Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN entre Matriz e Filiais

    Scheduled Pinned Locked Moved Portuguese
    19 Posts 2 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      ribeiro
      last edited by

      Amigos,

      Já faz algum tempo que acompanho o fórum, no entanto nunca tinha postado uma dúvida. Fiz uma busca pelo site mas já fiz de tudo e ainda não consegui resolver meu problema. Atualmente trabalho na MATRIZ da empresa, e esta possui 3 FILIAIS. Fazemos sincronização/replicação dos ADs (Active Diretory). Hoje utilizo OpenVPN diretamente no AD da filial, e este se comunica com o AD da MATRIZ (esta possui um servidor VPN, que não é o pfSense). No entanto, temos alguns problemas com a queda de conexão, links lentos, etc.

      Olhando na internet vários tutoriais e videos mostrando a configuração de VPN site-to-site via pfSense achei o máximo. Tudo funciona lindamente bem, e sem estresse. Mas, na prática, fazendo exatamente como consta nas vídeo-aulas, as coisas não são tão lindas e maravilhosas assim.

      Configurei a VPN entre dois pfSenses (MATRIZ e FILIAL1), e o túnel está UP. Matriz pinga nos servidores da Filial e Filial pinga em servidores da Matriz. No entanto, as estações dos dois lados não se comunicam.

      Fiz alguns testes…

      1. Quando eu estou numa estação (lado da filial), eu consigo pingar no gateway da MATRIZ. Mas ao pingar no servidor AD (localizado na matriz), ele passa pelo gateway local, em seguida vai pelo o túnel, aí o pacote morre.
      2. Quando eu estou no servidor AD da matriz, e tento pingar no servidor AD da filial, o pacote nem chega ao gateway.

      Vi que alguns colegam resolveram esse problema adicionando algumas regras "route" em Advanced Configuration. Coloquei "push route ..." no lado do servidor e "route ..." no lado do cliente. Mas, não resolveu o problema.

      Dúvidas:

      1. Preciso adicionar alguma regra em especifico na LAN? Pq a regra da WAN e Openvpn estão liberadas.
      2. Meu NAT de saída está AUTO. Preciso colocar manual e criar regra específica?
      3. Com relação aos comandos "route". É de fato necessário adicionar em ambos os lados? Ou somente no lado do servidor?
      4. A opção "Don't pull routes" deverá ser marcada no lado do cliente? Pesquisando, não entendi muito bem qual a sua finalidade.

      Se alguém tiver um link do fórum, de outra discussão, sobre esse problema favor enviar o link pq eu não encontrei.

      Estou a uma semana batendo cabeça. Sou iniciante em pfsense, minhas desculpas pela ignorância. Desde já obrigado.

      Detalhes da rede:

      REDE MATRIZ: 10.0.0.0/16
      REDE FILIAL 1: 192.168.50.0/24
      REDE TUNEL: 172.16.100.0/30

      1 Reply Last reply Reply Quote 0
      • R
        ribeiro
        last edited by

        Ninguem?

        1 Reply Last reply Reply Quote 0
        • andrezaomacA
          andrezaomac
          last edited by

          @ribeiro:

          Ninguem?

          Post preent da tela de configuração do servidor VPN (matriz)
          e da tela do servidor VPN cliente (filial).

          assim fica mais facil para entender o que vc usou nas configurações.

          Consultoria em Servidores Linux/Windows.
          contato@andrenetwork.com.br

          Tecnólogo em Redes de Computadores.
          Bacharel em Sistemas da Informação.


          http://www.andrenetwork.com.br

          Limeira - SP

          1 Reply Last reply Reply Quote 0
          • R
            ribeiro
            last edited by

            @andrezaomac:

            @ribeiro:

            Ninguem?

            Post preent da tela de configuração do servidor VPN (matriz)
            e da tela do servidor VPN cliente (filial).

            assim fica mais facil para entender o que vc usou nas configurações.

            Obrigado pelo retorno andrezaomac! Segue abaixo as imagens. Lado do Servidor e Lado do Cliente. Coloquei tbm abaixo de cada imagem o status do tunel.  Ambos conseguem se comunicar… inclusive se de um lado ou pingar numa estação do outro lado do cliente. Só as estações que nao se comunicam entre si.

            LADO_SERVER.jpg
            LADO_SERVER.jpg_thumb
            LADO_CLIENTE.jpg
            LADO_CLIENTE.jpg_thumb

            1 Reply Last reply Reply Quote 0
            • andrezaomacA
              andrezaomac
              last edited by

              @ribeiro:

              @andrezaomac:

              @ribeiro:

              Ninguem?

              Post preent da tela de configuração do servidor VPN (matriz)
              e da tela do servidor VPN cliente (filial).

              assim fica mais facil para entender o que vc usou nas configurações.

              Obrigado pelo retorno andrezaomac! Segue abaixo as imagens. Lado do Servidor e Lado do Cliente. Coloquei tbm abaixo de cada imagem o status do tunel.  Ambos conseguem se comunicar… inclusive se de um lado ou pingar numa estação do outro lado do cliente. Só as estações que nao se comunicam entre si.

