A partir da versão 2.4.0 foi introduzido o suporte a Virtual Private Network Next Generation (VPN NG), ela é uma VPN de acesso remoto client-to-site baseado no protocolo SSL, porém mais robusta, efetuando conexão via TCP, UDP e ICMP.
Vantagens da VPN NG:
- Suporte ao MFA com Google Authenticator
- Bypass via TCP, UDP e ICMP
- Recursos revolucionários de VPN sobre ICMP e VPN sobre DNS.
- Granularidade
- Robustez
- Client totalmente customizavel
Para detalhes técnicos sobre o serviço consulte a documentação oficial.
1 - Criando regra de entrada para o serviço.
Como todos serviços que rodam no Blockbit, na VPN NG não é diferente, precisamos efetuar a criação de uma regra de entrada (Zone Protection).
Na versão 2.4.0 o objeto de serviço ainda não vem criado por padrão sendo assim necessita-se da criação conforme exemplo abaixo.
Já na 2.4.1 o objeto vem criado por default.
Para criar o objeto vá em Configurações > Objetos > Serviços
Após criado o objeto seguimos para Serviços > Firewall > Zone Protection e criamos uma nova regra permitindo o serviço.
2- Ativação e configuração
Ative o serviço em Serviços > VPN NG
Após a ativação é necessário efetuar a configuração em si.
Na VPN NG, é possível criar múltiplos HUBs com redes e configurações distintas, proporcionando uma granularidade mais ampla.
Para criar um novo hub clique em "new item" e preencha o formulário conforme exemplo abaixo.
No primeiro bloco serão inseridas informações de rede do HUB da VPN NG
- VPN's name = Nome do HUB
- Virtual Host IP Addres = Será o ip de gateway do hub
- Distributes/Distributed IP Addres Start e Distributes/Distributed IP Addres Limit = Escopo de rede que será distribuido pelo DHCP
- Subnet Mask = Mascará de rede para o HUB
- Lease Limit = Tempo do lease do DHCP
- DNS Server Address 1 e 2 = DNS que será distribuido para rede
- Domain name = Sufixo DNS da rede
- Default Gateway Address = Será o gateway atrelado ao HUB da VPN NG, é equivalente ao parametro "Gateway Default" nas demais VPN's. Se for preenchido, toda a navegação sairá pela VPN.
Exemplo jogando todo o tráfego pela VPN (IP do Virtual Host IP Addres):
E nesse exemplo setáremos a rota somente para comunicar com as redes da empresa e a navegação sair pela maquina do usuário:
Para setar a rota deverá ser usado a seguinte estrutura REDE/MASK/GW - Exemplo:192.1.0.0/255.255.252.0/172.16.30.1
IMPORTANTE: É crucial prestar muita atenção à sintaxe de inclusão de rotas estáticas. Se não forem fornecidas quaisquer informações de rede/máscara/gateway, o serviço não aplicará as configurações do escopo DHCP da VPN NG.
No Bloco Add users, será definido os usuários que podem acessar esse HUB, na versão 2.4.0 é possivel apenas selecionar usuários, na 2.4.1 é possível adicionar usuários e grupos.
3 - Configuração do client
Faça o download do VPN Manager no Resource Center da Blockbit
Com o client aberto clique com o botão direito em "Nome do adaptador Virtual" e crie um novo adaptador de rede.
Clique em adicionar conexão VPN e preencha conforme exemplo abaixo:
Clique em configurações avançadas e termine a configuração.
Após isso salve e realize o teste de conexão.
Lembrando que para uma comunicação eficaz é necessário realizar as regras de encaminhamento entre as redes das VPN NG e as redes do NGFW.
DICAS EXTRAS
DICA 1:
É possível exportar a configuração para que seja enviado para o usuário somente importar:
DICA2:
Também é possível configurar para o client iniciar junto com o PC na opção "Definir (t) como conexão de inicialização":
DICA 3:
Em Modo de operação, é possível definir o "modo fácil" nas máquinas dos usuários, com essa configuração você transforma em um client mais simplificado, facilitando para os usuários.
Como fica o client no modo fácil:
