https://www.google.com.br/search?q=manucal+pfsense+vpn&oq=manucal+pfsense+vpn&aqs=chrome..69i57.5311j0j7&sourceid=chrome&ie=UTF-8#q=manual+pfsense+vpn
Em 10 de maio de 2017 10:04, Fábio Sallasar Nucci <[email protected]> escreveu: > Bom dia a todos, > > Muito obrigado Paulo, você me esclareceu muito com essa explicação, foi > uma luz no fim do tunel!! > > Criei a regra na LAN Matriz liberando a LAN net para um Alias com o IP da > Filial e da rede VPN e coloquei o Alias no bypass do Squid. E na Filial a > mesma coisa. > > Agora consigo acessar de todos os computadores na rede. > > Muito obrigado a todos pela colaboração. > > Aprendi muito nesta empreitada, foi minha primeira VPN e com a ajuda da > comunidade pfSense fica muito mais facil. > > > Até a próxima, > > Fábio S. Nucci > > > > > Em 09/05/2017 17:56, Paulo Henrique escreveu: > >> Saudações Mestre, >> >> Então, o que você tem que compreender é como o firewall e o squid trabalha >> e onde eles interferem. >> A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface >> "tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou >> client-to-site. >> E na interface LAN de cada lado tem que ter uma regra permitindo o trafego >> com destino a rede remota e a rede da VPN que possivelmente será outro >> range. >> Para o exemplo abaixo utilizei as seguintes referencias. >> >> MATRIZ = Rede 192.168.0.0/24 >> FILIAL = Rede 192.168.10.0/24 >> REDE_OVPN = 10.0.0.0/24 >> >> No caso do seu ambiente, temos que proceder da seguinte forma: >> >> Para que a comunicação entre a matrix e filial flua sem qualquer >> restrição. >> Action Protocol Source Port >> Destination Port Gateway >> allow IPv4+6 TCP/UDP MATRIZ * FILIAL >> * * >> allow IPv4+6 TCP/UDP MATRIZ * >> REDE_OVPN * * >> >> Porem se utilizar proxy transparent todas as conexão com destino a Filial >> com origem na Matriz será interceptada no Squid/Squidguard, para resolver >> isso basta que na configuração do squid preencha a rede da matriz como uma >> das redes com permissão de bipass do proxy. >> >> Realize a mesma configuração do lado da filial e a liberação para >> comunicaçaõ inrrestrita entre ambas deverá estar funcionando. >> Lembre que no PFSense a ordem de liberação é da primeira regra para a >> ultima, no caso para não ter outras regras atrapalhando recomendo colocar >> a >> regra no inicio da listagem. >> >> >> Att. >> >> Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci <[email protected] >> > >> escreveu: >> >> Agora acho que vai, ta dificil!! >>> >>> >>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas >>> com IPsec não foi nem a pau. >>> >>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo >>> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o >>> host do computador no alias lanliberados. >>> >>> Para explicar o que é o lanliberados : >>> >>> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias >>> chamado lanliberados, que permite acesso a tudo e também em bypass no >>> squid >>> nas opções abaixo: >>> >>> Regra do firewall: >>> >>> >>> Protocol Source Port Destination >>> Port Gateway >>> IPv4+6 TCP/UDP lanliberados * * * >>> * >>> >>> Configurações no SQUID: >>> >>> Bypass Proxy for These Source IPs >>> Bypass Proxy for These Destination IPs >>> >>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe >>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando >>> utilizo proxy? >>> >>> Só para constar eu tenho a regra no firewall WAN: >>> >>> >>> >>> Protocol Source Port Destination Port Gateway >>> IPv4 UDP IP da Filial * WAN address 1195 >>> * >>> >>> >>> E tenho a regra no firewall em OpenVPN permitindo tudo. >>> >>> >>> Obrigado a todos e aguardo anciosamente, >>> >>> Fábio S. Nucci >>> >>> >>> >>> -------- Mensagem encaminhada -------- >>> Assunto: Re: [Pfsense-pt] VPN para acessar pasta em servidor >>> Windows com AD >>> Data: Tue, 9 May 2017 17:34:31 -0300 >>> De: Fábio Sallasar Nucci <[email protected]> >>> Para: Lista em Português sobre pfSense <[email protected]> >>> >>> >>> >>> >>> Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue novamente >>> corrigido. >>> >>> Boa tarde Pessoal, >>> >>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, mas >>> com IPsec não foi nem a pau. >>> >>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo >>> acessar as pastas na rede da Filial pela Matriz somente quando adiciono o >>> host do computador no alias lanliberados. >>> >>> Para explicar