Utilizando OpenVPN em IPV6 para operadoras que usam CGNat
-
Criei esse tópico para debatermos o uso do openvpn em ipv6, no meu caso utilizo a operadora copel Telecom que faz CGNat no ipv4 impossibilitando as conexões entrantes por ipv4, gostaria que o senhores compartilhassem suas experiencias sobre qual ddns estão utilizando, se usa o ddns integrado ao pfSense, se foi necessário a configuração do modem em modo Bridge e o mais importante que é o uso do mesmo em ambiente de produção.
-
Bom dia Eduardo.
Minha experiência é a seguinte:
Você pode utilizar o IPv6 da Copel Telecom para criar redes VPN tranquilamente.
Algumas dicas são bem valiosas para que isto ocorra com maior facilidade.1. Tenha um domínio .com.br ou .com que esteja apontado para os servidores NS da HE.NET.
2. Com sua conta no dns.he.net gerencie o DNS deste domínio, atentando para criar todos os registros necessários (MX,A,AAAA,CNAME), caso o servidor que hospeda páginas e e-mails esteja ativo.
3. Criei um registro AAAA no dns.he.net e marque a opção: Enable entry for dynamic dns;
4. Salve esta opção, e encontre a coluna DDNS do seu registro. Haverá duas flechas concêntricas. Crie uma senha para este registro de dns e salve ela em segurança.
5. No PF > Serviços > Dynamic DNS. Crie um novo atualizador e utilize: HE.net (v6) > Host name é o seu registro no DNS > MX em branco > Username é novamente o mesmo hostname criado no servidor de dns he.net > Senha: aquela salva em segurança > Descrição que lhe ajude ;)
6. Pronto o nome deve começar a ser atualizado, e se tudo estiver ajustado, você poderá encontrar o nome na web. Execute um ping de um ipv6 remoto depois de 5 min. Normalmente o TTL é 5 min da he.net
7. Crie seu OpenVPN Server, conforme outros posts a respeito, levando em consideração algumas coisas:
7.1. Crie como UPD6, temos que utilizar o protocolo UDP para VPN (veja a documentação do OpenVPN) na versão do IP 6.
7.2. O server mode vai depender da sua aplicação:
7.2.1. Server to Server
7.2.2. Remote Access
7.2.3. etc.
7.3. Eu utilizo 3 servidores em um mesmo pfsense, e criei conexões peer to peer, onde o cliente utiliza o registro de dns do servidor principal, e eles roteiam as redes automaticamente. Criei também um Remote Access (SSL/TLS + User Auth) para que usuários windows possam utilizar o aplicativo OpenVPN para se conectarem automaticamente ou por demanda com certificado digital do CAs criado no pfsense, utilizando usuários do PFSense. (não conectei com windows server para gestão de usuários). Estas informações vocês pode encontrar em qualquer tutorial de OpenVPN.Espero ter colaborado contigo.
Atenção:
1.O ipv6 da Copel é alterado com uma frequência, e o firewall pfsense não reconhece o novo ipv6 automaticamente. Eu tive alguns problemas com isto (utilizo o PF em Hyper-V), e como cansei de tentar resolver este problema, optei por criar alguns comandos no cron, que fazem um reboot da máquina. Ao reiniciar em 1,5 min, a máquina já tem o novo ipv6. Acho essa opção a menos viável, se alguém tiver outra forma de realizar o trabalho, me ajuda aí também :)
2. Computadores Windows 7,10, etc. devem ter regras no firewall avançado que bloqueiem recebimento de pacotes de redes que não sejam a local na qual se encontram. Você precisa alterar isto.
3. Cuidado com a rede que você roteia dentro de cada serviço OpenVPN, e crie regras no firewall para pf para que a OpenVPN funcione! Inicialmente habilite todo o tráfego para testar, mas depois restrinja de acordo com sua necessidade!Se alguém precisar de uma consultoria comercial nestes sentido, pode me procurar em www.fischer-ti.com.br
No mais, vamos trocando figurinhas aqui! -
Bom dia Eduardo.
Minha experiência é a seguinte:
Você pode utilizar o IPv6 da Copel Telecom para criar redes VPN tranquilamente.
Algumas dicas são bem valiosas para que isto ocorra com maior facilidade.1. Tenha um domínio .com.br ou .com que esteja apontado para os servidores NS da HE.NET.
2. Com sua conta no dns.he.net gerencie o DNS deste domínio, atentando para criar todos os registros necessários (MX,A,AAAA,CNAME), caso o servidor que hospeda páginas e e-mails esteja ativo.
3. Criei um registro AAAA no dns.he.net e marque a opção: Enable entry for dynamic dns;
4. Salve esta opção, e encontre a coluna DDNS do seu registro. Haverá duas flechas concêntricas. Crie uma senha para este registro de dns e salve ela em segurança.
5. No PF > Serviços > Dynamic DNS. Crie um novo atualizador e utilize: HE.net (v6) > Host name é o seu registro no DNS > MX em branco > Username é novamente o mesmo hostname criado no servidor de dns he.net > Senha: aquela salva em segurança > Descrição que lhe ajude ;)
6. Pronto o nome deve começar a ser atualizado, e se tudo estiver ajustado, você poderá encontrar o nome na web. Execute um ping de um ipv6 remoto depois de 5 min. Normalmente o TTL é 5 min da he.net
7. Crie seu OpenVPN Server, conforme outros posts a respeito, levando em consideração algumas coisas:
7.1. Crie como UPD6, temos que utilizar o protocolo UDP para VPN (veja a documentação do OpenVPN) na versão do IP 6.
7.2. O server mode vai depender da sua aplicação:
7.2.1. Server to Server
7.2.2. Remote Access
7.2.3. etc.
7.3. Eu utilizo 3 servidores em um mesmo pfsense, e criei conexões peer to peer, onde o cliente utiliza o registro de dns do servidor principal, e eles roteiam as redes automaticamente. Criei também um Remote Access (SSL/TLS + User Auth) para que usuários windows possam utilizar o aplicativo OpenVPN para se conectarem automaticamente ou por demanda com certificado digital do CAs criado no pfsense, utilizando usuários do PFSense. (não conectei com windows server para gestão de usuários). Estas informações vocês pode encontrar em qualquer tutorial de OpenVPN.Espero ter colaborado contigo.
Atenção:
1.O ipv6 da Copel é alterado com uma frequência, e o firewall pfsense não reconhece o novo ipv6 automaticamente. Eu tive alguns problemas com isto (utilizo o PF em Hyper-V), e como cansei de tentar resolver este problema, optei por criar alguns comandos no cron, que fazem um reboot da máquina. Ao reiniciar em 1,5 min, a máquina já tem o novo ipv6. Acho essa opção a menos viável, se alguém tiver outra forma de realizar o trabalho, me ajuda aí também :)
2. Computadores Windows 7,10, etc. devem ter regras no firewall avançado que bloqueiem recebimento de pacotes de redes que não sejam a local na qual se encontram. Você precisa alterar isto.
3. Cuidado com a rede que você roteia dentro de cada serviço OpenVPN, e crie regras no firewall para pf para que a OpenVPN funcione! Inicialmente habilite todo o tráfego para testar, mas depois restrinja de acordo com sua necessidade!Se alguém precisar de uma consultoria comercial nestes sentido, pode me procurar em www.fischer-ti.com.br
No mais, vamos trocando figurinhas aqui!Muito Obrigado Fischerti, sua contribuição será muito valida para mim e muitos outros usuários Vlw :D