https://www.google.com.br/search?q=manucal+pfsense+vpn&oq=manucal+pfsense+vpn&aqs=chrome..69i57.5311j0j7&sourceid=chrome&ie=UTF-8#q=manual+pfsense+vpn

Em 10 de maio de 2017 10:04, Fábio Sallasar Nucci <[email protected]>
escreveu:

> Bom dia a todos,
>
> Muito obrigado Paulo, você me esclareceu muito com essa explicação, foi
> uma luz no fim do tunel!!
>
> Criei a regra na LAN Matriz liberando a LAN net para um Alias com o IP da
> Filial e da rede VPN e coloquei o Alias no bypass do Squid. E na Filial a
> mesma coisa.
>
> Agora consigo acessar de todos os computadores na rede.
>
> Muito obrigado a todos pela colaboração.
>
> Aprendi muito nesta empreitada, foi minha primeira VPN e com a ajuda da
> comunidade pfSense fica muito mais facil.
>
>
> Até a próxima,
>
> Fábio S. Nucci
>
>
>
>
> Em 09/05/2017 17:56, Paulo Henrique escreveu:
>
>> Saudações Mestre,
>>
>> Então, o que você tem que compreender é como o firewall e o squid trabalha
>> e onde eles interferem.
>> A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface
>> "tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou
>> client-to-site.
>> E na interface LAN de cada lado tem que ter uma regra permitindo o trafego
>> com destino a rede remota e a rede da VPN que possivelmente será outro
>> range.
>> Para o exemplo abaixo utilizei as seguintes referencias.
>>
>> MATRIZ = Rede 192.168.0.0/24
>> FILIAL = Rede 192.168.10.0/24
>> REDE_OVPN = 10.0.0.0/24
>>
>> No caso do seu ambiente, temos que proceder da seguinte forma:
>>
>> Para que a comunicação entre a matrix e filial flua sem qualquer
>> restrição.
>> Action      Protocol                       Source            Port
>> Destination         Port   Gateway
>> allow      IPv4+6 TCP/UDP         MATRIZ                 *          FILIAL
>>                *           *
>> allow      IPv4+6 TCP/UDP         MATRIZ                 *
>>   REDE_OVPN     *           *
>>
>> Porem se utilizar proxy transparent todas as conexão com destino a Filial
>> com origem na Matriz será interceptada no Squid/Squidguard, para resolver
>> isso basta que na configuração do squid preencha a rede da matriz como uma
>> das redes com permissão de bipass do proxy.
>>
>> Realize a mesma configuração do lado da filial e a liberação para
>> comunicaçaõ inrrestrita entre ambas deverá estar funcionando.
>> Lembre que no PFSense a ordem de liberação é da primeira regra para a
>> ultima, no caso para não ter outras regras atrapalhando recomendo colocar
>> a
>> regra no inicio da listagem.
>>
>>
>> Att.
>>
>> Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci <[email protected]
>> >
>> escreveu:
>>
>> Agora acho que vai, ta dificil!!
>>>
>>>
>>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
>>> com IPsec não foi nem a pau.
>>>
>>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
>>> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
>>> host do computador no alias lanliberados.
>>>
>>> Para explicar o que é o lanliberados :
>>>
>>> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
>>> chamado lanliberados, que permite acesso a tudo e também em bypass no
>>> squid
>>> nas opções abaixo:
>>>
>>> Regra do firewall:
>>>
>>>
>>>      Protocol                       Source            Port Destination
>>>     Port   Gateway
>>>      IPv4+6 TCP/UDP     lanliberados         * *                     *
>>>       *
>>>
>>> Configurações no SQUID:
>>>
>>> Bypass Proxy for These Source IPs
>>> Bypass Proxy for These Destination IPs
>>>
>>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
>>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
>>> utilizo proxy?
>>>
>>> Só para constar eu tenho a regra no firewall WAN:
>>>
>>>
>>>
>>>      Protocol          Source     Port     Destination Port       Gateway
>>>      IPv4 UDP       IP da Filial   *        WAN address     1195
>>>    *
>>>
>>>
>>> E tenho a regra no firewall em OpenVPN permitindo tudo.
>>>
>>>
>>> Obrigado a todos e aguardo anciosamente,
>>>
>>> Fábio S. Nucci
>>>
>>>
>>>
>>> -------- Mensagem encaminhada --------
>>> Assunto:        Re: [Pfsense-pt] VPN para acessar pasta em servidor
>>> Windows com AD
>>> Data:   Tue, 9 May 2017 17:34:31 -0300
>>> De:     Fábio Sallasar Nucci <[email protected]>
>>> Para:   Lista em Português sobre pfSense <[email protected]>
>>>
>>>
>>>
>>>
>>> Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue novamente
>>> corrigido.
>>>
>>> Boa tarde Pessoal,
>>>
>>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas
>>> com IPsec não foi nem a pau.
>>>
>>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
>>> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o
>>> host do computador no alias lanliberados.
>>>
>>> Para explicar o que é o lanliberados :
>>>
