joao.goncalves
/
manuais-e-documentacao-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
manuais-e-documentacao-itguys/documentacao rede e seguranca/[Nível 3] Vpn Site.md

104 lines
4.8 KiB
Markdown
Raw Blame History

# MANUAL TÉCNICO - VPN SITE-TO-SITE (OPENVPN)
**Código:** ITGENG 0025/26 | **Classificação:** RESTRITO
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
## 1. HISTÓRICO DE REVISÃO
| Data | Versão | Descrição | Autor |
| :--- | :--- | :--- | :--- |
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
## 2. OBJETIVO
Interligar duas ou mais filiais (Matriz x Filial) de forma transparente, permitindo que servidores e computadores de ambas as redes se comuniquem como se estivessem no mesmo prédio, utilizando túneis OpenVPN (Shared Key ou SSL/TLS).
## 3. PRÉ-REQUISITOS
- [ ] IP Público (Fixo ou DynDNS) em **pelo menos uma** das pontas (Server).
- [ ] Faixas de IP de LAN **DIFERENTES** em cada ponta (ex: Matriz `192.168.1.0/24`, Filial `192.168.2.0/24`). **Se forem iguais, a VPN não roteia.**
- [ ] Shared Key gerada automaticamente pelo pfSense (Server).
## 4. PASSO A PASSO (EXECUÇÃO)
### Cenário Exemplo
* **Matriz (Server):** WAN IP `200.200.200.1`, LAN `192.168.1.0/24`.
* **Filial (Client):** WAN IP (Dinâmico), LAN `192.168.2.0/24`.
* **Tunnel Net:** `10.0.99.0/30` (Rede exclusiva pra comunicação VPN).
### Etapa 1: Configurar a Matriz (Server)
1. Acesse `VPN > OpenVPN > Servers`. Clique **Add**.
2. **Server Mode:** `Peer to Peer (Shared Key)`. (Mais simples e robusto para 1:1).
3. **Protocol:** `UDP on IPv4`.
4. **Device Mode:** `tun` (Layer 3 Routing).
5. **Interface:** `WAN`.
6. **Local Port:** `1195` (Use uma porta diferente da Road Warrior 1194).
7. **Shared Key:** Marque `Automatically generate a shared key`.
8. **Cryptographic Settings:** AES-256-GCM (ou CBC com hardware support).
9. **Tunnel Settings:**
* **IPv4 Tunnel Network:** `10.0.99.0/30`
* **IPv4 Remote Network:** `192.168.2.0/24` (A LAN da Filial. O pfSense cria a rota sozinho).
10. Salve.
11. **IMPORTANTE:** Entre na edição novamente e COPIE a **Shared Key** gerada (o bloco de texto inteiro). Você vai colar na Filial.
### Etapa 2: Configurar a Filial (Client)
1. Acesse `VPN > OpenVPN > Clients`. Clique **Add**.
2. **Server Mode:** `Peer to Peer (Shared Key)`.
3. **Interface:** `WAN`.
4. **Server Host or Address:** `200.200.200.1` (IP da Matriz).
5. **Server Port:** `1195`.
6. **Shared Key:** Desmarque a auto-geração e **COLE** a chave copiada da Matriz.
7. **Tunnel Settings:**
* **IPv4 Tunnel Network:** `10.0.99.0/30` (Igual à Matriz).
* **IPv4 Remote Network:** `192.168.1.0/24` (A LAN da Matriz).
8. Salve.
### Etapa 3: Regras de Firewall e Interfaces
Faça isso em **AMBOS** (Matriz e Filial):
1. Acesse `Firewall > Rules > WAN`.
* Crie uma regra **Pass** para Protocolo **UDP**, Porta **1195** (Isso permite fechar o túnel).
2. Acesse `Firewall > Rules > OpenVPN`.
* Crie uma regra **Pass** (Protocolo Any) liberando o tráfego da rede remota.
* *Exemplo na Matriz:* Source `192.168.2.0/24`, Dest `LAN Net`.
* *Exemplo na Filial:* Source `192.168.1.0/24`, Dest `LAN Net`.
* *Dica:* Para teste inicial, libere `Any` to `Any` na aba OpenVPN.
### Etapa 4: Validação do Túnel
1. Acesse `Status > OpenVPN`.
2. O Status deve estar **UP** (Verde).
3. Verifique o IP Virtual (`10.0.99.1` e `10.0.99.2`).
## 5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)
**Problema 1: Status UP, mas não pinga a LAN remota**
* **Causa:** Bloqueio de Firewall (ICMP) nos Windows/Linux da ponta.
* **Solução:** O Firewall do Windows bloqueia Pings de subnets "estranhas" por padrão. Tente pingar o **IP da Interface LAN do pfSense remoto** (ex: ping `192.168.1.1` da filial). Se responder, o túnel está OK e o problema é o firewall do host destino.
* *Teste:* Desative o firewall do Windows temporariamente para validar.
**Problema 2: Túnel fica "Reconnecting"**
* **Causa:** Shared Key errada, Porta fechada na WAN ou incompatibilidade de Crypto.
* **Solução:**
* Confira se a Shared Key é IDÊNTICA.
* Confira se o algoritmo de criptografia (ex: AES-256-GCM) e o de Hash (SHA256) são iguais.
* Verifique se a Regra de WAN libera a porta 1195 UDP.
**Problema 3: Conflito de rotas**
* **Causa:** Tunnel Network conflitante ou LANs iguais.
* **Solução:** Garanta que Tunnel Network (`10.0.99.0/30`) não exista em nenhum outro lugar da rede. E JAMAIS tente VPN se ambos os lados usam `192.168.1.0`.
## 6. DADOS TÉCNICOS
| Campo | Valor | Descrição |
| :--- | :--- | :--- |
| **Porta** | 1195+ UDP | Dica: Use portas separadas por túnel |
| **Modo** | Shared Key | Para conexões Site-to-Site simples de 1:1 |
| **Rota** | Estática | pfSense adiciona via Remote Network |
## 7. VALIDAÇÃO FINAL (Definição de Pronto)
- [ ] Status OpenVPN mostra "Connected"?
- [ ] Ping da Matriz para Filial (`ping 192.168.2.1`) responde?
- [ ] Servidor de Arquivos da Matriz é acessível pela Filial (`\\192.168.1.10`)?
Reference in New Issue View Git Blame Copy Permalink