VPNs¶
VPNs e Conectividade entre Ambientes¶
Esta seção apresenta a documentação técnica das VPNs identificadas no ambiente da FÁCIL, contemplando a VPN de usuários em home office terminada no Firewall Local, os túneis site-to-site, integrações com parceiros e comunicação entre matriz, Firewall Local, Armazém Cloud, OLOS, Ambiental, Rede Service, RAID e demais redes remotas observadas.
O ponto principal identificado é que a VPN dos usuários home office é utilizada pelo Firewall Local. A partir dessa VPN, os usuários conseguem comunicação com recursos do ambiente Cloud na Armazém Cloud, conforme políticas, rotas e integrações existentes entre o ambiente local e o ambiente cloud.
VPNs
Acesso remoto no Firewall Local e conectividade com Armazém Cloud, parceiros e redes remotas.
Especificações identificadas
| Informação | Detalhamento |
|---|---|
| Cliente | FÁCIL |
| Componente | VPNs |
| Ambientes envolvidos | Matriz FÁCIL, Firewall Local, Armazém Cloud, parceiros e redes remotas |
| Solução identificada | Fortinet / FortiGate |
| Firewall Local relacionado | FW-FACIL |
| Firewall Cloud relacionado | JLLE-FWCLOUD01 |
| VDOM identificado no Firewall Cloud | FACIL |
| VPN de usuários home office | Terminada no Firewall Local |
| Comunicação da VPN de usuários | A partir do Firewall Local há comunicação com o ambiente Cloud na Armazém Cloud |
| Tipos identificados | VPN de usuários/home office, VPN site-to-site, VPN dialup/FortiClient, túneis IPsec e integrações entre redes |
| Função no ambiente | Interligação segura entre usuários remotos, matriz, cloud, parceiros, sistemas e redes operacionais |
Leitura técnica:
A VPN de usuários deve ser compreendida como um recurso do Firewall Local, não como VPN principal do Firewall Cloud. O Firewall Cloud participa da comunicação quando o tráfego proveniente da VPN local precisa acessar recursos hospedados na Armazém Cloud.
Arquitetura lógica da VPN de usuários
| Camada | Função |
|---|---|
| Usuário home office | Realiza conexão remota via VPN |
| Firewall Local FW-FACIL | Termina a VPN de usuários e aplica controle inicial de acesso |
| Rede interna / matriz FÁCIL | Ambiente local acessível conforme regras e permissões |
| Comunicação com Cloud | Tráfego pode seguir do Firewall Local para o ambiente na Armazém Cloud |
| Firewall Cloud JLLE-FWCLOUD01 | Controla o acesso aos recursos hospedados na Armazém Cloud |
| Recursos Cloud | Servidores, serviços, sistemas e integrações publicados ou acessíveis via rotas/políticas |
Leitura técnica:
O fluxo correto da VPN de usuários é: usuário remoto → Firewall Local → redes internas e/ou ambiente Cloud. Isso significa que a permissão de acesso aos recursos cloud depende tanto das regras do Firewall Local quanto das políticas, rotas e objetos do Firewall Cloud.
VPN de usuários home office
| Item | Informação |
|---|---|
| Tipo de uso | VPN de usuários / home office |
| Firewall responsável | Firewall Local FW-FACIL |
| Função | Permitir acesso remoto dos usuários ao ambiente corporativo |
| Comunicação com ambiente cloud | Sim, a partir do Firewall Local há comunicação com recursos na Armazém Cloud |
| Dependências técnicas | Políticas do Firewall Local, rotas, objetos de rede, regras entre ambientes e políticas do Firewall Cloud |
| Relação com Firewall Cloud | O Firewall Cloud controla o tráfego quando o destino está no ambiente hospedado na Armazém Cloud |
Leitura técnica:
A VPN de usuários é uma camada de acesso remoto. O fato de haver comunicação com a Armazém Cloud não muda o ponto de terminação da VPN: o acesso remoto dos usuários ocorre pelo Firewall Local e depois segue para os destinos permitidos.
