Trafego internet via tunel vpn ipsec site to site

admclayton

Prezados,

Fechei uma conexão VPN IPSEC SITE TO SITE entre empresa Matriz - MG e Filial CE, Fortigate 50E com PFSENSE v 2.4.4, funciona bem, consigo pinga e acessa os servidores e estação.
Porem estou precisado que todo acesso a internet originada das estações Filial CE passe pelo tunel VPN e sai pela Fortigate MATRIZ, ou seja, todo controle de acesso internet sera gerenciado pelo fortigate da Matriz MG.
Seria possível criar uma rota no PFSENSE que todo trafego da internet passe pelo tunel?

Fico grato pela ajuda.

mcury

Na fase 2 do túnel, ponha remote network 0.0.0.0
Lembro de ter feito isso há alguns anos atrás, deve funcionar, mas não tenho certeza se foi a única coisa que fiz

admclayton

Deve ser mas alguma coisa que você fez, porque não deu certo.

mcury

@admclayton

Tenta igual nesse link:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routing-internet-traffic-through-a-site-to-site-ipsec-vpn.html

Edit:
Removi a observação pois lembrei que no fortigate você inclui a VPN na regra de firewall..
E também precisa fazer a rota estática lá apontando pra VPN para ela subir..

1 ano sem trampar com Fortigate, as coisas estão retornando a memória

admclayton

Cara, muito obrigado pela ajuda, através da sua dica + tutorial que você postou, foi possível redirecionar trafego da internet pelo tunel VPN IPSEC com PFSENSE + FORTIGATE.

mcury

@admclayton De nada amigo, estamos aqui para isso mesmo.

admclayton

Boa tarde mcury

Cara, me ajuda e um problema.
Como trafego da internet das estação da Filial CE agora estão passado pelo tunel VPN, eu tenho algns ativos que precisam passa pelo tunel mas sim precisam sair pela WAN da Filial CE.
Como eu faço para rotear o trafego originado de alguns ativos sair pela WAN da Filial CE e não pelo tunel?

mcury

@admclayton Da maneira que está configurado, eu tentaria fazer o seguinte:

1 - Criar um alias e incluir os hosts que você quer que saiam pela WAN e não pela internet do outro site.
2 - Criar uma regra de firewall e incluir esse alias em source da regra, destination any, e incluir la em advanced options, na parte de gateway, a WAN.
3 - Essa regra precisa estar acima da regra de acesso a internet onde os outros clientes estão saindo pelo túnel.

Observação: Eu não sei se essa opção vai funcionar, precisa testar, eu nunca teste isso antes.

Caso não funcione, a outra opção que eu conheço seria você desativar o tunel IPsec e fechar uma openvpn com o Fortigate.
Nesse caso, você precisaria configurar o openvpn no pfsense, criar uma interface para essa openvpn, e utilizá-la como gateway na regra onde os aliases foram criados no passo 1 lá trás.

Aqui tem mais ou menos como funciona:
https://docs.netgate.com/pfsense/en/latest/book/openvpn/assigning-openvpn-interfaces.html

Qualquer dúvida posta pra gente que tentamos ajudar.