Fazer VPN entre roteadores perde a navegação internet ?

SouzaRD · 8 de maio de 2013

ola, sou novo aqui, me desculpem se postei no lugar errado.

preciso interligar 2 redes usando VPN entre os roteadores, as 2 redes usam banda larga net para navegação, no momento que conseguir estabelecer a VPN de modo que todas as maquinas de um ponto acessem as maquinas do outro ponto, perderemos a navegação de internet ?

ps : para muitos isso pode ser muito simples, a ponto de ser obvio, porém estou quebrando a cabeça pra entender, não sei fazer a VPN ainda, mas sei que vou, e depois como continuo permitindo que as redes navegam sem precisar da outra.

fellipecoser · 8 de maio de 2013

ola, sou novo aqui, me desculpem se postei no lugar errado.
preciso interligar 2 redes usando VPN entre os roteadores, as 2 redes usam banda larga net para navegação, no momento que conseguir estabelecer a VPN de modo que todas as maquinas de um ponto acessem as maquinas do outro ponto, perderemos a navegação de internet ?

ps : para muitos isso pode ser muito simples, a ponto de ser obvio, porém estou quebrando a cabeça pra entender, não sei fazer a VPN ainda, mas sei que vou, e depois como continuo permitindo que as redes navegam sem precisar da outra.

Olá amigo,

Para esse cenário é interessante possuir endereçamento público fixo.

Geralmente conexões de Banda Larga trocam de endereço IP sempre que o modem reinicia.

O que você pode fazer caso o endereço não seja fixo é cadastrar um DDNS para que você feche a VPN por endereço ao invés de fechar por IP.

As máquinas não irão perder conectividade com a Internet.

Um exemplo de configuração em roteadores cisco: http://www.cisco.com/en/US/products/ps9422/products_configuration_example09186a0080ba1d0a.shtml

Valeu.

clpods · 8 de maio de 2013

Ponto de interesse, na utilização de roteadores de alto nível (Cisco) é tão alto o investimento nos equipamentos que o custo de um link com IP fixo chega a ser irrelevante.

Sobre o DDNS, acredito que mesmo os ciscos exigem IP no salto da VPN, creio que não resolvem domínio.

fellipecoser · 8 de maio de 2013

Ponto de interesse, na utilização de roteadores de alto nível (Cisco) é tão alto o investimento nos equipamentos que o custo de um link com IP fixo chega a ser irrelevante.
Sobre o DDNS, acredito que mesmo os ciscos exigem IP no salto da VPN, creio que não resolvem domínio.

Clpods,

É possível resolver domínio através do comando "set peer dynamic".

set peer dynamic:

(Optional) The hostname of the IPsec peer will be resolved via a domain name server (DNS) lookup right before the router establishes the IPsec tunnel.

Fonte: http://www.cisco.com/en/US/docs/ios-xml/ios/security/s1/sec-cr-s2.html#wp1966957785

SouzaRD · 8 de maio de 2013

Amigos, primeiramente obrigado pelas respostas , ainda me resta algumas duvidas, veja.

como o roteador separa estas informações ?, imagino ser assim,

o pc da rede faz uma solicitação para o roteador, este identifica se endereço da outra ponta do VPN, passa pro roteador de lá, se não, passa a requisição para internet, é isso ou estou muito equivocado, ? e

sendo meu link de 10 MB, é possível controlar a banda para estes serviços, como por exemplo, 8 mb para VPN e 2 mb para navegação, ou é algo simplemente natural para o roteador, resolve pra quem manda e todos usam a mesma banda.

fellipecoser · 8 de maio de 2013

Amigos, primeiramente obrigado pelas respostas , ainda me resta algumas duvidas, veja.
como o roteador separa estas informações ?, imagino ser assim,

o pc da rede faz uma solicitação para o roteador, este identifica se endereço da outra ponta do VPN, passa pro roteador de lá, se não, passa a requisição para internet, é isso ou estou muito equivocado, ? e

sendo meu link de 10 MB, é possível controlar a banda para estes serviços, como por exemplo, 8 mb para VPN e 2 mb para navegação, ou é algo simplemente natural para o roteador, resolve pra quem manda e todos usam a mesma banda.

É criada uma ACL que identifica o tráfego da VPN.

Quando o roteador precisa entregar um tráfego para um destino que está dentro da ACL, ele utiliza o túnel.

Quando não bate na ACL, ele utiliza a internet ou outras rotas existentes no mesmo.

Seu pensamento está correto.

Sobre o controle de banda, você precisa verificar se seu roteador suporta features de QoS.

É possível sim efetuar isso que você está mencionando através de rate-limiting na VPN, por exemplo criar uma policy que permite apenas 8Mbps serem trafegados no túnel, o resto é dropado e automaticamente sobram 2Mbps para navegação, no seu caso.

Abraços.

SouzaRD · 8 de maio de 2013

Amigo fellipecoser, explicações perfeitas, me sinto muito mais seguro em iniciar este processo, que pra variar a necessidade é pra ontem, a verba escassa, o conhecimento é pouco, enfim, vamos a luta filhos da pátria., rs

muito obrigado.

fellipecoser · 8 de maio de 2013

Amigo fellipecoser, explicações perfeitas, me sinto muito mais seguro em iniciar este processo, que pra variar a necessidade é pra ontem, a verba escassa, o conhecimento é pouco, enfim, vamos a luta filhos da pátria., rs
muito obrigado.

