PfSense - VPN with IPsec Site to Site
Вставка
- Опубліковано 7 вер 2024
- In this video we configured a VPN using IPsec:
-Charve Pre-Shared;
- Certificate Generation
-Configuration with Certificate;
Be sure to watch the video, share, leave the like and your feedback !!
Search:
Http://bit.ly/curso_pf...
IMPORTANT:
Note: Next pfSense video after this reaches 2,000 views.
Excelente vídeo! Assistindo em 2020 por indicação da galera do grupo "pfSense Brasil" no Facebook. Consegui identificar a "sujeira" que você cita por volta dos 46 minutos...você configurou V2 apenas na filial...na matriz estava V1...então excluiu e refez. Primeira vez fazendo configurações com IPSec e já notei o erro...resultado da sua excelente didática. Parabéns e sucesso professor!
é isso aí brother, obrigado pelo feedback, abraço.....
Obrigado pelo video, consegui configurar a VPN sem problemas, abraço.
Que bom, fico feliz em poder ajudar, forte abraço!
bom dia Luiz, muito bacana seu trabalho. bem detalhado, parabéns tenho apreendido muito com suas aulas Online!
Obrigado Julio pelo feedback!!! abraço!!!
Muito bacana o Luiz, excelente didática.
Vou deixar uma sugestão, um vídeo sobre vlans com dois switch com suporte a vlans, e três redes internas diferentes.
BR SUPORTE INFORMÁTICA obrigado pelo feedback, se inscreva no canal, forte abraço!
Já acompanho o seu trabalho. Abraço.
Deu muito certo!!!obrigado pelas vídeos aulas agrega muito. Eu não sabia,direito o que era VPN agora já fiz a (cliente to site )e a (site to site) seguindo seu canal. :)
Show......obrigado pelo feedback!!!!!
Luiz, top demais sua didática!! Até eu aprendi kkkkkk. Mais um inscrito!!
Até eu aprendi é foda, kkkkkkkk, obrigado pelo feedback!
Aula muito bem explicada, parabéns !! Uma sugestão seria uma vídeo aula sobre o snort no pfsense, nunca achei uma vídeo aula com qualidade abordando esse assunto.
J. Santana obrigado por seu feedback, vou me programar para fazer sua sugestão, forte abraço amigo.
obrigado aprendi muito!
Fico Feliz em poder ajudar, abraço !!!!
muito fixe obrigado pelo conhecimento
valeu.....abraço
O que rolou de errado aquela hora foi que na hora de criar uma SA (Security association), ficou duplicado por que você esqueceu de alterar o protocolo IKE (Internet Key Exchange - protocolo de troca de chaves pela internet) da versão 1 para V2 na matriz. Por isso o protocolo . Lembrando que a RFC4306 indica a utilização da V2 sempre que possivel por existirem mtas falhas na primeira versão. Se tiver curiosidade de ler a teoria a respeito, pode ser encontrada no livro Redes de Computadores do Tanembaum, pg 510. Obrigado pelo conteúdo prático, como gratidão te passei um pouquinho do conteúdo teórico desse protocolo super robusto que é o IPsec. Parabens pelo video, ganhou um inscrito no canal :)
Hi Dro! Show....muito obrigado e um forte abraço!
Caro Luiz, assisti seu vídeo gostei muito. Isso vai me ajudar bastante. Gostaria de saber se você tem algum vídeo que ensina a fazer uma VPN entre PFSense e o Mikrotik, pois não achei nada parecido em seu canal. E no youtube acho uns vídeos que não explicam direito. Gostei da sua didática. Abraços!
Erick Oliveira infelizmente não tenho, mas não deve ser nada difícil, siga a documentação da mikrotik.
Luiz Pessol Eu tentei fazer uma vez e meu pfsense perdeu a internet. Daí larguei de mão.
Erick Oliveira vai firme que você consegue!
Muito bom seu tutorial via IPsec , você apenas se confundiu na hora de troca a V2 dos 2 pfsense não foi" sujeira" / mas parabéns muito bom explicativo Inscrito e Like Vlw.
douglas araujo fala amigo, sim esqueci de alterar, mas prefiro deixar na integra, aqui é sem marmelada, forte abraço!
Luiz, boa tarde.
