Todo mundo já ouviu falar de VPN. A maioria associa ao serviço que você contrata para assistir séries bloqueadas por região.
Esse é um caso de uso. E não é o mais importante para quem trabalha com redes.
VPN é o que conecta a filial de Fortaleza ao datacenter de São Paulo com segurança. É o que permite que o funcionário em home office acesse os sistemas internos sem expor nada para a internet. É infraestrutura crítica na maioria das redes corporativas.
Entender VPN vai além de saber que ela "criptografa o tráfego".
O problema que a VPN resolve
Redes privadas são isoladas por design. O servidor de arquivos da empresa não está acessível pela internet. E não deveria estar.
Mas e quando você precisa acessar esse servidor de casa? Ou quando a filial precisa se comunicar com a matriz como se estivesse na mesma rede local?
Antes da VPN, a resposta era links dedicados: linhas privadas físicas conectando escritórios. Caros, lentos para provisionar e inflexíveis.
A VPN usa a internet pública como meio de transporte, mas cria um túnel criptografado entre os dois pontos. Para quem está dentro do túnel, é como se estivesse numa rede privada. Para quem está fora, só vê tráfego cifrado sem conteúdo legível.
Como o túnel funciona
Quando dois dispositivos estabelecem uma VPN, acontecem duas coisas.
Encapsulamento: o pacote original é embrulhado dentro de um novo pacote. O pacote interno carrega os dados reais. O externo carrega os endereços para rotear pela internet.
Criptografia: o conteúdo do pacote interno é cifrado. Mesmo que alguém intercepte o tráfego no caminho, só vê dados ilegíveis sem a chave.
No destino o processo é invertido. O pacote externo é descartado, o interno é decriptografado e entregue como se tivesse vindo de dentro da rede local.
Os tipos de VPN
Site-to-Site
Conecta duas redes inteiras. Escritório com escritório. Filial com matriz. Datacenter com datacenter.
Os roteadores ou firewalls nas duas pontas estabelecem o túnel entre si. Os dispositivos das redes locais não sabem que estão atravessando a internet. Para eles, é uma rede única.
Rede Matriz (SP) Rede Filial (FOR)
192.168.1.0/24 192.168.2.0/24
| |
Roteador ←— Túnel VPN —→ Roteador
Configurada entre equipamentos de infraestrutura. Transparente para os usuários finais.
Remote Access
Conecta um dispositivo individual a uma rede corporativa. É o que você usa para trabalhar de casa.
O funcionário instala um cliente VPN no notebook. Ao conectar, o dispositivo estabelece um túnel com o concentrador VPN da empresa. A partir daí, funciona como se estivesse dentro da rede corporativa.
Notebook ←— Túnel VPN —→ Concentrador VPN ←→ Rede corporativa
Diferença fundamental da Site-to-Site: o túnel é iniciado pelo dispositivo do usuário, não por equipamento de infraestrutura.
SSL/TLS VPN
Variação do Remote Access que usa HTTPS para estabelecer o túnel. A vantagem é não precisar de cliente instalado.
O usuário acessa um portal web, autentica, e tem acesso aos recursos internos pelo browser ou via cliente leve baixado na hora.
Caso de uso: dispositivos que não pertencem à empresa, fornecedores com acesso pontual, ambientes onde instalar cliente não é viável.
DMVPN: Dynamic Multipoint VPN
É o que grandes empresas usam quando têm dezenas ou centenas de filiais para conectar.
Na Site-to-Site tradicional, cada par de locais precisa de um túnel dedicado. Dez filiais significam nove túneis por filial. A configuração cresce de forma quadrática e se torna inviável.
O DMVPN resolve com hub-and-spoke inteligente. Cada filial (spoke) se registra no servidor central (hub). Quando duas filiais precisam se comunicar diretamente, o hub as apresenta e elas criam um túnel temporário entre si sem passar pelo hub.
Os protocolos por baixo
IPsec
O protocolo mais usado para VPNs corporativas. Opera na camada 3 e tem dois modos:
Modo Transporte: criptografa só o payload do pacote IP. O cabeçalho original permanece visível. Usado para comunicação host-to-host.
Modo Túnel: criptografa o pacote IP inteiro e adiciona novo cabeçalho externo. É o modo padrão para Site-to-Site.
O IPsec usa dois componentes:
- AH (Authentication Header): garante autenticidade e integridade. Não criptografa.
- ESP (Encapsulating Security Payload): criptografa e autentica. É o que você quer na maioria dos casos.
IKE: Internet Key Exchange
Antes do IPsec criptografar qualquer coisa, os dois lados precisam combinar as chaves. IKE faz essa negociação em duas fases.
Fase 1: os dois lados se autenticam e estabelecem um canal seguro para a negociação.
Fase 2: usando o canal da Fase 1, negociam os parâmetros do túnel IPsec em si.
IKEv2 é a versão atual. Mais rápido, mais seguro, suporta reconexão automática.
GRE: Generic Routing Encapsulation
GRE não criptografa nada. É encapsulamento puro.
A utilidade é transportar protocolos que o IP normal não suporta. GRE combinado com IPsec é clássico: GRE faz o encapsulamento, IPsec faz a criptografia.
Verificando VPN no Cisco IOS
Ver túneis IPsec ativos:
R1# show crypto ipsec sa
interface: GigabitEthernet0/0
Crypto map tag: VPN-MAP, local addr 200.100.50.25
#pkts encaps: 1842, #pkts encrypt: 1842, #pkts digest: 1842
#pkts decaps: 1756, #pkts decrypt: 1756, #pkts verify: 1756
Ver sessões IKE estabelecidas:
R1# show crypto isakmp sa
dst src state conn-id status
200.100.50.25 201.200.100.10 QM_IDLE 1001 ACTIVE
QM_IDLE significa que a Fase 1 está estabelecida e o túnel está ativo. Se aparecer MM_NO_STATE, a negociação IKE falhou.
Como VPN aparece no troubleshooting real
Filial sem acesso à matriz. Você investiga.
R1# show crypto isakmp sa
dst src state conn-id status
200.100.50.25 201.200.100.10 MM_NO_STATE 0 ACTIVE
MM_NO_STATE na Fase 1. A negociação IKE não completou. Causas mais comuns: parâmetros de criptografia incompatíveis entre os dois lados, problema de autenticação, ou firewall bloqueando UDP 500 e UDP 4500.
Você verifica a crypto policy nos dois roteadores. Um lado com AES-128, o outro com AES-256. Parâmetros incompatíveis impedem a Fase 1 de completar.
Corrige a inconsistência, limpa a SA e o túnel estabelece.
R1# clear crypto isakmp
R1# show crypto isakmp sa
dst src state conn-id status
200.100.50.25 201.200.100.10 QM_IDLE 1001 ACTIVE
Filial volta a acessar a matriz.
O que o CCNA cobra sobre VPN
O CCNA 200-301 cobre VPN no nível conceitual. O que está no blueprint: diferença entre Site-to-Site e Remote Access VPN, diferença entre IPsec e SSL/TLS VPN, função do IPsec e seus componentes AH e ESP, diferença entre modo Transporte e modo Túnel. Os comandos de troubleshooting do post são conteúdo de mercado válido para quem opera redes, mas estão além do que a prova exige.