manuais-e-documentacao-itguys/documentacao rede e seguranca/[Nível 2] Vpn Road Warrior (Openvpn).md

MANUAL TÉCNICO - VPN ROAD WARRIOR (OPENVPN)

Código: ITGINF 0024/26 | Classificação: RESTRITO Responsável: João Pedro Toledo Gonçalves | Data: {{DATA_ATUAL}}

1. HISTÓRICO DE REVISÃO

Data	Versão	Descrição	Autor
{{DATA_ATUAL}}	1.0	Criação Inicial	João Pedro Toledo Gonçalves

2. OBJETIVO

Configurar o acesso remoto seguro (VPN) para colaboradores externos (Road Warriors) utilizando o protocolo OpenVPN no pfSense, com autenticação integrada ao LDAP (Active Directory) ou Local Database.

3. PRÉ-REQUISITOS

• DynDNS configurado (se o IP da WAN for dinâmico).
• Authority CA criada (Gerenciador de Certificados).
• Pacote openvpn-client-export instalado (System > Package Manager).
• Usuários criados ou Grupo AD vinculado.

4. PASSO A PASSO (EXECUÇÃO)

Etapa 1: Instalar Client Export Utility

Facilita muito a vida do técnico, gerando instaladores prontos para Windows/Mac.

1. Acesse System > Package Manager.
2. Busque por openvpn-client-export.
3. Instale.

Etapa 2: OpenVPN Wizard

1. Acesse VPN > OpenVPN > Wizards.
2. Type of Server: Selecione Local User Access (ou LDAP se já configurou no Manual 04). Clique Next.
3. Certificate Authority: Selecione a CA criada ou crie uma nova aqui.
4. Server Certificate: Crie um novo (ex: VPN_Srv_Cert).
5. Server Settings:
   • Interface: WAN.
   • Protocol: UDP on IPv4 only.
   • Local Port: 1194.
   • Tunnel Network: Defina uma rede DIFERENTE da sua LAN (ex: 10.8.0.0/24).
   • Local Network: Coloque sua LAN (ex: 192.168.1.0/24).
   • Concurrent Connections: Define quantos usuários simultâneos.
6. Client Settings:
   • Dynamic IP: Marque.
   • Address Pool: Marque.
   • DNS Default Domain: itguys.local (Seu domínio interno).
   • DNS Server 1: 192.168.1.1 (IP do pfSense ou AD DNS interno).
7. Firewall Rules:
   • Marque Traffic from client to server (Cria regra na interface OpenVPN).
   • Marque Traffic from client to Internet (Cria regra na WAN).
8. Clique em Finish.

Etapa 3: Exportar Cliente (Instalador)

1. Acesse VPN > OpenVPN > Client Export.
2. Remote Access Server: Selecione o servidor criado.
3. Host Name Resolution:
   • Se tem IP fixo: Interface IP Address.
   • Se tem DynDNS: Selecione Other e digite o hostname (ex: cliente.ddns.net).
4. Role até a lista de usuários (no final) ou OpenVPN Clients.
   • Baixe o instalador adequado: Most Clients > Inline Configurations > Windows Installer (2.x).

Etapa 4: Instalação no Cliente

1. Execute o instalador no PC do usuário.
2. Abra o OpenVPN GUI (ícone no systray, relógio).
3. Clique com botão direito > Conectar.
4. Insira Usuário e Senha.

5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

Problema 1: conecta mas não acessa a LAN

• Causa: Regra de Firewall bloqueando ou Rota incorreta.
• Solução:
  1. Verifique Firewall > Rules > OpenVPN. Deve haver uma regra liberando tráfego da rede 10.8.0.0/24 para LAN Net.
  2. Execute o OpenVPN como Administrador no Windows (necessário para adicionar rotas).

Problema 2: TLS Error / Handshake failed

• Causa: Porta bloqueada na operadora ou incompatibilidade de horário.
• Solução:
  1. Verifique se o horário do PC e do Servidor estão sincronizados.
  2. Teste mudar o protocolo de UDP para TCP na configuração do Server (mais lento, mas passa por bloqueios).

Problema 3: DNS não resolve nomes internos

• Solução: Garanta que no Etapa 2 (Client Settings) você forçou o DNS Server para o IP interno do pfSense/AD e definiu o Domain Name. No Windows 10/11, às vezes é necessário o ajuste "Block Outside DNS" nas configs avançadas do cliente.

6. DADOS TÉCNICOS

Campo	Valor	Descrição
Porta	1194 UDP	Padrão
Criptografia	AES-256-GCM	Recomendada
Tunnel	Tun (Layer 3)	Padrão Roteado

7. VALIDAÇÃO FINAL (Definição de Pronto)

• O cliente conecta e o ícone fica verde?
• O cliente pinga o servidor de arquivos (192.168.1.x)?
• O log do pfSense (Status > System Logs > OpenVPN) mostra "Initialization Sequence Completed"?