Base de connaissances

Se você deseja configurar uma VPN em seu servidor Pfsense, siga este tutorial.

1. Logado em seu Pfsense, vá até "System" >>> "Cert Manager";




2. Aqui, na aba "CAs", vamos criar o certificado da Autoridade Certificadora para podermos fazer a emissão dos certificados. Após selecionar a opção "Add", preencha o campo de "Descriptive name" com um nome que faça menção à empresa que utilizará a VPN ou mesmo a sua finalidade.

No campo "Method", selecione a opção "Create an internal Certificate Authority";




3. Em seguida, preencha as informações de sua região, e-mail de contato e nome comum (internal-ca). As demais configurações, pode manter com o valor padrão. Clique me "Save";



4. O próximo passo é criar o certificado para o servidor. No mesmo local, selecione a aba "Certificates" e clique em "Add". Em "Method", selecione a opção "Create an internal Certificate", atribua um nome aleatório ao certificado.

Na seção de Internal Certificate, selecione o certificado criado na etapa anterior e ele preencherá automaticamente os campos da região. Aqui, utilizaremos o tipo de certificado "User Certificate". Clique em "Save";




5. Agora, é necessário criar um ou mais usuários que utilizarão a VPN. Vá até "System" >>> "User Manager" no menu superior;



6. Preencha o nome de usuário (será utilizado para o login), senha, confirmação de senha e o nome completo do usuário. É possível especificar o período de tempo pelo qual o usuário será válido em "Expiration date". Neste caso, não colocaremos o usuário em nenhum grupo específico, mas ainda é possível criar grupos e administrá-los pelo Pfsense;




7. Por fim, selecione a opção "Click to create a user certificate" em Certificate, para que seja criado um certificado a este usuário que está sendo gerado;





9. Em "Certificate authority", selecione o primeiro certificado criado (na etapa 2). No caso de uma VPN com IPsec, ainda existem as opções de adicionar uma chave pré-compartilhada. Neste exemplo, não faremos uso deste recurso. Clique em "Save";




10. A última etapa agora é o Wizard de criação da VPN. Vá em "VPN" >>> "OpenVPN" no menu superior;




11. Agora, selecione a aba "Wizard";




12. Em "Type of Server", mantenha a opção padrão de "Local User Access" e clique em "Next";




13. Na "Certificate Authority", vamos aplicar o certificado criado na primeira etapa do tutorial. Clique em "Next";




14. Aqui, selecione o segundo certificado que você criou ou algum outro que tenha em seu servidor. "Next";




15. Aplique as configurações padrão e adicione uma descrição a esta VPN.

Se desejar mudar a porta local padrão, é necessário analisar outros aspectos. O padrão é a porta 1194 e aqui manteremos a mesma assim.
Atenção: Ao criar mais de uma VPN por servidor, modifique esta porta para evitar conflitos;





16. Aqui, manteremos todas as configurações como padrão;




17. No Tunnel Network, configure a rede que contemplará o seu tunel de VPN. No nosso caso, utilizaremos 192.168.2.X, sendo destes endereços:

192.168.2.0: endereço da rede
192.168.2.1: endereço do pfSense
192.168.2.2: endereço atribuído ao primeiro cliente que se conectar à VPN
192.168.2.255: endereço de broadcast

Tunnel Network: 192.168.2.0/24 (endereço e máscara da rede virtual privada, no formato de CIDR)

Na Local Network, configure a rede interna que será acessada pela VPN. No nosso caso, utilizaremos 192.168.3.X.

Local Network: 192.168.3.0/24 (endereço e máscara da rede interna que o cliente conectado pela VPN poderá acessar, é possível especificar mais de uma rede separando as redes por vírgula e até mesmo restringir o acesso a apenas um computador na rede interna)




18. Selecione a tecla Next ao final da tela;



19. Na penúltima tela do assistente, certifique-se de que as duas opções Firewall Rule e OpenVPN rule estejam habilitadas. Essas opções permitem que o PFSense crie de forma automática as regras de firewall necessárias para que a VPN funcione. Clique em Next novamente;
 
20. Lembre-se de instalar o pacote "openvpn-client-export" em System >>> Package Manager para poder exportar os clientes de VPN do servidor;

     


21. Pronto. Agora basta testar os acessos e a comunicação de sua rede de VPN!