01. OBJETIVO
Descrever os passos para ativação da comunicação VPN Site-to-Site prevista e necessária no projeto para comunicação entre os PDVs e o Monitor de PDV.
A ativação é realizada através de solicitação via ticket do time Super Cloud ao time de Sustentação Cloud.
02. TECNOLOGIA
A Rede Privada Virtual (VPN) disponibilizada para a Linha Consinco, foi implementada usando a tecnologia NSX da VMware utilizando o protocolo IPSec para a criação do túnel destinado à troca de dados, enquanto o protocolo IKE (Internet Key Exchange) é empregado para gerenciar as chaves necessárias a fim de configurar um canal seguro e autenticado entre os dispositivos envolvidos.
Essa VPN prove a uma conexão Site-to-Site Bi-Direcional, dispensando a necessidade de NAT (Network Address Translation).
O modelo adotado para essa VPN é baseado em roteamento (route-based), conhecido como roteamento baseado em rotas. Isso implica que a comunicação entre as redes do cliente e a TOTVS é fundamentada no uso de roteamento estático, garantindo uma estrutura confiável para a transmissão de dados.
A VPN hoje é utilizada exclusivamente para a comunicação entre Monitor e os terminais de PDVs, vice-versa, fluxo bi-direcional.
Vale destacar que essa VPN se estabelece sobre redes públicas (Internet), no entanto, os dados trocados por meio desse túnel são de natureza privada e protegidos por criptografia, assegurando a confidencialidade e integridade das informações transmitidas.
Confira exemplo abaixo:
03. ATIVAÇÃO DA VPN
Como primeiro passo, para a ativação da VPN do lado de TOTVS Cloud, será necessário que o cliente forneça o seu IP de Peer (IP fixo garantido e dedicado) e as redes de IPs que são utilizadas nos PDVs para declaração do lado de TOTVS Cloud.
Cliente | Exemplo | Observação |
|---|---|---|
| IP Peer Cliente (Remote ID) | 181.41.70.10 | IP público da infraestrutura do cliente a ser utilizado na comunicação VPN |
| Redes de IP (PDVs) | 192.168.0.0/16 | Informar as redes e sub redes que estão em uso nas lojas que usam PDV para criação das rotas. Caso houver mais de uma, informar todas que terão PDVs, exemplo: 192.168.0.0/16 e 172.16.1.0/24 |
| Redes Não utilizáveis | Redes reservadas pela TOTVS conforme contrato, consulte documentação: |
Após o time Super Cloud receber as informações do cliente, será solicitado a ativação da VPN na topologia do cliente ao time de Sustentação Cloud, assim ele realizam a configuração e retornam ai time Super Cloud os dados para ativação do lado do cliente.
Para a oferta atual de TOTVS Cloud Linha Consinco, não está disponível contingencia de VPN, ou seja, não está disponível na oferta a ativação de mais de 1 IP de Peer VPN por topologia.
04. PROFILE
Para fechar a comunicação da VPN, o cliente ou responsável técnico pela rede do cliente deverá configurar o firewall para estabelecer a VPN seguindo os parâmetros abaixo.
IKE Phase 1 | Valor | Observação |
|---|---|---|
| IKE version | IKE_V2 | Use IKEV1 se IKEV2 não for suportado |
| Authentication method | PSK | Pre-Shared-Key |
| Pre shared key | <A ser fornecido por TOTVS Cloud> | Será enviado pelo time Super Cloud |
| Authentication algorithm | [SHA2_256, SHA2_512, SHA1, SHA2_384] | Utilizar apenas o de sua preferência |
| Encryption algorithm | [AES_128, AES_256] | Utilizar apenas o de sua preferência |
| SA life time | 28800 | |
| Negotiation mode | main | Aplicável para IKEV1 |
| DH group | [GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15] | Utilizar apenas o de sua preferência |
| IP Peer TOTVS | <A ser fornecido por TOTVS Cloud> | Será enviado pelo time Super Cloud |
O encryption algorithm 3DES não é suportado.
