joao.goncalves
/
manuais-e-documentacao-itguys
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
manuais-e-documentacao-itguys/documentacao rede e seguranca/Nivel_3/Manual_pfSense_14_VPN_SiteT...

4.8 KiB
Raw Blame History

MANUAL TÉCNICO - VPN SITE-TO-SITE (OPENVPN)

Código: ITGENG 0025/26 | Classificação: RESTRITO Responsável: João Pedro Toledo Gonçalves | Data: {{DATA_ATUAL}}

1. HISTÓRICO DE REVISÃO

Data Versão Descrição Autor
{{DATA_ATUAL}} 1.0 Criação Inicial João Pedro Toledo Gonçalves

2. OBJETIVO

Interligar duas ou mais filiais (Matriz x Filial) de forma transparente, permitindo que servidores e computadores de ambas as redes se comuniquem como se estivessem no mesmo prédio, utilizando túneis OpenVPN (Shared Key ou SSL/TLS).

3. PRÉ-REQUISITOS

  • IP Público (Fixo ou DynDNS) em pelo menos uma das pontas (Server).
  • Faixas de IP de LAN DIFERENTES em cada ponta (ex: Matriz 192.168.1.0/24, Filial 192.168.2.0/24). Se forem iguais, a VPN não roteia.
  • Shared Key gerada automaticamente pelo pfSense (Server).

4. PASSO A PASSO (EXECUÇÃO)

Cenário Exemplo

  • Matriz (Server): WAN IP 200.200.200.1, LAN 192.168.1.0/24.
  • Filial (Client): WAN IP (Dinâmico), LAN 192.168.2.0/24.
  • Tunnel Net: 10.0.99.0/30 (Rede exclusiva pra comunicação VPN).

Etapa 1: Configurar a Matriz (Server)

  1. Acesse VPN > OpenVPN > Servers. Clique Add.
  2. Server Mode: Peer to Peer (Shared Key). (Mais simples e robusto para 1:1).
  3. Protocol: UDP on IPv4.
  4. Device Mode: tun (Layer 3 Routing).
  5. Interface: WAN.
  6. Local Port: 1195 (Use uma porta diferente da Road Warrior 1194).
  7. Shared Key: Marque Automatically generate a shared key.
  8. Cryptographic Settings: AES-256-GCM (ou CBC com hardware support).
  9. Tunnel Settings:
    • IPv4 Tunnel Network: 10.0.99.0/30
    • IPv4 Remote Network: 192.168.2.0/24 (A LAN da Filial. O pfSense cria a rota sozinho).
  10. Salve.
  11. IMPORTANTE: Entre na edição novamente e COPIE a Shared Key gerada (o bloco de texto inteiro). Você vai colar na Filial.

Etapa 2: Configurar a Filial (Client)

  1. Acesse VPN > OpenVPN > Clients. Clique Add.
  2. Server Mode: Peer to Peer (Shared Key).
  3. Interface: WAN.
  4. Server Host or Address: 200.200.200.1 (IP da Matriz).
  5. Server Port: 1195.
  6. Shared Key: Desmarque a auto-geração e COLE a chave copiada da Matriz.
  7. Tunnel Settings:
    • IPv4 Tunnel Network: 10.0.99.0/30 (Igual à Matriz).
    • IPv4 Remote Network: 192.168.1.0/24 (A LAN da Matriz).
  8. Salve.

Etapa 3: Regras de Firewall e Interfaces

Faça isso em AMBOS (Matriz e Filial):

  1. Acesse Firewall > Rules > WAN.
    • Crie uma regra Pass para Protocolo UDP, Porta 1195 (Isso permite fechar o túnel).
  2. Acesse Firewall > Rules > OpenVPN.
    • Crie uma regra Pass (Protocolo Any) liberando o tráfego da rede remota.
    • Exemplo na Matriz: Source 192.168.2.0/24, Dest LAN Net.
    • Exemplo na Filial: Source 192.168.1.0/24, Dest LAN Net.
    • Dica: Para teste inicial, libere Any to Any na aba OpenVPN.

Etapa 4: Validação do Túnel

  1. Acesse Status > OpenVPN.
  2. O Status deve estar UP (Verde).
  3. Verifique o IP Virtual (10.0.99.1 e 10.0.99.2).

5. SOLUÇÃO DE PROBLEMAS (TROUBLESHOOTING)

Problema 1: Status UP, mas não pinga a LAN remota

  • Causa: Bloqueio de Firewall (ICMP) nos Windows/Linux da ponta.
  • Solução: O Firewall do Windows bloqueia Pings de subnets "estranhas" por padrão. Tente pingar o IP da Interface LAN do pfSense remoto (ex: ping 192.168.1.1 da filial). Se responder, o túnel está OK e o problema é o firewall do host destino.
    • Teste: Desative o firewall do Windows temporariamente para validar.

Problema 2: Túnel fica "Reconnecting"

  • Causa: Shared Key errada, Porta fechada na WAN ou incompatibilidade de Crypto.
  • Solução:
    • Confira se a Shared Key é IDÊNTICA.
    • Confira se o algoritmo de criptografia (ex: AES-256-GCM) e o de Hash (SHA256) são iguais.
    • Verifique se a Regra de WAN libera a porta 1195 UDP.

Problema 3: Conflito de rotas

  • Causa: Tunnel Network conflitante ou LANs iguais.
  • Solução: Garanta que Tunnel Network (10.0.99.0/30) não exista em nenhum outro lugar da rede. E JAMAIS tente VPN se ambos os lados usam 192.168.1.0.

6. DADOS TÉCNICOS

Campo Valor Descrição
Porta 1195+ UDP Dica: Use portas separadas por túnel
Modo Shared Key Para conexões Site-to-Site simples de 1:1
Rota Estática pfSense adiciona via Remote Network

7. VALIDAÇÃO FINAL (Definição de Pronto)

  • Status OpenVPN mostra "Connected"?
  • Ping da Matriz para Filial (ping 192.168.2.1) responde?
  • Servidor de Arquivos da Matriz é acessível pela Filial (\\192.168.1.10)?