>>> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
>>> chamado lanliberados, que permite acesso a tudo e também em bypass no
>>> squid
>>> nas opções abaixo:
>>>
>>> Regra do firewall:
>>>
>>>
>>>
>>>
>>>          Protocol
>>>              Source
>>>          Port    Destination
>>>          Port
>>>          Gateway
>>>
>>>
>>>          <http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&id=11>
>>>
>>>          IPv4+6 TCP/UDP  lanliberados       *              *
>>>             *           *
>>>
>>> Configurações no SQUID:
>>>
>>> Bypass Proxy for These Source IPs
>>> Bypass Proxy for These Destination IPs
>>>
>>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
>>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
>>> utilizo proxy?
>>>
>>> Só para constar eu tenho a regra no firewall WAN:
>>>
>>>
>>>
>>>
>>>          Protocol             Source
>>>          Port    Destination
>>>          Port
>>>          Gateway
>>>
>>>
>>>
>>>
>>>
>>>          <http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3>
>>>
>>>          IPv4 UDP          IP da Filial
>>>             *    WAN address     1195          *
>>>
>>>
>>>
>>>
>>> E tenho a regra no firewall em OpenVPN permitindo tudo.
>>>
>>>
>>> Obrigado a todos e aguardo anciosamente,
>>>
>>> Fábio S. Nucci
>>>
>>> Em 03/05/2017 23:31, Eduardo Rigler escreveu:
>>>
>>> Prezado Fábio,
>>>>
>>>> Talvez o problema na autenticação seja apenas em virtude das redes
>>>> estarem
>>>> nas "mesmas redes", imagino que a maquina que está tentando acessar
>>>> esteja
>>>> se perdendo na identificação do controlador de dominio dele, mas é
>>>> apenas
>>>> um palpite, precisaria testar e entender o cenário mais à fundo.
>>>>
>>>> Sobre seus questionamentos:
>>>>
>>>> - Ranges diferentes sempre;
>>>> - Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes
>>>> corporativas),
>>>> deixando o OpenVPN apenas para os clientes, mas vai do gosto do fregues;
>>>> - Ao invés de dois ADs separados talvez seja hora de pensar na
>>>> consolidação
>>>> deles pois as redes estarão "juntas", fazendo só a replicação
>>>> remotamente,
>>>> mas estou bem enferrujado nas features mais avançadas do Active
>>>> Directory
>>>> então prefiro não palpitar muito além disso... rs;
>>>> - Eu particularmente prefiro usar o servidor DNS recursivo do pfsense
>>>> (Unbound). No autoritativo eu uso Bind em servidores separados visando
>>>> maior disponibilidade, mas também vai ao gosto do freguês;
>>>>
>>>> Acho que é isso :-)
>>>>
>>>> []'s
>>>> Eduardo.
>>>>
>>>>
>>>>
>>>> Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci<
>>>> [email protected]>
>>>> escreveu:
>>>>
>>>> Bom tarde pessoal.
>>>>
>>>>> Por favor, se alguém puder dar umas dicas ou indicar o caminho ficarei
>>>>> muito grato.
>>>>>
>>>>> Para entenderem, meu cenário é:
>>>>>
>>>>> Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e
>>>>> DHCP
>>>>> e  servidor Windows server 2012R2 com Active Directory e DNS;
>>>>>
>>>>> Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor
>>>>> Windows
>>>>> Server 2008R2 com Active Directory, DHCP e DNS.
>>>>>
>>>>>
>>>>> Realizei uma conexão openVPN Client to Site de um computador de dentro
>>>>> da
>>>>> rede da filial para a Matriz e ocorreu tudo certo, conexão foi
>>>>> perfeita,
>>>>> até consigo pingar o IP do AD na Matriz.
>>>>>
>>>>> As redes internas da Matriz e da Filial tem mesmo range:
>>>>> 192.168.0.0/24
>>>>>
>>>>> Porém, não consigo acessar a pasta no servidor matriz pois da erro de
>>>>> autenticação de logon, por serem domínios diferentes.
>>>>>
>>>>> A duvida é a seguinte.
>>>>>
>>>>> O range das redes tem que ser diferentes?
>>>>>
>>>>> Tenho que realizar uma conexão VPN Site to Site e replicar meus Active
>>>>> Directorys?
>>>>>
>>>>> Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o
>>>>> usuario
>>>>> VPN pelo AD?
>>>>>
>>>>> Na opinião de vocês, qual seria o mais fácil ou se existe alguma outra
>>>>> forma.
>>>>>
>>>>>
>>>>> Obrigado desde já,
>>>>>
>>>>> Fábio Sallasar Nucci
>>>>> _______________________________________________
>>>>> Pfsense-pt mailing list
>>>>> [email protected]
>>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>>>>
>>>>> _______________________________________________
>>>>>
>>>> Pfsense-pt mailing list
>>>> [email protected]
>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>>>
>>>> _______________________________________________
>>> Pfsense-pt mailing list
>>> [email protected]
>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>>>
>>>
>>
>>
> _______________________________________________
> Pfsense-pt mailing list
> [email protected]
> http://lists.pfsense.org/mailman/listinfo/pfsense-pt
>
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

Responder a