Árvore de páginas

Você está vendo a versão antiga da página. Ver a versão atual.

Comparar com o atual Ver Histórico da Página

« Anterior Versão 2 Próxima »

01. OBJETIVO

Descrever os passos para ativação da comunicação VPN Site-to-Site prevista e necessária no projeto para comunicação entre os PDVs e o Monitor de PDV.

A ativação é realizada através de solicitação via ticket do time Super Cloud ao time de Sustentação Cloud. 


02. ATIVAÇÃO DA VPN

Como primeiro passo, para a ativação da VPN do lado de TOTVS Cloud, será necessário que o cliente forneça o seu IP de Peer (IP fixo garantido e dedicado) e as redes de IPs que são utilizadas nos PDVs para declaração do lado de TOTVS Cloud. 

Cliente

Exemplo

Observação

IP Peer Cliente (Remote ID)181.41.70.10IP público da infraestrutura do cliente a ser utilizado na comunicação VPN
Redes de IP (PDVs)192.168.0.0/16Informar as redes e sub redes que estão em uso nas lojas que usam PDV para criação das rotas. Caso houver mais de uma, informar todas que terão PDVs, exemplo: 192.168.0.0/16 e 172.16.1.0/24
Redes Não utilizáveis

Após o time Super Cloud receber as informações do cliente, será solicitado a ativação da VPN na topologia do cliente ao time de Sustentação Cloud, assim ele realizam a configuração e retornam ai time Super Cloud os dados para ativação do lado do cliente.

Para a oferta atual de TOTVS Cloud Linha Consinco, não está disponível contingencia de VPN, ou seja, não está disponível na oferta a ativação de mais de 1 IP de Peer VPN por topologia.

03. PROFILE

Para fechar a comunicação da VPN, o cliente ou responsável técnico pela rede do cliente deverá configurar o firewall para estabelecer a VPN seguindo os parâmetros abaixo.

IKE Phase 1

Valor

Observação

IKE versionIKE_V2Use IKEV1 se IKEV2 não for suportado
Authentication methodPSKPre-Shared-Key
Pre shared key<A ser fornecido por TOTVS Cloud>Será enviado pelo time Super Cloud
Authentication algorithm[SHA2_256, SHA2_512, SHA1, SHA2_384]Utilizar apenas o de sua preferência
Encryption algorithm[AES_128, AES_256]Utilizar apenas o de sua preferência
SA life time28800
Negotiation modemainAplicável para IKEV1
DH group[GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15]Utilizar apenas o de sua preferência
IP Peer TOTVS<A ser fornecido por TOTVS Cloud>Será enviado pelo time Super Cloud

O encryption algorithm 3DES não é suportado.

IPSec Phase 2

Valor

Observação

Transform Protocol ESP
Authentication algorithm[SHA2_256, SHA2_512, SHA1, SHA2_384]Utilizar apenas o de sua preferência
Sa life time3600
Encryption algorithm[AES_128, AES_256]Utilizar apenas o de sua preferência
IP do Túnel 169.254.1.1/30O cliente deve utilizar o IP 169.254.1.2/30 (Opcional)
Enable perfect forward secrecytrue
Perfect forward secrecy DH group[GROUP19, GROUP5, GROUP21, GROUP20, GROUP16, GROUP14, GROUP2, GROUP15]Utilizar apenas o de sua preferência

IPSec VPN Session Config

Valor

Observação

Peer address<A ser fornecido pela TOTVS Cloud>Peer gateway IP público
Peer id<A ser fornecido pela TOTVS Cloud>
Peer Subnet0.0.0.0/0Rede interna dos PDVs

A conexão deve ser iniciada pelo firewall do cliente, pois a VPN em TOTVS Cloud é criada no modo "Respond Only"


04. DECLARAÇÃO DE REDES

Para que os PDVs enxerguem o Monitor de PDV, será necessário que as redes utilizadas em TOTVS Cloud abaixo sejam declaradas para a Phase 2 nas configurações da VPN do lado do cliente.

Rede

Ambiente

Observação

10.0.1.0/24HomologaçãoRedes de IP de uso exclusivo usados em TOTVS Cloud
10.0.2.0/24ProduçãoRedes de IP de uso exclusivo usados em TOTVS Cloud

Deverá haver segmentação no firewall do lado do cliente para que a rede de produção (10.0.1.0/24) enxergue apenas os PDVs de produção e para que a rede de homologação (10.0.2.0/24) enxergue apenas os PDVs de homologação.

Em nenhuma hipótese recomendamos que a rede de homologação (10.0.2.0/24) fique acessível para os PDVs em produção ou que os PDVs de homologação fiquem acessíveis para a rede de produção (10.0.1.0/24).

Caso não seja observado atentamente essa recomendação de segmentação, o cliente fica sujeito a transtornos operacionais em caso de comunicação indevida.

05. LIBERAÇÃO DE PORTAS

Para que a comunicação bidirecional entre PDV e Monitor de PDV aconteça, é necessário que as portas abaixo sejam liberadas nas direções mencionadas.

Porta

Protocolo

Origem

Destino

Observação

7011, 7014, 7020, 7022TCPPDVMonitorComunicação utilizada para envio de vendas, consultas, licenciamento, etc ao Monitor de PDV
8011, 8080TCPMonitorPDVComunicação utilizada para envio de cargas de preço, produto, clientes, etc ao PDVs
ICMP (ping)TCPMonitorPDVUtilizado para checar e testar a comunicação (status)
ICMP (ping)TCPPDVMonitorUtilizado para checar e testar a comunicação (status)

06. VERIFICAR CONECTIVIDADE VPN

Após a ativação da VPN em TOTVS Cloud e da parametrização da VPN na casa do Cliente, e o cliente ter estabelecido a Phase 1 e Phase 2 da VPN, é possível realizar testes de ping e telnet:

  • Teste possíveis de realizar no CLIENTE > TOTVS Cloud:
    • Tracert ou traceout até o IP do Monitor de PDV.
    • Ping <IP Monitor PDV>
    • Telnet <IP Monitor PDV> 7011
  • Exemplo:

    tracert <IP Monitor PDV>
    traceout <IP Monitor PDV>
    ping <IP Monitor PDV>
    telnet <IP Monitor PDV> 7011
  • Teste possíveis da via TOTVS Cloud > CLIENTE:
    • Tracert via Go Global do Monitor de PDV até o PDV.
    • Ping <IP PDV>
    • Telnet <IP PDV> 8011
  • Exemplo:

    tracert <IP PDV>
    ping <IP PDV>
    telnet <IP PDV> 011

07. CONTIGÊNCIA

Atualmente não está disponível a possibilidade de configurar um IP de Peer secundário do cliente no TOTVS Cloud. Portanto, caso seja necessário a troca do IP de Peer por alguma eventualidade, será necessário solicitar a TOTVS Cloud para que o IP seja atualizado manualmente, via ticket. Posteriormente, será disponibilizado uma interface na plataforma T-Cloud para que o próprio cliente possa atualizar estas informações quando necessário.

08. INDISPONIBILIDADE

Em casos de indisponibilidade ou problemas na comunicação da VPN, o responsável do lado do cliente deverá realizar as análises iniciais para certificar-se de que do lado do cliente as configurações para fechar a VPN estão dentro dos parâmetros acordados neste documento. Em caso de persistência do problema, o responsável do lado do cliente deverá coletar e gerar logs do seu firewall que evidenciam um problema do lado de Cloud, para que então seja possível abrir um incidente junto ao time de redes de TOTVS Cloud e os logs sejam analisados.

  • Sem rótulos