Com esta atualização, poderá ajustar parâmetros fundamentais do túnel e diagnosticar incidentes sem sair do painel.
O objetivo é dar-lhe mais controlo e mais autonomia na operação diária.
1. Introdução
Neste tutorial irá aprender a:
-
Selecionar a versão de IKE utilizada pelo seu túnel (v1, v2 ou Automático).
-
Ativar ou desativar o Split Tunneling quando trabalhar com várias redes remotas.
Se ainda não tem configurado um túnel VPN ativo, recomendamos que reveja primeiro o tutorial “Como criar uma VPN site-to-site na Jotelulu”, onde se explica passo a passo como implementar e ligar ambas as extremidades da ligação.
2. Pré-requisitos
-
Acesso ao painel da Jotelulu com permissões sobre a subscrição de rede.
-
Um túnel VPN já criado e operacional.
-
Se for utilizar Split Tunneling, ter declarado pelo menos duas redes remotas na configuração do túnel.
Também pode consultar o tutorial “Como criar e gerir redes VPC na Jotelulu” se necessitar de rever a estrutura das suas redes antes de configurar a VPN.
3. Passo 1. Configurar a versão de IKE
A plataforma permite escolher a versão de IKE utilizada na negociação do túnel:
-
IKEv1: útil se o equipamento remoto apenas suportar v1.
-
IKEv2: recomendado por compatibilidade, segurança e estabilidade.
-
Automático (Auto): a plataforma decide o comportamento consoante quem inicia a ligação.
Comportamento em modo Automático
-
Se a Jotelulu inicia a ligação: será tentado o IKEv2 por defeito. Se a extremidade remota apenas aceitar v1, a ligação poderá não ser estabelecida corretamente.
-
Se a Jotelulu responde (modo passivo): adapta-se à versão que a origem propuser (v1 ou v2).
Comparação: IKEv1 vs IKEv2
Conclusão: sempre que ambas as extremidades o permitam, utilize IKEv2. É mais rápido, seguro e compatível com as funcionalidades avançadas da Jotelulu (como Split Tunneling ou a gestão de logs detalhados).
Quando utilizar cada opção
-
Utilize IKEv2 se ambas as extremidades o suportarem: negociação mais robusta e melhor interoperabilidade.
-
Utilize IKEv1 apenas se o fabricante ou versão remota não suportar v2.
-
Utilize Auto se não controlar quem inicia sempre a ligação e pretender compatibilidade flexível. Se detetar problemas em Auto, defina explicitamente v1 ou v2.
Alterar a versão requer renegociação. Agende a alteração numa janela sem tráfego crítico.
4. Ativar Split Tunneling
O Split Tunneling permite que, ao declarar várias redes remotas num mesmo túnel, a plataforma crie uma SA (Security Association) independente para cada rede, em vez de as agrupar numa só.
Isto oferece uma maior flexibilidade ao parceiro, que pode decidir como pretende gerir a ligação entre as suas redes remotas e a Jotelulu, adaptando-se ao comportamento da sua infraestrutura ou do fabricante com o qual trabalhe.
Em alguns ambientes, pode ser mais eficiente manter uma única SA (modo unificado), enquanto noutros é preferível separar as redes (modo Split Tunneling).
A decisão dependerá do desenho da rede e das recomendações do fabricante remoto.
Ative o Split Tunneling para gerar uma SA independente por cada rede remota (requer IKEv2).
4.1 Compatibilidade entre fabricantes
Cada fabricante gere de forma distinta como se agrupam ou separam as redes num túnel VPN.
Apresentam-se abaixo alguns comportamentos habituais para referência:
💡 Importante:
Não se trata de um problema de compatibilidade.
A Jotelulu permite que o parceiro escolha livremente o modo de funcionamento (unificado ou Split Tunneling) para se adaptar ao desenho da sua infraestrutura e ao comportamento dos seus equipamentos.
4.2 Condições e compatibilidade técnica
-
O controlo de Split Tunneling aparece apenas quando existem duas ou mais redes remotas configuradas.
-
Requer IKEv2. Se o ativar, o sistema ajustará automaticamente a versão do túnel.
-
Se a extremidade remota trabalhar com uma SA única, o túnel continuará ativo e funcional; simplesmente operará em modo unificado.
4.3 Recomendações práticas
-
Consulte a documentação do fabricante remoto para compreender como gere as múltiplas redes IPsec.
-
Documente as alterações e valide as rotas de cada rede antes de fechar a configuração.
-
Utilize IKEv2 sempre que possível: é a versão mais compatível com a segmentação por SAs.
5. Conclusão:
Com estas melhorias, pode ajustar a versão de IKE e escolher se pretende utilizar Split Tunneling quando trabalha com várias redes, adaptando o túnel à sua topologia e às capacidades do equipamento remoto. Se for a sua primeira VPN, reveja também os guias de Como criar uma VPN site-to-site na Jotelulu e Como gerir redes VPC na Jotelulu para contextualizar a configuração e tirar o máximo partido do painel.
