01. OBJETIVO
Descrever os passos para ativação da comunicação VPN Site-to-Site prevista e necessária no projeto para comunicação entre os PDVs e o Monitor de PDV.
A ativação é realizada através de solicitação via ticket do time Super Cloud ao time de Sustentação Cloud.
02. TECNOLOGIA
A Rede Privada Virtual (VPN) disponibilizada para a Linha Consinco, foi implementada usando a tecnologia NSX da VMware utilizando o protocolo IPSec para a criação do túnel destinado à troca de dados, enquanto o protocolo IKE (Internet Key Exchange) é empregado para gerenciar as chaves necessárias a fim de configurar um canal seguro e autenticado entre os dispositivos envolvidos.
Essa VPN prove a uma conexão Site-to-Site Bi-Direcional, dispensando a necessidade de NAT (Network Address Translation).
O modelo adotado para essa VPN é baseado em roteamento (route-based), conhecido como roteamento baseado em rotas. Isso implica que a comunicação entre as redes do cliente e a TOTVS é fundamentada no uso de roteamento estático, garantindo uma estrutura confiável para a transmissão de dados.
A VPN hoje é utilizada exclusivamente para a comunicação entre Monitor e os
PDVs e o Monitor de PDV eterminais de PDVs, vice-versa, fluxo bi-direcional.
Vale destacar que essa VPN se estabelece sobre redes públicas (Internet), no entanto, os dados trocados por meio desse túnel são de natureza privada e protegidos por criptografia, assegurando a confidencialidade e integridade das informações transmitidas.
Confira exemplo abaixo:
Como primeiro passo, para a ativação da VPN do lado de TOTVS Cloud, será necessário que o cliente forneça o seu IP de Peer (IP fixo garantido e dedicado) e as redes de IPs que são utilizadas nos PDVs para declaração do lado de TOTVS Cloud.
Cliente | Exemplo | Observação |
---|---|---|
IP Peer Cliente (Remote ID) | 181.41.70.10 | IP público da infraestrutura do cliente a ser utilizado na comunicação VPN |
Redes de IP (PDVs) | 192.168.0.0/16 | Informar as redes e sub redes que estão em uso nas lojas que usam PDV para criação das rotas. Caso houver mais de uma, informar todas que terão PDVs, exemplo: 192.168.0.0/16 e 172.16.1.0/24 |
Redes Não utilizáveis | Redes reservadas pela TOTVS conforme contrato, consulte documentação: |
Após o time Super Cloud receber as informações do cliente, será solicitado a ativação da VPN na topologia do cliente ao time de Sustentação Cloud, assim ele realizam a configuração e retornam ai time Super Cloud os dados para ativação do lado do cliente.
Aviso |
---|
Para a oferta atual de TOTVS Cloud Linha Consinco, não está disponível contingencia de VPN, ou seja, não está disponível na oferta a ativação de mais de 1 IP de Peer VPN por topologia. |
Para fechar a comunicação da VPN, o cliente ou responsável técnico pela rede do cliente deverá configurar o firewall para estabelecer a VPN seguindo os parâmetros abaixo.
IKE Phase 1 | Valor | Observação |
---|---|---|
IKE version | IKE_V2 | Use IKEV1 se IKEV2 não for suportado |
Authentication method | PSK | Pre-Shared-Key |
Pre shared key | <A ser fornecido por TOTVS Cloud> | Será enviado pelo time Super Cloud |
Authentication algorithm | [SHA2_256, SHA2_512, SHA1, SHA2_384] | Utilizar apenas o de sua preferência |
Encryption algorithm | [AES_128, AES_256] | Utilizar apenas o de sua preferência |
SA life time | 28800 | |
Negotiation mode | main | Aplicável para IKEV1 |
DH group | [GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15] | Utilizar apenas o de sua preferência |
IP Peer TOTVS | <A ser fornecido por TOTVS Cloud> | Será enviado pelo time Super Cloud |
Aviso |
---|
O encryption algorithm 3DES não é suportado. |
IPSec Phase 2 | Valor | Observação |
---|---|---|
Transform Protocol | ESP | |
Authentication algorithm | [SHA2_256, SHA2_512, SHA1, SHA2_384] | Utilizar apenas o de sua preferência |
Sa life time | 3600 | |
Encryption algorithm | [AES_128, AES_256] | Utilizar apenas o de sua preferência |
IP do Túnel | 169.254.1.1/30 | O cliente deve utilizar o IP 169.254.1.2/30 (Opcional) |
Enable perfect forward secrecy | true | |
Perfect forward secrecy DH group | [GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15] | Utilizar apenas o de sua preferência |
IPSec VPN Session Config | Valor | Observação |
---|---|---|
Peer address | <A ser fornecido pela TOTVS Cloud> | Peer gateway IP público |
Peer id | <A ser fornecido pela TOTVS Cloud> | |
Peer Subnet | 0.0.0.0/0 | Rede interna dos PDVs |
Aviso |
---|
A conexão deve ser iniciada pelo firewall do cliente, pois a VPN em TOTVS Cloud é criada no modo "Respond Only" |
05. DECLARAÇÃO DE REDES
Para que os PDVs enxerguem o Monitor de PDV, será necessário que as redes utilizadas em TOTVS Cloud abaixo sejam declaradas para a Phase 2 nas configurações da VPN do lado do cliente.
