Neste tutorial será abordado o fechamento de uma VPN Site-to-Site, utilizando dois PfSense’s, onde um destes está na borda da rede, e o outro não, este é uma máquina que utiliza apenas placa de rede LAN.
O tutorial visa:
– Ensinar passo a passo como realizar o fechamento de uma VPN, onde o PfSense não atua na borda da rede, se tratando de uma máquina “comum” conectada a LAN da rede.
Este tutorial é divido em 2 partes chave.
– A primeira e maior etapa é realizar o fechamento da VPN ponto a ponto, entre o PfSense de borda (Server) e o PfSense fora da borda (client).
– A segunda etapa é menor, porém não deixa de ser muito importante, onde será realizado a configuração de rotas no Windows.
1ª Etapa
- Primeiro devemos instalar o novo PfSense (cliente), que terá apenas uma placa de rede ativa (LAN). Mesmo que possua somente 1 placa de rede, é aconselhável que instale com no mínimo duas, para que não apresente problemas durante a instalação.
- Após realizar instalação, fixar um IP que esteja livre, na placa de rede LAN.
- Realizado a etapa de instalação (não abordado nesta documentação), e fixado um IP na placa LAN, vamos iniciar a configuração da VPN.
- Começando pelo PfSense Server, este também previamente instalado e numa faixa de rede diferente do outro (visto que são lugares/ambientes diferentes). Este é um PfSense de borda.
- A VPN que iremos configurar é do tipo Site-to-Site, com chave compartilhada (Shared Key), logo no momento de configuração da instalação, devemos marcar esta opção.
- Dentro do Dashboard do PfSense: VPN >> OPEN VPN >> Servers>> ADD
– Server Mode: Peer to Perr (Shared Key)
– Protocol: UDP on IPv4 only.
– Interface: WAN.
– Local Port: 1194.
– Description: “Descreva o nome da sua VPN”.
– Shared Key: Essa chave é gerada automaticamente, futuramente ela será utilizada no PfSense Client, bastando apenas copiar a mesma e colar no Client no campo correto.
- A parte a seguir é a principal configuração e devemos tomar cuidado, as informações devem ser colocadas de forma correta:
-IPv4 Tunnel Network: Esse será a rede, o IP que o túnel da VPN vai adquirir, o exemplo no próprio PfSense é uma boa opção para colocarmos: 10.0.8.0/24
-IPv4 Remote Network (s): Aqui coloca a faixa de rede DO CLIENT junto com a máscara, lembrando que estamos configurando o SERVER, então neste campo colocamos a faixa de rede do CLIENTE para que ele reconheça a rede que está sendo estabelecida entre um e outro.
– Demais configurações padrões.
-SAVE
- Configurações no PfSense Server foram realizadas, agora partiremos para o Client, que é o PfSense Interno que criamos e fixamos um IP no início do tutorial.
- Dentro do Dashboard do PfSense Client: VPN >> OPEN VPN >> Clients >> ADD.
-Server Mode: Peer to Peer (Shared Key)
-Interface: LAN (Aqui vamos usar a interface LAN devido ser a única interface deste PfSense)
-Server Host or Address: Colocamos o IP PÚBLICO ou o DDNS do PfSense SERVER.
-Server Port: 1194
– Shared Key: Dentro do espaço, colar a chave compartilhada (Shared Key) do PfSense Server, onde as mesmas realizarão o reconhecimento uma da outra através da chave compartilhada.
– IPv4 Tunnel Network: A mesma configurada no Server (10.0.8.0/24);
– IPv4 Remote netowork’s: Aqui coloca-se a faixa de rede do Server, lembrando que a lógica é: No server, coloca-se a faixa de IP do Client, e no Client coloca-se a faixa de IP do Server.
– Demais configurações padrão.
- Realizado até a etapa acima, basta liberar o tráfego de saída na Interface utilizada pelo Server, que a comunicação entre as duas VPN’s será estabelecida.
- Existem também algumas configurações extras, não relacionadas ao fechamento da VPN, porém são importantes, visto que o PfSense que está somente na rede LAN, não necessita de funcionalidades de Firewall, e consequentemente não utiliza a placa de rede WAN.
– Primeiro acesse no Dashboard (Client): System >> Advanced >> Firewall & NAT e marque a opção: Disable Firewall: Disable all packet filtering.
Isso irá desabilitar os serviços de Firewall desse PfSense Client.
– Volte novamente para o Dashboard: Interface >> WAN e desative (desmarque) a opção “Enable”, assim a placa de rede WAN ficará desativada, visto que não utilizaremos a mesma. Ela foi utilizada somente para não aparecer nenhum problema durante a instalação do PfSense.
- Realizada todas as etapas acima, a primeira parte (e mais longa) dos procedimentos foram feitas. Agora vamos para a segunda (e não menos importante) etapa do processo.
2 ª Etapa
- Entre no HOST (na máquina) em que deve estabelecer conexão através da VPN recém-criada, e abra o Prompt de Comando (CMD), com Privilégios de Administrador.
- Logo, via comando “Route” iremos criar uma rota no Windows deste Host para que o mesmo busque o PfSense interno, criado nas etapas acima.
-Entre na máquina Windows que está na MESMA rede LAN do PfSense Client, abra o CMD como administrador, e insira o seguinte comando:
route –p ADD “IP DA REDE” MASK “IP DA MASCARA” “IP DO GATEWAY”
Onde podemos ler/entender as informações da seguinte maneira:
– IP DA REDE: é a rede em que queremos acessar, logo como estamos numa máquina na Rede LAN (mesma rede do PfSense Client), logo queremos enxergar a rede do SERVER, então devemos colocar o IP da rede Servidor.
– MASK: A máscara de rede do SERVER.
– IP DO GATEWAY: Nosso gateway será o IP do PfSense Client, visto que ele será nossa rota de saída (nosso gateway) do fechamento da VPN.
-
- Logo o comando ficará:
route –p ADD 192.168.2.0 MASK 255.255.255.0 192.168.249.180
-Inserimos a faixa de rede que queremos acessar, a máscara dessa faixa e o IP do PfSense criado somente com a LAN, que foi configurado como 180 nos primeiros passos.
- Finalizando, segue imagem de como ficou o ping na rede do servidor antes do comando e após o comando “route”.
- Após este comando, a rede que gostaríamos de enxergar será reconhecida.