Fernando, obrigado pelo vídeo e explicações referente as configurações. Parabéns. Uma dúvida, no meu pfSense não exibiu a opção de Split Connections, sendo que possuo na ponta A o pfSense e na ponta B um outro firewall. Alguma dica sobre como posso ajustar isso? Colocar o IKE como automático? Meu pfSense está na versão 2.5.2. Desde já, agradeço a atenção.
Fernando, assisti esse e outros vídeos seus e estou aplicando tudo aqui no meu trabalho. Fiz a vpn usando o ipsec, até ai tudo ok, apliquei também um segundo firewall pra funcionar como backup, deu tudo certo também, a replicação do MASTER para o SLAVE, só que o ipsec fica conectando também no firewall SLAVE e fazendo minha rede perder a conexão entre matriz e filial, o que tenho que fazer para que somente o MASTER fique com o ipsec conectado e só conectar no SLAVE quando realmente o MASTER cair? Desde já só tenho a agradecer vc postar esses vídeos excelentes. Abraço.
@@NETWORKPROBR Tenho um IP CARP somente na LAN devido eu não ter IPs públicos válidos e pra isso uso o NO-IP, criei uma DMZ nos roteadores VIVO apontando para o ip da WAN do pfSense
Então imagino que você use ip de LAN na WAN tb, se for isso, você precisa criar um VIP na WAN, usar esse vip para conectar o DNS dinamico, e na DMZ dos roteadorres da VIVO apontar o VIP da WAN.
amigo, no caso vc fez com 1 IP valido de cada lado, mas no cenário tendo 2 link distintos e 1 deles cair perco o VPN site-to-site, como poderia fazer usando os 2 links entre matriz e filial ou sendo caindo 1 deles o outro continua com VPN?
Estou com uma dúvida. Fiz esse LAB e na prática coloquei dois linux em cada site. No site 1 habilitei as portas 22, 25 e 80 para testar a conexão a partir do site 2. Fiz a regra any na tabela Ipsec. consegui pingar e fechar a conexão na porta 22, mas nas portas 25 e 80 deu no route to host. Poderia me dar uma luz do que seja. Fiz conforme o lab então tenho rota normal, tanto na Wan quanto nos clientes.
Ótimo Deu certo eu fazendo no ambiente virtual, agora estou no ambiente real usando domínio porque e IP dinâmico e não estou tendo sucesso. Poderia me dar uma luz? Grato!
Tuas aulas são TOP...Só uma duvida a senha ou a chave que colocamos ela expira e em consequência disso as unidades não se falam mais através da VPN?? Se for isso tem como configurar para não expirar??
pre shared key, não expira. Creio que você esteja trabalhando com certificados, nesse caso basta você configurar um tempo maior para os certificados não expirarem rápido.
Olá, Gostei muito do vídeo muito explicativo, mas fiquei somente com uma dúvida eu conseguiria ter a filial A acessando a filial B somente um único servidor e como faria isso ?
sim, basta você colocar uma regra de firewall vinculado ao IPsec considerando essa necessidade na hora de criar a regra de firewall ao inves de criar uma regra de firewall liberado todo trafego no túnel.
São dois pontos, primeiro ponto do AD; - Nesse caso se existir infra local na filial, eu colocaria um RODC (Read Only Domain Controller), na filial. com isso você usa a VPN só pra replicação entre os DCs, fato deixa muito mais rápido a autenticação na filial e os usuários não vão depender mais da VPN pra autenticar no AD. Sobre redundância de DNS sem RODC na filial, você pode colocar o DHCP para distribuir os DNS, sendo primário o DNS do AD na matriz e o secundário o DNS do pfSense, no resolver ou forwarder independente de qual serviço você vai usar no pfSense, você cria um domain override apontando o domínio do AD para o IP do respectivo servidor que responde por esse domínio, assim, se as maquinas usarem o DNS vinculado no pfSense pra resolver o nome do domínio conseguiram, se a VPN parar o pfSense continua resolvendo nomes localmente.