Showw de bola esse vídeo sobre ipsec, vou deixar uma sugestão sendo:
pfbloker
suricata
Abraço.
Anderson
BR SUPORTE INFORMÁTICA obrigado pelo feedback, forte abraço!
Luiz
Boa tarde!
Excelente video, muito bem explicado.
só tem um problema, fiz do jeitinho do seu vídeo porem não fecha o IPsec, tenho que abrir portas no roteador da matriz e filial?
Fiz DMZ em ambas e as operadoras são Vivo Fibra sem SGNat.
Aguardo orientações.
Provavelmente alguma configuração no modem/router da operadora, algumas operadores fazem bloqueio de ipsec quando link não é corporativo.
@@LuizPessol Ola Luiz
Boa tarde!
Muito obrigado
Vou verificar as informações com a operadora.
Thank you for this video. I dont even speak the language but even for me it was easy to understand! Very good job.
Não entendi muito em relação, aonde entra o IP fixo (IP real ) para conseguir conectar... Ou não tem necessidade?
Suas aulas me ajuda muito...
O IP real sempre na WAN de cada firewall.
Olá Luiz! Parabéns pelo excelente conteúdo, show. Gostaria de saber sobre as portas necessárias a serem liberadas, é possível funcionar sem a publicação delas?. Obrigado.
Provável que não vá funcionar, se for um router na frente do pfsense, faça um dmz ou NAT all para o mesmo.
Muito obrigado por ter compartilhado esse conhecimento, muito bem explicado; poderia me tirar uma dúvida? Qual a diferença de usar chave pré-compartilhada e certificado e qual dos dois é a melhor opção?
Na minha visão é mais necessidade, algumas soluções não trabalham com certificados, caso tenha possibilidade de trabalhar com certificados é uma ótima opção se for algo pontual.
Eu acho que deu problema para conectar da primeira vez que tentou com certificado devido a uma das maquinas estarem com a Versão 1. Você só alterou para versão 2 quando configurou novamente. Muito bacana sua aula e aguardo outras boas aulas como esta.
Carlos Eduardo Silva kkkkkkk, perfeita sua observação, já estava bem cansado, achei melhor ser honesto e não cortar o vídeo...forte abraço se inscreva no canal....
Pessol sempre salvando.. parabéns e continue com esses super vídeos 👏👏👏
itym Fala, tudo bem aí? obrigado pelo comentário, o feedback, like, compartilhamento de vocês é o que sustenta esse canal, forte abraço!
Bom dia! No meu caso eu tenho 1 pfsense na matriz com 2 ips publicos para fechar a vpn ipsec com as filiais, porém, nas filiais não possuo ips fixos.. como eu configuraria na matriz o ipsec remote gateway? 0.0.0.0? Parabéns pela explicação!
você precisa de IP fixo.
Sensacional o seu vídeo e muitíssimo didático.
Quem sabe em algum vídeo o senhor poderia ensinar a instalar e atualizar algum addon para registro de uso de dados da rede, poderia ser o ntopng ou algo semelhante.
SynoDrops obrigado pelo comentário amigo, não se esqueça de se inscrever no canal muita gente não está se inscrevendo, vamos ajudar o canal, forte abraço!
Parabéns, muito boa a explicação.
Ismael Hudson muito obrigado pelo feedback, forte abraço!
Parabéns pelo vídeo perfeito funcionou mesmo, quem deu dislike não fechou o IPSec...
Só uma dúvida, podemos usar DDNS caso o IP do gateway seja um ip público dinâmico ?
Original Computadores, se eu entendi bem, pode sim sem problemas.
Bom dia amigo, estou com um problema grande. A empresa que trabalha tem que fazer uma vpn com uma outra empresa totalmente diferente, para termos acesso ao banco de dados deles, para converter e colocar nosso sistema. Porém, eles tem um fortgate 600, que é um aparelho vpn, e nós nao temos nenhum aparelho vpn. Não vou conseguir com um computador normal e fechar a vpn com o aparelho deles né, vou ter que comprar um roteador vpn?
Fala amigo, você pode usar o pfSense, ipsec para ipsec vai funcionar tranquilamente, abraço!
Quando você lançar o seu treinamento pode contar comigo, tenho interesse.