              Segue as configurações.

              Servidor:  https://app.box.com/s/s9328gez5n6sthp37ie8emteltnqc0gc

              Filial: https://app.box.com/s/z6ecuidv5123p9yoxnypvt4xje3q5hu1

              Fiz exatamente as mesmas configurações que uso em meus servidores.

              No final de tudo, vc tem que fazer em Firewall>> Regras, a rota das redes nos 2 servidores (Matriz e Filial).

              Fica dessa forma.
              OBS: Troque os IP para seu ambiente.
              https://app.box.com/s/ccym1ohr1tm0982dyuypixwjp8qx02jt

              A principio vamos tentar isso.
              Depois passa o feedback de como ficou!!

              Consultoria em Servidores Linux/Windows.
              contato@andrenetwork.com.br

              Tecnólogo em Redes de Computadores.
              Bacharel em Sistemas da Informação.


              http://www.andrenetwork.com.br

              Limeira - SP

              1 Reply Last reply Reply Quote 0
              • R
                ribeiro
                last edited by

                andrezaomac,

                Fiz as alterações conforme solicitou. Nada ainda.  :'(

                Segue imagens com as alterações.

                LADO_SERVIDOR2.jpg
                LADO_SERVIDOR2.jpg_thumb
                LADO_CLIENTE2.jpg
                LADO_CLIENTE2.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • andrezaomacA
                  andrezaomac
                  last edited by

                  Na tela do Servidor

                  Na Rede Remota, vc tem que colocar a rede da sua Filial, conforme mandei no preent anterior,  vc colocou sua rede Local.

                  Mude para da Filial

                  Consultoria em Servidores Linux/Windows.
                  contato@andrenetwork.com.br

                  Tecnólogo em Redes de Computadores.
                  Bacharel em Sistemas da Informação.


                  http://www.andrenetwork.com.br

                  Limeira - SP

                  1 Reply Last reply Reply Quote 0
                  • R
                    ribeiro
                    last edited by

                    A rede da filial é 10.0.1.0/24. Por isso não alterei.

                    Até mais.

                    1 Reply Last reply Reply Quote 0
                    • andrezaomacA
                      andrezaomac
                      last edited by

                      @ribeiro:

                      A rede da filial é 10.0.1.0/24. Por isso não alterei.

                      Até mais.

                      É que nos primeiro post você colocou
                      outro número de rede!!

                      Consultoria em Servidores Linux/Windows.
                      contato@andrenetwork.com.br

                      Tecnólogo em Redes de Computadores.
                      Bacharel em Sistemas da Informação.


                      http://www.andrenetwork.com.br

                      Limeira - SP

                      1 Reply Last reply Reply Quote 0
                      • R
                        ribeiro
                        last edited by

                        @andrezaomac:

                        É que nos primeiro post você colocou
                        outro número de rede!!

                        Me desculpe andrezaomac. Realmente lá em cima eu coloquei 192.168.50.0/24. Essa é a rede da filial 2. Acabei me confundindo. Mas, estou fazendo os testes com a filial 1, cuja rede é 10.0.1.0/24.

                        Ainda tem ideia do que possa está ocorrendo?

                        Até.

                        1 Reply Last reply Reply Quote 0
                        • andrezaomacA
                          andrezaomac
                          last edited by

                          @ribeiro:

                          @andrezaomac:

                          É que nos primeiro post você colocou
                          outro número de rede!!

                          Me desculpe andrezaomac. Realmente lá em cima eu coloquei 192.168.50.0/24. Essa é a rede da filial 2. Acabei me confundindo. Mas, estou fazendo os testes com a filial 1, cuja rede é 10.0.1.0/24.

                          Ainda tem ideia do que possa está ocorrendo?

                          Até.

                          Seu servidor matriz usa Proxy autenticado??

                          Nos seus preent não vi a regra que liberar a porta da sua VPN na WAN.
                          Libera a porta da VPN na WAN. (nos 2 servidores).

                          Consultoria em Servidores Linux/Windows.
                          contato@andrenetwork.com.br

                          Tecnólogo em Redes de Computadores.
                          Bacharel em Sistemas da Informação.


                          http://www.andrenetwork.com.br

                          Limeira - SP

                          1 Reply Last reply Reply Quote 0
                          • andrezaomacA
                            andrezaomac
                            last edited by

                            Outra questão tbm é:

                            No OpenVPN.
                            Na sua matriz, vc esta usando a aba SERVIDOR!!
                            e na sua filia vc usa a aba CLIENTE!!

                            Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)

                            Consultoria em Servidores Linux/Windows.
                            contato@andrenetwork.com.br

                            Tecnólogo em Redes de Computadores.
                            Bacharel em Sistemas da Informação.


