PFSENSE 2.7.2 | Configurar VPN Site a Site SSL/TLS
Вставка
- Опубліковано 7 жов 2024
- Olá pessoal,
sejam bem vindos mais uma vez ao canal.
Hoje estou atualizando o conteúdo sobre conectar matriz e filial usando a VPN SSL (openvpn para os mais íntimos).
Algumas coisas mudaram desde a publicação do vídeo sobre o tópico, por isso estamos atualizando com o procedimento mais atual.
Valeu, Rapaz, tua aula é top!
Ola boa noite, quero agradecer por esse conteúdo incrível me ajudou muito, nunca tinha feio uma conexão vpn mais com esse video eu aprendi o conceito de vpn muito obrigado por dividir seu conhecimento.
Cara que vídeo lindo, que bom que existe você para fazer esses vídeos, somente assim para abrir a minha mente para estudar mais e mais, obrigado mesmo!
Passando aqui só para agradecer!!! Esse professor é top!
Só tive um problema, o túnel era fechado, mas eu não conseguia conseguia pingar, muito menos acessar da filial para a matriz, apesar de estar com todas as regras feitas, nat nas wans, regras e regras liberando tudo na VPN, o que eu fiz ? Mudei o endereço do túnel, ao invés de usar o que o PFSense sugere que é aquele 10.0.8.0/24, alterei para a faixa 192.168.x.x/24 e aí FUNCIONOU PERFEITO, matriz acessa filial e o inverso também, mas já reparei que usar essa sugestão do PFSense, seila porque as vezes não funciona, então vou passar a sempre trocar o túnel mesmo.
Perfeito chefe!!! Agora sim, funciona certinho pra ambos os lados, obrigado
Excelente! Atualização tão bom quanto a primeira versão.
SysAdminBr o canal mais brabo do youtube!
Top, abriu minha mente pra resolver o problema que ja estava me deixando de cabelo branco kkkk
Top!!!👏👏👏
Resolveu meu problema da Matriz não chegar na filial, na verdade eu havia trocado todas para IPSec, o problema do IPSec, é que se não tem IP Fixo nas duas pontas, se cair a internet na Matriz e ficar um tempo fora, quando volta, a filial não reconecta, já com o Open VPN, pode ficar bastante tempo fora, que quando volta a conexão ele reconecta sozinho
Olá, primeiramente parabéns pela ótima explicação, segui exatamente como fez, e consegui interligar uma filial com a matriz da empresa. Porém estou com um pequeno problema, a LAN da matriz não consegue pingar os equipamentos da LAN da filial, porém ao contrário funciona. Você poderia me dar uma dica do que pode ser? Ou algum log que eu possa analisar? Agradeço desde já!
Thiago, refaz o túnel e verifica se criou corretamente o "client specific override". olha também se as redes locais/remotas usou rede/range por exemplo 192.168.10.0/24 e não 192.168.10.1/24.
Boa tarde amigo, parabéns pelo vídeo, claro e direto, ajudou muito. Agora como seria em um cenário com um servidor principal e duas filias? Pode fazer um vídeo?
Valeuu.
Viva Luciano, video muito bom. Tenho uma dificuldade. Tenho uma VPN site to site utilizando OPENVPN, no entanto quando faco ping de uma maquina que tenha IP distribuido pelo DHCP do PFSENSE, este nao consegue chegar a filial. Como posso resolver esse problema?
Obriga e abracos!
Boa Tarde, Professor Luciano excelente aula, muito conteúdo e apredizado, uma curiosidade, seria possivel adicionar uma VPN Home Office na Matriz no mesmo IP Publico, permitindo que o colaborador conectado acesse também dados da Filial pela a VPN Site a Site dessa aula?
sim, é possível. basta dizer na configuração das vpns, quais as redes remotas e locais, assim o openvpn estabelece o roteamento adequado para o trafego fluir do usuário home office até a filial passando pela matriz, e também fazer o caminho inverso.
@@sysadminbr Grato professor, grande abraço.
