Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Roteamento VPN Site-to-Site

    Scheduled Pinned Locked Moved Portuguese
    26 Posts 6 Posters 9.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      thiago.limax64
      last edited by

      Bom dia!

      Estou com um problema e gostaria de saber se alguem da uma luz.

      cenário:

      rede Rio: 192.168.0.0/24
      Rede SP: 10.0.0.0/24
      Rede MG: 172.16.0.0/24

      VPN S2S: Rio X SP
      VPN S2S: Rio X MG

      Preciso a partir da rede de SP acessar MG mas não tenho a capacidade de criar uma VPN S2S entre SP e MG por questões politicas

      Solução: Rotear meu acesso de SP para chegar à MG a partir da rede do Rio

      No FortGate isso funciona que é uma blz… mas no PFSense não... me parece que ele não é capaz de rotear pacotes vindo da interna (SP) para minha rede de MG passando pela VPN S2S.

      Alguém sabe como eu posso customizar as rotas no meu pfsense pela VPN Ipsec?

      Como esta no meu FG do Rio hj e funcionando o que eu quero replicar no pfsense:

      VPN S2S igualzinho no pfsense...
      Polices liberando o trafego pelo tunel
      Rota estatica criada falando que tudo que for de destino 172.16.0.0/24 vai passar pela VPN S2S: Rio X MG

      1 Reply Last reply Reply Quote 0
      • M
        mantunespb
        last edited by

        tentou fazer via OpenVPN ?

        1 Reply Last reply Reply Quote 0
        • T
          thiago.limax64
          last edited by

          @mantunespb:

          tentou fazer via OpenVPN ?

          obrigado pela ajuda, mas é IPSEC Site-to-Site e não cliente servidor. Até aonde eu sei open vpn é cliente servidor correto?

          1 Reply Last reply Reply Quote 0
          • M
            mantunespb
            last edited by

            Errado

            posso ter openvpn site to site..

            http://www.pfsense-br.org/blog/2011/11/usando-o-pfsense-para-interligar-2-lojas-via-internet-ponto-a-ponto/

            1 Reply Last reply Reply Quote 0
            • T
              thiago.limax64
              last edited by

              @mantunespb:

              Errado

              posso ter openvpn site to site..

              hmmm certo nao testei nao… somente ipsec pq a minha ponta B não suporte open VPN mas de todo modo é bom saber q da pra fazer s2s com open vpn, obrigado.

              agora voltando a minha questão... na ponta A eu tenho o PFSense e preciso nele direcionar o trafego para minha ponta B, tem que ser ipsec

              1 Reply Last reply Reply Quote 0
              • M
                mantunespb
                last edited by

                outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

                Rede Rio: 192.168.0.0/24
                Rede SP: 192.168.1.0/24
                Rede MG: 192.168.0.0/24

                e depois dai partir para um roteamento..

                1 Reply Last reply Reply Quote 0
                • J
                  johnnybe
                  last edited by

                  Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

                  Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
                  Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.

                  Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:

                  1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
                  2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
                  e/ou ficar completamente perdido e daí indisponível
                  .
                  3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.

                  Acredito que seu principal problema resida no item 2 acima.

                  Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.

                  route_ipsec.png_thumb
                  route_ipsec.png

                  you would not believe the view up here

                  1 Reply Last reply Reply Quote 0
                  • J
                    johnnybe
                    last edited by

                    @mantunespb:

                    outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

                    Rede Rio: 192.168.0.0/24
                    Rede SP: 192.168.1.0/24
                    Rede MG: 192.168.0.0/24

                    e depois dai partir para um roteamento..

                    Opa, mantunespb!  ;D

                    Duas sub-redes 192.168.0.0/24?  :o

                    you would not believe the view up here

                    1 Reply Last reply Reply Quote 0
                    • marcellocM
                      marcelloc
                      last edited by

                      @johnnybe:

                      Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)
                      [/quote]

                      S2S - site to site ;)

                      Treinamentos de Elite: http://sys-squad.com

                      Help a community developer! ;D

                      1 Reply Last reply Reply Quote 0
                      • J
                        johnnybe
                        last edited by

                        @marcelloc:

                        @johnnybe:

                        Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)
                        [/quote]

                        S2S - site to site ;)

                        Credo, Marcello! Juro que até esqueci do U2!  ;D
                        Que vergonha, caro johnny!  :'(
                        ;D

                        you would not believe the view up here

                        1 Reply Last reply Reply Quote 0
                        • T
                          thiago.limax64
                          last edited by

                          @mantunespb:

                          outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

                          Rede Rio: 192.168.0.0/24
                          Rede SP: 192.168.1.0/24
                          Rede MG: 192.168.0.0/24

                          e depois dai partir para um roteamento..

