Messages

1

Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC

« on: December 17, 2021, 03:59:24 pm »

Bom dia, tudo bem ?

Vou verificar o que posso fazer em relação a ponta B, pois é um firewall de cliente fortigate e as opções mudam um pouco, fora o problema de ser no cliente, mas por ora, obrigado pela ajuda, assim que eu testar algo, lhe retorno por aqui

2

Portuguese - Português / Re: VPN pelo OPNsense-OpenVPN

« on: December 14, 2021, 02:50:10 pm »

Olá, tudo bem ?

Não consegui abrir as imagens, talvez você já tenha resolvido, mas existe um wizard para criação da VPN, o qual facilita muito.
Outro ponto, é marcar a criação deu um certificado para cada novo usuário criado no opnsense e utilizar o método Remote Access (User Auth)

Criar uma regra de firewall, habilitar a porta escolhida para conexão opevpn em um regra pass
     IPv4 UDP   *   *   WAN address   1194 (OpenVPN)   *   *   

3

Portuguese - Português / Re: Topologia de Redes com OPNsense atuando como Router L3

« on: December 14, 2021, 02:41:39 pm »

Olá, sua lógica está correta.

A limitação entre VLAN de fato pode ocorrer via regras de firewall em cada interface.

Sim você terá uma porta trunk, como se fosse um switch L3, mas em teorias, vlan só irão se comunicar com vlans na mesma tag, mas restrigir somente os serviços necessários é importanter para correta aplicação das vlans.

Por exemplo, uma vlan de voip, só poderá trafegar dados voip, sip, iax e assim por diante

4

Portuguese - Português / Re: Redirecionamento para IP interno

« on: December 14, 2021, 02:31:30 pm »

Olá, tudo bem

Você deve realizar um redirecionamento de porta,  dentro do menu firewall > NAT > Port Forwarder.


Interface: WAN   
Protocolo: TCP   
Endereços de origem : * (Caso queira limitar uma origem, ponha o endereço de origem aqui)   
Porta de origem:  *   (Any ou Other)
Endereço Destino: WAN address   
Porta  externa: 10443   
IP interno ou alvo para redirecionamento: 192.168.33.190
Porta de redirecionamento: 8001

Lá em baixo: tem uma opção para adicionar uma regra de firewall associada, deixe marcado add uma regra associada, pois você irá criar uma NAT e junto uma regra que libera o acesso.

Lembrando que sem um IP fixo, essa conexão sera complicada, caso não possua um, sugiro utilizar um serviço DDNS, como NO-IP ou DYN DNS

5

Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC

« on: December 13, 2021, 08:04:32 pm »

Testei as seguintes configfurações:

FASE 2:

LAN NETWORK: 192.168.100.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24,10.0.0.0/8

Não deu certo
Tentativa 2

LAN NETWORK: 192.168.91.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24,10.0.0.0/8

Não deu certo

A CONFIGURAÇÃO QUE DEVERIA FUNCIONAR SERIA ASSIM

LAN NETWORK: 192.168.237.0/24
REMOTE NETWORK: 192.168.237.0/25
SDP MANUAL ENTRIES:  192.168.100.0/24

DNAT ONE TO ONE:
INTERNAL: 192.168.100.0/24
EXTERNAL: 192.168.237.0/25
REMOTE NETWORK: 10.0.0.0/8

Ou seja, traduz tudo da rede openvpn 100.0/24 com destino a rede 0.0/8 traduzindo com o ip 237.0/25

6

Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC

« on: December 13, 2021, 07:41:45 pm »

Olá

A minha 192.168.91.0/24, é um rede LAN virtual, o meu tráfego mesmo irá vir da rede openvpn, 192.168.100.0/24, rede a qual já está no SDP manual Entries.

O NAT de saida também já existe para a rede 192.168.237.0/25 mascarando para a rede 10.0.0.0/8

7

Portuguese - Português / Re: Duas redes iguais na fase dois de tuneis IPSEC

« on: December 13, 2021, 07:32:43 pm »

Olá, tudo bem ?

Vou validar as configurações que vocês passou, por ora obrigado por sua atenção !

8

Portuguese - Português / Duas redes iguais na fase dois de tuneis IPSEC

« on: December 13, 2021, 03:26:55 pm »

Olá, tudo  bem ?

Vou tentar ser o mais claro e especifico possível no meu problema.

Possuo dois tuneis IPSEC, um VTI e outro comum, tunel IPV4

A conexão IPSEC VTI, conecta em uma rede remota a qual é uma rede 10.0.0.0/16, onde há um rota em cima da interface IPSEC (VTI) que todo o tráfego com destino a rede 10.0.0.0/16 passe seja trafegado pela interface  IPSEC VTI, OK ATÉ AI TUDO FUNCIONA/FUNCIONAVA.

Porém a alguns dias atrás, foi necessário conectar um cliente remoto, o qual possui um rede remota 10.0.0.0/8 e um DNAT 192.168.237.0/25 e este está conectado atráves de um tunel IPV4 comum ipsec.

10.0.0.0/8 - > DNAT > 192.168.237.0/25


Meu problema é, quando essas duas conexões juntas estão ativas, cliente sconectados ao FW, se perdem ao acessar hosts da rede /16 e tentam tráfegar pela rede  /8.

Exemplo:

Origem > LAN FW
Destino > 10.0.0.100
Destino rede 10.0.0.0/16

Porém se o tunel da rede 10.0.0.0/8 estiver ativo, essa conexao não ira ocorrer e todo tráfego WEB de clientes remotos irá para de funcionar.

Abaixo  há um esboço simples, caso necessitem de maiores informações, estou à disposição.