o que é o lanliberados : >>> >>> Tenho uma regra no firewall em LAN, que permite certos hosts em um alias >>> chamado lanliberados, que permite acesso a tudo e também em bypass no >>> squid >>> nas opções abaixo: >>> >>> Regra do firewall: >>> >>> >>> >>> >>> Protocol >>> Source >>> Port Destination >>> Port >>> Gateway >>> >>> >>> <http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&id=11> >>> >>> IPv4+6 TCP/UDP lanliberados * * >>> * * >>> >>> Configurações no SQUID: >>> >>> Bypass Proxy for These Source IPs >>> Bypass Proxy for These Destination IPs >>> >>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe >>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando >>> utilizo proxy? >>> >>> Só para constar eu tenho a regra no firewall WAN: >>> >>> >>> >>> >>> Protocol Source >>> Port Destination >>> Port >>> Gateway >>> >>> >>> >>> >>> >>> <http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3> >>> >>> IPv4 UDP IP da Filial >>> * WAN address 1195 * >>> >>> >>> >>> >>> E tenho a regra no firewall em OpenVPN permitindo tudo. >>> >>> >>> Obrigado a todos e aguardo anciosamente, >>> >>> Fábio S. Nucci >>> >>> Em 03/05/2017 23:31, Eduardo Rigler escreveu: >>> >>> Prezado Fábio, >>>> >>>> Talvez o problema na autenticação seja apenas em virtude das redes >>>> estarem >>>> nas "mesmas redes", imagino que a maquina que está tentando acessar >>>> esteja >>>> se perdendo na identificação do controlador de dominio dele, mas é >>>> apenas >>>> um palpite, precisaria testar e entender o cenário mais à fundo. >>>> >>>> Sobre seus questionamentos: >>>> >>>> - Ranges diferentes sempre; >>>> - Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes >>>> corporativas), >>>> deixando o OpenVPN apenas para os clientes, mas vai do gosto do fregues; >>>> - Ao invés de dois ADs separados talvez seja hora de pensar na >>>> consolidação >>>> deles pois as redes estarão "juntas", fazendo só a replicação >>>> remotamente, >>>> mas estou bem enferrujado nas features mais avançadas do Active >>>> Directory >>>> então prefiro não palpitar muito além disso... rs; >>>> - Eu particularmente prefiro usar o servidor DNS recursivo do pfsense >>>> (Unbound). No autoritativo eu uso Bind em servidores separados visando >>>> maior disponibilidade, mas também vai ao gosto do freguês; >>>> >>>> Acho que é isso :-) >>>> >>>> []'s >>>> Eduardo. >>>> >>>> >>>> >>>> Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci< >>>> [email protected]> >>>> escreveu: >>>> >>>> Bom tarde pessoal. >>>> >>>>> Por favor, se alguém puder dar umas dicas ou indicar o caminho ficarei >>>>> muito grato. >>>>> >>>>> Para entenderem, meu cenário é: >>>>> >>>>> Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e >>>>> DHCP >>>>> e servidor Windows server 2012R2 com Active Directory e DNS; >>>>> >>>>> Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor >>>>> Windows >>>>> Server 2008R2 com Active Directory, DHCP e DNS. >>>>> >>>>> >>>>> Realizei uma conexão openVPN Client to Site de um computador de dentro >>>>> da >>>>> rede da filial para a Matriz e ocorreu tudo certo, conexão foi >>>>> perfeita, >>>>> até consigo pingar o IP do AD na Matriz. >>>>> >>>>> As redes internas da Matriz e da Filial tem mesmo range: >>>>> 192.168.0.0/24 >>>>> >>>>> Porém, não consigo acessar a pasta no servidor matriz pois da erro de >>>>> autenticação de logon, por serem domínios diferentes. >>>>> >>>>> A duvida é a seguinte. >>>>> >>>>> O range das redes tem que ser diferentes? >>>>> >>>>> Tenho que realizar uma conexão VPN Site to Site e replicar meus Active >>>>> Directorys? >>>>> >>>>> Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o >>>>> usuario >>>>> VPN pelo AD? >>>>> >>>>> Na opinião de vocês, qual seria o mais fácil ou se existe alguma outra >>>>> forma. >>>>> >>>>> >>>>> Obrigado desde já, >>>>> >>>>> Fábio Sallasar Nucci >>>>> _______________________________________________ >>>>> Pfsense-pt mailing list >>>>> [email protected] >>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>>>> >>>>> _______________________________________________ >>>>> >>>> Pfsense-pt mailing list >>>> [email protected] >>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>>> >>>> _______________________________________________ >>> Pfsense-pt mailing list >>> [email protected] >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>> >>> >> >> > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
