Que bom que ajudou, Fica a dica agora, proximo passo, IPSec, diminui muito o custo de processamento. Posteriormente, a configuração de VPN site-to-site em modo brigde. E ajusta mais o firewall entre as duas redes para limitar o acesso, raramente uma estação precisa acessar estações na outra ponta.
Att. Em 10 de maio de 2017 12:54, Alessandro Mata <[email protected]> escreveu: > https://www.google.com.br/search?q=manucal+pfsense+vpn&; > oq=manucal+pfsense+vpn&aqs=chrome..69i57.5311j0j7& > sourceid=chrome&ie=UTF-8#q=manual+pfsense+vpn > > Em 10 de maio de 2017 10:04, Fábio Sallasar Nucci <[email protected] > > > escreveu: > > > Bom dia a todos, > > > > Muito obrigado Paulo, você me esclareceu muito com essa explicação, foi > > uma luz no fim do tunel!! > > > > Criei a regra na LAN Matriz liberando a LAN net para um Alias com o IP da > > Filial e da rede VPN e coloquei o Alias no bypass do Squid. E na Filial a > > mesma coisa. > > > > Agora consigo acessar de todos os computadores na rede. > > > > Muito obrigado a todos pela colaboração. > > > > Aprendi muito nesta empreitada, foi minha primeira VPN e com a ajuda da > > comunidade pfSense fica muito mais facil. > > > > > > Até a próxima, > > > > Fábio S. Nucci > > > > > > > > > > Em 09/05/2017 17:56, Paulo Henrique escreveu: > > > >> Saudações Mestre, > >> > >> Então, o que você tem que compreender é como o firewall e o squid > trabalha > >> e onde eles interferem. > >> A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface > >> "tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou > >> client-to-site. > >> E na interface LAN de cada lado tem que ter uma regra permitindo o > trafego > >> com destino a rede remota e a rede da VPN que possivelmente será outro > >> range. > >> Para o exemplo abaixo utilizei as seguintes referencias. > >> > >> MATRIZ = Rede 192.168.0.0/24 > >> FILIAL = Rede 192.168.10.0/24 > >> REDE_OVPN = 10.0.0.0/24 > >> > >> No caso do seu ambiente, temos que proceder da seguinte forma: > >> > >> Para que a comunicação entre a matrix e filial flua sem qualquer > >> restrição. > >> Action Protocol Source Port > >> Destination Port Gateway > >> allow IPv4+6 TCP/UDP MATRIZ * > FILIAL > >> * * > >> allow IPv4+6 TCP/UDP MATRIZ * > >> REDE_OVPN * * > >> > >> Porem se utilizar proxy transparent todas as conexão com destino a > Filial > >> com origem na Matriz será interceptada no Squid/Squidguard, para > resolver > >> isso basta que na configuração do squid preencha a rede da matriz como > uma > >> das redes com permissão de bipass do proxy. > >> > >> Realize a mesma configuração do lado da filial e a liberação para > >> comunicaçaõ inrrestrita entre ambas deverá estar funcionando. > >> Lembre que no PFSense a ordem de liberação é da primeira regra para a > >> ultima, no caso para não ter outras regras atrapalhando recomendo > colocar > >> a > >> regra no inicio da listagem. > >> > >> > >> Att. > >> > >> Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci < > [email protected] > >> > > >> escreveu: > >> > >> Agora acho que vai, ta dificil!! > >>> > >>> > >>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, > mas > >>> com IPsec não foi nem a pau. > >>> > >>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo > >>> acessar as pastas na rede da Filial pela Matriz somente quando > adiciono o > >>> host do computador no alias lanliberados. > >>> > >>> Para explicar o que é o lanliberados : > >>> > >>> Tenho uma regra no firewall em LAN, que permite certos hosts em um > alias > >>> chamado lanliberados, que permite acesso a tudo e também em bypass no > >>> squid > >>> nas opções abaixo: > >>> > >>> Regra do firewall: > >>> > >>> > >>> Protocol Source Port Destination > >>> Port Gateway > >>> IPv4+6 TCP/UDP lanliberados * * * > >>> * > >>> > >>> Configurações no SQUID: > >>> > >>> Bypass Proxy for These Source IPs > >>> Bypass Proxy for These Destination IPs > >>> > >>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe > >>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando > >>> utilizo proxy? > >>> > >>> Só para constar eu tenho a regra no firewall WAN: > >>> > >>> > >>> > >>> Protocol Source Port Destination Port > Gateway > >>> IPv4 UDP IP da Filial * WAN address 1195 > >>> * > >>> > >>> > >>> E tenho a regra no firewall em OpenVPN permitindo tudo. > >>> > >>> > >>> Obrigado a todos e aguardo anciosamente, > >>> > >>> Fábio S. Nucci > >>> > >>> > >>> > >>> -------- Mensagem encaminhada -------- > >>> Assunto: Re: [Pfsense-pt] VPN para acessar pasta em servidor > >>> Windows com AD > >>> Data: Tue, 9 May 2017 17:34:31 -0300 > >>> De: Fábio Sallasar Nucci <[email protected]> > >>> Para: Lista em Português sobre pfSense <[email protected] > > > >>> > >>> > >>> > >>> > >>> Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue > novamente > >>> corrigido. > >>> > >>> Boa tarde Pessoal, > >>> > >>> Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque, > mas > >>> com IPsec não foi nem a pau. > >>> > >>> Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo > >>> acessar