                          Cara vlw pelas dicas mas são irrelevantes para o problema já que de um jeito ou de outro são redes que não se comunicam sem um roteamento adequado. usei esses ips bem diferentes uns dos outros como exemplo só p facilitar o entendimento do cenário e estou respeitando a rfc1918. No meu cenário real os ips estão parecidos conforme sua sugestão ;-)
                          De todo modo obrigadao

                          1 Reply Last reply Reply Quote 0
                          • T
                            thiago.limax64
                            last edited by

                            @johnnybe:

                            @mantunespb:

                            outro detalhe.. ficava mais fácil gerenciamento vc ter redes padronizadas

                            Rede Rio: 192.168.0.0/24
                            Rede SP: 192.168.1.0/24
                            Rede MG: 192.168.0.0/24

                            e depois dai partir para um roteamento..

                            Opa, mantunespb!  ;D

                            Duas sub-redes 192.168.0.0/24?  :o

                            Na verdade…

                            rede Rio: 192.168.0.0/24
                            Rede SP: 10.0.0.0/24
                            Rede MG: 172.16.0.0/24

                            1 Reply Last reply Reply Quote 0
                            • T
                              thiago.limax64
                              last edited by

                              @johnnybe:

                              Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

                              Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à matriz da LDC.
                              Em todas as LDC temos pfSense 2.0.1 sendo que no meu escritório (ADMIN) estou com a versão 2.1. Adapte-as conforme suas necessidades.

                              Apenas esclarecendo resumidamente o [b]motivo desses roteamentos:

                              1- Garantir que, após a conexão VPN ser iniciada via WAN, os pacotes sejam direcionados sempre via LAN (túnel).
                              2- Evitar que um outro Roteador sendo o Gateway (que não o pfSense) procure atravessar a VPN pela Internet, ao invés do túnel, causando perda de pacotes
                              e/ou ficar completamente perdido e daí indisponível
                              .
                              3- Não sumarizar o CIDR, apesar das sub-redes do cliente serem adjacentes, apenas por questão de identificação. Faça isso quando solicitado pelo cliente ou conforme suas preferências.

                              Acredito que seu principal problema resida no item 2 acima.

                              Eu sempre quis publicar um tutorial com todas essas informações e mais um pouco além. Mas… perdi a vontade. Se alguém achar útil, talvez um dia, eu pegue o rascunho já existente com cópias de tela e publique o tutorial.

                              Cara to no bus balanço p kctah mas acho que tu vai conseguir me ajudar
                              Sim, existe um problema d rota mas e no pfs, vou dar uma lida com calma de casa pra extrair melhor as informações. Vlw pela forca.

                              1 Reply Last reply Reply Quote 0
                              • T
                                thiago.limax64
                                last edited by

                                @johnnybe:

                                Não entendi direito mas vou tentar ajudá-lo, mesmo porque nem sei do que se trata S2S. :-[  ???  ::)

                                Nesse ambiente da cópia de tela abaixo, a LDC tem duas filiais e também minha rede ADMIN, todas conectadas via IPSEC à …
                                [/quote]

                                Detalhe…. 150 é tua lan adress (pfs)?
                                Isso pra mim faz muito sentido,
                                Quando eu traço rota p rede mg o pfs me joga p internet, por isso tenho certeza que é rota e nele, só não tinha pensado em dizer q o gtw e ele mesmo quando a rede destino for mg.. Será que não vai ficar em looping? vou testar :)

                                1 Reply Last reply Reply Quote 0
                                • J
                                  johnnybe
                                  last edited by

                                  @Thiago:

                                  Detalhe…. 150 é tua lan adress?
                                  Isso pra mim faz muito sentido, vou testar

                                  O IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
                                  A sub-rede do meu escritório está em 192.168.250.0/24.
                                  No resto, acho que está suficientemente claro quem é quem.  :)

                                  you would not believe the view up here

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    thiago.limax64
                                    last edited by

                                    @johnnybe:

                                    @Thiago:

                                    Detalhe…. 150 é tua lan adress?
                                    Isso pra mim faz muito sentido, vou testar

                                    O IP 192.168.1.150 é o (pfSense) Gateway da matriz, servindo a rede 192.168.1.0/24.
                                    A sub-rede do meu escritório está em 192.168.250.0/24.
                                    No resto, acho que está suficientemente claro quem é quem.  :)

                                    Esta sim, vou testar hj mesmo to levando fe que seja por ai

                                    1 Reply Last reply Reply Quote 0
                                    • J
                                      johnnybe
                                      last edited by

                                      Dê um retorno (feedback).  ;)

                                      you would not believe the view up here

                                      1 Reply Last reply Reply Quote 0
                                      • T
                                        thiago.limax64
                                        last edited by

                                        @johnnybe:

                                        Dê um retorno (feedback).  ;)

                                        Com certeza Jhonybe, precisei virar o foco por conta de outras demandas mais importantes mas vou testar sim a solução que vc me passou e te dou um feedback  ;D

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          thiago.limax64
                                          last edited by

                                          @johnnybe:

                                          Dê um retorno (feedback).  ;)

                                          Não funcionou.

                                          1 Reply Last reply Reply Quote 0
                                          • J
                                            johnnybe
                                            last edited by

                                            Habilitou essa opção?:
                                            Static route filtering Bypass firewall rules for traffic on the same interface
                                            This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

                                            you would not believe the view up here

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.