OpenVPN e IPsec



  • Pessoal bom dia, estou com uma dificuldadezinha, ta bom na verdade 2. É o seguinte preciso configurar o meu Pfsense para trabalhar com OpenVPN e também com o IPsec, da seguinte forma:

    OpenVPN configurado tudo certo e funcionando (essa parte já está OK), mais surgiu a necessidade de configurar com 2 formas, 1 com AD e a outra direto pelo Pfsense o seguinte:

    • No AD ter grupo de VPN e dentro todos usuários que podem ter acesso a VPN da empresa, porem não é para acessar somente 1 computador e sim acessar a Rede, e o mesmo ter acesso para escolher qual computador vai fazer WTS (claro com as devidas permissões) da empresa;
    • Diretamente no Pfsense ter grupo de VPN e dentro todos usuários que podem ter acesso a VPN da empresa, porem não é para acessar somente 1 computador e sim acessar a Rede, e o mesmo ter acesso para escolher qual computador vai fazer WTS (claro com as devidas permissões) da empresa;

    ISSO É POSSÍVEL???

    ==========================================================================================================================
    Agora o outro é configurar o IPsec para conectar 2 filiais, no caso tenho 2 pfsense e quero conectar as duas filiais mais não possuem AD;
    O outro  senário é configurar o IPsec para conectar 2 filiais, no caso tenho 2 pfsense e quero conectar as duas filiais sendo que a matriz possui AD;

    Estou usando atualmente Pfsense 2.3.1
    :'( :'( :'(Por gentileza sei que estou abusando da boa vontade, mais tem alguém que possa me prestar esse socorro e fazer esse favorzão? Pois tudo que encontro na rede é bem complicado ou bem desatualizado. :'( :'( :'(



  • @diegoportosuporte:

    Pessoal bom dia, estou com uma dificuldadezinha, ta bom na verdade 2. É o seguinte preciso configurar o meu Pfsense para trabalhar com OpenVPN e também com o IPsec, da seguinte forma:

    OpenVPN configurado tudo certo e funcionando (essa parte já está OK), mais surgiu a necessidade de configurar com 2 formas, 1 com AD e a outra direto pelo Pfsense o seguinte:

    • No AD ter grupo de VPN e dentro todos usuários que podem ter acesso a VPN da empresa, porem não é para acessar somente 1 computador e sim acessar a Rede, e o mesmo ter acesso para escolher qual computador vai fazer WTS (claro com as devidas permissões) da empresa;
    • Diretamente no Pfsense ter grupo de VPN e dentro todos usuários que podem ter acesso a VPN da empresa, porem não é para acessar somente 1 computador e sim acessar a Rede, e o mesmo ter acesso para escolher qual computador vai fazer WTS (claro com as devidas permissões) da empresa;

    ISSO É POSSÍVEL???

    ==========================================================================================================================
    Agora o outro é configurar o IPsec para conectar 2 filiais, no caso tenho 2 pfsense e quero conectar as duas filiais mais não possuem AD;
    O outro  senário é configurar o IPsec para conectar 2 filiais, no caso tenho 2 pfsense e quero conectar as duas filiais sendo que a matriz possui AD;

    Estou usando atualmente Pfsense 2.3.1
    :'( :'( :'(Por gentileza sei que estou abusando da boa vontade, mais tem alguém que possa me prestar esse socorro e fazer esse favorzão? Pois tudo que encontro na rede é bem complicado ou bem desatualizado. :'( :'( :'(

    Pro favor desculpe ser incisivo mais me Ajudem SOCORRO!!!



  • OpenVPN vc está usando client-to-server e IPSEC site-to-site. É isso?



  • Você precisa fazer VPN IPSEC site-to-site entre os 02 pfSense;

    Para os clientes, basta 1 OpenVPN Client-to-site apenas, com a integração no AD. Para que precisa outro com usuários locais?



  • @rlrobs:

    OpenVPN vc está usando client-to-server e IPSEC site-to-site. É isso?

    Basicamente, mais eu o que eu queria é o seguinte:

    OpenVPN que fosse possivel conectar vários através de um único grupo mais com vários usuários, e também de saber se tem como eu (do lado da rede do servidor) acessar remotamente o PC do cliente (com um usuário local ou do domínio do cliente) deu mais ou menos para entender? e o IPSEC é exatamente isso que você mencionou. Tem como dar uma força ai?



  • Pelo q entendi uso algo parecido com o que você quer. Basicamente você vai fazer oq o amigo brunok disse.

    • No openvpn você pode criar vários servers e cada server pode ser associado a um ou vários métodos de autenticação. Por questão de organização e aplicação de políticas no fw eu preifo criar dois servers: um para os usuários do AD e outro pra usuários locais.

    Veja na imagem abaixo que tenho duas conexoes com o AD: AD e Terceirizados e uma conexão local: local database. Nesse server 1198 ele ta autenticando apenas o grupo terceirizados.

    • Sobre o IPSEC nao entendi se vc quer que os usuários do openvpn (autenticado no AD e autenticado localmente) precisam alcançar as redes do ipsec. Se sim, é tranquilo também. Basta incluir as redes dos servers openvpn na fase 2 do ipsec.

    Espero ter ajudado.

    ![Server - 1198.PNG](/public/imported_attachments/1/Server - 1198.PNG)
    ![Server - 1198.PNG_thumb](/public/imported_attachments/1/Server - 1198.PNG_thumb)



  • @rlrobs:

    Pelo q entendi uso algo parecido com o que você quer. Basicamente você vai fazer oq o amigo brunok disse.

    • No openvpn você pode criar vários servers e cada server pode ser associado a um ou vários métodos de autenticação. Por questão de organização e aplicação de políticas no fw eu preifo criar dois servers: um para os usuários do AD e outro pra usuários locais.

    Veja na imagem abaixo que tenho duas conexoes com o AD: AD e Terceirizados e uma conexão local: local database. Nesse server 1198 ele ta autenticando apenas o grupo terceirizados.

    • Sobre o IPSEC nao entendi se vc quer que os usuários do openvpn (autenticado no AD e autenticado localmente) precisam alcançar as redes do ipsec. Se sim, é tranquilo também. Basta incluir as redes dos servers openvpn na fase 2 do ipsec.

    Espero ter ajudado.

    Então, o que eu preciso é o seguinte, tenho um desenho anexo, que explica um pouco melhor.
    O OpenVPN preciso para que seja possível conectar do usuário remoto (os da casa) na minha empresa e visse e versa, dois senários um a minha empresa com AD e outro fazendo tudo somente com o Pfsense;
    O IPSec somente para fazer a interconectividade entre filial e sede dois senários um a minha empresa com AD e outro fazendo tudo somente com o Pfsense entende.