# MANUAL TÉCNICO - VPN ROAD WARRIOR (OPENVPN)

**Código:** ITGINF 0024/26 | **Classificação:** RESTRITO
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}

## 1. HISTÓRICO DE REVISÃO

| Data | Versão | Descrição | Autor |
| :--- | :--- | :--- | :--- |
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |

## 2. OBJETIVO
Configurar o acesso remoto seguro (VPN) para colaboradores externos (Road Warriors) utilizando o protocolo OpenVPN no pfSense, com autenticação integrada ao LDAP (Active Directory) ou Local Database.

## 3. PRÉ-REQUISITOS
- [ ] DynDNS configurado (se o IP da WAN for dinâmico).
- [ ] Authority CA criada (Gerenciador de Certificados).
- [ ] Pacote **openvpn-client-export** instalado (`System > Package Manager`).
- [ ] Usuários criados ou Grupo AD vinculado.

## 4. PASSO A PASSO (EXECUÇÃO)

### Etapa 1: Instalar Client Export Utility

Facilita muito a vida do técnico, gerando instaladores prontos para Windows/Mac.

1.  Acesse `System > Package Manager`.
2.  Busque por **openvpn-client-export**.
3.  Instale.

### Etapa 2: OpenVPN Wizard

1.  Acesse `VPN > OpenVPN > Wizards`.
2.  **Type of Server:** Selecione `Local User Access` (ou `LDAP` se já configurou no Manual 04). Clique Next.
3.  **Certificate Authority:** Selecione a CA criada ou crie uma nova aqui.
4.  **Server Certificate:** Crie um novo (ex: `VPN_Srv_Cert`).
5.  **Server Settings:**
    *   **Interface:** `WAN`.
    *   **Protocol:** `UDP on IPv4 only`.
    *   **Local Port:** `1194`.
    *   **Tunnel Network:** Defina uma rede **DIFERENTE** da sua LAN (ex: `10.8.0.0/24`).
    *   **Local Network:** Coloque sua LAN (ex: `192.168.1.0/24`).
    *   **Concurrent Connections:** Define quantos usuários simultâneos.
6.  **Client Settings:**
    *   **Dynamic IP:** Marque.
    *   **Address Pool:** Marque.
    *   **DNS Default Domain:** `itguys.local` (Seu domínio interno).
    *   **DNS Server 1:** `192.168.1.1` (IP do pfSense ou AD DNS interno).
7.  **Firewall Rules:**
    *   Marque **Traffic from client to server** (Cria regra na interface OpenVPN).
    *   Marque **Traffic from client to Internet** (Cria regra na WAN).
8.  Clique em **Finish**.

![Wizard Completed](assets/placeholder.png)

### Etapa 3: Exportar Cliente (Instalador)

1.  Acesse `VPN > OpenVPN > Client Export`.
2.  **Remote Access Server:** Selecione o servidor criado.
3.  **Host Name Resolution:**
    *   Se tem IP fixo: `Interface IP Address`.
    *   Se tem DynDNS: Selecione `Other` e digite o hostname (ex: `cliente.ddns.net`).
4.  Role até a lista de usuários (no final) ou **OpenVPN Clients**.
    *   Baixe o instalador adequado: **Most Clients > Inline Configurations > Windows Installer (2.x)**.

### Etapa 4: Instalação no Cliente

1.  Execute o instalador no PC do usuário.
2.  Abra o **OpenVPN GUI** (ícone no systray, relógio).
3.  Clique com botão direito > **Conectar**.
4.  Insira Usuário e Senha.

## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

**Problema 1: conecta mas não acessa a LAN**
*   **Causa:** Regra de Firewall bloqueando ou Rota incorreta.
*   **Solução:**
    1.  Verifique `Firewall > Rules > OpenVPN`. Deve haver uma regra liberando tráfego da rede `10.8.0.0/24` para `LAN Net`.
    2.  Execute o OpenVPN como **Administrador** no Windows (necessário para adicionar rotas).

**Problema 2: TLS Error / Handshake failed**
*   **Causa:** Porta bloqueada na operadora ou incompatibilidade de horário.
*   **Solução:**
    1.  Verifique se o horário do PC e do Servidor estão sincronizados.
    2.  Teste mudar o protocolo de UDP para TCP na configuração do Server (mais lento, mas passa por bloqueios).

**Problema 3: DNS não resolve nomes internos**
*   **Solução:** Garanta que no *Etapa 2 (Client Settings)* você forçou o DNS Server para o IP interno do pfSense/AD e definiu o Domain Name. No Windows 10/11, às vezes é necessário o ajuste "Block Outside DNS" nas configs avançadas do cliente.

## 6. DADOS TÉCNICOS

| Campo | Valor | Descrição |
| :--- | :--- | :--- |
| **Porta** | 1194 UDP | Padrão |
| **Criptografia** | AES-256-GCM | Recomendada |
| **Tunnel** | Tun (Layer 3) | Padrão Roteado |

## 7. VALIDAÇÃO FINAL (Definição de Pronto)
- [ ] O cliente conecta e o ícone fica verde?
- [ ] O cliente pinga o servidor de arquivos (`192.168.1.x`)?
- [ ] O log do pfSense (`Status > System Logs > OpenVPN`) mostra "Initialization Sequence Completed"?