Post on 05-May-2020
Servidor de Acesso Remoto com OpenVPN – pfSENSE
1-Criar uma Autoridade Certificadora “CA”.“System/Certificate Manager/CAs” +Add 2048 bits, sha256, 3650 days
• Descriptive Name: VPN_CA• Method: Create an Internal Certificate Authority
• Country Code: BR• State or Province: Sao Paulo• City: Presidente Prudente• Organization: Empresa• Email Address: nome@email.com• Common Name: empresa-ca
2-Criar um certificado para o Servidor.“System/Certificate Manager/Certificates” +Add 2048 bits, sha256, 3650 days
• Method: Create an Internal Certificate• Descriptive Name: VPN Empresa
• Certificate Authority: VPN_CA• Certificate Type: Server Certificate• Country Code: BR• State or Province: Sao Paulo• City: Presidente Prudente• Organization: Empresa• Email Address: nome@email.com• Common Name: vpn-empresa
3-Cadastrar os usuários da VPN.“System/User Manager/Users” +Add
• Username: nome• Password: senha• Full Name: nome sobrenome
• Descriptive Name: nome• Certificate Authority: Empresa_CA
4-Configurar o Servidor de Acesso Remoto Open VPN.“VPN/OpenVPN/Wizards
• Type of Server: Local User Access
• Certificate Authority: VPN_CA
• Certificate: vpn-empresa
• Description: Nome para VPN• Cryptographic Settings: Auth Digest Algorithm (SHA256).
• Tunnel Network: 172.20.0.0/29 (Utilizar sempre uma faixa IP distinta da rede “LAN”).
Obs: Ver tabela com de manipulação de máscaras IP de redes locais no final do documento.
• Local Network:192.168.30.0/24
• Firewall Rule: marcar para criar regra de firewall automatica para o servidor.• OpenVPN rule: marcar para criar regra permitindo trafego através do tunel VPN.
• Finish: Finalizar a configuração do servidor de acesso remoto OpenVPN.
5-Instalar o pacote openvpn-client-export.“System/Package Manager/Available Packages” +Install
6-Exportar as configurações do cliente OpenVPN. “VPN/OpenVPN/Client Export” Download Current Windows Installer (2.4.6-lx02)
7-Instalar o cliente OpenVPN no Windows.
• Após realizar o download do cliente execute o aplicativo OpenVPN no Windows.
• Na janela do assistente de instalação do OpenVPN clique em “Install”.
• Na janela seguinte clique em “Next”.
• Na janela de termos de licença aceite clicando em “I Agree”.
• Na janela de seleção de componentes deixe o padrão já definido e clique em “Next”.
• Na janela de seleção de pasta de instalação clique em “Install”.
• Na janela seguinte aguarde a instalação do cliente OpenVPN.
• Na janela seguinte clique em “Finish” para finalizar a instalação.
• Na janela do bloco de notas verifique as informações gerais do OpenVPN.
• Na janela seguinte clique em “Close” para fechar o assistente do OpenVPN.
8-Conectar o cliente OpenVPN ao Servidor de Acesso Remoto.
Obs: Alterar o IP do arquivo de configuração do cliente OpenVPN para o IP externo atribuído pelo provedor de Internet. (C:\Arquivos de Programas\OpenVPN\config\OpenVPN Config File)
Obs: (Adicionar redirecionamento de porta “1194” no Roteador de borda para o Servidor de Acesso Remoto pfSense).
9-Informações básicas do Servidor de Acesso Remoto OpenVPN.“VPN/OpenVPN/Servers”
• Server mode: Modo de acesso remoto mais seguro utilizando uma chave criptografada e certificado de usuário “X.509” mais autenticação de nome de usuário e senha.
• Protocol: O protocolo “UDP” é utilizado por padrão para criar o tunelamento de trafego através da Internet por ter performance mais rápida de acesso remoto.
• Device mode: O modo “tun” trabalha na camada 3 do modelo “OSI” criando roteamento entre interfaces ponto a ponto.
• Interface: Interface padrão “WAN” do Servidor de Acesso Remoto para receber conexões externas originadas da Internet.
• Local port: Porta padrão “1194” para receber conexões externas originadas da Internet.
• Configurações de criptografia do Servidor de Acesso Remoto OpenVPN.
• TLS authentication: Autenticação de sessão “TLS” reforça a validação de ambos cliente e servidor através de chave estática compartilhada.
• Peer Certificate Authority: Seleção de Autoridade Certificadora utilizada para assinar o certificado do Servidor de Acesso Remoto.
• Server certificate: Seleção do Certificado gerado para o Servidor.• DH Parameter lenght (bits): Comprimento da chave Diffie-Hellman (2048 bits) para
estabelecer canal de comunicação segura.• Encryption Algorithm: Algoritmo de encriptação (AES-256CBC) utilizado para conexão
do servidor.• Auth digest algorithm: Algoritmo de autenticação (SHA256).• Certificate Depth: Profundidade de certificado um para cliente/servidor.
• Configurações para clientes do Servidor de Acesso Remoto OpenVPN.
• Dynamic IP: Para clientes OpenVPN que frequentemente mudam de endereço IP.• Address Pool: Atribuição automática de endereços IP para o adaptador virtual dos clientes
OpenVPN utilizando a sub-rede configurada em “Tunnel Network”.• Topology: Por padrão o OpenVPN no pfSense utiliza a topologia de sub-rede em modo tun,
alocando um endereço IP por cliente em sub-rede compartilhada.
10-Tabelas de endereçamento IP para redes locais e manipulação de mascaras de sub-rede.
• IPs válidos para redes locais e túneis de VPNs1-Rede Classe A 10.0.0.0 10.255.255.25516-Redes Classe B 172.16.0.0 172.31.255.255255-Redes Classe C 192.168.0.0 192.168.255.255
• Tabela de manipulação para definir sub-redes e quantidades de hosts válidos.CLASSE CBin 11111111 11111111 11111111 00000000 Net HostDec 255 255 255 0/24 1 254B 11111111 11111111 11111111 10000000D 255 255 255 128/25 2 126B 11111111 11111111 11111111 11000000D 255 255 255 192/26 4 62B 11111111 11111111 11111111 11100000D 255 255 255 224/27 8 30B 11111111 11111111 11111111 11110000D 255 255 255 240/28 16 14B 11111111 11111111 11111111 11111000D 255 255 255 248/29 32 6B 11111111 11111111 11111111 11111100D 255 255 255 252/30 64 2