Saudações Mestre,
Então, o que você tem que compreender é como o firewall e o squid trabalha
e onde eles interferem.
A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface
"tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou
client-to-site.
E na interface LAN de cada lado tem que ter uma regra permitindo o trafego
com destino a rede remota e a rede da VPN que possivelmente será outro
range.
Para o exemplo abaixo utilizei as seguintes referencias.
MATRIZ = Rede 192.168.0.0/24
FILIAL = Rede 192.168.10.0/24
REDE_OVPN = 10.0.0.0/24
No caso do seu ambiente, temos que proceder da seguinte forma:
Para que a comunicação entre a matrix e filial flua sem qualquer restrição.
Action Protocol Source Port
Destination Port Gateway
allow IPv4+6 TCP/UDP MATRIZ * FILIAL
* *
allow IPv4+6 TCP/UDP MATRIZ *
REDE_OVPN * *
Porem se utilizar proxy transparent todas as conexão com destino a Filial
com origem na Matriz será interceptada no Squid/Squidguard, para resolver
isso basta que na configuração do squid preencha a rede da matriz como uma
das redes com permissão de bipass do proxy.
Realize a mesma configuração do lado da filial e a liberação para
comunicaçaõ inrrestrita entre ambas deverá estar funcionando.
Lembre que no PFSense a ordem de liberação é da primeira regra para a
ultima, no caso para não ter outras regras atrapalhando recomendo colocar a
regra no inicio da listagem.
Att.
Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci <[email protected]>
escreveu:
> Agora acho que vai, ta dificil!!
>
>
> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
> com IPsec não foi nem a pau.
>
> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
> host do computador no alias lanliberados.
>
> Para explicar o que é o lanliberados :
>
> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
> chamado lanliberados, que permite acesso a tudo e também em bypass no squid
> nas opções abaixo:
>
> Regra do firewall:
>
>
> Protocol Source Port Destination
> Port Gateway
> IPv4+6 TCP/UDP lanliberados * * *
> *
>
> Configurações no SQUID:
>
> Bypass Proxy for These Source IPs
> Bypass Proxy for These Destination IPs
>
> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
> utilizo proxy?
>
> Só para constar eu tenho a regra no firewall WAN:
>
>
>
> Protocol Source Port Destination Port Gateway
> IPv4 UDP IP da Filial * WAN address 1195 *
>
>
> E tenho a regra no firewall em OpenVPN permitindo tudo.
>
>
> Obrigado a todos e aguardo anciosamente,
>
> Fábio S. Nucci
>
>
>
> -------- Mensagem encaminhada --------
> Assunto: Re: [Pfsense-pt] VPN para acessar pasta em servidor
> Windows com AD
> Data: Tue, 9 May 2017 17:34:31 -0300
> De: Fábio Sallasar Nucci <[email protected]>
> Para: Lista em Português sobre pfSense <[email protected]>
>
>
>
>
> Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue novamente
> corrigido.
>
> Boa tarde Pessoal,
>
> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
> com IPsec não foi nem a pau.
>
> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
> host do computador no alias lanliberados.
>
> Para explicar o que é o lanliberados :
>
> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
> chamado lanliberados, que permite acesso a tudo e também em bypass no squid
> nas opções abaixo:
>
> Regra do firewall:
>
>
>
>
> Protocol
> Source
> Port Destination
> Port
> Gateway
>
>
> <http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&id=11>
>
> IPv4+6 TCP/UDP lanliberados * *
> * *
>
> Configurações no SQUID:
>
> Bypass Proxy for These Source IPs
> Bypass Proxy for These Destination IPs
>
> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
> utilizo proxy?
>
> Só para constar eu tenho a regra no firewall WAN:
>
>
>
>
> Protocol Source
> Port Destination
> Port
> Gateway
>
>
>
>
>
> <http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3>
>
> IPv4 UDP IP da Filial
> * WAN address 1195 *
>
>
>
>
> E tenho a regra no firewall em OpenVPN permitindo tudo.
>
>
> Obrigado a todos e aguardo anciosamente,
>
> Fábio S. Nucci
>
> Em 03/05/2017 23:31, Eduardo Rigler escreveu:
>
>> Prezado Fábio,
>>
>> Talvez o problema na autenticação seja apenas em virtude das redes estarem
>> nas "mesmas redes", imagino que a maquina que está tentando acessar esteja
>> se perdendo na identificação do controlador de dominio dele, mas é apenas
>> um palpite, precisaria testar e entender o cenário mais à fundo.
>>
>> Sobre seus questionamentos:
>>
>> - Ranges diferentes sempre;
>> - Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes
>> corporativas),
>> deixando o OpenVPN apenas para os clientes, mas vai do gosto do fregues;
>> - Ao invés de dois ADs separados talvez seja hora de pensar na
>> consolidação
>> deles pois as redes estarão "juntas", fazendo só a replicação remotamente,
>> mas estou bem enferrujado nas features mais avançadas do Active Directory
>> então prefiro não palpitar muito além disso... rs;
>> - Eu particularmente prefiro usar o servidor DNS recursivo do pfsense
>> (Unbound). No autoritativo eu uso Bind em servidores separados visando
>> maior disponibilidade, mas também vai ao gosto do freguês;
>>
>> Acho que é isso :-)
>>
>> []'s
>> Eduardo.
>>
>>
>>
>> Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci<[email protected]>
>> escreveu:
>>
>> Bom tarde pessoal.
>>>
>>> Por favor, se alguém puder dar umas dicas ou indicar o caminho ficarei
>>> muito grato.
>>>
>>> Para entenderem, meu cenário é:
>>>
>>> Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e DHCP
>>> e servidor Windows server 2012R2 com Active Directory e DNS;
>>>
>>> Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor Windows
>>> Server 2008R2 com Active Directory, DHCP e DNS.
>>>
>>>
>>> Realizei uma conexão openVPN Client to Site de um computador de dentro da
>>> rede da filial para a Matriz e ocorreu tudo certo, conexão foi perfeita,
>>> até consigo pingar o IP do AD na Matriz.
>>>
>>> As redes internas da Matriz e da Filial tem mesmo range: 192.168.0.0/24
>>>
>>> Porém, não consigo acessar a pasta no servidor matriz pois da erro de
>>> autenticação de logon, por serem domínios diferentes.
>>>
>>> A duvida é a seguinte.
>>>
>>> O range das redes tem que ser diferentes?
>>>
>>> Tenho que realizar uma conexão VPN Site to Site e replicar meus Active
>>> Directorys?
>>>
>>> Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o usuario
>>> VPN pelo AD?
>>>
>>> Na opinião de vocês, qual seria o mais fácil ou se existe alguma outra
>>> forma.
>>>
>>>
>>> Obrigado desde já,
>>>
>>> Fábio Sallasar Nucci
>>> _______________________________________________
>>> Pfsense-pt mailing list
>>> [email protected]
>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>>
>>> _______________________________________________
>> Pfsense-pt mailing list
>> [email protected]
>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>
>
> _______________________________________________
> Pfsense-pt mailing list
> [email protected]
> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>
--
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
