PfSense Treinamento Aula 03

TREINAMENTO
NINJA DO PFSENSE
Terceira Aula
Objetivos
• Mais de uma conexão WAN (Multi-Wan)
• VPN Site a Site
• VPN Cliente para Site (Home Office)
• VPN com 2 links para redundância
Recapitulando 2ª Aula
• DHCP
• DNS
• Regas de firewall: boas práticas, começar do zero, bloquear facebook
• Expor servidor internos com NAT / Tradução de portas
• Logs para verificar por eventos
• Status do firewall - telas de monitoramento
MultiWan
MultiWan
• 2 ou mais conexões de internet
• Por padrão apenas o link da primeira conexão WAN é utilizado
• Se cair, todo o tráfego é roteado pelo segundo link
• Se o 1º link voltar, ele volta como ativo
MultiWan
Adicionar a segunda placa de rede para internet
• Interfaces -> Assignments
• Available network ports -> Add
• OPT1:
• Habilitar
• Descrição
• Configuração de IP (dhcp ou manual) / Gateway
• Salvar
MultiWan
Roteamento
• System -> Routing
• Gateways
• Interface
• Peso – usado para diferenciar um link com mais banda em um grupo LB
• IP para monitorar status
• Gateway Action
• Gateway padrão: automático
MultiWan
• Load Balance -> 2 links simultaneamente usados
• Sticky connections para evitar problemas
• Deve ser explicitamente utilizado em regras de acesso
• Failover -> 1 link ativo e 1 link em espera

• Teoricamente usando apenas metade da internet contratada
• Pode ser usado no gateway default ou em regras de acesso
• Problema: Como tirar melhor proveito dos links?

1ª Solução:
2 Failovers – cada um com um link sendo o

principal
Metade da rede usa o 1º failover/link
Metade da rede usa o 2º failover/link
Se um dos links parar, toda a rede converge

para o link funcionando
2ª Solução:
1 grupo de link em Load Balance para toda a

rede
Sticky connections
Regra com lista de sites problemáticos

Passando por um failover
Assim se um dos links cair, os sites

problemáticos vão passar pelo outro link
disponivel
MultiWan - Demo
• System -> Routing
• Adicionar a 2ª placa WAN e configurar
• Criar um grupo de gateways: Failover
• Criar um grupo de gateways: Load Balance
• Alterar o default gateway para o Failover
• Desconectar um link. O que acontece? E quando voltar o link?
• Criar uma regra para atribuir o Load Balance
• Navegação sai pelos dois links?
• Desconectar um link. O que acontece? E quando voltar o link?
Load Balance
VPN SITE-A-SITE
IPSEC / OPENVPN
• IPSec
• Mais antigo
• Mais utilizado no corporativo, inclusive nos provedores de nuvem
• Mais complexo
• OpenVPN
• Estável
• Popular
• Fácil configuração
IPSEC - SITE A SITE
Primeiro Firewall
• VPN -> IPSec -> Add P1
• Descrição, remote gateway, generate pre-shared key
• Child AS start action: iniciar durante a inicialização
• Child AS close Action: Restart/Reconnect
• Save
• Show Phase 2 Entries -> Add P2
• Descrição, local network, remote network
• Save
• Apply Changes
IPSEC - SITE A SITE
Segundo Firewall
• VPN -> IPSec -> Add P1
• Descrição, remote gateway, copiar pre-shared key do primeiro firewall
• Child AS start action: iniciar durante a inicialização
• Child AS close Action: Restart/Reconnect
• Save
• Show Phase 2 Entries -> Add P2
• Descrição, local network, remote network
• Save
• Apply Changes
IPSEC - SITE A SITE
• Conectou?
• Status -> IPSec
IPSEC - SITE A SITE
• Há comunicação? PING! Não? Logs do Firewall!
• Obviamente faltou alguma coisa.
• Firewall -> Rules -> aba IPSec.
• Nenhuma regra é criada por padrão para passar pelo túnel VPN
• Implicitamente todo o tráfego é bloqueado.
IPSEC - SITE A SITE Estamos em um laboratório. Não
libere tudo em produção hein!
• Criar regra em cada firewall:

