Trafego internet via tunel vpn ipsec site to site
-
Prezados,
Fechei uma conexão VPN IPSEC SITE TO SITE entre empresa Matriz - MG e Filial CE, Fortigate 50E com PFSENSE v 2.4.4, funciona bem, consigo pinga e acessa os servidores e estação.
Porem estou precisado que todo acesso a internet originada das estações Filial CE passe pelo tunel VPN e sai pela Fortigate MATRIZ, ou seja, todo controle de acesso internet sera gerenciado pelo fortigate da Matriz MG.
Seria possível criar uma rota no PFSENSE que todo trafego da internet passe pelo tunel?Fico grato pela ajuda.
-
Na fase 2 do túnel, ponha remote network 0.0.0.0
Lembro de ter feito isso há alguns anos atrás, deve funcionar, mas não tenho certeza se foi a única coisa que fiz -
Deve ser mas alguma coisa que você fez, porque não deu certo.
-
Tenta igual nesse link:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routing-internet-traffic-through-a-site-to-site-ipsec-vpn.htmlEdit:
Removi a observação pois lembrei que no fortigate você inclui a VPN na regra de firewall..
E também precisa fazer a rota estática lá apontando pra VPN para ela subir..1 ano sem trampar com Fortigate, as coisas estão retornando a memória
-
Cara, muito obrigado pela ajuda, através da sua dica + tutorial que você postou, foi possível redirecionar trafego da internet pelo tunel VPN IPSEC com PFSENSE + FORTIGATE.
-
@admclayton De nada amigo, estamos aqui para isso mesmo.
-
Boa tarde mcury
Cara, me ajuda e um problema.
Como trafego da internet das estação da Filial CE agora estão passado pelo tunel VPN, eu tenho algns ativos que precisam passa pelo tunel mas sim precisam sair pela WAN da Filial CE.
Como eu faço para rotear o trafego originado de alguns ativos sair pela WAN da Filial CE e não pelo tunel? -
@admclayton Da maneira que está configurado, eu tentaria fazer o seguinte:
1 - Criar um alias e incluir os hosts que você quer que saiam pela WAN e não pela internet do outro site.
2 - Criar uma regra de firewall e incluir esse alias em source da regra, destination any, e incluir la em advanced options, na parte de gateway, a WAN.
3 - Essa regra precisa estar acima da regra de acesso a internet onde os outros clientes estão saindo pelo túnel.Observação: Eu não sei se essa opção vai funcionar, precisa testar, eu nunca teste isso antes.
Caso não funcione, a outra opção que eu conheço seria você desativar o tunel IPsec e fechar uma openvpn com o Fortigate.
Nesse caso, você precisaria configurar o openvpn no pfsense, criar uma interface para essa openvpn, e utilizá-la como gateway na regra onde os aliases foram criados no passo 1 lá trás.Aqui tem mais ou menos como funciona:
https://docs.netgate.com/pfsense/en/latest/book/openvpn/assigning-openvpn-interfaces.htmlQualquer dúvida posta pra gente que tentamos ajudar.