PFSense – OpenVPN Site-To-Site Filial

Introdução

A filial tem que acessar a matriz, porém, esse acesso tem que operar como uma MPLS, mas devido ao preço do link MPLS ser muito além para o custo da Filial, foi adquirido um link convencional de internet de 300MB com um preço mais acessível, porém, ainda assim a filial precisa acessar a matriz como uma rede local. Para realizar esse acesso de uma forma satisfatória e segura o protocolo mais vivedouro foi o VPN.

Aqui vamos usar a VPN em uma configuração que realimente justifica e coloca seus recursos a prova. Vamos ligar uma filial que tem um link de internet convencional, com a matriz que tem um link de Internet dedicada e com IP válido, aplicando a criptografia e compactação de pacotes.

Configurando O OpenVPN Site-To-Site – Lado Filial

Essa é uma configuração da filial que em que conectar a matriz.

Dados fictícios da Matriz

  • CID IP válido internet: 177.16.52.30/30
    • WAN: 177.16.52.31
  • CID IP de LAN: 192.168.0.0/24
    • Gateway: 192.168.0.254
    • Host_Matriz: 192.168.0.1

Dados VPN

  • CID IP de VPN: 172.0.0.0/30

Dados fictícios da Filial

  • CID IP de LAN: 10.100.100.0/24
    • Gateway: 10.100.100.254
    • Host Filial: 10.100.100.1

O gateway da filial também é o IP do Firewall de borda.

Acessando Menu VPN

Iremos acessar o firewall filial pelo IP 192.168.1.254 e entrar no menu “VPN>OpenVPN>Clients” para criar a primeira VPN.

Para diferenciar o firewall da filial foi configurado o tema dark.

Clique OpenVPN, no submenu Clients e clique em Add. As entradas de parâmetros de configuração da VPN de nossa filial (cliente) serão exibidas para configuração. Vamos configurar e comentar cada bloco de configuração.

As imagens poderão estar um pouco diferente devida a diferença da versão do PFSense.

General Information:

Nesse campo as expressões que são as mesmas da matriz têm que ter as mesmas configurações na filial.

  • Disabled – “Desmarcado” para que o serviço seja executado;
  • Server Mode – “Peer to Peer (Shared Key)” – Ponto a Ponto com chave compartilhada;
  • Protocol “UDP”;
  • Device Mode – “tun” esse recurso nos dá a possibilidade de trabalhar na terceira camada OSI;
  • Interface – “WAN_PRI”, selecionaremos“WAN”, que é a interface que receberá e enviará a conexão;
  • Local Port – “”, vazio para seleção automática da porta;
  • Server Host or Address – “177.16.52.31.”, Endereço IP WAN da Matriz
  • Server Port – “1195”; porta configurada na matriz;
  • Proxy host or address – “”, em branco caso seu ambiente não tenha servidor Proxy configurado;
  • Proxy Port – “”, porta do servidor proxy;
  • Proxy Auth. – Extra options – “none”, credenciais do servidor proxy;
  • Server hostname resolution – “desmarcado”, para não resolver nome server;
  • Desccription – “VPN Filial<->Matriz”, esse campo além de dar um nome descritivo para a finalidade da VPN, também servirá para administrarmos a VPN. Entre com a descrição que melhor retrata o serviço configurado.
Cryptographic Settings

Nos campos de criptografia iremos desabilitar a geração automática da chave, pois já criamos a chave no Firewall Master com o perfil compartilhado. Repare que ao desmarcar essa opção aparece uma área de texto, nele será preciso colar a chave do servidor.

Todos os campos desse bloco de configuração tem que ser idêntico ao bloco do servidor VPN

  • Perr Certificate Revocation – No meu caso ainda não houve a necessidade de configurar o certificado de revogação;
  • Auto generate – “desmarcado”, temos que copiar a chave que foi gerado no firewall da matriz e colar na filial. Para isso, acesse no Firewall Master que fica na matriz e vai no menu “VPN>OpenVPN>Server” e copie a chave compartilhada no campos Shared Key e cole no campo Shared Key do firewall da filial;
  • Shared KEY – “Entre com a Key Shared copiada do firewall master”;
  • Encryption Algorithms – “AES-128-CBC (128 bit key, 128 bit block)”;
  • Auth Digest Algorithm – “SHA256 (256-bit);
  • Hardware Crypto – Caso tenha algum hardware acelerador de encriptar instalado e se essa placa for compatível com seu PFSense, ela vai aparecer aqui como opção de escolha, caso contrário: “No Hardware Crypto Accelaration”.

As configurações de criptografia são importantes para que o túnel seja seguro, assim dificultando a chance de quebrar a criptografia. O “Encrypition Algorithm” é a criptografia utilizada para o tráfego dos dados onde o padrão é “AES-128-CBC (128-bit)” e o “Auth Digest Algorithm” é o algoritmo de autenticação, que o padrão é o “SHA160” onde foi trocado para o “SHA256”.

Muito cuidado quando for alterar esse conjunto. Uma criptografia muito alta pode aumentar muito a segurança dos dados, porém, também pesará muito os pacotes de dados consumindo mais banda do link e uma exigência há mais do processamento para encriptar e decriptar os pacotes trafegados.

Tunnel Settins

Aqui tratamos a camada de rede da VPN.