Abraço.
BR SUPORTE INFORMÁTICA valeu, fechado!
Boa noite Luiz,
Visando economia de Hardware e energia, é possível criar uma VPN entre Pfsense Matriz e Mikrotik Filial?
Kelsson Glaysson é possível desde que o equipamento tenha IPsec, forte abraço!
Boa noite Luiz! Primeiro quero te parabenizar pelo vídeo.
Amigo me tira uma duvida, eu fiz esse mesmo procedimento na minha Matriz e Filia 01, funcionou por um tempo, mas logo em seguida eu perdi os acessos externos de ambos, como se a regra de NAT não existisse. Não sei se pelo fato das versões do PFsense estar diferente. Uma é 2.3.2 e a outra 2.4.3. Sabe se as versões chega a fazer diferença nesse processo?
As versões não deveria fazer diferença pois podemos fechar VPN ipsec com diversas tecnologias, o ideal é analisar o log do ipsec. Forte abraço!
Boa tarde! Luiz para voltar a ter acesso a Dashboard do Pfsense tive que dar um restart no "/etc/rc.php-fpm_restart" . Só assim!
Vou dar uma analisada para saber o que houve.
Parabéns Prof.Luiz. Muito bom video!
Mas qual a diferença para o openVPN? alguma ocasião específica? IPSec é melhor?
Obrigado por ajudar à todos.
Fala Rafael tudo bem?
Lembrando que é uma opinião minha.
Eu acho o IPsec mais performático e possui uma ótima compatibilidade com outras soluções usadas no mercado, prefiro deixar o OpenVPN para client to site, fácil configuração e simples de usar.
Bom dia. Segui todos os passos e obtive entre um link ADSL e o ljnk secundário aqui da matriz.
Agora segue algumas dúvidas:
1- contratei um link dedicado aqui para a filial. Eu posso fazer uma VPN aqui para o mesmo firewall na matriz, para outro link (no caso link primário)
2- eu fiz uma config errada para o IPSEC com esse link. Apaguei e refiz, porem no status de IPSEC, a config errada continua aparecendo como tentando conexão, alem da config correta que não conecta. O que devo fazer?
Parabéns, ótimo video
André Sogari muito obrigado pelo feedback, forte abraço e seja bem vindo!
Olá, Pessol! Primeiramente gostaria de agradecer pelo conteúdo, simplesmente fantástico!
O que mudaria, caso eu tivesse mais de uma filial e fosse necessário comunicar Matriz com Filial 1 e 2 e Filial 1 com Filial 2? Ou seja todo mundo se comunicando! (risos)
Fala Leondinis, tudo bem? Pensa em um anel, onde vc vai fazer o mesmo procedimento para cada filial, é basicamente isso, Mtariz para Filial 01, Matriz para Filial 02, Filial 01 para Filial 02. Forte Abraço!
Muito obrigado pela pronta resposta! Abraço
Opa ! Obrigado pelo Video . Consigo usar o discador Windows para conectar ? Desde já muito obrigado
Depende do tipo de vpn que vc subir.
Ola, @Luiz Pessol, Gosto muito da suas vídeos aulas, acompanhei o vídeo e conseguir replicar no ambiente igual o seu.. agora estou com dificuldades no ambiente real: o cenário e o seguinte tenho dois ips públicos configurado os dns no no-ip exemplo: matriz.ddns.net é filal.ddns.net
o que eu coloco nos seguintes configuração do ipsec abaixo.
Remote Gateway:............................?
My identifier......................................?
Peer identifier.....................................?
Creio que estou errando nessas configuração, pois a cliet to site funcionou normalmente. Grato!
Fala amigo, se seguir o vídeo vai conseguir implementar, bastante implementar dentro da sua realidade, no caso de IPsec pode usar o public IP fornecido pela operadora.
estou com uma duvida caso minha filial utilize na wan ip dinamico, como proceder?
IP dinâmico para site to site não vai rolar.
Com a VPN IPsec é possível Client to Site no Pfsense? Oque eu coloco no Campo Gateway Remoto?
Com o OpenVpn tenho opção para escolher se vai ser site to site e client to site no pfsense!
Sim é possível!