Túneis VPN identificados no Firewall Cloud
| Túnel | Tipo / Grupo | Interface Binding | Status | Referências |
|---|---|---|---|---|
| AMBIENTAL_VPN | Custom | LINK-WAN-FACIL | Up | 4 |
| Acesso Remoto | Custom | LINK-WAN-FACIL | Inactive | 4 |
| COBMAIS | Custom | LINK-WAN-FACIL | Inactive | 3 |
| DCxREDESERVICE | Custom | LINK-WAN-FACIL | Up | 3 |
| FACIL M VPN1 | Custom | LINK-WAN-FACIL | Up | 4 |
| FACIL M VPN2 | Custom | LINK-WAN-FACIL | Up | 4 |
| FACIL_M_VPN3 | Custom | LINK-WAN-FACIL | Inactive | 2 |
| OLOS OC08 | Custom | LINK-WAN-FACIL | Up | 5 |
| OLOS OC11 | Custom | LINK-WAN-FACIL | Up | 4 |
| RAID x DC | Custom | LINK-WAN-FACIL | Inactive | 3 |
| FACILDC-VPN | Dialup FortiClient | LINK-WAN-FACIL | Inactive | 2 |
Leitura técnica:
Os túneis listados nesta seção pertencem ao contexto do Firewall Cloud na Armazém Cloud. Eles atendem integrações entre cloud, matriz, parceiros e redes remotas, mas não substituem a VPN de usuários home office terminada no Firewall Local.
VPNs ativas observadas no Firewall Cloud
| Túnel | Ambiente / finalidade provável | Status |
|---|---|---|
| AMBIENTAL_VPN | Integração com ambiente Ambiental | Up |
| DCxREDESERVICE | Integração entre DC e Rede Service | Up |
| FACIL M VPN1 | Conectividade da matriz FÁCIL com ambiente cloud/DC | Up |
| FACIL M VPN2 | Conectividade da matriz FÁCIL com ambiente cloud/DC | Up |
| OLOS OC08 | Integração com ambiente OLOS OC08 | Up |
| OLOS OC11 | Integração com ambiente OLOS OC11 | Up |
Leitura técnica:
As VPNs ativas no Firewall Cloud demonstram dependências operacionais entre Armazém Cloud, matriz FÁCIL, OLOS, Ambiental e Rede Service.
VPNs inativas observadas no Firewall Cloud
| Túnel | Status | Observação técnica |
|---|---|---|
| Acesso Remoto | Inactive | Túnel inativo no momento do levantamento |
| COBMAIS | Inactive | Integração com parceiro COBMAIS inativa no momento do levantamento |
| FACIL_M_VPN3 | Inactive | Túnel adicional da FÁCIL inativo no momento do levantamento |
| RAID x DC | Inactive | Integração RAID x DC inativa no momento do levantamento |
| FACILDC-VPN | Inactive | VPN Dialup/FortiClient inativa no momento do levantamento |
Leitura técnica:
Túneis inativos não necessariamente representam falha, pois podem estar sem tráfego, descontinuados, sob demanda ou dependentes de negociação. Porém, devem ser validados quanto à necessidade atual, dependência operacional e documentação.