Olá amigo,

Se puder lhe dar uma dica, implemente controle de banda apenas depois de finalizar a VPN.

Talvez se você misturar a implementação dos dois pode acabar ficando confuso já que parece ser sua primeira configuração de VPN

Abraços

SouzaRD · 8 de maio de 2013

Caro Fellipcoser,

e quanto a roteador ? , alem da vpn e navegação quero usar wireless 300 mbps, entrei em contato com a Cisco e aguardo contato tecnico de vendas, mas acredito ser caro, li algumas coisas sobre o Lynksys e me parece ser mais barato, (http://adrenaline.uol.com.br/internet/noticias/14230/cisco-lanca-roteador-wireless-linksys-e900.html ),

voce conhece este ? digo, sabe se me atenderá sem dor de cabeça ?

ps : se achar que estou abusando de sua pacienca, me desculpa

fellipecoser · 9 de maio de 2013

Caro Fellipcoser,
e quanto a roteador ? , alem da vpn e navegação quero usar wireless 300 mbps, entrei em contato com a Cisco e aguardo contato tecnico de vendas, mas acredito ser caro, li algumas coisas sobre o Lynksys e me parece ser mais barato, (http://adrenaline.uol.com.br/internet/noticias/14230/cisco-lanca-roteador-wireless-linksys-e900.html ),

voce conhece este ? digo, sabe se me atenderá sem dor de cabeça ?

ps : se achar que estou abusando de sua pacienca, me desculpa

Olá amigo,

Acredito que esse roteador em questão não irá lhe atender para os requisitos de VPN, ainda mais sobre IP dinâmico.

O que dá para ser feito é comprar um cisco 1841 usado e uma interface para discar aDSL (ou o seu respectivo tipo de banda larga) usada.

Tenho três unidades do 1841 no meu rack pessoal e comprei todos eles no Mercado Livre por cerca de 650 cada um. Já o preço da interface para receber a internet eu não sei lhe informar.

Compre um access point a parte para distribuir o sinal via WLAN.

Se tiver orçamento, com certeza o melhor é comprar novo.

Comprando novo, olhe os preços do Cisco 1941W, pois vem com WLAN integrada.

A série dos 1841 (1800 Series) não é mais vendida, foi substituida pela série dos 1941 (1900 Series).

Relação de modelos:

http://www.cisco.com/cisco/web/solutions/small_business/products/routers_switches/1900_series_isr/index.html

Abraço.

SouzaRD · 9 de maio de 2013

Amigo,

o modelo que você sugere parece ser um excelente equipamento, pesquisei alguns preços e estão fora da minha realidade, ( r$ 3.000,00 ~ ), imaginava gastar perto de R$ 500,00, olhei este ( http://www.cisco.com/en/US/products/ps11995/index.html ), parece ser bom, e compativel com o orçamento,

estas redes teremos 20 usuarios ( escritório com servidores e sistemas ) e apenas 5 usuarios na outra ponta ( fabrica ). por isso não consigo justificar um alto investimento.

até a questão de ddns ja estou deixando de lado, embora seria bom, mas gostaria de um que aceita-se customizado e até achar esta informação estou com dificuldade , quando acho aceita apenas dyndns e um tal de 3322 ( uma beleza de site em japones ), ja imagino deixar o dinamico mesmo e quando houver atualização, corrijo na mão.

o que me consola neste processo de busca é que acredito ser difícil decisão até para um especialista no assunto.

abraços e muito obrigado

fellipecoser · 9 de maio de 2013

Amigo,
o modelo que você sugere parece ser um excelente equipamento, pesquisei alguns preços e estão fora da minha realidade, ( r$ 3.000,00 ~ ), imaginava gastar perto de R$ 500,00, olhei este ( http://www.cisco.com/en/US/products/ps11995/index.html ), parece ser bom, e compativel com o orçamento,

estas redes teremos 20 usuarios ( escritório com servidores e sistemas ) e apenas 5 usuarios na outra ponta ( fabrica ). por isso não consigo justificar um alto investimento.

até a questão de ddns ja estou deixando de lado, embora seria bom, mas gostaria de um que aceita-se customizado e até achar esta informação estou com dificuldade , quando acho aceita apenas dyndns e um tal de 3322 ( uma beleza de site em japones ), ja imagino deixar o dinamico mesmo e quando houver atualização, corrijo na mão.

o que me consola neste processo de busca é que acredito ser difícil decisão até para um especialista no assunto.

abraços e muito obrigado

Olá amigo,

Se você planeja corrigir a alteração de IP na mão, qualquer roteador que suporte VPN atende. Até equipamentos de nível Home Office, que são ainda mais baratos. Para esse fluxo de usuários, estaria tranquilo.

Se quiser também, pode instalar um pfSense (FreeBSD) que é gratuito, e fechar os túneis por ele, com custo zero.

Abraços.

SouzaRD · 10 de maio de 2013

Olá amigo,

tentei ler algo sobre pfSense e como poderia me ajudar, comecei a me confundir, entrando em uma linha de linux, e.. achei melhor parar por ai,

vou seguir a linha de raciocínio anterior , ( instalar Banda larga, comprar roteador e deixa-lo funcionando, estabelecer a vpn, controle da banda),

acho que ainda estou fazendo tempestade em copo d´agua e pecando pela falta de experiencia neste assunto, levando em consideração a quantidade de usuários e a aparente "simplicidade" deste processo.

de qualquer forma agradeço muito suas opiniões.

Abraço,