Rede | Ambiente | Observação |
---|---|---|
10.0.1.0/24 | Homologação | Redes de IP de uso exclusivo usados em TOTVS Cloud |
10.0.2.0/24 | Produção | Redes de IP de uso exclusivo usados em TOTVS Cloud |
Aviso |
---|
Deverá haver segmentação no firewall do lado do cliente para que a rede de produção (10.0.1.0/24) enxergue apenas os PDVs de produção e para que a rede de homologação (10.0.2.0/24) enxergue apenas os PDVs de homologação. Em nenhuma hipótese recomendamos que a rede de homologação (10.0.2.0/24) fique acessível para os PDVs em produção ou que os PDVs de homologação fiquem acessíveis para a rede de produção (10.0.1.0/24). Caso não seja observado atentamente essa recomendação de segmentação, o cliente fica sujeito a transtornos operacionais em caso de comunicação indevida. |
Para que a comunicação bidirecional entre PDV e Monitor de PDV aconteça, é necessário que as portas abaixo sejam liberadas nas direções mencionadas.
Porta | Protocolo | Origem | Destino | Observação |
---|---|---|---|---|
7011, 7014, 7020, 7022 | TCP | PDV | Monitor | Comunicação utilizada para envio de vendas, consultas, licenciamento, etc ao Monitor de PDV |
8011, 8080 | TCP | Monitor | PDV | Comunicação utilizada para envio de cargas de preço, produto, clientes, etc ao PDVs |
ICMP (ping) | TCP | Monitor | PDV | Utilizado para checar e testar a comunicação (status) |
ICMP (ping) | TCP | PDV | Monitor | Utilizado para checar e testar a comunicação (status) |
Após a ativação da VPN em TOTVS Cloud e da parametrização da VPN na casa do Cliente, e o cliente ter estabelecido a Phase 1 e Phase 2 da VPN, é possível realizar testes de ping e telnet:
Exemplo:
Bloco de código | ||||
---|---|---|---|---|
| ||||
tracert <IP Monitor PDV> traceout <IP Monitor PDV> ping <IP Monitor PDV> telnet <IP Monitor PDV> 7011 |
Exemplo:
Bloco de código | ||||
---|---|---|---|---|
| ||||
tracert <IP PDV> ping <IP PDV> telnet <IP PDV> 011 |
Atualmente não está disponível a possibilidade de configurar um IP de Peer secundário do cliente no TOTVS Cloud. Portanto, caso seja necessário a troca do IP de Peer por alguma eventualidade, será necessário solicitar a TOTVS Cloud para que o IP seja atualizado manualmente, via ticket. Posteriormente, será disponibilizado uma interface na plataforma T-Cloud para que o próprio cliente possa atualizar estas informações quando necessário.
Em casos de indisponibilidade ou problemas na comunicação da VPN, o responsável do lado do cliente deverá realizar as análises iniciais para certificar-se de que do lado do cliente as configurações para fechar a VPN estão dentro dos parâmetros acordados neste documento. Em caso de persistência do problema, o responsável do lado do cliente deverá coletar e gerar logs do seu firewall que evidenciam um problema do lado de Cloud, para que então seja possível abrir um incidente junto ao time de redes de TOTVS Cloud e os logs sejam analisados.