База знаний
Como criar VPN no pfSense Распечатать статью
Se você deseja configurar uma VPN em seu servidor Pfsense, siga este tutorial.
1. Logado em seu Pfsense, vá até "System" >>> "Cert Manager";
2. Aqui, na aba "CAs", vamos criar o certificado da Autoridade Certificadora para podermos fazer a emissão dos certificados. Após selecionar a opção "Add", preencha o campo de "Descriptive name" com um nome que faça menção à empresa que utilizará a VPN ou mesmo a sua finalidade.
No campo "Method", selecione a opção "Create an internal Certificate Authority";
3. Em seguida, preencha as informações de sua região, e-mail de contato e nome comum (internal-ca). As demais configurações, pode manter com o valor padrão. Clique me "Save";
4. O próximo passo é criar o certificado para o servidor. No mesmo local, selecione a aba "Certificates" e clique em "Add". Em "Method", selecione a opção "Create an internal Certificate", atribua um nome aleatório ao certificado.
Na seção de Internal Certificate, selecione o certificado criado na etapa anterior e ele preencherá automaticamente os campos da região. Aqui, utilizaremos o tipo de certificado "User Certificate". Clique em "Save";
5. Agora, é necessário criar um ou mais usuários que utilizarão a VPN. Vá até "System" >>> "User Manager" no menu superior;
6. Preencha o nome de usuário (será utilizado para o login), senha, confirmação de senha e o nome completo do usuário. É possível especificar o período de tempo pelo qual o usuário será válido em "Expiration date". Neste caso, não colocaremos o usuário em nenhum grupo específico, mas ainda é possível criar grupos e administrá-los pelo Pfsense;
7. Por fim, selecione a opção "Click to create a user certificate" em Certificate, para que seja criado um certificado a este usuário que está sendo gerado;
9. Em "Certificate authority", selecione o primeiro certificado criado (na etapa 2). No caso de uma VPN com IPsec, ainda existem as opções de adicionar uma chave pré-compartilhada. Neste exemplo, não faremos uso deste recurso. Clique em "Save";
10. A última etapa agora é o Wizard de criação da VPN. Vá em "VPN" >>> "OpenVPN" no menu superior;
11. Agora, selecione a aba "Wizard";
12. Em "Type of Server", mantenha a opção padrão de "Local User Access" e clique em "Next";
13. Na "Certificate Authority", vamos aplicar o certificado criado na primeira etapa do tutorial. Clique em "Next";
14. Aqui, selecione o segundo certificado que você criou ou algum outro que tenha em seu servidor. "Next";
15. Aplique as configurações padrão e adicione uma descrição a esta VPN.
Se desejar mudar a porta local padrão, é necessário analisar outros aspectos. O padrão é a porta 1194 e aqui manteremos a mesma assim.
Atenção: Ao criar mais de uma VPN por servidor, modifique esta porta para evitar conflitos;
16. Aqui, manteremos todas as configurações como padrão;
17. No Tunnel Network, configure a rede que contemplará o seu tunel de VPN. No nosso caso, utilizaremos 192.168.2.X, sendo destes endereços:
192.168.2.0: endereço da rede
192.168.2.1: endereço do pfSense
192.168.2.2: endereço atribuído ao primeiro cliente que se conectar à VPN
192.168.2.255: endereço de broadcast
Tunnel Network: 192.168.2.0/24 (endereço e máscara da rede virtual privada, no formato de CIDR)
Na Local Network, configure a rede interna que será acessada pela VPN. No nosso caso, utilizaremos 192.168.3.X.
Local Network: 192.168.3.0/24 (endereço e máscara da rede interna que o cliente conectado pela VPN poderá acessar, é possível especificar mais de uma rede separando as redes por vírgula e até mesmo restringir o acesso a apenas um computador na rede interna)
18. Selecione a tecla Next ao final da tela;
19. Na penúltima tela do assistente, certifique-se de que as duas opções Firewall Rule e OpenVPN rule estejam habilitadas. Essas opções permitem que o PFSense crie de forma automática as regras de firewall necessárias para que a VPN funcione. Clique em Next novamente;
20. Lembre-se de instalar o pacote "openvpn-client-export" em System >>> Package Manager para poder exportar os clientes de VPN do servidor;
21. Pronto. Agora basta testar os acessos e a comunicação de sua rede de VPN!