IPSec Phase 2 | Valor | Observação |
|---|---|---|
| Transform Protocol | ESP | |
| Authentication algorithm | [SHA2_256, SHA2_512, SHA1, SHA2_384] | Utilizar apenas o de sua preferência |
| Sa life time | 3600 | |
| Encryption algorithm | [AES_128, AES_256] | Utilizar apenas o de sua preferência |
| IP do Túnel | 169.254.1.1/30 | O cliente deve utilizar o IP 169.254.1.2/30 (Opcional) |
| Enable perfect forward secrecy | true | |
| Perfect forward secrecy DH group | [GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15] | Utilizar apenas o de sua preferência |
IPSec VPN Session Config | Valor | Observação |
|---|---|---|
| Peer address | <A ser fornecido pela TOTVS Cloud> | Peer gateway IP público |
| Peer id | <A ser fornecido pela TOTVS Cloud> | |
| Peer Subnet | 0.0.0.0/0 | Rede interna dos PDVs |
A conexão deve ser iniciada pelo firewall do cliente, pois a VPN em TOTVS Cloud é criada no modo "Respond Only"
05. DECLARAÇÃO DE REDES
Para que os PDVs enxerguem o Monitor de PDV, será necessário que as redes utilizadas em TOTVS Cloud abaixo sejam declaradas para a Phase 2 nas configurações da VPN do lado do cliente.
Rede | Ambiente | Observação |
|---|---|---|
| 10.0.1.0/24 | Homologação | Redes de IP de uso exclusivo usados em TOTVS Cloud |
| 10.0.2.0/24 | Produção | Redes de IP de uso exclusivo usados em TOTVS Cloud |
Deverá haver segmentação no firewall do lado do cliente para que a rede de produção (10.0.1.0/24) enxergue apenas os PDVs de produção e para que a rede de homologação (10.0.2.0/24) enxergue apenas os PDVs de homologação.
Em nenhuma hipótese recomendamos que a rede de homologação (10.0.2.0/24) fique acessível para os PDVs em produção ou que os PDVs de homologação fiquem acessíveis para a rede de produção (10.0.1.0/24).
Caso não seja observado atentamente essa recomendação de segmentação, o cliente fica sujeito a transtornos operacionais em caso de comunicação indevida.
06. LIBERAÇÃO DE PORTAS
Para que a comunicação bidirecional entre PDV e Monitor de PDV aconteça, é necessário que as portas abaixo sejam liberadas nas direções mencionadas.
Porta | Protocolo | Origem | Destino | Observação |
|---|---|---|---|---|
| 7011, 7014, 7020, 7022 | TCP | PDV | Monitor | Comunicação utilizada para envio de vendas, consultas, licenciamento, etc ao Monitor de PDV |
| 8011, 8080 | TCP | Monitor | PDV | Comunicação utilizada para envio de cargas de preço, produto, clientes, etc ao PDVs |
| ICMP (ping) | TCP | Monitor | PDV | Utilizado para checar e testar a comunicação (status) |
| ICMP (ping) | TCP | PDV | Monitor | Utilizado para checar e testar a comunicação (status) |
07. VERIFICAR CONECTIVIDADE VPN
Após a parametrização e ativação da VPN em TOTVS Cloud (Phase1+Phase2+Tunel) é possível realizar testes de comunicação, entre eles ping e telnet como segue abaixo:
- Testes a partir do CLIENTE para TOTVS Cloud:
- Tracert ou traceout até o IP do Monitor de PDV.
- Ping <IP Monitor PDV>
- Telnet <IP Monitor PDV> 7011
- Exemplo
tracert <IP Monitor PDV> traceout <IP Monitor PDV> ping <IP Monitor PDV> telnet <IP Monitor PDV> 7011
- Testes a partir do Servidor de PDV em TOTVS Cloud para o CLIENTE:
- Tracert via Go Global do Monitor de PDV até o PDV.
- Ping <IP PDV>
- Telnet <IP PDV> 8011
- Exemplo
tracert <IP PDV> ping <IP PDV> telnet <IP PDV> 8011
Para mais testes e informações sobre comunicação acesse: VPN | Testes de Comunicação
08. CONTINGÊNCIA
Atualmente não está disponível a possibilidade de configurar um IP de Peer secundário do cliente no TOTVS Cloud. Portanto, caso seja necessário a troca do IP de Peer por alguma eventualidade, será necessário solicitar a TOTVS Cloud para que o IP seja atualizado manualmente, via ticket. Posteriormente, será disponibilizado uma interface na plataforma T-Cloud para que o próprio cliente possa atualizar estas informações quando necessário.
09. INDISPONIBILIDADE
Em casos de indisponibilidade ou problemas na comunicação da VPN, o responsável do lado do cliente deverá realizar as análises iniciais para certificar-se de que do lado do cliente as configurações para fechar a VPN estão dentro dos parâmetros acordados neste documento. Em caso de persistência do problema, o responsável do lado do cliente deverá coletar e gerar logs do seu firewall que evidenciam um problema do lado de Cloud, para que então seja possível abrir um incidente junto ao time de redes de TOTVS Cloud e os logs sejam analisados.
10. DOCUMENTOS DE APOIO:
> MIKROTIK
Especificação de Configuração Router MikroTik:
Download do PDF:
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas