Re: [Pfsense-pt] Fwd: Re: VPN para acessar pasta em servidor Windows com AD

[Fábio Sallasar Nucci]

Pode deixar, vou me aperfeiçoando aqui com o tempo, é que no momento 
precisava fazer funcionar.

Agora é melhorar continuamente.
Att,

Fábio S. Nucci

Em 10/05/2017 13:01, Paulo Henrique escreveu:
Que bom que ajudou,

Fica a dica agora, proximo passo, IPSec, diminui muito o custo de
processamento.
Posteriormente, a configuração de VPN site-to-site em modo brigde.
E ajusta mais o firewall entre as duas redes para limitar o acesso,
raramente uma estação precisa acessar estações na outra ponta.

Att.

Em 10 de maio de 2017 12:54, Alessandro Mata <alessandro.m...@gmail.com>
escreveu:

https://www.google.com.br/search?q=manucal+pfsense+vpn&;
oq=manucal+pfsense+vpn&aqs=chrome..69i57.5311j0j7&
sourceid=chrome&ie=UTF-8#q=manual+pfsense+vpn

Em 10 de maio de 2017 10:04, Fábio Sallasar Nucci <fabiosalla...@gmail.com
escreveu:

Bom dia a todos,

Muito obrigado Paulo, você me esclareceu muito com essa explicação, foi
uma luz no fim do tunel!!

Criei a regra na LAN Matriz liberando a LAN net para um Alias com o IP da
Filial e da rede VPN e coloquei o Alias no bypass do Squid. E na Filial a
mesma coisa.

Agora consigo acessar de todos os computadores na rede.

Muito obrigado a todos pela colaboração.

Aprendi muito nesta empreitada, foi minha primeira VPN e com a ajuda da
comunidade pfSense fica muito mais facil.


Até a próxima,

Fábio S. Nucci




Em 09/05/2017 17:56, Paulo Henrique escreveu:

Saudações Mestre,

Então, o que você tem que compreender é como o firewall e o squid
trabalha
e onde eles interferem.
A interface a ser utilizada não é a WAN nem a LAN, mas sim a interface
"tun" que o OpenVPN cria ao se configurar uma VPN site-to-site ou
client-to-site.
E na interface LAN de cada lado tem que ter uma regra permitindo o
trafego
com destino a rede remota e a rede da VPN que possivelmente será outro
range.
Para o exemplo abaixo utilizei as seguintes referencias.

MATRIZ = Rede 192.168.0.0/24
FILIAL = Rede 192.168.10.0/24
REDE_OVPN = 10.0.0.0/24

No caso do seu ambiente, temos que proceder da seguinte forma:

Para que a comunicação entre a matrix e filial flua sem qualquer
restrição.
Action      Protocol                       Source            Port
Destination         Port   Gateway
allow      IPv4+6 TCP/UDP         MATRIZ                 *
FILIAL
                *           *
allow      IPv4+6 TCP/UDP         MATRIZ                 *
   REDE_OVPN     *           *

Porem se utilizar proxy transparent todas as conexão com destino a
Filial
com origem na Matriz será interceptada no Squid/Squidguard, para
resolver
isso basta que na configuração do squid preencha a rede da matriz como
uma
das redes com permissão de bipass do proxy.

Realize a mesma configuração do lado da filial e a liberação para
comunicaçaõ inrrestrita entre ambas deverá estar funcionando.
Lembre que no PFSense a ordem de liberação é da primeira regra para a
ultima, no caso para não ter outras regras atrapalhando recomendo
colocar
a
regra no inicio da listagem.


Att.

Em 9 de maio de 2017 17:40, Fábio Sallasar Nucci <
fabiosalla...@gmail.com
escreveu:

Agora acho que vai, ta dificil!!

Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque,
mas
com IPsec não foi nem a pau.

Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando
adiciono o
host do computador no alias lanliberados.

Para explicar o que é o lanliberados :

Tenho uma regra no firewall em LAN, que permite certos hosts em um
alias
chamado lanliberados, que permite acesso a tudo e também em bypass no
squid
nas opções abaixo:

Regra do firewall:


      Protocol                       Source            Port Destination
     Port   Gateway
      IPv4+6 TCP/UDP     lanliberados         * *                     *
       *

Configurações no SQUID:

Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs

A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?