Boa noite, eu conseguiria simular essa questão toda de vpn em um lab com VM? Alguém tem alguma dica de como treinar e praticar esses procedimentos com pouco recurso?
ola Amigo boa tarde, otimo seu conteudo, eu tenho ip fixo no meu servidor matriz e preciso conectar 2 filiais que possuem ips dinamicos , como faço pra setar isso no ipsec
Fala Fernando, eu uso site to site (openvpn) no pfsense, 1 matriz e 1 cliente, agora surgiu a necessidade de incluir mais clientes, tentei de tudo e nao consegui, poderia dar uma luz? rs obs: no campo aonde vc coloca o ip das redes eu coloquei virgula e adicionei a outra rede e mesmo assim nao funciona.
Eu estou com um problema no ipsec. Eu notei que quando o lifetime chega no seu valor estipulado em ambos os lados, o tunel cai e não renova. Os dois lados as criptografias estão semelhantes como tambem o lifetime. alguém já passou por esse problema?
Muito bom seus vídeos. Gostaria de saber se tem como usar o pfsense apenas para usar uma vpn ipsec site to site, pois tenho outra solução de firewall na borda e quero implementar o pfsense como vpn server. O detalhe é que esse pfsense só terá uma placa de rede. é possível? Caso seria legal um vídeo sobre o assunto
Funciona dessa maneira sim, porém como o pfsense não será o gateway da rede você precisa colocar uma interface do pfsense na rede do outro firewall e criar rotas no pfsense e no outro firewall, assim você consegue usar o pfsense como concentrador vpn, temos esse cenário em alguns clientes.
Bom dia mestre!!! primeiramente muito obrigado por compartilhar!! estou com um pfsense nos EUA e um no BR em VPN IPSEC, a comunicação dentro da VPN fica de apenas um MB, existe algum throughput para aumentar a banda de comunicação? tenho 1Gb/512Mbps EUA e 500/500 no BR, tem alguma configuração ou isso é um problema de latência? Muito obrigado
Latência geralmente não afeta o throughput não, o ideal é usa uma hardware com suporte a AES-NI e e se for uma hardware fraco usar algotimo no maximo aes 128.
@@NETWORKPROBR Consegui fazer, fechei o PFsense local com o PFsense na AWS, consigo acessar o PFsense pelo ip da subnet, porém não consigo acessar uma EC2 windows que está na mesma VPC e mesma Subnet, tem alguma idéia do que pode ser?
Boa tarde camarada. Fiz a configuração da VPN via ipsec como no vídeo, na filial consegue pingar em computadores windows, servidores linux e impressoras. A matriz só consegue pingar em impressoras, servidores linux e não pinga e computadores windows pelo jeito algo a fazer?
revise, as regras de firewall, no pfsense e nos dispositivos atrás dos firewalls, e certifique que as redes estão corretamente declaradas na P2 do IPSec.
Olá.Rodrigo lima, tem como me ajudar? Não estou tendo sucesso na configurar no ambiente real tenho dois dns : matriz e filial Mais não sei aonde insere ( lugar certo) estou perdido no vídeo ensina mais sem DNS dinâmico. Obrigado!
Olá Fernando! Tudo bem por aí? Cara, só estou vindo aqui pq esgotei, todas as minhas pesquisas e depois de mais de 40h de troubleshooting não cheguei a uma solução. Vc já pegou algum erro de TLS no OpenVPN instalado no pfsense? openvpn 41241 10.0.2.11:64851 tls-crypt unwrap error: packet authentication failed openvpn 41241 10.0.2.11:64851 TLS Error: tls-crypt unwrapping failed from [AF_INET]10.0.2.11:64851 openvpn 41241 10.0.2.11:64851 Fatal TLS error (check_tls_errors_co), restarting
Thiago essa mensagem é do openvpn client? Por que a conexão esta indo para um ip de rede interna.... nesse caso pra ajudar teria que ver as configs do server e do client (.ovpn)
Opa, Fernando! Obrigado pela ajuda. O log que te mandei é a saída no pfsense do openVPN server. O IP de lan mostrado é o IP do cliente tentando fechar o túnel. Do lado do cliente a conexão é estabelecida com o servidor(openVPN), porém é derrubada por falha de "tls-crypt". E a cada 5' o cliente tenta conectar novamente, e não sai disso. Ví que é um erro comum no openVPN, porém não consegui chegar a uma solução mesmo com todas as tratativas que executei.
