Utilizando cenário de uma empresa com matriz e 2 filiais onde todas as redes

LAN devem se comunicar utilizando o pfsense e o openvpn.

1.Criar a CA, com Key length (bits)= 1024 e Digest Algorithm= sha1, conforme
imagem.

2. Criar os certificados do servidor vpn e clientes vpn observando os campos

Key length (bits), Digest Algorithm, Certificate Type e Common Name.
OBS: É necessário criar tantos certificados do tipo user certificate quanto o
número de filiais que deseja conectar, devem ser criadas as regras de firewall
que permitem a conexão dos openvpn clientes ao openvpn servidor e o trafego
na rede OpenvpN.

3. Criando e configurando o túnel no servidor openvpn.

Em custom options declare todas as redes das filiais que vão se conectar a
esse túnel vpn para isso devemos considerar que:

1- push "route 192.168.2.0 255.255.255.0" (separado sempre por ;)

Push é o comando para entregar a rota quando o cliente cliente se conectar ao
servidor openvpn quando a filial01 se conectar ela vai receber as rotas
declaradas por “push”.

2- route 192.168.2.0 255.255.255.0 esta rota é exclusiva para o servidor de

openvpn saber que ele deve adicionar essa rota em sua tabela de roteamento,
para o servidor saber que a rede 192.168.2.0/24 deve sair pelo túnel da filial01
por exemplo.

Abaixo exemplo prático para comunicação entre todas as LANs:

#REDES LAN EMPRESAS

push "route 192.168.1.0 255.255.255.0";
push "route 192.168.2.0 255.255.255.0";
push "route 192.168.3.0 255.255.255.0";
route 192.168.1.0 255.255.255.0;
route 192.168.2.0 255.255.255.0;
route 192.168.3.0 255.255.255.0;

Em Client Specific Overrides.

Esta configuração deve ser repedida para todas as filiais de forma que devemos
observar o common name do certificado importado na filial e a rota nas opções
avançadas desta mesma tela, defina no campo TUNEL NETWORK o ip que será
atribuído a filial quando a mesma se conectar, tipo 172.16.1.10/24, dessa forma
o ip do túnel vpn da filial ao se conectar será sempre este evitando problemas
de roteamento.

Como a autenticação se baseia em cerificados devemos exportar o CA e o

cerificado do tipo user certificate do openvpn servidor para o openvpn cliente e
repetir o procedimento para os demais openvpn cliente, precisamos de um
certificado diferente para cada filial e common name respectivamente.
Agora devemos configurar o túnel no openvpn ciente que irá se conectar ao
servidor já configurado.
OBS: o restante das filiais devem ser configuradas conforme a anterior.

Regras de Firewall.

Devem ser criadas regras de firewall nas interfaces WAN e OpenVPN do servidor
vpn e OpenVPN do cliente vpn.
Configuração de túnel openvpn remote access.

1 criar a CA interno para o túnel vpn de acessos remotos, em seguida o

certificado do tipo servidor para configuração do túnel.

CA.

CERTIFICADO.
Configuração túnel para servir os usuários.
Após salvar...

Libere a porta e protocolo utilizados para criar o túnel na WAN.

Crie os usuários que irão se conectar através do túnel openvpn.

Na aba Client Export, baixe e instale o pacote de acesso remoto do openVpn.

Abra o OpenVpnGUI e se conecte e faça testes.
Integrando os tuneis VPN.

As configurações acima mostraram como proceder para conectar matriz e filiais

de um mesmo grupo de empresas através da internet usando o openvpn, em
seguida temos outra configuração que mostra como usuários externos usando
um openvpn client são conectados a lan de uma determinada empresa, assim
sendo podemos fazer com que usuários externos acessem todas as redes lan
de cada empresa com a configuração abaixo.

Na configuração do túnel, no campo Advanced Configuration/Custom options,

declare as redes das filiais e a rede do túnel dos usuários remotos.

#REDES LAN LOJAS

push "route 192.168.1.0 255.255.255.0";
push "route 192.168.2.0 255.255.255.0";
push "route 192.168.3.0 255.255.255.0";
route 192.168.1.0 255.255.255.0;
route 192.168.2.0 255.255.255.0;
route 192.168.3.0 255.255.255.0;
#REDE TUNEL USUARIOS EXTERNOS
push "route 172.16.16.0 255.255.255.0";

No mesmo campo no túnel dos usuários remotos declare

#REDES LAN LOJAS

push "route 192.168.1.0 255.255.255.0";
push "route 192.168.2.0 255.255.255.0";
push "route 192.168.3.0 255.255.255.0";
#REDE TUNEL LANS LOJAS
push "route 172.16.15.0 255.255.255.0";

Como medida de boas práticas devemos fixar os ips de cada cliente vpn que se
conecta ao servidor acesse: VPN \ OpenVPN \ Client Specific Overrides

Para túnel entre empresas observe os campos:

Server List: marque o túnel entre empresas.
Common name: digite o common name do certificado gerado para filial.
Tunnel Network: ip fixo atribuído ao cliente vpn que se conectar o cn
client1vpn.empresax.com ex: 172.16.15.10/24
Advanced: iroute 192.168.2.0 255.255.255.0 (rede lan da filial que está se conectando).