Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Utilizando OpenVPN em IPV6 para operadoras que usam CGNat

    Scheduled Pinned Locked Moved Portuguese
    3 Posts 2 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      eduardocerqueirasilva
      last edited by

      Criei esse tópico para debatermos o uso do openvpn em ipv6, no meu caso utilizo a operadora copel Telecom que faz CGNat no ipv4 impossibilitando as conexões entrantes por ipv4, gostaria que o senhores compartilhassem suas experiencias sobre qual ddns estão utilizando, se usa o ddns integrado ao pfSense, se foi necessário a configuração do modem em modo Bridge e o mais importante que é o uso do mesmo em ambiente de produção.

      1 Reply Last reply Reply Quote 0
      • F
        fischerti
        last edited by

        Bom dia Eduardo.

        Minha experiência é a seguinte:
        Você pode utilizar o IPv6 da Copel Telecom para criar redes VPN tranquilamente.
        Algumas dicas são bem valiosas para que isto ocorra com maior facilidade.

        1. Tenha um domínio .com.br ou .com que esteja apontado para os servidores NS da HE.NET.
        2. Com sua conta no dns.he.net gerencie o DNS deste domínio, atentando para criar todos os registros necessários (MX,A,AAAA,CNAME), caso o servidor que hospeda páginas e e-mails esteja ativo.
        3. Criei um registro AAAA no dns.he.net e marque a opção: Enable entry for dynamic dns;
        4. Salve esta opção, e encontre a coluna DDNS do seu registro. Haverá duas flechas concêntricas. Crie uma senha para este registro de dns e salve ela em segurança.
        5. No PF > Serviços > Dynamic DNS. Crie um novo atualizador e utilize: HE.net (v6) > Host name é o seu registro no DNS > MX em branco > Username é novamente o mesmo hostname criado no servidor de dns he.net > Senha: aquela salva em segurança > Descrição que lhe ajude ;)
        6. Pronto o nome deve começar a ser atualizado, e se tudo estiver ajustado, você poderá encontrar o nome na web. Execute um ping de um ipv6 remoto depois de 5 min. Normalmente o TTL é 5 min da he.net
        7. Crie seu OpenVPN Server, conforme outros posts a respeito, levando em consideração algumas coisas:
        7.1. Crie como UPD6, temos que utilizar o protocolo UDP para VPN (veja a documentação do OpenVPN) na versão do IP 6.
        7.2. O server mode vai depender da sua aplicação:
        7.2.1. Server to Server
        7.2.2. Remote Access
        7.2.3. etc.
        7.3. Eu utilizo 3 servidores em um mesmo pfsense, e criei conexões peer to peer, onde o cliente utiliza o registro de dns do servidor principal, e eles roteiam as redes automaticamente. Criei também um Remote Access (SSL/TLS + User Auth) para que usuários windows possam utilizar o aplicativo OpenVPN para se conectarem automaticamente ou por demanda com certificado digital do CAs criado no pfsense, utilizando usuários do PFSense. (não conectei com windows server para gestão de usuários). Estas informações vocês pode encontrar em qualquer tutorial de OpenVPN.

        Espero ter colaborado contigo.

        Atenção:
        1.O ipv6 da Copel é alterado com uma frequência, e o firewall pfsense não reconhece o novo ipv6 automaticamente. Eu tive alguns problemas com isto (utilizo o PF em Hyper-V), e como cansei de tentar resolver este problema, optei por criar alguns comandos no cron, que fazem um reboot da máquina. Ao reiniciar em 1,5 min, a máquina já tem o novo ipv6. Acho essa opção a menos viável, se alguém tiver outra forma de realizar o trabalho, me ajuda aí também :)
        2. Computadores Windows 7,10, etc. devem ter regras no firewall avançado que bloqueiem recebimento de pacotes de redes que não sejam a local na qual se encontram. Você precisa alterar isto.
        3. Cuidado com a rede que você roteia dentro de cada serviço OpenVPN, e crie regras no firewall para pf para que a OpenVPN funcione! Inicialmente habilite todo o tráfego para testar, mas depois restrinja de acordo com sua necessidade!