@@sysadminbr Luciano, estou justamente com essa questão aqui. Fechei a VPN entre Matriz e filial e está perfeito. Então preciso de alguma forma fazer uma VPN client to site, porque os colaboradores as vezes trabalham remoto e precisam acessar a Matriz. Como proceder ? Se eu apenas criar os usuários dentro do pfsense, criar os certificados, instalar o openvpnexport para criar o instalador, consigo utilizar já esse túnel feito para o site to site e utilizar essa configuração do OpenVPN já feita ou então posso ter dois OpenVPN rodando no pfsense ou uma terceira via, fazer uma VPN IPSEC e ela não interferiria na vpn já criada ?
@@ghboliveira você precisa rotear o tráfego vindo da vpn ssl para a vpn site a site. só dizer para a vpn site a site que do lado A tem a rede xyz (rede de tunel da vpn ssl), e na vpn ssl, dizer que tem a rede abc (rede lan da matriz). confere as regras de firewall. confere se na matriz o firewall é o gateway padrão dos servidores, caso contrário, terá que fazer mascaramento do trafego sainte pela LAN vindo da vpn ssl.
@@sysadminbr Luciano, muito obrigado
show
Olá, muito grato por esse conteúdo perfeito. Tenho um matriz e filial conectado seguindo seu tutorial, agora preciso add um cliente que fica em um centro de distribuição (somente um pc) o que eu faço?
uma vpn ssl para acesso remoto.
Olá! Gostei do vídeo! Estou tentando montar um laboratório parecido aqui mas redes não é meu forte. Pode compartilhar as configurações de redes das VMs que você usou?
rede bridge e nat para os links de internet, rede tipo lan interna para a rede local entre firewall e maquinas.
@@sysadminbr Voce está usando 3 interfaces de rede em cada VM, sendo uma NAT uma Bridge e uma Rede Interna?
Ou voce está usando em uma VM NAT + Bridge e na outra VM usando Rede Interna + Bridge?
Boa tarde, obrigado pelos os conteúdos. Segui o seu passo a passo na criação da vpn e na questão do ping entre filial e matriz e matriz filial, tendo o source address selecionado automatico, o ping funciona, agora se selecionar a LAN ou usar pc físico para pingar já não funciona. Acho que falta aqui alguma coisa para quando se tenta aceder da LAN filial ou LAN para a matriz funcionar.
Olha se não tem regra de firewall com failover forçando o tráfego da lan por algum Gateway específico
@@sysadminbr sim , tenho regra na firewall LAN para o failover em que vai sempre pela wan2 e em caso falha vai para wan1, mas no lado do cliente . O lado servidor não tem regra failover.
Acho que já encontrou o culpado
Achei curioso o fato de voce ter utilizado o mesmo endereço IP no campo "IPv4 Tunnel Network" nos dois lados... Não precisa ser IPs diferentes?
@@usuariomestre não é o mesmo endereço, e sim a mesma sub-rede que pode conter vários endereços. O servidor sempre usa o primeiro endereço do range.
Eu uso a rede /31 e pensei em fazer uma cron para teste da conexão e quando fosse detectada a queda, ele ficasse reiniciando o serviço para efetuar a conexão, pois quando acontece algo que interrompa a conexão por um longo período alguns servidores não reconectam ou demoram até dias demais para reconectarem. Fica instável.
31 em poto a ponto?
Vamos ver se vc consegue me ajudar em um mistério aqui...
Fiz 2 servidores do zero (servidores de produção mesmo.. físicos)... Matriz e Filial... Fiz as configurações da VPN Site a Site, tudo perfeito!
Os tuneis fecham normalmente e eu consigo pingar somente os IPs dos tuneis tanto Matriz quanto Filial e vice versa... Mas não pinga nenhum IP das redes internas!
Percebi que o Firewall está bloqueando TUDO que passa pela LAN! Mesmo eu fazendo regras que liberam TUDO para TUDO.. Fazendo Easy Rule e tudo mais... Não libera o trafego na LAN!
