina o target gateway type como virtual private gateway e selecione o vgw criado anteriormente; defina o cgw como existente e selecione o cgw criado anteriormente; defina routing options como static; finalize a criação da vpn connection configurar vpc anexar o vgw a vpc que será utilizada; criar na route table da vpc uma rota com a rede informada pelo cliente para acessar o servidor alvo em target selecione o vgw criado; propagar a rota criada; habilitar os secutiry groups das máquinas ec2 que farão o acesso para aceitar a conexão na porta e no protocolo especificado executar a folha de testes checar se o status de algum tunnel está "up"; checar rotas para vpc; checar secutiry groups; executar teste de conexão dentro de algum ec2 de origem problemas comuns pre shared key deve ser emitida pela amazon, não recebida do parceiro há limitações de caracteres aceitáveis o túnel conecta mas o modo de conexão ao recurso é invalido deve se assegurar que os ips compartilhados são corretos validar se o túnel está funcional de ambos os lados valisar se o vgw está vinculado à vpc validar se a tabela de rotas tem rotas para a rede do cliente apontando para a vgw validar se o cidr da vpc de origem na umode foi fornecido corretamente há muitas configurações de endereços e ips que podem causar confusão checklist de sumário a umode oferece suporte a soluções baseadas em ipsec (internet protocol security), permitindo a criação de túneis criptografados com políticas de segurança customizadas quando aplicável, a configuração pode envolver ip em duas etapas — com um ip público de entrada e um ip interno de encaminhamento — a fim de atender requisitos de rede privada, firewalls corporativos ou segmentação de infraestrutura essas configurações devem ser alinhadas previamente com as equipes de infraestrutura para garantir compatibilidade, estabilidade e segurança na operação protocolo de checagem para este cenário definir ips públicos e internos envolvidos na comunicação validar a necessidade de tunelamento com a equipe de infraestrutura do cliente estabelecer o protocolo de tunelamento (ex ipsec, gre, etc ) compartilhar políticas de segurança e criptografia aplicáveis configurar autenticação por chave ou certificado digital ajustar regras de firewall para liberação de portas e ips específicos realizar testes de conectividade ponta a ponta após a implantação do túnel documentar a arquitetura de rede e os fluxos de comunicação envolvidos garantir suporte técnico durante o período de operação assistida validar plano de contingência para casos de instabilidade no túnel