                            http://www.andrenetwork.com.br

                            Limeira - SP

                            1 Reply Last reply Reply Quote 0
                            • R
                              ribeiro
                              last edited by

                              @andrezaomac:

                              Seu servidor matriz usa Proxy autenticado??

                              Não utilizamos.

                              @andrezaomac:

                              Nos seus preent não vi a regra que liberar a porta da sua VPN na WAN.
                              Libera a porta da VPN na WAN. (nos 2 servidores).

                              Tem a liberação da porta, em ambos. Está lá em cima.

                              1 Reply Last reply Reply Quote 0
                              • R
                                ribeiro
                                last edited by

                                @andrezaomac:

                                Outra questão tbm é:

                                No OpenVPN.
                                Na sua matriz, vc esta usando a aba SERVIDOR!!
                                e na sua filia vc usa a aba CLIENTE!!

                                Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)

                                Sim. Matriz está configurado como SERVIDOR e Filial como CLIENTE.

                                Acho que deve ser rota. Você precisou inserir rotas manuais em alguma estação do lado da matriz ou filial?

                                1 Reply Last reply Reply Quote 0
                                • andrezaomacA
                                  andrezaomac
                                  last edited by

                                  Não utilizo rotas.

                                  Só fiz a regras no OpenVPN.
                                  e fiz a regras de firewall na WAN  e LAN de cada servidor.

                                  Gerei a Chave pelo servidor matriz e copiei e colei no servidor cliente.

                                  Basicamente é isso, não tem muito segredo.

                                  Vou montar os preent do meu servidor.

                                  Consultoria em Servidores Linux/Windows.
                                  contato@andrenetwork.com.br

                                  Tecnólogo em Redes de Computadores.
                                  Bacharel em Sistemas da Informação.


                                  http://www.andrenetwork.com.br

                                  Limeira - SP

                                  1 Reply Last reply Reply Quote 0
                                  • andrezaomacA
                                    andrezaomac
                                    last edited by

                                    @ribeiro:

                                    @andrezaomac:

                                    Outra questão tbm é:

                                    No OpenVPN.
                                    Na sua matriz, vc esta usando a aba SERVIDOR!!
                                    e na sua filia vc usa a aba CLIENTE!!

                                    Eu digo isso pq já vi usuário utilizando no 2 lados as abas SERVIDOR. Isso não da certo (ao menos comigo nunca deu…rsr)

                                    Sim. Matriz está configurado como SERVIDOR e Filial como CLIENTE.

                                    Acho que deve ser rota. Você precisou inserir rotas manuais em alguma estação do lado da matriz ou filial?

                                    Segue a configuração dos meus Servidores.

                                    Matriz: https://app.box.com/s/vjxj806xcstdms0m0j9ob453ss5v5rsu

                                    Filial: https://app.box.com/s/zhyw79n0w2o2iwctpshhky26a43gp9ev

                                    OBS: No arquivo da Filial, por questão de segurança eu apaguei o meu IP. Apenas isto foi editado.

                                    E tbm tem adicionado as Regras de portas e IPs no firewall conforme já foi mencionado em outros posts.

                                    OBS²: As portas são as mesma é que o preent da Matriz está com porta diferente da Filial, é pq eu tirei o preet de outra Filial…. mas é só colocar as mesma portas, como vc já tem feito.

                                    Consultoria em Servidores Linux/Windows.
                                    contato@andrenetwork.com.br

                                    Tecnólogo em Redes de Computadores.
                                    Bacharel em Sistemas da Informação.


                                    http://www.andrenetwork.com.br

                                    Limeira - SP

                                    1 Reply Last reply Reply Quote 0
                                    • R
                                      ribeiro
                                      last edited by

                                      Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

                                      Você usa proxy autenticado?

                                      1 Reply Last reply Reply Quote 0
                                      • andrezaomacA
                                        andrezaomac
                                        last edited by

                                        @ribeiro:

                                        Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

                                        Você usa proxy autenticado?

                                        Sim!!

                                        Consultoria em Servidores Linux/Windows.
                                        contato@andrenetwork.com.br

                                        Tecnólogo em Redes de Computadores.
                                        Bacharel em Sistemas da Informação.


                                        http://www.andrenetwork.com.br

                                        Limeira - SP

                                        1 Reply Last reply Reply Quote 0
                                        • andrezaomacA
                                          andrezaomac
                                          last edited by

                                          @ribeiro:

                                          Certo. Vou refazer tudo novamente. Obrigado pelo auxílio.

                                          Você usa proxy autenticado?

                                          Ratificando a imagem do Servidor.

                                          como eu tirei o preent da conexão de outra Filial, só para ficar tudo certo, na tela do SERVIDOR Matriz, 'Tunel da Rede iPV4 o correto é - 10.30.30.1/30

                                          Consultoria em Servidores Linux/Windows.
                                          contato@andrenetwork.com.br

                                          Tecnólogo em Redes de Computadores.
                                          Bacharel em Sistemas da Informação.


                                          http://www.andrenetwork.com.br

                                          Limeira - SP

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.