Eu tenho 2 servidores já funcionando com a versão 2.5.1 e copiei as regras desse servidor... Nesse antigo funciona tudo na LAN, no novo mesmo com as mesmas regras bloqueia TUDO na LAN hehe
Já fiz tambem essa configuração Client Override, mas o problema está em alguma coisa nas regras do Firewall mesmo.
Sabe me dizer se o firewall dessa nova versão tem alguma particularidade / defeito?
Tú liberou a porta udp vpn na wan? Tú liberou geral a interface opnvpn ?
@@UniDonto SIm.. Liberei tanto TCP quanto UDP e também TCP/UDP, mas mesmo assim não havia conexão entre as pontas.
Também fiz a liberação total na interface OpenVPN e nada de funcionar.
Todas essas regras eu me baseei em um ambiente que já tenho funcionando, só que na versão 2.5.
Mas agora refiz tudo do zero... Formatei, instalei novamente e segui 100% os passos desse vídeo... Os tuneis se conectaram com sucesso, mas ainda não testei colocando os computadores em sites diferentes. Por enquanto estão funcionando e se conversando mas no mesmo switch.
Professor inclui no Curso.
vou enviar. obrigado.
Boa tarde! Estou a dias tentando criar uma conexão VPN para 3 clientes externos acessarem apenas uma VM de homologação no meu servidor, mas que não possam acessar mais nada além deste host. Já tentei bastante coisa, inclusive recorrendo ao chat gpt, porém sem êxito. Gostaria de saber se você tem algum vídeo demonstrando como fazer este tipo de procedimento. Grato desde já pela atenção e ajuda!
boa tarde. basta amarrar os IPs dos clientes vpn, e usar regras de firewall para controlar o que cada um pode acessar.
@@sysadminbr Vlw mestre! Mas os clientes vão acesar de hosts que estarão operando em DHCP/Ip Dinâmico e se setar uma faixa específica não sei se será viável. Mas obrigado pela atenção e orientação. Querendo acrescentar algo mais será bem vindo!
Fala Luciano!!! Top!
Cara tenho tal em funcionamento em um local que vai pra Manaus, mas na outra unidade não vai de jeito nenhum, mesmas regras, mas não vai... Como será que você conseguiria me ajudar nisso?
isso pode ser firewall nas máquinasi do outro lado que está ativo no windows/linux (firewall do s.o), ou o s.o do outro lado não usa o firewall de sua ponta como o gateway padrão.
Olá Luciano. Segui todos os seus passos, mas na filial o status do OpenVPN é: "Waiting for response from peer". O que pode estar errado? Obrigado pela sua transmissão de conhecimento.
o lado que disca não está conseguindo chegar no lado que responde a conexão. é regra de firewall faltando, porta bloqueada, bloqueio do provedor... é um cenário fora do comum. troca o protocolo dos dois lados de udp para tcp. se não for isso, somente pedindo ajuda do provedor ou de alguém próximo pra olhar teu ambiente.
@@sysadminbr o meu era justamente isso. obrigado professor
Boa Noite professor, consegui fechar o tunel, e a conexão fecha. Ai realizo a configuração do firewall na interface do openvpn nós dois site, o trafego não passa.
O que pode ser?
Olá Rafael.
Pode ser que na sua LAN você tenha alguma regra que força o uso de gateway. Cria uma regra acima com origem LAN e destino a LAN do outro lado da VPN, sem forçar o gateawy.
Pode ser o "Client Specific Override" também, chegou a cria ele e apontar as rotas locais e remotas?
@@sysadminbr eu tive que fazer a rota em im módulo que tem nas configurações da openvpn professor , aí foi certinho!
@@sysadminbr que resposta linda
Eu consigo fazer o Site-to-Site usando PfSense em versões diferentes nas pontas? Por exemplo em uma ponta a versão 2.5.1 e na outra ponta a versão 2.7.2?
Consegue sim
Oi Luciano, tenho o seguinte cenário na minha empresa: Tenho uma aplicação mobile que os técnicos usam externo, qual seria a melhor forma de liberar o acesso para que à aplicação possa ter acesso a base de dados que fica na minha LAN, para implementação foi solicitado pelo suporte do sistema que as portas 14333 e 8889 fossem abertas, mas por segurança não vou fazer isso. Usar uma VPN resolveria nesse caso?
