VPN ponto a ponto com pfSense Client não estando na borda da rede

29 abr

VPN ponto a ponto com pfSense Client não estando na borda da rede

Design sem nome (2)

Neste tutorial será abordado o fechamento de uma VPN Site-to-Site, utilizando dois PfSense’s, onde um destes está na borda da rede, e o outro não, este é uma máquina que utiliza apenas placa de rede LAN.

O tutorial visa:
- Ensinar passo a passo como realizar o fechamento de uma VPN, onde o PfSense não atua na borda da rede, se tratando de uma máquina “comum” conectada a LAN da rede.

Este tutorial é divido em 2 partes chave.

- A primeira e maior etapa é realizar o fechamento da VPN ponto a ponto, entre o PfSense de borda (Server) e o PfSense fora da borda (client).
- A segunda etapa é menor, porém não deixa de ser muito importante, onde será realizado a configuração de rotas no Windows.

1ª Etapa

  • Primeiro devemos instalar o novo PfSense (cliente), que terá apenas uma placa de rede ativa (LAN). Mesmo que possua somente 1 placa de rede, é aconselhável que instale com no mínimo duas, para que não apresente problemas durante a instalação.
  • Após realizar instalação, fixar um IP que esteja livre, na placa de rede LAN.

  • Realizado a etapa de instalação (não abordado nesta documentação), e fixado um IP na placa LAN, vamos iniciar a configuração da VPN.
  • Começando pelo PfSense Server, este também previamente instalado e numa faixa de rede diferente do outro (visto que são lugares/ambientes diferentes). Este é um PfSense de borda.
  • A VPN que iremos configurar é do tipo Site-to-Site, com chave compartilhada (Shared Key), logo no momento de configuração da instalação, devemos marcar esta opção.
  • Dentro do Dashboard do PfSense: VPN >> OPEN VPN >> Servers>> ADD

- Server Mode: Peer to Perr (Shared Key)
- Protocol: UDP on IPv4 only.
- Interface: WAN.
- Local Port: 1194.
- Description: “Descreva o nome da sua VPN”.
- Shared Key: Essa chave é gerada automaticamente, futuramente ela será utilizada no PfSense Client, bastando apenas copiar a mesma e colar no Client no campo correto.

  • A parte a seguir é a principal configuração e devemos tomar cuidado, as informações devem ser colocadas de forma correta:

-IPv4 Tunnel Network: Esse será a rede, o IP que o túnel da VPN vai adquirir, o exemplo no próprio PfSense é uma boa opção para colocarmos: 10.0.8.0/24
-IPv4 Remote Network (s): Aqui coloca a faixa de rede DO CLIENT junto com a máscara, lembrando que estamos configurando o SERVER, então neste campo colocamos a faixa de rede do CLIENTE para que ele reconheça a rede que está sendo estabelecida entre um e outro.

- Demais configurações padrões.
-SAVE

  • Configurações no PfSense Server foram realizadas, agora partiremos para o Client, que é o PfSense Interno que criamos e fixamos um IP no início do tutorial.
  • Dentro do Dashboard do PfSense Client: VPN >> OPEN VPN >> Clients >> ADD.

-Server Mode: Peer to Peer (Shared Key)
-Interface: LAN (Aqui vamos usar a interface LAN devido ser a única interface deste PfSense)
-Server Host or Address: Colocamos o IP PÚBLICO ou o DDNS do PfSense SERVER.
-Server Port: 1194

- Shared Key: Dentro do espaço, colar a chave compartilhada (Shared Key) do PfSense Server, onde as mesmas realizarão o reconhecimento uma da outra através da chave compartilhada.

- IPv4 Tunnel Network: A mesma configurada no Server (10.0.8.0/24);
- IPv4 Remote netowork’s: Aqui coloca-se a faixa de rede do Server, lembrando que a lógica é: No server, coloca-se a faixa de IP do Client, e no Client coloca-se a faixa de IP do Server.

- Demais configurações padrão.

  • Realizado até a etapa acima, basta liberar o tráfego de saída na Interface utilizada pelo Server, que a comunicação entre as duas VPN’s será estabelecida.
  • Existem também algumas configurações extras, não relacionadas ao fechamento da VPN, porém são importantes, visto que o PfSense que está somente na rede LAN, não necessita de funcionalidades de Firewall, e consequentemente não utiliza a placa de rede WAN.

- Primeiro acesse no Dashboard (Client): System >> Advanced >> Firewall & NAT e marque a opção: Disable Firewall: Disable all packet filtering.
Isso irá desabilitar os serviços de Firewall desse PfSense Client.
- Volte novamente para o Dashboard: Interface >> WAN e desative (desmarque) a opção “Enable”, assim a placa de rede WAN ficará desativada, visto que não utilizaremos a mesma. Ela foi utilizada somente para não aparecer nenhum problema durante a instalação do PfSense.

  • Realizada todas as etapas acima, a primeira parte (e mais longa) dos procedimentos foram feitas. Agora vamos para a segunda (e não menos importante) etapa do processo.

2 ª Etapa

  • Entre no HOST (na máquina) em que deve estabelecer conexão através da VPN recém-criada, e abra o Prompt de Comando (CMD), com Privilégios de Administrador.
  • Logo, via comando “Route” iremos criar uma rota no Windows deste Host para que o mesmo busque o PfSense interno, criado nas etapas acima.

-Entre na máquina Windows que está na MESMA rede LAN do PfSense Client, abra o CMD como administrador, e insira o seguinte comando:

route –p ADD "IP DA REDE" MASK "IP DA MASCARA" "IP DO GATEWAY"

Onde podemos ler/entender as informações da seguinte maneira:

- IP DA REDE: é a rede em que queremos acessar, logo como estamos numa máquina na Rede LAN (mesma rede do PfSense Client), logo queremos enxergar a rede do SERVER, então devemos colocar o IP da rede Servidor.

- MASK: A máscara de rede do SERVER.
- IP DO GATEWAY: Nosso gateway será o IP do PfSense Client, visto que ele será nossa rota de saída (nosso gateway) do fechamento da VPN.

    • Logo o comando ficará:

route –p ADD 192.168.2.0 MASK 255.255.255.0 192.168.249.180

-Inserimos a faixa de rede que queremos acessar, a máscara dessa faixa e o IP do PfSense criado somente com a LAN, que foi configurado como 180 nos primeiros passos.

  • Finalizando, segue imagem de como ficou o ping na rede do servidor antes do comando e após o comando “route”.
  • Após este comando, a rede que gostaríamos de enxergar será reconhecida.