as pastas na rede da Filial pela Matriz somente quando > adiciono o > >>> host do computador no alias lanliberados. > >>> > >>> Para explicar o que é o lanliberados : > >>> > >>> Tenho uma regra no firewall em LAN, que permite certos hosts em um > alias > >>> chamado lanliberados, que permite acesso a tudo e também em bypass no > >>> squid > >>> nas opções abaixo: > >>> > >>> Regra do firewall: > >>> > >>> > >>> > >>> > >>> Protocol > >>> Source > >>> Port Destination > >>> Port > >>> Gateway > >>> > >>> > >>> <http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&; > id=11> > >>> > >>> IPv4+6 TCP/UDP lanliberados * * > >>> * * > >>> > >>> Configurações no SQUID: > >>> > >>> Bypass Proxy for These Source IPs > >>> Bypass Proxy for These Destination IPs > >>> > >>> A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe > >>> alguma configuração no Squid ou no OpenVPN que precisa ser feita quando > >>> utilizo proxy? > >>> > >>> Só para constar eu tenho a regra no firewall WAN: > >>> > >>> > >>> > >>> > >>> Protocol Source > >>> Port Destination > >>> Port > >>> Gateway > >>> > >>> > >>> > >>> > >>> > >>> <http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3 > > > >>> > >>> IPv4 UDP IP da Filial > >>> * WAN address 1195 * > >>> > >>> > >>> > >>> > >>> E tenho a regra no firewall em OpenVPN permitindo tudo. > >>> > >>> > >>> Obrigado a todos e aguardo anciosamente, > >>> > >>> Fábio S. Nucci > >>> > >>> Em 03/05/2017 23:31, Eduardo Rigler escreveu: > >>> > >>> Prezado Fábio, > >>>> > >>>> Talvez o problema na autenticação seja apenas em virtude das redes > >>>> estarem > >>>> nas "mesmas redes", imagino que a maquina que está tentando acessar > >>>> esteja > >>>> se perdendo na identificação do controlador de dominio dele, mas é > >>>> apenas > >>>> um palpite, precisaria testar e entender o cenário mais à fundo. > >>>> > >>>> Sobre seus questionamentos: > >>>> > >>>> - Ranges diferentes sempre; > >>>> - Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes > >>>> corporativas), > >>>> deixando o OpenVPN apenas para os clientes, mas vai do gosto do > fregues; > >>>> - Ao invés de dois ADs separados talvez seja hora de pensar na > >>>> consolidação > >>>> deles pois as redes estarão "juntas", fazendo só a replicação > >>>> remotamente, > >>>> mas estou bem enferrujado nas features mais avançadas do Active > >>>> Directory > >>>> então prefiro não palpitar muito além disso... rs; > >>>> - Eu particularmente prefiro usar o servidor DNS recursivo do pfsense > >>>> (Unbound). No autoritativo eu uso Bind em servidores separados visando > >>>> maior disponibilidade, mas também vai ao gosto do freguês; > >>>> > >>>> Acho que é isso :-) > >>>> > >>>> []'s > >>>> Eduardo. > >>>> > >>>> > >>>> > >>>> Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci< > >>>> [email protected]> > >>>> escreveu: > >>>> > >>>> Bom tarde pessoal. > >>>> > >>>>> Por favor, se alguém puder dar umas dicas ou indicar o caminho > ficarei > >>>>> muito grato. > >>>>> > >>>>> Para entenderem, meu cenário é: > >>>>> > >>>>> Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e > >>>>> DHCP > >>>>> e servidor Windows server 2012R2 com Active Directory e DNS; > >>>>> > >>>>> Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor > >>>>> Windows > >>>>> Server 2008R2 com Active Directory, DHCP e DNS. > >>>>> > >>>>> > >>>>> Realizei uma conexão openVPN Client to Site de um computador de > dentro > >>>>> da > >>>>> rede da filial para a Matriz e ocorreu tudo certo, conexão foi > >>>>> perfeita, > >>>>> até consigo pingar o IP do AD na Matriz. > >>>>> > >>>>> As redes internas da Matriz e da Filial tem mesmo range: > >>>>> 192.168.0.0/24 > >>>>> > >>>>> Porém, não consigo acessar a pasta no servidor matriz pois da erro de > >>>>> autenticação de logon, por serem domínios diferentes. > >>>>> > >>>>> A duvida é a seguinte. > >>>>> > >>>>> O range das redes tem que ser diferentes? > >>>>> > >>>>> Tenho que realizar uma conexão VPN Site to Site e replicar meus > Active > >>>>> Directorys? > >>>>> > >>>>> Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o > >>>>> usuario > >>>>> VPN pelo AD? > >>>>> > >>>>> Na opinião de vocês, qual seria o mais fácil ou se existe alguma > outra > >>>>> forma. > >>>>> > >>>>> > >>>>> Obrigado desde já, > >>>>> > >>>>> Fábio Sallasar Nucci > >>>>> _______________________________________________ > >>>>> Pfsense-pt mailing list > >>>>> [email protected] > >>>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt > >>>>> > >>>>> _______________________________________________ > >>>>> > >>>> Pfsense-pt mailing list > >>>> [email protected] > >>>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt > >>>> > >>>> _______________________________________________ > >>> Pfsense-pt mailing list > >>> [email protected] > >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt > >>> > >>> > >> > >> > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > -- :UNI><BSD: Paulo Henrique. Fone: (21) 37089388. _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