  • IPv4 Tunnel Network – “172.0.0.0/30”, O IP do Tunel VPN, mesmo CID configurado na VPN Matriz;
  • IPv6 Tunnel Network – “Não usarei”, O IPv6 para o túnel;
  • IPv4 Remote Network – “192.168.0.0/24”, IP da rede internar da matriz, com essa configuração será criada uma rota interna na rede filial para a matriz;
  • IPv6 Remote Network – “Não usarei”, IP Virtual da VPN,
  • Limit outgoing bandwidth – “vazio” para não configurar limite de uso da largura de banda;
  • Compreession – “Enable with Adaptive Compression”. Antes de ativar a compactação, consulte as informações sobre os ataques VORACLE, CRIME, TIME e BREACH contra TLS para decidir se o caso de uso dessa VPN específica é vulnerável a ataques;
  • Type -Of-Service – Deixei desmarcado.
  • Disable IPv6 – “Marque” para não permitir encaminhamento do IPv6, já que na matriz configuramos Somente UPD IPV4;
  • Don’t pull routes – “desmarcado” para que o cliente passa carregar rotas da matriz;
  • Don’t add/remove routes – “desmarcado” para que o servidor possa incluir ou excluir rotas automaticamente.
Advanced Configuration

Particularmente não vou ajustes esses parâmetros, porém, ajuste conforme sua necessidade.

  • Custom Options – “push “route 192.168.0.0 255.255.255.0”” caso eu quisesse configurar uma rota na VPN cliente, caso contrário deixa em branco;
  • Verbosity Level – “default”.

Vamos clicar em SAVE para prosseguirmos com a configuração da nossa WAN para permitir o acesso ao Firewall.

Configurando Acesso WAN da Filial

Vamos agora preparar o Firewall da nossa matriz para fechar a VPM, essa ação é importante, porquê a conexão da filial ira bater na interface WAN, pois é essa conexão que recebe as solicitações externa.

Criando Regra Interface WAN

Iremos habilitar nosso firewall a receber entrada externa pela Interface WAN escutando a porta 1195.

No Menu do seu PFSsense clique em Firewall/Rules, depois escolha a interface WAN e Clique em Add para adicionarmos uma nova regra.

Vamos comentar cada bloco de configuração da regra para liberar acesso a VPN.

Edit Firewall Rule
  • Action – “Pass”, permitindo acesso dos pacotes;
  • Disable – ”Deixa desmarcado”, para que a regra tenha efeito;
  • Address Family – “IPv4”;
  • Protocol – “UDP”, pois foi o protocolo que selecionamos na configuração da VPN em Endpoint Configuration da VPN Filial<->Matriz.
Source

Origem do Pacote, que nesse caso vem de qualquer host da internet e de qualquer porta.

  • Source – “Any”, permitindo de todas as origens;
  • Display Advanced – Não vamos alterar nada no momento.
Destination

Destino do Pacote, que nesse caso vai ser encaminhada para a interface WAN na porta 1195

  • Destination – “WAN Net”, para interface WAN;
  • Source Port Ranger – ”From: 1195 To: 1195”, Portas que também configuramos em Endpoint Configuration.
Extra Options
  • Logs – “Desmarcado”, se marcado será registra em log todo o trafego realizado nessa regra;
  • Descriptions – ”Permitir VPNFilial para Matriz”, um texto que contextualize o motivo da regra;
  • Display Advanced – Não vamos alterar nada no momento.

O último bloco é só informativo. Clique em SAVE e vamos configurar a regra do firewall VPN filial.

Criando Regra Interface OpenVPN

Essa interface não existe enquanto uma conexão VPN não seja criada seja Server-To-Server ou Client-To-Server. Na regra da interface WAN habilitamos nosso firewall há receber as solicitações da matriz escutando pela porta 1195, porém, se a regra da interface OpenVPN não for configurado, esse pacote não chegara ao destino.

No Menu do seu PFSsense clique em Firewall/Rules, depois escolha a interface OpenVPN e Clique em Add para adicionarmos uma nova regra.

Vamos criar uma regra liberando todo o trafego, nos próximos artigos iremos mostrar como realizar esse acesso por conexão onde vai nos dar mais abrangência de controle em que essa VPN vai dar acesso, mas será em um outro artigo.

Edit Firewall Rule
  • Action – “Pass”, permitindo acesso dos pacotes;
  • Disable – ”Deixa desmarcado”, para que a regra tenha efeito;
  • Interface – “OpenVPN”;
  • Address Family – “IPv4”;
  • Protocol – “Any”.
Source

Origem do Pacote, que nesse vem que qualquer interface VPN.

  • Source – “Any”, permitindo de todas as origens.
Destination

Destino do Pacote, que nesse caso é qualquer lugar para a interface WAN na porta 1195

  • Destination – “Any”, permitindo de todas as origens.
Extra Options
  • Logs – “Desmarcado”, se marcado será registra em log todo o trafego passado nessa regra;
  • Descriptions – ”Permitir OpenVPN”, um texto que contextualize o motivo da regra;
  • Display Advanced – Não vamos alterar nada no momento.

O último bloco é só informativo. Clique em SAVE e no próximo iremos constatar o fechamento da VPN entre a filial e a matriz.

Se está gostando das postagens, se inscreva em nosso site para receber mais materiais de nosso blog, é grátis, você vai ser notificado quando novas postagens forem publicadas, recebendo assim mais conteúdos de qualidades e ainda vai dar aquela força pra nossa comunidade. E não esquece de compartilhar em suas redes sociais os botões estão no final desse página.

No final dessa página temos um campo onde você é bem vindo para deixar seus comentários. Pode ser uma opinião, elogios, críticas ou correções. Pode ficar a vontade para tirar suas dúvidas ou colaborar acrescentando algo que tenhamos deixado passar desapercebido.

Sua visita e feedback é muito importante para o nosso espaço.

Deixe uma resposta