        Se alguém precisar de uma consultoria comercial nestes sentido, pode me procurar em www.fischer-ti.com.br
        No mais, vamos trocando figurinhas aqui!

        1 Reply Last reply Reply Quote 0
        • E
          eduardocerqueirasilva
          last edited by

          @fischerti:

          Bom dia Eduardo.

          Minha experiência é a seguinte:
          Você pode utilizar o IPv6 da Copel Telecom para criar redes VPN tranquilamente.
          Algumas dicas são bem valiosas para que isto ocorra com maior facilidade.

          1. Tenha um domínio .com.br ou .com que esteja apontado para os servidores NS da HE.NET.
          2. Com sua conta no dns.he.net gerencie o DNS deste domínio, atentando para criar todos os registros necessários (MX,A,AAAA,CNAME), caso o servidor que hospeda páginas e e-mails esteja ativo.
          3. Criei um registro AAAA no dns.he.net e marque a opção: Enable entry for dynamic dns;
          4. Salve esta opção, e encontre a coluna DDNS do seu registro. Haverá duas flechas concêntricas. Crie uma senha para este registro de dns e salve ela em segurança.
          5. No PF > Serviços > Dynamic DNS. Crie um novo atualizador e utilize: HE.net (v6) > Host name é o seu registro no DNS > MX em branco > Username é novamente o mesmo hostname criado no servidor de dns he.net > Senha: aquela salva em segurança > Descrição que lhe ajude ;)
          6. Pronto o nome deve começar a ser atualizado, e se tudo estiver ajustado, você poderá encontrar o nome na web. Execute um ping de um ipv6 remoto depois de 5 min. Normalmente o TTL é 5 min da he.net
          7. Crie seu OpenVPN Server, conforme outros posts a respeito, levando em consideração algumas coisas:
          7.1. Crie como UPD6, temos que utilizar o protocolo UDP para VPN (veja a documentação do OpenVPN) na versão do IP 6.
          7.2. O server mode vai depender da sua aplicação:
          7.2.1. Server to Server
          7.2.2. Remote Access
          7.2.3. etc.
          7.3. Eu utilizo 3 servidores em um mesmo pfsense, e criei conexões peer to peer, onde o cliente utiliza o registro de dns do servidor principal, e eles roteiam as redes automaticamente. Criei também um Remote Access (SSL/TLS + User Auth) para que usuários windows possam utilizar o aplicativo OpenVPN para se conectarem automaticamente ou por demanda com certificado digital do CAs criado no pfsense, utilizando usuários do PFSense. (não conectei com windows server para gestão de usuários). Estas informações vocês pode encontrar em qualquer tutorial de OpenVPN.

          Espero ter colaborado contigo.

          Atenção:
          1.O ipv6 da Copel é alterado com uma frequência, e o firewall pfsense não reconhece o novo ipv6 automaticamente. Eu tive alguns problemas com isto (utilizo o PF em Hyper-V), e como cansei de tentar resolver este problema, optei por criar alguns comandos no cron, que fazem um reboot da máquina. Ao reiniciar em 1,5 min, a máquina já tem o novo ipv6. Acho essa opção a menos viável, se alguém tiver outra forma de realizar o trabalho, me ajuda aí também :)
          2. Computadores Windows 7,10, etc. devem ter regras no firewall avançado que bloqueiem recebimento de pacotes de redes que não sejam a local na qual se encontram. Você precisa alterar isto.
          3. Cuidado com a rede que você roteia dentro de cada serviço OpenVPN, e crie regras no firewall para pf para que a OpenVPN funcione! Inicialmente habilite todo o tráfego para testar, mas depois restrinja de acordo com sua necessidade!

          Se alguém precisar de uma consultoria comercial nestes sentido, pode me procurar em www.fischer-ti.com.br
          No mais, vamos trocando figurinhas aqui!

          Muito Obrigado Fischerti, sua contribuição será muito valida para mim e muitos outros usuários Vlw :D

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.