• Na interface IPSec, permitir tudo com origem remota e destino a rede local.
IPSEC - SITE A SITE
• Agora SIM!!
OPENVPN - SITE A SITE
Firewall Matriz
• VPN -> OpenVPN -> Servers -> Add
• Descrição
• Server mode: Peer to Peer (Shared Key)
• Anotar Local port !
• IPv4 Tunnel Network 10.10.10.0/30
• IPv4 Remote Network: rede lan do outro firewall
• Save
• Editar
• Anotar Shared Key
Firewall Filial
• VPN -> OpenVPN -> Clients -> Add
• Descrição
• Server mode: Peer to Peer (Shared Key)
• Server host or address: IP de internet do firewall Matriz
• Server port: Porta da VPN do firewall Matriz
• Cryptographic Settings: Desmarcar Auto Generate
• Colar a Shared Key do firewall Matriz
• IPv4 Tunnel Network 10.10.10.0/30
• IPv4 Remote Network: rede lan do outro firewall
• Save
• Conectou?
• Status -> OpenVPN
• Aparentemente falta alguma coisa: LOGS!
• Firewall -> Rules -> aba WAN.
• Criar uma regra que permita o tráfego UDP para a porta 1194 (*ver a
porta do firewall Matriz que foi anotado)
• Conectou?
• Status -> OpenVPN
• Há comunicação? PING! Não? Logs do Firewall!
• Obviamente faltou alguma coisa.
• Firewall -> Rules -> aba OpenVPN.
• Nenhuma regra é criada por padrão para passar pelo túnel VPN.
• Implicitamente todo o tráfego é bloqueado.
OPENVPN - SITE A SITE Estamos em um laboratório. Não
libere tudo em produção hein!
• Criar regra em cada firewall:

• Na interface OpenVPN, permitir tudo com origem remota e destino a rede local.
• Agora SIM!!
VPN HOME OFFICE
VPN HOME OFFICE
• OpenVPN -> Server -> Add
• Server Mode: Remote Access – SSL/TLS ou User Auth ou Ambos
• Autenticação de usuário: Local ou remota (Ldap-AD / Radius) ?
• Certificate Authority: Já criou? Crie antes de configurar a VPN
• Server Certificate: Já criou? Crie antes de configurar a VPN
• IPv4 Tunnel Network: ex.: 10.10.10.0/24
• IPv4 Local Networks: Lans do firewall ex.: 192.168.1.0/24
• Instalação do cliente OpenVPN nas máquinas clientes¹
• Save!
• Instalar pacote OpenVPN-Client-Exporter no pfSense para exportar a
configuração e importar nas máquinas
VPN HOME OFFICE
• Estação Cliente
• Instalar o agente de VPN¹
• Importar a configuração exportada do firewall (OpenVPN-Client-Export)
• Conectar
• Usuário e senha
• Autenticou com sucesso?
• Não? O firewall permite a conexão com o serviço OpenVPN na interface WAN?
• O cliente consegue acessar recursos dentro da rede local do firewall?
• Não? Existe alguma regra de acesso permitindo tráfego do cliente na interface vpn?
• Que tal conferir os logs...
¹https://openvpn.net/community-downloads/
VPN HOME OFFICE IP do servidor VPN que estamos
conectando (Firewall)
Conexão estabelecida com sucesso!

VPN COM 2 LINKS DE REDUNDÂNCIA
(HOME OFFICE)
• OpenVPN Home Office
• Configuração da VPN Home Office
• Interface -> Any (permitir conexões em todas as interfaces, tanto WAN1 quanto WAN2)
• Save!
• OpenVPN-Client-Exporter
• Advanced -> Additional configuration options
• Adicionar a linha: remote <ip_da_segunda_wan_do_Firewall> <porta_vpn> udp4
• Exportar a configuração novamente
• Substituir configuração no cliente
• Se a conexão com o primeiro link
cair, a estação conecta pelo 2º
Conexão com 1º link falha.
Conexão com 2º link feita com

sucesso!
(SITE-A-SITE)
• VPN -> IPSEC
• Configurar 2 túneis
• WAN1 do firewall Matriz <-> WAN1 do firewall Filial
• WAN2 do firewall Matriz <-> WAN2 do firewall Filial
• Roteamento automático na falha de 1 túnel
• Fácil?!
TREINAMENTO
NINJA DO PFSENSE
Terceira Aula

PfSense Treinamento Aula 03

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

PfSense Treinamento Aula 03

Enviado por

Direitos autorais:

Formatos disponíveis

TREINAMENTO

• Failover -> 1 link ativo e 1 link em espera

• Problema: Como tirar melhor proveito dos links?

2 Failovers – cada um com um link sendo o

Metade da rede usa o 1º failover/link

Metade da rede usa o 2º failover/link

Se um dos links parar, toda a rede converge

1 grupo de link em Load Balance para toda a

Regra com lista de sites problemáticos

Assim se um dos links cair, os sites

• Criar regra em cada firewall:

• Criar regra em cada firewall:

Conexão estabelecida com sucesso!

Conexão com 2º link feita com

Você também pode gostar