@@paulojacinto No caso de VPN IPSec, o pfSense adiciona as regras de firewall automaticamente na WAN docs.netgate.com/pfsense/en/latest/book/ipsec/ipsec-and-firewall-rules.html. Sobre as regras de firewall para permitir o trafego IPSec veja o este vídeo ua-cam.com/video/prD6qyrVNYg/v-deo.html, aqui dou continuidade no cenário onde falo da regras de firewall para permitir o trafego no túnel IPSec.
primeiro parabéns pelo conteúdo apresentado nesse vídeo, será que você consegue me ajudar, segui o vídeo e consegue fazer funcionar, mais estou com problema que não consigo acessar da filial para matriz um servidor web, esse servidor web esta rede 172.20.20.0/27 na matriz Matriz LAN 192.168.10.0/24 DMZ 172.20.20.0/27 Filial LAN 192.168.13.0/24 É necessário mais alguma configuração?
@@valdircoxev8929 Valdir, acompanha bem os dois vídeos por que está demonstrados nos vídeos que funciona tanto com OpenVPN quanto com IPSec, creio que ou você passou batido por alguma parte das configurações ou tem algo externo as essas configurações que precisam também serem feitas. Exemplo, analisar se o firewall do host esta permitindo acesso de outras redes, se a aplicação restringe acesso a outra rede que não a dele e por ai vai.... nesses casos não tem jeito só analisando teu ambiente pra poder te dizer o que é.
Me ajuda? William, no vídeo ele está em um Ambiente virtual o meu Deus certo estou no ambiente real agora, tenho dois Domínio.. E não consigo ter sucesso. Os vídeos só encina configurar no ambiente virtual.
@@caldeiraaaa não tenho como mostrar um vídeo em ambiente real, esse vídeo tem como objetivo dar um norte para a configuração. O ambiente real cada um vai ter o seu e precisa fazer os estudos necessários para a configuração correta.
@@MWGamerLab obrigado pelo feedback, uma dúvida tenho dois IP um público dinâmico e outro público fixo. Eu consigo conectar setando o IP caso eu associo ele no DNS no IP ele não conecta... O problema e que o dinâmico vai mudar e aí a VPN vai..... Tem alguma dica? Obrigado pelo feedback.
@@tmelo1984 (processo a ser feito nas duas pontas pensando que você tem pfSense dos dois lados) você cria um grupo de gw, com seus links com a menor prioridade de tier para o link que você quer que seja o primário, em seguida você configura o DNS dinâmico usando esse mesmo grupo de gateway, feito isso você configura o IPsec pra sair usando o grupo de gateway e no remote você coloca o DNS dinâmico (da outra ponta).
Obrigado pela aula. Show.
Parabéns pelos vídeos, material de ótima qualidade.
Puxa, gostei muito! Obrigado por compartilhar!
Fernando, obrigado pelo vídeo e explicações referente as configurações. Parabéns.
Uma dúvida, no meu pfSense não exibiu a opção de Split Connections, sendo que possuo na ponta A o pfSense e na ponta B um outro firewall. Alguma dica sobre como posso ajustar isso? Colocar o IKE como automático?
Meu pfSense está na versão 2.5.2. Desde já, agradeço a atenção.
Fernando, assisti esse e outros vídeos seus e estou aplicando tudo aqui no meu trabalho. Fiz a vpn usando o ipsec, até ai tudo ok, apliquei também um segundo firewall pra funcionar como backup, deu tudo certo também, a replicação do MASTER para o SLAVE, só que o ipsec fica conectando também no firewall SLAVE e fazendo minha rede perder a conexão entre matriz e filial, o que tenho que fazer para que somente o MASTER fique com o ipsec conectado e só conectar no SLAVE quando realmente o MASTER cair? Desde já só tenho a agradecer vc postar esses vídeos excelentes. Abraço.
você tem um IP CARP WAN em cada ponta? Ta fechando o tunnel com os IPS CARP WAN?
@@NETWORKPROBR Tenho um IP CARP somente na LAN devido eu não ter IPs públicos válidos e pra isso uso o NO-IP, criei uma DMZ nos roteadores VIVO apontando para o ip da WAN do pfSense
Então imagino que você use ip de LAN na WAN tb, se for isso, você precisa criar um VIP na WAN, usar esse vip para conectar o DNS dinamico, e na DMZ dos roteadorres da VIVO apontar o VIP da WAN.
