Considere a possibilidade de configurar o pfSense. Primeiro, acho que vale a pena explicar o que são o pfSense e a VPN Site-to-Site e quais são as vantagens. Em seguida, passe para a implementação.
O pfSense é uma distribuição de firewall baseada no sistema operacional FreeBSD. A distribuição permite a implementação de mecanismos como NAT, CARP, VPN (incluindo PPTP, IPsec, OpenVPN) e Captive Portal. Além disso, ela executa a funcionalidade de um firewall clássico, DNS dinâmico, DHCP e servidor proxy. Fácil de implantar.
Por que Site-to-Site?
O Site-to-Site permite que você configure apenas gateways em sub-redes remotas e não precisa configurar os próprios nós da rede. Em termos simples, o método Site-to-Site conecta dois escritórios a uma única rede, e o método Point-to-Site conecta funcionários remotos ao escritório. Neste artigo, consideraremos um exemplo de conexão de duas redes existentes - física e virtual.
O processo de configuração é condicionalmente dividido em dois estágios:
- Configuração do pfSense e configuração de redes privadas; 2.
- Implementação site a site.
Vamos começar.
Primeiro, configure a LAN interna e a interface do gateway. Para fazer isso, no navegador, acesse o endereço IP do servidor ou o nome de domínio, se houver. Digite o nome de usuário e a senha e vá para a tela inicial (Dashboard). No menu do programa, vá para a seção de interfaces Interfaces -> Assignments. Em nosso exemplo, apenas duas interfaces já estão distribuídas - deixamos como está. Se você tiver várias interfaces, deverá selecionar a interface necessária pelo endereço MAC e clicar no botão Add.
Atribua um endereço IP à interface "looking" da rede local. No menu do programa, vá para a seção de interfaces-> LAN. Ao final da configuração, clique no botão Save (Salvar).
Para todos os servidores da rede local, como gateway padrão, defina o endereço IP especificado na LAN.
Importante! Se você usar serviços de nuvem, precisará unir os nós de rede no painel de administração do serviço de nuvem por meio de "Virtual Networks".
Configuração do firewall para conexões locais
No menu do programa, selecione Firewall -> Rules -> LAN. Clique no botão Add (Adicionar).
Na nova página, verificamos os parâmetros:
interface personalizável - LAN;
Protocolo - TCP, mas você também pode usar Qualquer;
Fonte - Qualquer;
Destino - Qualquer.
Salve as configurações clicando no botão Save (Salvar).
Deve-se observar que as mesmas configurações devem ser feitas em todos os servidores pfSense remotos conectados a uma única rede.
Inicie a configuração do túnel site a site
No início, vamos configurar o OpenVPN. No menu principal, selecione VPN -> OpenVPN e clique no botão Add (Adicionar).
Na nova página, selecione:
Server mode (Modo de servidor) - Peer to Peer (Chave compartilhada);
Protocolo - UDP somente em IPv4;
Modo de dispositivo - tun - Modo de túnel de camada 3;
Interface - WAN
Porta local - 1194;
Shared key (Chave compartilhada) - Marque a caixa de seleção ao lado de Automatically generate a shared key (Gerar automaticamente uma chave compartilhada);
Algoritmo de criptografia - deixe como padrão;
Criptografia de hardware - Sem aceleração de criptografia de hardware;
Rede de túnel IPv4: 10.0.10.0/24 - especifique os endereços usados no túnel;
Redes remotas IPv4: 10.0.1.0/24 - especifique o endereço de rede localizado atrás do gateway remoto do pfSense.
Salve as configurações e não se esqueça de clicar no botão verde Apply Changes (Aplicar alterações).
Configurar o firewall para a nova interface
No menu principal, selecione Firewall - > Rules. Selecione o item OpenVPN e clique no botão Add (Adicionar).
Na página atualizada, verifique os parâmetros:
Interface - OpenVPN;
O protocolo é TCP, mas qualquer um é melhor;
Origem e destino - Qualquer.
Quando terminar, clique no botão Save (Salvar). Não se esqueça de clicar no botão verde Apply changes (Aplicar alterações).
Configurar o firewall para a interface WAN
No menu principal, selecione Firewall - > Rules. Selecione o item OpenVPN e clique no botão Add (Adicionar).
Interface - WAN;
Protocolo - UDP;
Intervalo de portas de destino em ambas as listas suspensas (From e To), selecione OpenVPN (1194).
Salve as configurações. Não se esqueça de clicar no botão verde Apply changes (Aplicar alterações).
Agora, copie a chave gerada para transferi-la para o roteador remoto. No menu principal, selecione VPN -> OpenVPN. Clique no ícone "Pencil" (editar). Na página atualizada, no item Shared Key, copie todo o conteúdo do campo em um editor de texto, por exemplo, o Bloco de Notas.
Resta configurar o gateway remoto do pfSense como um cliente.
No menu principal, selecione VPN - > OpenVPN e clique no item Clients e, em seguida, no botão Add.
Na página que se abre, verifique os parâmetros:
Server mode (Modo de servidor) - Peer to Peer (Chave compartilhada);
Protocolo - UDP somente em IPv4;
Modo de dispositivo - tun - Modo de túnel de camada 3;
Interface - WAN;
Endereço do host do servidor - especifica a interface WAN do servidor que foi configurada anteriormente;
Porta local - 1194;
Chave compartilhada - Retire a marca de seleção na frente de Automatically generate a shared key (Gerar automaticamente uma chave compartilhada);
Algoritmo de criptografia - deixe como padrão;
Criptografia de hardware - Sem aceleração de criptografia de hardware;
Rede de túnel IPv4: 10.0.10.0/24 - especifique os endereços usados no túnel;
Redes remotas IPv4: especifique o endereço de rede localizado atrás do servidor de gateway pfSense remoto.
Clique em Save (Salvar). Em seguida, clique no botão verde para Aplicar alterações.
Isso conclui a configuração.