Só para constar eu tenho a regra no firewall WAN:



      Protocol          Source     Port     Destination Port
  Gateway
      IPv4 UDP       IP da Filial   *        WAN address     1195
    *


E tenho a regra no firewall em OpenVPN permitindo tudo.


Obrigado a todos e aguardo anciosamente,

Fábio S. Nucci



-------- Mensagem encaminhada --------
Assunto:        Re: [Pfsense-pt] VPN para acessar pasta em servidor
Windows com AD
Data:   Tue, 9 May 2017 17:34:31 -0300
De:     Fábio Sallasar Nucci <fabiosalla...@gmail.com>
Para:   Lista em Português sobre pfSense <pfsense-pt@lists.pfsense.org



Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue
novamente
corrigido.

Boa tarde Pessoal,

Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque,
mas
com IPsec não foi nem a pau.

Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando
adiciono o
host do computador no alias lanliberados.

Para explicar o que é o lanliberados :

Tenho uma regra no firewall em LAN, que permite certos hosts em um
alias
chamado lanliberados, que permite acesso a tudo e também em bypass no
squid
nas opções abaixo:

Regra do firewall:




          Protocol
              Source
          Port    Destination
          Port
          Gateway


          <http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&;
id=11>
          IPv4+6 TCP/UDP  lanliberados       *              *
             *           *

Configurações no SQUID:

Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs

A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?

Só para constar eu tenho a regra no firewall WAN:




          Protocol             Source
          Port    Destination
          Port
          Gateway





          <http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3
          IPv4 UDP          IP da Filial
             *    WAN address     1195          *




E tenho a regra no firewall em OpenVPN permitindo tudo.


Obrigado a todos e aguardo anciosamente,

Fábio S. Nucci

Em 03/05/2017 23:31, Eduardo Rigler escreveu:

Prezado Fábio,
Talvez o problema na autenticação seja apenas em virtude das redes
estarem
nas "mesmas redes", imagino que a maquina que está tentando acessar
esteja
se perdendo na identificação do controlador de dominio dele, mas é
apenas
um palpite, precisaria testar e entender o cenário mais à fundo.

Sobre seus questionamentos:

- Ranges diferentes sempre;
- Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes
corporativas),
deixando o OpenVPN apenas para os clientes, mas vai do gosto do
fregues;
- Ao invés de dois ADs separados talvez seja hora de pensar na
consolidação
deles pois as redes estarão "juntas", fazendo só a replicação
remotamente,
mas estou bem enferrujado nas features mais avançadas do Active
Directory
então prefiro não palpitar muito além disso... rs;
- Eu particularmente prefiro usar o servidor DNS recursivo do pfsense
(Unbound). No autoritativo eu uso Bind em servidores separados visando
maior disponibilidade, mas também vai ao gosto do freguês;

Acho que é isso :-)

[]'s
Eduardo.



Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci<
fabiosalla...@gmail.com>
escreveu:

Bom tarde pessoal.

Por favor, se alguém puder dar umas dicas ou indicar o caminho
ficarei
muito grato.

Para entenderem, meu cenário é:

Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e
DHCP
e  servidor Windows server 2012R2 com Active Directory e DNS;

Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor
Windows
Server 2008R2 com Active Directory, DHCP e DNS.


Realizei uma conexão openVPN Client to Site de um computador de
dentro
da
rede da filial para a Matriz e ocorreu tudo certo, conexão foi
perfeita,
até consigo pingar o IP do AD na Matriz.

As redes internas da Matriz e da Filial tem mesmo range:
192.168.0.0/24

Porém, não consigo acessar a pasta no servidor matriz pois da erro de
autenticação de logon, por serem domínios diferentes.

A duvida é a seguinte.

O range das redes tem que ser diferentes?

Tenho que realizar uma conexão VPN Site to Site e replicar meus
Active
Directorys?

Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o
usuario
VPN pelo AD?

Na opinião de vocês, qual seria o mais fácil ou se existe alguma
outra
forma.


Obrigado desde já,

Fábio Sallasar Nucci
_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

_______________________________________________

Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt



_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt




_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt