Este documento descreve a configuração que torna possível conectar uma rede local que usa o NAT para compartilhar um único endereço IP fornecido pelo provedor de acesso a uma rede remota que usa a conectividade do Novell BorderManager Enterprise Server for VPN.
De acordo com o arquivo README.TXT fornecido no disquete de instalação do Novell BorderManager VPN Client,
“Você não pode usar o NAT no caminho entre um cliente VPN e um servidor VPN. Isto se deve ao fato de quando os pacotes IP e IPX são encapsulados e criptografados no cliente VPN, o endereço IP de origem que é usado para o encapsulamento é o endereço do cliente VPN. O cálculo do AH (Authentication Header) do IPSEC do pacote é baseado em seu endereço e o endereço de destino do servidor VPN. Então, se o endereço (do cliente VPN ou do servidor VPN) é modificado pelo NAT, o cálculo falhará quando o pacote chegar ao servidor VPN de destino e esse pacote será descartado. Mais provavelmente, entretanto, o NAT derrubará os pacotes do IPSEC porque apenas manipula pacotes do TCP, UDP e Internet Control Message Protocol (ICMP).
Quando você tem estações em uma intranet que precisa ter uma comunicação segura com redes protegidas por um servidor VPN através da Internet, sugerimos que use o Novell BorderManager Enterprise Edition site-to-site VPN (no lugar do client-to-site VPN).”
De qualquer modo, o Novell BorderManager Enterprise Server é muito caro para o usuário doméstico. Adicionalmente, ele exige uma configuração abrangente das rotas estáticas na rede remota à qual o acesso está sendo realizado. A solução sugerida acima pela Novell é então impraticável para as pessoas que gastariam de conectar sua rede local que usa NAT a uma rede remota via o Novell BorderManager VPN.
De forma espantosa, é possível conectar a rede local que usa o NAT a uma rede remota usando o WinRoute Pro e o Novell BorderManager VPN Client. Esta configuração permite a qualquer computador na rede local a ter acesso aos recursos na rede remota quando o túnel da VPN estiver estabelecido no computador do roteador. Nenhuma configuração é necessária na rede remota.
Abaixo estão os passos da configuração para a rede local.
Passo 1: Instale e configure o Novell BorderManager VPN Client no computador que será usado como um roteador. Certifique-se que a conexão da VPN à rede remota pode ser estabelecida com êxito e que não problema com o acesso aos recursos na rede remota.
Passo 2: Instale o WinRoute Pro no computador do roteador. Siga as instruções encontradas no Guia do Administrador referentes à configuração do WinRoute Pro e à configuração dos computadores na rede local para operar com o WinRoute Pro. Usa a configuração regular para o compartilhamento de um único endereço IP. Certifique-se que qualquer computador na rede local tem acesso aos recursos na Internet.
Passo 3: Quando você precisa do acesso aos recursos na rede remota, execute o Novell BorderManager VPN client no computador do roteador e conecte-se (faça o login) à rede remota.
Isto se torna possível pela arquitetura do WinRoute Pro. Em função dele funcionar no nível do IPSEC, a tradução/conversão de endereços ocorre antes do pacote ser roteado para o adaptador da rede virtual. Dessa forma os pacotes enviados ao servidor VPN têm o endereço IP de origem verdadeiro. No caminho de volta os pacotes recebidos do adaptador da rede virtual passam pela camada de tradução de endereço e são roteados para o computador certo n rede local.
As limitações desta configuração são que o login na VPN precisa ser feito manualmente no computador do roteador e que a conexão da VPN será encerrada após um certo período de inatividade que é definido no servidor VPN. Além disso, os pacotes IPX não serão roteados mesmo se o túnel da VPN tenha o protocolo IPX habilitado. Então, o encapsulamento do IPX estará disponível apenas no computador do roteador.
Acima de tudo, esta configuração é um meio econômico e conveniente de conectar uma rede local que usa o NAT a uma rede remota que usa o Novell BorderManager VPN.