Olá, boa noite preciso de ajuda professor.. preciso que me me ajude criando um app que demonstre a segurança do IP
Desculpe mas não entendi como eu poderia ajudar.
@@LuizPessol como posso criar um aplicativo que simule a segurança do IP
@@etelvinabau3059 o que seria simular a segurança do IP para você?
Luiz, tudo bom?
Parabéns pelos vídeos e também pela maneira que explica, muito bom mesmo.
Estou com uma duvida e gostaria de saber se voce pode me auxiliar.
Preciso fechar um vpn com um servidor da amazon.
Tenho uma internet ip fixo + um servidor de erp que através de um serviço + porta (configurado pelo pessoal do erp), vai se comunicar com o servidor da amazon.
qual a melhor maneira de fazer isso funcionar? segundo o rapaz que tem o servidor na amazon eu teria que fazer a config , como se eu fosse o servidor e ele iria conectar...
Se puder me ajudar serei grato, se não sem crise e continue fazendo mais videos, você explica muito bem.
abrs fica com Deus.
MeuCanaldeTI - A informação ao seu alcance tudo bem amigo? Tem um outro vídeo aqui no canal que eu faço algo bem parecido só que pfSense com Microsoft Azure, de uma olhada, acredito que dê para aplicar tbm no AWS, forte abraço!
vou verificar , obrigado
bom dia estou com o seguinte problemas na matriz ip fixo na filial ip dinamico, na matriz o pfsense esta com ip diretamente na wan na filial passa por uma onu zhone então tenho matriz ip 200.XXX a lan 192.168.1.1 na filial ip 200.XX dinamico lan modem 192.168.3.1 - lan pfsense 192.168.2.1 consigo fechar a vpn mas não consigo pingar , poderia me dar uma opinião do que pode ser.
Qual a máscara de rede? As regras estão permitindo icmp?
Prof Luiz boa noite, gostaria de saber qual a ferramenta que o senhor me indicaria para usar de forma redundante duas conexões de internet em uma rede. Transparente ao usuario
Marcello Santos tudo bem? o primeiro vídeo de pfSense aqui do canal tem o recurso que você precisa. forte abraço!!!
Marcello Santos ua-cam.com/video/58jMulZr-wQ/v-deo.html
Por favor necessito de ajuda, fechei as conexões ipsec site to site, porém eu consigo pingar apenas a placa interna do pfsense, na maquina que esta atras do pfsense, não acessa, nem ping nem pasta compartilhada, de nenhum dos lados, matriz->filial ou filial->matriz, o que pode ser?
Obrigado.
Luiz Savi tudo bem? Se você seguir o vídeo não tem erro, verifique as redes remotas configuradas e se existe regras para essas redes. Basicamente isso.
Uma duvida, depois de toda essa configuração sem uma politica mas restritiva, todos os pc's que estão recebendo ip do pfsense da matriz poderão se conectar aos pcs e serviços da filial?
normalmente sim....
@@LuizPessol Obrigado professor, realmente deu certo, consigo pingar dispositivos nas redes configuradas com IPsec.
@@AntonioMarcosN abraço
@@LuizPessol tenho outra dúvida, existe alguma configuração de acesso remoto externo a todas as redes com o IPsec? Ou somente é possível com o OpenVPN? Usando o OpenVPN tive acesso por exemplo a somente a rede da matriz não consegui acesso a rede das filiais! Seria possível ter acesso as outras redes ou tenho que configurar o acesso remoto em cada rede das filiais?
@@AntonioMarcosN isso tudo vc vai falar nas regras. qual rede acessa qual.
Excelente video, só uma dúvida eu tenho o pfsense 2.5.1 x64 em uma ponta e 2.3.5 i386 na outra ponta fecho a conexão entre as duas pontas pelo menos aparece CONECTADO na regra de firewall do ipsec eu deixo tudo liberado para depois que funcionar eu libero as portas SMB do windows, firewall local do windows desativado, antivirus desativado e não consigo pingar na outra ponta nem a pau a minha ideia é simplesmente que os usuarios da filial acessem os arquivos na outra ponta mas as redes não se comunicam uma rede é 192.168.0.0/20 a outra é 192.168.15.0/24 o que pode estar acontecendo as configurações estão identicas..será que essa versão 2.5.1 não funciona com a 2.3.5 ??