@@NETWORKPROBR Fernando, fiz o que vc falou aqui e deu certo, fiz ontem a noite e até agora tudo ok. Mais uma vez muito obrigado.
Excelente vídeo, muito bom mesmo, explicação clara simples e objetivo.
Olá Fernando, muito bom seus vídeos. Parabéns! Me diz uma coisa, o que é melhor para Site-to-site, IPSec ou OpenVPN?
amigo, no caso vc fez com 1 IP valido de cada lado, mas no cenário tendo 2 link distintos e 1 deles cair perco o VPN site-to-site, como poderia fazer usando os 2 links entre matriz e filial ou sendo caindo 1 deles o outro continua com VPN?
Estou com uma dúvida. Fiz esse LAB e na prática coloquei dois linux em cada site. No site 1 habilitei as portas 22, 25 e 80 para testar a conexão a partir do site 2. Fiz a regra any na tabela Ipsec. consegui pingar e fechar a conexão na porta 22, mas nas portas 25 e 80 deu no route to host.
Poderia me dar uma luz do que seja. Fiz conforme o lab então tenho rota normal, tanto na Wan quanto nos clientes.
Um link que vc possa compartilhar que me nortei será muito bem vindo. Obrigado!
Ótimo Deu certo eu fazendo no ambiente virtual, agora estou no ambiente real usando domínio porque e IP dinâmico e não estou tendo sucesso. Poderia me dar uma luz? Grato!
IPsec não funciona bem por IP dinâmico. Pelo menos um dos IPs precisa ser fixo, para alguma chance de sucesso.
Tuas aulas são TOP...Só uma duvida a senha ou a chave que colocamos ela expira e em consequência disso as unidades não se falam mais através da VPN?? Se for isso tem como configurar para não expirar??
pre shared key, não expira. Creio que você esteja trabalhando com certificados, nesse caso basta você configurar um tempo maior para os certificados não expirarem rápido.
Olá,
Gostei muito do vídeo muito explicativo, mas fiquei somente com uma dúvida eu conseguiria ter a filial A acessando a filial B somente um único servidor e como faria isso ?
sim, basta você colocar uma regra de firewall vinculado ao IPsec considerando essa necessidade na hora de criar a regra de firewall ao inves de criar uma regra de firewall liberado todo trafego no túnel.
como faço para que o AD da matriz funcione na filial, e caso a conexão com a matriz fique off, o DNS responda para o secundário.
São dois pontos, primeiro ponto do AD;
- Nesse caso se existir infra local na filial, eu colocaria um RODC (Read Only Domain Controller), na filial. com isso você usa a VPN só pra replicação entre os DCs, fato deixa muito mais rápido a autenticação na filial e os usuários não vão depender mais da VPN pra autenticar no AD.
Sobre redundância de DNS sem RODC na filial, você pode colocar o DHCP para distribuir os DNS, sendo primário o DNS do AD na matriz e o secundário o DNS do pfSense, no resolver ou forwarder independente de qual serviço você vai usar no pfSense, você cria um domain override apontando o domínio do AD para o IP do respectivo servidor que responde por esse domínio, assim, se as maquinas usarem o DNS vinculado no pfSense pra resolver o nome do domínio conseguiram, se a VPN parar o pfSense continua resolvendo nomes localmente.
Boa noite, eu conseguiria simular essa questão toda de vpn em um lab com VM? Alguém tem alguma dica de como treinar e praticar esses procedimentos com pouco recurso?
ola Amigo boa tarde, otimo seu conteudo, eu tenho ip fixo no meu servidor matriz e preciso conectar 2 filiais que possuem ips dinamicos , como faço pra setar isso no ipsec
você precisa configurar DNS dinâmico nas filiais e criar os tuneis com base nomes definidos no DNS dinâmico.
Fala Fernando, eu uso site to site (openvpn) no pfsense, 1 matriz e 1 cliente, agora surgiu a necessidade de incluir mais clientes, tentei de tudo e nao consegui, poderia dar uma luz? rs
obs: no campo aonde vc coloca o ip das redes eu coloquei virgula e adicionei a outra rede e mesmo assim nao funciona.