Usar a vpn resolveria pra não ter que publicar na internet.
Olá Luciano. Eu tenho um firewall PfSense em produção, ele atualizou para versão 2.7.0, e minha VPN parou de funcionar. Eu exclui a VPN antiga e criei uma do zero com base neste neste vídeo tutorial, mas não funciona, não fecha, estou desesperado, pois já revisei varias vezes e não vejo o por que não funciona. Estou com uma empresa parada, estou desesperado. Por favor me ajuda.
como eu posso lhe ajudar amigo?
Olá, fiz todos os procedimentos descritos no vídeo, porém do server para o cliente não comunica. Verifiquei regras de firewall, mas nada.
consegui resolver em partes, as minhas redes na configuração estava colocando 192.168.0.1/21 e deve ser colocado 192.168.0.0/21. Dentro dos PfSense esta comunicando, mas na rede local dos computadores não. Mas eu utilizo Domínio aqui, deve ser isso.
obrigado por postar aqui a solução. com certeza vai ajudar a outras pessoas que passarem pelo mesmo.
Boa tarde meu amigo !!!
Procurei conteudo sobre isso em varios canais no youtube e nao consegui achar, gostaria de saber se vc poderia por favor me exclarecer essas duvidas, sou leigo nessa área ...
Possuo uma internet de 600 megas da CLARO, a velocidade de down e upload estão normais, faço o teste diariamente e está funcionando normalmente, mas parece que tem algo limitando o uso, fico conectado a um servidor que fica em Miami ( Jogo online) com 13 contas, quando eu passo dessa quantidade de contas logadas elas começam a dropar, como se eu tivesse esse limite para acessar.
Não é problema de hardware pois a máquina que eu uso suporta tranquilamente muito mais contas abertas .. ja fiz alguns testes mas o meu conhecimento na área é limitado, poderia me ajudar por favor ?
sou leigo em jogos, não saberia ajudar. sobre a internet, roda um teste de performance (iperf3) entre sua casa e o servidor para saber o quanto chega lá. de repente as 13 contas estão usando todo seu upload/download disponível. ou vai ver o limite está no provedor do servidor em miami e não na sua claro. sugiro pedir consultoria de rede em grupos especializados em jogos e/ou provedor.
Hello could you please make the same tutorial but in english?
I`m not going to promise, english is not my strength 😂 bit i can try 😊
Client to site mudou algo?
Estou na iminência de implementar isso na firma.
não mudou não.
@@sysadminbr
Perfeito, hoje fiz a parte da autenticação no AD. Aos poucos farei o resto.
Ajuda a gente no e2guardian
Boa noite, eu fiz tudo que está no vídeo, única diferença é que a rede matriz é 192.168.0.0/24 e filial 192.168.1.0/24 e não conseguir sucesso no ping nem em acessar alguma coisa, como por exemplo a pagina web do pfsense da outra unidade, mas quando troquei a rede de túnel de 10.0.8.0/24 para 10.0.8.0/30 conseguir pingar e acesso normal, sabe onde posso ter erado ?
Meu amigo, coloca no túnel o endereço 192.168.10.0/24 e o override você coloca 192.168.10.2. Verifica também se os endereços de IP que os seus modens entregam para os PFSense, se não entram em conflito com o que vai utilizar no PFSense, no túnel e rede local de cada empresa/site, nenhum deles pode trabalhar na mesma faixa, a não ser o endereço do túnel.
@@ghboliveira mas como eu vou por 192.168.10.0/24 no tunel se essa rede já é minha rede remota.
A duvida que tenho e se vai acabar o squid e se vamos conseguir ou não fazer bloqueios, afinal ainda temos que continuar sendo odiados pelos usuários kkkkkkkkkkkk.
o squid não vai acabar, se nem o e2guardian que deixou de ser oficialmente suportado acabou, está mais vivo do que nunca, squid vai continuar, só não oficial. pode ter certeza.
pfblockerng é ruim pra isso?
Pfblocker ng é perfeito