Redes e objetos relacionados às VPNs
| Objeto / Rede | Tipo | Endereço / Detalhe | Relação com VPN |
|---|---|---|---|
| FACIL VPN REMOTE | Subnet | 10.30.20.0/24 |
Rede vinculada a acesso remoto/VPN |
| FACILDC-VPN_range | IP Range | 10.11.12.1 - 10.11.12.254 |
Faixa associada à VPN FACILDC |
| REDE VPN | Subnet | 10.30.120.0/24 |
Rede de VPN identificada |
| SSL VPN | Subnet | 192.168.188.0/24 |
Rede SSL VPN |
| SSLVPN TUNNEL ADDR1 | IP Range | 10.212.134.200 - 10.212.134.210 |
Pool de túnel SSL VPN |
| VPN_NAT | Subnet | 10.71.20.0/24 |
Rede NAT associada a VPN |
| NAT VPN | IP Pool | 10.71.20.1 - 10.71.20.254 |
Pool NAT para tráfego VPN |
| AMBIENTAL DC | Subnet | 10.40.10.4/32 |
Destino remoto via VPN |
| COBMAIS | Subnet | 172.36.0.0/24 |
Rede de parceiro |
| OC08 | Subnet | 10.196.228.0/24 |
Rede OLOS OC08 |
| OC11 | Subnet | 10.240.120.0/24 |
Rede OLOS OC11 |
| LAN REDE SERVICE | Subnet | 172.17.84.0/24 |
Rede relacionada à integração Rede Service |
| REDESERVICE INT | Subnet | 10.10.1.55/32 |
Host/rede de integração Rede Service |
| RAID BANCADA | Subnet | 192.168.63.0/24 |
Rede relacionada à integração RAID |
Leitura técnica:
Os objetos mostram que o ambiente possui redes específicas para VPN, NAT de VPN, acesso remoto, SSL VPN e integrações com parceiros e serviços externos. A rede de usuários home office deve ser correlacionada com as regras do Firewall Local e com as permissões para acesso à Armazém Cloud.
Comunicação entre VPN de usuários e Armazém Cloud
| Origem | Ponto de entrada | Caminho | Destino |
|---|---|---|---|
| Usuários em home office | VPN no Firewall Local | Firewall Local → comunicação entre ambientes | Recursos hospedados na Armazém Cloud |
| Rede de VPN dos usuários | Firewall Local FW-FACIL | Rotas e políticas entre local e cloud | Servidores e serviços no Firewall Cloud |
| Matriz / ambiente local | Firewall Local | Integração com Firewall Cloud | VMs, AD, WTS, Storage, CRM e demais serviços permitidos |
Leitura técnica:
Para que um usuário conectado na VPN local acesse recursos da Armazém Cloud, precisam existir três camadas coerentes:
1. permissão da VPN no Firewall Local; 2. rota/comunicação entre Firewall Local e Cloud; 3. política correspondente no Firewall Cloud para permitir o destino.
Rotas relacionadas às VPNs
| Destino | Interface / Túnel | Status |
|---|---|---|
10.40.10.4/32 |
AMBIENTAL_VPN | Enabled |
10.196.228.0/24 |
OLOS OC08 | Enabled |
10.240.120.0/24 |
OLOS OC11 | Enabled |
192.168.63.0/24 |
RAID x DC | Enabled |
10.10.1.55/32 |
DCxREDESERVICE | Enabled |
172.17.84.0/24 |
FACIL x DC | Enabled |
10.30.20.0/24 |
FACIL x DC | Enabled |
Leitura técnica:
As rotas reforçam a relação entre os túneis VPN, as redes remotas e a comunicação entre matriz, Firewall Local e Armazém Cloud. A rede 10.30.20.0/24 aparece associada ao contexto de acesso remoto/VPN e deve ser correlacionada com o fluxo da VPN de usuários.
