O IPsec também pode ser configurado para conectar uma rede inteira (como uma LAN ou WAN) à uma rede remota através de uma conexão rede-a-rede. Este tipo de conexão requer a configuração de roteadores IPsec em cada lado das redes conectadas para processar e rotear transparentemente informações de um nó de uma LAN para outro nó de uma LAN remota. A Figura 3.11, “Uma conexão IPsec rede-a-rede passando por um túnel” mostra uma conexão IPsec rede-a-rede passando por um túnel.
O diagrama mostra duas LANs separadas pela Internet. Estas LANs usam roteadores IPsec para autenticar e iniciar uma conexão, usando um túnel seguro através da Internet. Os pacotes interceptados em trânsito requerem descriptografia de força bruta para quebrar a cifra protegendo os pacotes entre estas LANs. O processo de comunicação entre um nó no intervalo de IP 192.168.1.0/24 e outro no 192.168.2.0/24 é completamente transparente aos nós, já que o processamento, criptografia/descriptografia e roteamento dos pacotes IPsec são executados inteiramente pelo roteador IPsec.
As informações necessárias para uma conexão rede-a-rede incluem:
-
Os endereços IP externamente acessíveis dos roteadores IPsec dedicados
-
Os intervalos de endereços de rede da LAN/WAN servida pelos roteadores IPsec, tal como 192.168.1.0/24 ou 10.0.1.0/24)
-
Os endereços IP dos dispositivos de gateway que roteiam os dados dos nós da rede para a Internet
-
Um nome único, por exemplo, ipsec1. Este nome é usado para identificar a conexão IPsec e para distinguí-la de outros dispositivos ou conexões.
-
Uma chave fixa de criptografia ou uma gerada automaticamente pelo racoon
-
Uma chave de autenticação pré-compartilhada, usada durante o estágio inicial da conexão e para trocar chaves de criptografia durante a sessão.