Tenho ip fixo publico de ambos os lados..
overlap aí meu amigo......./20 cobre esse seu /24.....
@@LuizPessol mas estou com ipfixo 192.168.0.1 até 192.168.0.254/20 do outro lado temos 192.168.15.1 até 192.168.15.254/24 no range /20 eu não entrego ips fora da sub-rede 0.
Mesmo assim vc acha que dá problema??
Ou mesmo eu não sobrepondo as subredes o pfsense entende que isso pode acontecer devido as máscaras possibilitar isso acontecer. Qual a melhor sugestão neste senário utilizando 192.168.0.0 só não posso tirar a máscara /20 do lado da matriz ou seja qual máscara poderia eu utilizar na filial que não sobreponha a /20 da matriz e eu consiga fechar o túnel??
Obrigado pela ajuda até o momento...
@@MsZacheo fala brother sugiro você calcular o próximo range. Acredito que 192.168.16.0/24
Eu estou com um problema no ipsec. Eu notei que quando o lifetime chega no seu valor estipulado em ambos os lados, o tunel cai e não renova. Os dois lados as criptografias estão semelhantes como tambem o lifetime. alguém já passou por esse problema?
Não acredito que seja esse o problema, do lado da AWS qts rotas estatísticas foram adicionadas?
@@LuizPessol UM APENAS
@@gustavopimentel3197 chegou a analisar os logs? algum erro msg ?
@@LuizPessol Não consegui ver nem um erro que aponte especificamente essa causa, o TÚNEL fase um e dois não chega a cair, só que os ips da fase 2 param de pigar um para o outro.
Como faço para criar um nat dentro da VPN ?por exemplo, quando um PC da matriz fizer uma solicitação para um PC da filiar, essa solicitação chegue com um IP da filiar e não com um da matriz
Adriano Rodrigues Desculpe não entendi a ideia, porque que fazer? você já está na rede da filial....
Boa tarde Luiz, tudo bem? Você (ou alguém que tenha conhecimento pra isso) pode me ajudar? Estou com um lab na minha máquina, 2 pfSense e 2 terminais (igual ao seu). Configurei uma vpn com a autenticação no AD em 1 site e gostaria de testar. Para isso eu gostaria de "linkar" apenas as interfaces WAN dos pfSenses para simular a comunicação na internet. Estou tentando fazer usando a primeira parte da configuração do IPsec, das WANs. Mas não está dando certo, o status do IPsec fica "UP" mas as interfaces WANs não se pingam. Eu configurei a regra no firewall conforme faz no vídeo, mas nada. Pode me auxiliar ou dar alguma outra sugestão de como fazer esse teste ou algum raciocínio que eu esteja fazendo incorretamente?
Se seguir o passo a passo tem que funcionar, cada rede com endereçamento de rede direfente pra não dar overlap, o Ping na wan pode não funcionar se não tiver uma regra que aceite icmp.
@@LuizPessol deixei a regra pra permitir e qualquer protocolo. Acha que vale eu criar a regra apenas pro icmp pra testar o IPsec entre as WANs? E depois deixar pra permitir tudo pra testar a vpn?
Bom Luiz...
Realizei os procedimentos até estabelecer o tunnel, no STATUS do IPSec avisa que estabeleceu conexão:
ESTABLISHED
480 seconds (00:08:00) ago
Porem no status do Tunnel la no Dashboard, aparece que está DOWN.
Minha operadora de internet pode bloquear este tipo de serviço?
Agradecido desde já.
Adriano Farias td bem? pode acontecer sim.
Fala Luiz, como sempre sendo de muita ajuda...meu firewall esta sem regras de bloqueio, uso Shalla's Blacklists . so que estou tendo problema de acessos como site da prefeitura ser bloqueado, vou em Target categories coloco a url, coloco como alow, mas continua bloqueado (obs : quando coloco o meu ip em "Bypass Proxy for These Source IPs") acesso normal.