Vc tem algum tutorial que faça com mikrotik?
vou fazer um breve aqui pro canal
Eu estou com um problema no ipsec. Eu notei que quando o lifetime chega no seu valor estipulado em ambos os lados, o tunel cai e não renova. Os dois lados as criptografias estão semelhantes como tambem o lifetime. alguém já passou por esse problema?
Muito bom seus vídeos. Gostaria de saber se tem como usar o pfsense apenas para usar uma vpn ipsec site to site, pois tenho outra solução de firewall na borda e quero implementar o pfsense como vpn server. O detalhe é que esse pfsense só terá uma placa de rede. é possível? Caso seria legal um vídeo sobre o assunto
Funciona dessa maneira sim, porém como o pfsense não será o gateway da rede você precisa colocar uma interface do pfsense na rede do outro firewall e criar rotas no pfsense e no outro firewall, assim você consegue usar o pfsense como concentrador vpn, temos esse cenário em alguns clientes.
Bom dia mestre!!! primeiramente muito obrigado por compartilhar!! estou com um pfsense nos EUA e um no BR em VPN IPSEC, a comunicação dentro da VPN fica de apenas um MB, existe algum throughput para aumentar a banda de comunicação? tenho 1Gb/512Mbps EUA e 500/500 no BR, tem alguma configuração ou isso é um problema de latência? Muito obrigado
Latência geralmente não afeta o throughput não, o ideal é usa uma hardware com suporte a AES-NI e e se for uma hardware fraco usar algotimo no maximo aes 128.
Como ficaria site-to-site com um pfsense na AWS e outro local?
Similar o que você faria em ambiente onprem, você só precisa liberar as portas do IPSec no security group vinculado a instância do pfsense na aws.
@@NETWORKPROBR Consegui fazer, fechei o PFsense local com o PFsense na AWS, consigo acessar o PFsense pelo ip da subnet, porém não consigo acessar uma EC2 windows que está na mesma VPC e mesma Subnet, tem alguma idéia do que pode ser?
Show de bola!
Boa tarde camarada. Fiz a configuração da VPN via ipsec como no vídeo, na filial consegue pingar em computadores windows, servidores linux e impressoras. A matriz só consegue pingar em impressoras, servidores linux e não pinga e computadores windows pelo jeito algo a fazer?
revise, as regras de firewall, no pfsense e nos dispositivos atrás dos firewalls, e certifique que as redes estão corretamente declaradas na P2 do IPSec.
@@NETWORKPROBR já descobri era o firewalls do windows, obrigado.
Olá.Rodrigo lima, tem como me ajudar?
Não estou tendo sucesso na configurar no ambiente real tenho dois dns : matriz e filial
Mais não sei aonde insere ( lugar certo) estou perdido no vídeo ensina mais sem DNS dinâmico. Obrigado!
Muito boa explicação
Olá Fernando! Tudo bem por aí?
Cara, só estou vindo aqui pq esgotei, todas as minhas pesquisas e depois de mais de 40h de troubleshooting não cheguei a uma solução.
Vc já pegou algum erro de TLS no OpenVPN instalado no pfsense?
openvpn 41241 10.0.2.11:64851 tls-crypt unwrap error: packet authentication failed
openvpn 41241 10.0.2.11:64851 TLS Error: tls-crypt unwrapping failed from [AF_INET]10.0.2.11:64851
openvpn 41241 10.0.2.11:64851 Fatal TLS error (check_tls_errors_co), restarting
Thiago essa mensagem é do openvpn client? Por que a conexão esta indo para um ip de rede interna.... nesse caso pra ajudar teria que ver as configs do server e do client (.ovpn)
Opa, Fernando! Obrigado pela ajuda.
O log que te mandei é a saída no pfsense do openVPN server. O IP de lan mostrado é o IP do cliente tentando fechar o túnel.
Do lado do cliente a conexão é estabelecida com o servidor(openVPN), porém é derrubada por falha de "tls-crypt". E a cada 5' o cliente tenta conectar novamente, e não sai disso.
