none
VPN com IPSec no Windows Server 2003 RRS feed

  • Pergunta

  • Boa noite pessoal,

    Estou com uma necessidade de montar um VPN site-to-site utilizando IPSec. Ocorre que em uma das pontas, tenho apenas um servidor com Windows Server 2003 STD como DC e a internet é através de um roteador. Existe a possibilidade de criar este tipo de VPN neste cenarios?

    obrigado pela atenção,

    Renato Pacheco

     

    quarta-feira, 22 de dezembro de 2010 20:23

Respostas

  • Ola Renato

    Voce vai precisar de um pouco investimento. Um servidor 2003 com RRAS ou um servidor 2003 como ISA server para aceitar as conexões VPN.

     Monta esta estrutura primeiro , teste a conexão , e se conectar certinho e com fluxo de dados aceitável voce pode aplicar IPSEC.

    Uma outra que voce pode montar é uma estrutura de IIS com pastas WebDAV. Nessa forma o cliente pode criptografar(usando as propriedades avançadas  de arquivos e pastas em Windows) os arquivos e gravá-los(upload) nessas pastas (no servidor IIS na sua rede DMZ). O Cliente pode te mandar essa chave privada, que ele usou para criptografar os arquivos pelos correios e com essa chave voce pode decifrar os arquivos.

     

    Vai dar um trabalho más primeiro faça os testes antes de  começar enviar esses dados seguros.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de dezembro de 2010 17:27
    segunda-feira, 27 de dezembro de 2010 03:19
  • Bom dia,

    em complemento as orientações dadas pelo NassimJD, acrescento ainda a possibilida da conexão client-to-site.

    Vc pode usar um client VPN na sua máquina, se conectar ao servidor do seu cliente usando IPSec, com certificado ou pre-shared key para autenticação.

    Vc ia manter a mesma criptografia nos dados, mas a única diferença é que somente um servidor na sua Rede ia ter acesso a esses dados, e os mesmos deverão ser bem protegidos após serem enviados pelo túnel.

    É uma outra opção que, caso não implique em nenhuma outra questão técnica do seu cliente, vc pode negociar com ele. Assim vc não precisa investir em infra nesse exato momento, embora é claro, o investimento é sempre necessário e vital para que sua empresa possa atender demandas como essa ou outros tipos de demanda no futuro.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de dezembro de 2010 17:27
    segunda-feira, 27 de dezembro de 2010 09:21

Todas as Respostas

  • Usando uma infraestrutura da Microsoft voce precisa de dois servidores com RRAS nos dois lados para montar uma VPN site-to-site.

    Tem que ser uma solução Microsoft?

    O seu roteador não tem recurso de VPN ?

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    quarta-feira, 22 de dezembro de 2010 21:46
  • Olá Nassim,

    Explicando melhor, o caso é que a empresa tem um cliente que precisa nos enviar dados grandes e com frequencia (por email não dá) e são dados bancários (precisa de segurança). Por isso este cliente quer montar uma VPN com IPSEC com o nosso servidor. No lado deste cliente já possui tudo corretamente, mas aqui o cenário é que temos apenas 1 servidor com Win 2003, que é controlador de dominio e não é o gateway da rede, o gateway é um roteador, que nao faz VPN. A questão é que o cliente está exigindo que façamos VPN com IPSEC com o servidor da rede dele para nos enviar estes arquivos, e eu desconheço uma forma de montar este tipo de VPN com a estrutura que temos, já que o servidor não é o gateway (e nem gostaria que fosse, pois ele é o unico da rede e é o DC).

    abs,

    Renato

     

    sexta-feira, 24 de dezembro de 2010 14:23
  • Ola Renato

    Voce vai precisar de um pouco investimento. Um servidor 2003 com RRAS ou um servidor 2003 como ISA server para aceitar as conexões VPN.

     Monta esta estrutura primeiro , teste a conexão , e se conectar certinho e com fluxo de dados aceitável voce pode aplicar IPSEC.

    Uma outra que voce pode montar é uma estrutura de IIS com pastas WebDAV. Nessa forma o cliente pode criptografar(usando as propriedades avançadas  de arquivos e pastas em Windows) os arquivos e gravá-los(upload) nessas pastas (no servidor IIS na sua rede DMZ). O Cliente pode te mandar essa chave privada, que ele usou para criptografar os arquivos pelos correios e com essa chave voce pode decifrar os arquivos.

     

    Vai dar um trabalho más primeiro faça os testes antes de  começar enviar esses dados seguros.

     

    Abraço, Nassim


    Relação de Ajuda: Transitive e 2-way, A ajuda B ajuda C, então A ajudou C e C "deve" ajudar A.
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de dezembro de 2010 17:27
    segunda-feira, 27 de dezembro de 2010 03:19
  • Bom dia,

    em complemento as orientações dadas pelo NassimJD, acrescento ainda a possibilida da conexão client-to-site.

    Vc pode usar um client VPN na sua máquina, se conectar ao servidor do seu cliente usando IPSec, com certificado ou pre-shared key para autenticação.

    Vc ia manter a mesma criptografia nos dados, mas a única diferença é que somente um servidor na sua Rede ia ter acesso a esses dados, e os mesmos deverão ser bem protegidos após serem enviados pelo túnel.

    É uma outra opção que, caso não implique em nenhuma outra questão técnica do seu cliente, vc pode negociar com ele. Assim vc não precisa investir em infra nesse exato momento, embora é claro, o investimento é sempre necessário e vital para que sua empresa possa atender demandas como essa ou outros tipos de demanda no futuro.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    • Marcado como Resposta Richard Juhasz quarta-feira, 29 de dezembro de 2010 17:27
    segunda-feira, 27 de dezembro de 2010 09:21