Marcelo Viana fala e aí como está? precisava dar uma olhadinha heim, difícil te falar assim na lata sem ver o ambiente, forte abraço!
o q seria preciso passar para ter uma visao melhor do ambiente.que uso. :/
fiz os testes mas procedem da msm forma, nao existe regra alguma de bloqueio no firewall, e no squidguard no blacklist so esta negado a pornografia, mas algo barra o site da prefeitura, tentei coloca lo na whitelist mas nao tive sucesso; muito estranho
Olá como vai, Veja se pode me ajudar. (Usei o pfsense 2.35 , 64bits em ambos)
Tenho um Link dedicado na matriz com ip fixo e um ADSL na filial, configurei a VPN com ipSec e o túnel foi fechado, porém não consigo efetuar a comunicação das estações. Em ambos os lados.
Deixei o firewall liberando todas portas e protocolos tanto na WAN, na rede Local e no OpenVpn, mesmo assim não funcionou, Será que é necessário efetuar alguma configuração no Pfsense ou no Modem Adsl?
Muito obrigado!
Claudio Monteiro provavelmente no seu modem.
Alguém conseguiu fazer IPsec usando DDNS?
não é possível até o momento, a maioria das soluções não fornecem essa opção.
Tem curso completo de PFsense?
Está no forno!
Qual seria previsão para lançamento do curso ?
Prefiro não prometer em uma data, quero disponibilizar algo diferenciado, forte abraço e obrigado pelo comentário.
boa tarde, funciona entre duas versoes diferentes do PFsense ou deve ser versões iguais?
Guilherme Santos fala amigo, funciona sim, IPsec bem configurado vai funcionar com qualquer outra solução ou versão.
Olá amigo,
Fiz a VPN do jeito que você ensinou consigo pingar e acessar o PFsense, DVR e até uma impressora de rede da outra rede, mas não consigo pingar ou acessar nenhum computador da outra rede. Você pode me ajudar?
Rafael Oliveira tudo bem? Verificou as questões de regras, da uma avaliada, não teria outra coisa.
A regra também está do jeito que você ensinou e não funciona.
Rafael Oliveira precisaria analisar melhor o caso, mas acredito que seja regras, me chama segunda no Skype, tento te ajudar
Conseguiu resolver? estou com o mesmo problema aqui :(
Fala Danilo, tudo bem? deu uma revisada nas configurações? De uma olhada nas regras, forte abraço!
Luiz consigo bloquear um usuario de IP x acessar internet usando o proxy do PFSense? como?
Fala Marcelo, consegue sim, mas para eu ajudar preciso entender melhor o seu ambiente.
então Luiz...uso um roteador wifii em modo brigde para assim manter outros pc na msm redes assim usuarios terem acesso ao sistema tanto no wifi quanto no cabo. uso proxy transparente, e mapeamento estático de DHCP. assim temos mais controles de quem acessa e oque acessa, mas muitos usuários usam a senha do wifi (e compartilham para terceiros) para navegarem pelo celular e sao estes MACs q seriam cadastrado tbm para manter um ip estático. Adicionados o ip no aliases para serem bloqueado numa regra do firewall, mas de forma alguma consegui bloquea los. (tentei bloquear computador teste e nao tive sucesso). nao sei o que posso esta fazendo de errado ou se roteador esta atrapalhando algo.
A regra de bloqueio está antes das regras de liberação? É algo bobo mas muitas vezes passa despercebido.
de cima para baixo, a primeira regra na lan é aquela que permite o acesso ao pfsense a segunda esta o bloqueio desdes IPs, abaixo dela esta as liberações de portas.
Marcelo Viana precisaria analisar melhor o caso para não falar besteira, testa a regra para um host que está conectado a rede cabeada.
Configurei tudo como segue acima, porém a VPN fica caindo e voltando... alguém tem ideia do que pode ser? Em ambos os lados quando cai não consigo mais pingar :(
Tiago dos Passos Duarte da uma revisada nas configurações, é produção? Ou ambiente de testes?
Luiz Pessol e produção kkk. Temos 5 filiais com vpn. E estranho que algumas ficam caindo e voltando , eu revi umas 4* isso
Tiago dos Passos Duarte, qual é o provedor de internet? Teria que analisar esse ambiente.
VIVO/GVT, é possível que seja algum bloqueio por parte deles?
Tiago dos Passos Duarte exato, pode estar ocorrendo algum bloqueio Sim, é link dedicado?
Pessol, qual o seu email para contato?
Já fiz o contato perguntando sobre VLAN. Obrigado!