Bom dia a todos,
Muito obrigado Paulo, você me esclareceu muito com essa explicação, foi
uma luz no fim do tunel!!
Criei a regra na LAN Matriz liberando a LAN net para um Alias com o IP
da Filial e da rede VPN e coloquei o Alias no bypass do Squid. E na
Filial a mesma coisa.
Agora consigo acessar de todos os computadores na rede.
Muito obrigado a todos pela colaboração.
Aprendi muito nesta empreitada, foi minha primeira VPN e com a ajuda da
comunidade pfSense fica muito mais facil.
Até a próxima,
Fábio S. Nucci
Em 09/05/2017 17:56, Paulo Henrique escreveu:
Saudações Mestre,
Então, o que você tem que compreender é como o firewall e o squid trabalha
e onde eles interferem.
A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface
"tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou
client-to-site.
E na interface LAN de cada lado tem que ter uma regra permitindo o trafego
com destino a rede remota e a rede da VPN que possivelmente será outro
range.
Para o exemplo abaixo utilizei as seguintes referencias.
MATRIZ = Rede 192.168.0.0/24
FILIAL = Rede 192.168.10.0/24
REDE_OVPN = 10.0.0.0/24
No caso do seu ambiente, temos que proceder da seguinte forma:
Para que a comunicação entre a matrix e filial flua sem qualquer restrição.
Action Protocol Source Port
Destination Port Gateway
allow IPv4+6 TCP/UDP MATRIZ * FILIAL
* *
allow IPv4+6 TCP/UDP MATRIZ *
REDE_OVPN * *
Porem se utilizar proxy transparent todas as conexão com destino a Filial
com origem na Matriz será interceptada no Squid/Squidguard, para resolver
isso basta que na configuração do squid preencha a rede da matriz como uma
das redes com permissão de bipass do proxy.
Realize a mesma configuração do lado da filial e a liberação para
comunicaçaõ inrrestrita entre ambas deverá estar funcionando.
Lembre que no PFSense a ordem de liberação é da primeira regra para a
ultima, no caso para não ter outras regras atrapalhando recomendo colocar a
regra no inicio da listagem.
Att.
Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci <[email protected]>
escreveu:
Agora acho que vai, ta dificil!!
Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
com IPsec não foi nem a pau.
Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
host do computador no alias lanliberados.
Para explicar o que é o lanliberados :
Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
chamado lanliberados, que permite acesso a tudo e também em bypass no squid
nas opções abaixo:
Regra do firewall:
Protocol Source Port Destination
Port Gateway
IPv4+6 TCP/UDP lanliberados * * *
*
Configurações no SQUID:
Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs
A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?
Só para constar eu tenho a regra no firewall WAN:
Protocol Source Port Destination Port Gateway
IPv4 UDP IP da Filial * WAN address 1195 *
E tenho a regra no firewall em OpenVPN permitindo tudo.
Obrigado a todos e aguardo anciosamente,
Fábio S. Nucci
-------- Mensagem encaminhada --------
Assunto: Re: [Pfsense-pt] VPN para acessar pasta em servidor
Windows com AD
Data: Tue, 9 May 2017 17:34:31 -0300
De: Fábio Sallasar Nucci <[email protected]>
Para: Lista em Português sobre pfSense <[email protected]>
Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue novamente
corrigido.
Boa tarde Pessoal,
Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
com IPsec não foi nem a pau.
Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
host do computador no alias lanliberados.
Para explicar o que é o lanliberados :
Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
chamado lanliberados, que permite acesso a tudo e também em bypass no squid
nas opções abaixo:
Regra do firewall:
Protocol
Source
Port Destination
Port
Gateway
<http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&id=11>
IPv4+6 TCP/UDP lanliberados * *
* *
Configurações no SQUID:
Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs
A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?
Só para constar eu tenho a regra no firewall WAN:
Protocol Source
Port Destination
Port
Gateway
<http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3>
IPv4 UDP IP da Filial
* WAN address 1195 *
E tenho a regra no firewall em OpenVPN permitindo tudo.
Obrigado a todos e aguardo anciosamente,
Fábio S. Nucci
Em 03/05/2017 23:31, Eduardo Rigler escreveu:
Prezado Fábio,
Talvez o problema na autenticação seja apenas em virtude das redes estarem
nas "mesmas redes", imagino que a maquina que está tentando acessar esteja
se perdendo na identificação do controlador de dominio dele, mas é apenas
um palpite, precisaria testar e entender o cenário mais à fundo.
Sobre seus questionamentos:
- Ranges diferentes sempre;
- Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes
corporativas),
deixando o OpenVPN apenas para os clientes, mas vai do gosto do fregues;
- Ao invés de dois ADs separados talvez seja hora de pensar na
consolidação
deles pois as redes estarão "juntas", fazendo só a replicação remotamente,
mas estou bem enferrujado nas features mais avançadas do Active Directory
então prefiro não palpitar muito além disso... rs;
- Eu particularmente prefiro usar o servidor DNS recursivo do pfsense
(Unbound). No autoritativo eu uso Bind em servidores separados visando
maior disponibilidade, mas também vai ao gosto do freguês;
Acho que é isso :-)
[]'s
Eduardo.
Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci<[email protected]>
escreveu:
Bom tarde pessoal.
Por favor, se alguém puder dar umas dicas ou indicar o caminho ficarei
muito grato.
Para entenderem, meu cenário é:
Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e DHCP
e servidor Windows server 2012R2 com Active Directory e DNS;
Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor Windows
Server 2008R2 com Active Directory, DHCP e DNS.
Realizei uma conexão openVPN Client to Site de um computador de dentro da
rede da filial para a Matriz e ocorreu tudo certo, conexão foi perfeita,
até consigo pingar o IP do AD na Matriz.
As redes internas da Matriz e da Filial tem mesmo range: 192.168.0.0/24
Porém, não consigo acessar a pasta no servidor matriz pois da erro de
autenticação de logon, por serem domínios diferentes.
A duvida é a seguinte.
O range das redes tem que ser diferentes?
Tenho que realizar uma conexão VPN Site to Site e replicar meus Active
Directorys?
Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o usuario
VPN pelo AD?
Na opinião de vocês, qual seria o mais fácil ou se existe alguma outra
forma.
Obrigado desde já,
Fábio Sallasar Nucci
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