Ví que é um erro comum no openVPN, porém não consegui chegar a uma solução mesmo com todas as tratativas que executei.
@@thiagogaldino6603 esse erro e so para um cliente o qualquer um que tente usar a vpn..... ?
@@NETWORKPROBR Qualquer cliente! Até alterei a renovação dos certificados para 999 e nada.
Matriz e filial precisam ter IP público? ou da pra fazer apenas com ip público na matrix?
no caso do ipsec sim ou voce pode trabalhar com dns dinamico.
A latência de uma conexão site tô site e menor do que uma cliente to site?
Victor, acredito que nesse cenário a latência vai depender dos links que serão usados para conectar as VPNs.
Não é necessário criar uma regra liberando trafego na interface wan e na interface do ipsec ??
fiz exatamente isso e não consegui o PING
@@paulojacinto No caso de VPN IPSec, o pfSense adiciona as regras de firewall automaticamente na WAN docs.netgate.com/pfsense/en/latest/book/ipsec/ipsec-and-firewall-rules.html. Sobre as regras de firewall para permitir o trafego IPSec veja o este vídeo ua-cam.com/video/prD6qyrVNYg/v-deo.html, aqui dou continuidade no cenário onde falo da regras de firewall para permitir o trafego no túnel IPSec.
primeiro parabéns pelo conteúdo apresentado nesse vídeo, será que você consegue me ajudar, segui o vídeo e consegue fazer funcionar, mais estou com problema que não consigo acessar da filial para matriz um servidor web, esse servidor web esta rede 172.20.20.0/27 na matriz
Matriz
LAN 192.168.10.0/24
DMZ 172.20.20.0/27
Filial
LAN 192.168.13.0/24
É necessário mais alguma configuração?
Valdir, da uma olhada nesse conteúdo, ua-cam.com/video/qSidYELfrHs/v-deo.html trata exatamente sobre suas duvidas...
@@NETWORKPROBR intão nessa configuração so funcionar se se for com openVPN e nao IPsec
@@valdircoxev8929 Valdir, acompanha bem os dois vídeos por que está demonstrados nos vídeos que funciona tanto com OpenVPN quanto com IPSec, creio que ou você passou batido por alguma parte das configurações ou tem algo externo as essas configurações que precisam também serem feitas. Exemplo, analisar se o firewall do host esta permitindo acesso de outras redes, se a aplicação restringe acesso a outra rede que não a dele e por ai vai.... nesses casos não tem jeito só analisando teu ambiente pra poder te dizer o que é.
Fiz essa configuração, mas não consigo acessar os servidores por dns, como corrijo isso? Só pinga e acessa via IPv4, por hostname não encontra.
a regra de liberação vinculada ao IPsec está permitindo todos os protocolos?
Me ajuda? William, no vídeo ele está em um
Ambiente virtual o meu Deus certo estou no ambiente real agora, tenho dois Domínio..
E não consigo ter sucesso. Os vídeos só encina configurar no ambiente virtual.
@@NETWORKPROBR sim
@@caldeiraaaa não tenho como mostrar um vídeo em ambiente real, esse vídeo tem como objetivo dar um norte para a configuração. O ambiente real cada um vai ter o seu e precisa fazer os estudos necessários para a configuração correta.
@@MWGamerLab obrigado pelo feedback, uma dúvida tenho dois IP um público dinâmico e outro público fixo. Eu consigo conectar setando o IP caso eu associo ele no DNS no IP ele não conecta... O problema e que o dinâmico vai mudar e aí a VPN vai..... Tem alguma dica? Obrigado pelo feedback.
Como faço para declarar mais de um remote gateway?
Jeito mais simples de implementar ao meu ver seria com Gateway Group + DDNS.
@@NETWORKPROBR nesse caso, no Remote Gatway ao invés de declarar o IP público, eu declaro o DDNS?
@@tmelo1984 (processo a ser feito nas duas pontas pensando que você tem pfSense dos dois lados) você cria um grupo de gw, com seus links com a menor prioridade de tier para o link que você quer que seja o primário, em seguida você configura o DNS dinâmico usando esse mesmo grupo de gateway, feito isso você configura o IPsec pra sair usando o grupo de gateway e no remote você coloca o DNS dinâmico (da outra ponta).