VPN Site-to-Site pfSense x Azure (BGP 2 links)



  • Boa tarde,
    Procurei algo referente e não encontrei, resolvi abrir o tópico como dúvida e peço desculpas caso já exista algo relacionado.
    Cenário:
    Possuímos na empresa um firewall pfSense com 2 links primário(GrupoHost) e secundário(Vivo) ambos com IPs dedicados, configurei o failover e está funcional, atualmente temos uma conexão VPN com um server na Azure IKEv1 site-to-site, tudo funcional.
    Porém gostaríamos de implantar uma redundância utilizando os 2 links que temos na empresa, fui informado pelo pessoal do suporte da azure que para funcionar eu precisaria criar 2 redes na azure apontando a VPN para cada um dos IPs
    10.190.0.0/16 - IpVPN - GrupoHost (Temos um servidor nessa rede e conseguimos enxerga-lo)
    10.191.0.0/16 - IpVPN - Vivo
    Efetuei essa configuração e estou com as 2 conexões funcionando, porém sem comunicação entre as redes e assim sem enxergar o servidor da rede 1, segundo o suporte teremos que efetuar a comunicação dos gateways da vpn da azure via BGP.
    Minha dúvida é, se lá precisaremos configurar o BGP no pfSense será necessário configurar BGP também?

    Espero ter sido claro é que sou novo nessas configurações, desde já obrigado.



  • Tem alguma regra de firewall liberando o acesso entre as duas redes VPN?



  • Se for redundância o que quer, deixe uma vpn configurada e outra em standby para fazer o failover manual. Se quiser um fail over automático, sugiro um dos Scripts que desenvolvi na parte de tutoriais para vpn. Isso é claro se o failover de link já não for nativo do OpenVPN ou IPsec das versões mais atuais do pfSense (tem muito tempo que não preciso configurar isso)



  • @empbilly:

    Tem alguma regra de firewall liberando o acesso entre as duas redes VPN?

    Obrigado pelo retorno, desculpa mas não compreendi muito bem, qual regra eu precisaria?



  • @marcelloc:

    Se for redundância o que quer, deixe uma vpn configurada e outra em standby para fazer o failover manual. Se quiser um fail over automático, sugiro um dos Scripts que desenvolvi na parte de tutoriais para vpn. Isso é claro se o failover de link já não for nativo do OpenVPN ou IPsec das versões mais atuais do pfSense (tem muito tempo que não preciso configurar isso)

    Bom dia,
    Obrigado pelo retorno, poderia me passar o link do script para eu dar uma conferida, também não sei dizer se essa config é nativa, se for melhor ainda ^^



  • Os tutorias de vpn estão na parte de cima do fórum, nos tópicos fixos.

    https://forum.pfsense.org/index.php?topic=44270.msg229704#msg229704



  • @marcelloc:

    Os tutorias de vpn estão na parte de cima do fórum, nos tópicos fixos.

    https://forum.pfsense.org/index.php?topic=44270.msg229704#msg229704

    Bom dia Marcelo, ressuscitando o tópico, configurado o grupo de GW na Azure, ex: 10.0.0.1 - 10.0.1.1 > 10.0.2.1
    no pfSense utilizo apenas o grupo 10.0.2.1 para conexão e consigo estabelecer nos dois GW.
    Porém se eu deixar do lado de cá as 2 VPNs ativas utilizando meus GW um derruba o outro, esse script ativaria uma das VPNs do meu lado caso a primeira caia? E depois que ela voltar reativo na mão mesmo ou ele identifica isso?
    Desculpe se não fui muito claro e estou exigindo demais.