Políticas relacionadas às VPNs
| Política | Origem / destino resumido | Comportamento observado |
|---|---|---|
| ACESSO SISTEMA PARCEIROS (29) | LINK_LAN_FACIL → COBMAIS, OC08 e outros |
Acesso entre ambiente local e parceiros |
| AMBIENTAL NAT ACESSO (30) | LINK-LAN-FACIL address → AMBIENTAL_DC |
Uso de NAT_LAN |
| FACIL x TERCEIRO IPSEC (9) | AMBIENTAL_DC, OC08 e outros → LINK_LAN_FACIL |
Integração via IPsec |
| REDESERVICE TO DC (32) | LAN REDE SERVICE → LINK_LAN_FACIL |
Comunicação Rede Service com DC |
| vpn FACILDC-VPN_remote_0 (34) | FACILDC-VPN_range → all |
NAT habilitado |
| Acesso remoto (21) | REDE VPN → LINK-LAN-FACIL address |
ACCEPT, sem NAT |
| REMOTO x AMBIENTAL (23) | Remoto → AMBIENTAL_DC |
Uso de NAT VPN |
| ACESSO VPN PARCEIROS (27) | Matriz / VPN Remote / Rede Service → LINK_LAN_FACIL |
Integração com parceiros |
| VPN PARCEIROS (28) | AMBIENTAL_DC, OC08 e outros → LINK_LAN_FACIL |
Cert inspection + AV + IPS |
Leitura técnica:
As políticas demonstram uso das VPNs para parceiros, Ambiental, OLOS, Rede Service, RAID e comunicação com a Armazém Cloud. No caso da VPN dos usuários home office, a permissão inicial deve ser validada no Firewall Local e a chegada ao ambiente cloud deve ser validada nas políticas do Firewall Cloud.
Relação com SD-WAN e caminhos preferenciais
Foram observadas regras SD-WAN relacionadas a ambientes que também aparecem nas VPNs e rotas, principalmente OLOS e FACIL DC.
| Regra SD-WAN | Origem | Destino | Membros / caminho | Critério |
|---|---|---|---|---|
| SAIDA_OLOS_OC08 | INTERNA address / Acesso Remoto_range / MOAITECH LAN | OLOS OC08 | OLOS OC08 / OC08_VPN2 | Packet Loss |
| SAIDA_OLOS_OC11 | INTERNA address / Acesso Remoto_range / MOAITECH LAN | OC11 | OLOS OC11 / OC11_VPN2 | Packet Loss |
| SAIDA_LANDC | INTERNA address / Acesso Remoto_range | LAN DC | FACIL DC BR / FACIL DC ALGAR | Latency |
| REDESERVICE_TO_DC | VLAN 40 address | LAN DC | FACIL DC BR | Selected route |
Leitura técnica:
A presença de regras SD-WAN com critérios de latência e perda de pacotes indica que alguns fluxos relacionados às VPNs possuem controle de qualidade de rota, especialmente para OLOS e comunicação com o ambiente DC.
Leitura técnica consolidada
- A VPN dos usuários home office é utilizada pelo Firewall Local FW-FACIL.
- A partir da VPN local, os usuários podem ter comunicação com recursos hospedados na Armazém Cloud, conforme rotas e políticas existentes.
- O Firewall Cloud JLLE-FWCLOUD01 não é o ponto principal da VPN dos usuários home office, mas participa do controle quando o destino do tráfego está no ambiente cloud.
- O Firewall Cloud está hospedado na Armazém Cloud e atua como concentrador de conectividade para integrações, VPNs site-to-site, ZTNA, NAT, publicações e rotas.
- Foram identificados túneis ativos para AMBIENTAL_VPN, DCxREDESERVICE, FACIL M VPN1, FACIL M VPN2, OLOS OC08 e OLOS OC11.
- Foram identificados túneis inativos, como Acesso Remoto, COBMAIS, FACIL_M_VPN3, RAID x DC e FACILDC-VPN.
- O ambiente possui objetos específicos para VPN, SSL VPN, NAT VPN e acesso remoto.
- A comunicação de usuários remotos com recursos cloud depende da combinação entre VPN local, rotas entre ambientes e políticas no Firewall Cloud.
- A documentação das VPNs deve ser correlacionada com as seções de Firewall Local, Firewall Cloud, rotas, problemas encontrados e riscos.
Importante:
Esta página possui caráter documental e consultivo. Alterações em túneis VPN, rotas, políticas, NAT, acesso remoto ou integrações com parceiros deverão ser avaliadas em novo escopo técnico, com validação prévia de impacto.