Author Topic: HOWTO - VPN IPsec Site a Site Atrás de NAT (Read 96 times)

ludarkstar99 · « **on:** November 11, 2024, 04:51:47 pm »

================================================================
=== OPNSENSE - IPSEC SITE-A-SITE ATRÁS DE NAT ===
================================================================
Responsável: ludarkstar99
Data: 10/11/2024
Versão: 1.0
================================================================

OPNSENSE - CONFIGURAR IPSEC SITE-A-SITE ATRÁS DE NAT (AMBAS AS PONTAS)

RESUMO

Este procedimento foi criado para permitir que você configure o IPsec para conectar entre duas unidades, de forma que apenas uma delas vai precisar de um IP público com publicação de portas.

OBSERVAÇÕES

Este procedimento NÃO irá funcionar se Ambas as pontas estão atrás de CGNAT (carrier gra... se seu IP no modem/firewall começa com 100.xx.xx.xx);
> Será usado o modo Tunnel (ou policy routing, aquele no qual o IPsec não mostra a rota na lista, mas sabe como rotear direto no kernel os pacotes de um lado pro outro da vpn).

PREMISSAS

- Será configurado o IPsec usando o modo Connections (menu mais recente), para que conectemos ambas as pontas com sucesso.
- Um lado será o "servidor" da vpn, e o outro será o "cliente".
- Na unidade que será o "servidor" da VPN, além do IP público, precisará de confirmação que pode publicar portas (ver com provedor).

ILUSTRAÇÃO

MATRIZ
IP da LAN: 192.168.10.1/24
WAN: IP PRIVADO RECEBENDO DMZ

FILIAL
IP da LAN: 192.168.20.1/24
WAN: IP PRIVADO OU CGNAT

MATRIZ FILIAL
______________________________________________________________________________
-----------------------------------------------TÚNEL IPSEC-------------------------------------------------
______________________________________________________________________________
192.168.10.0/24 LAN < --- 192.168.20.0/24 LAN
---> Firewall < --- Firewall
---> Modem roteado com DMZ ---> <--- Modem roteado sem dmz (ou cgnat)
Internet

ETAPAS

1. No firewall da matriz (lado "servidor" da vpn)

1.1. Criando o túnel na matriz

1.1.1. Acesse o menu VPN > IPsec > Pré-Shared Keys.
1.1.2. Crie uma nova Pré-Shared key clicando no ícone (+) adicionar.
1.1.3. Preencha o Local Identifier como matriz e o Remote Identifier como filial, preencha a pré-shared key (exemplo: password) que deverá ser a mesma nos 2 firewalls e clique em Save, depois Apply.
1.1.4. Acesse o menu VPN > IPsec > Connections.
1.1.5. Crie um novo túnel clicando no ícone (+) adicionar.
1.1.6. Marque a opção "advanced mode" que fica no canto superior esquerdo do formulário.
1.1.7. Selecione o campo Unique como Replace.
1.1.8. Selecione o campo Version como IKEv2
1.1.9. Em local address preencha com o IP público do link (ou se tier atrás do modem/dmz - deixar vazio).
1.1.10. Deixe o campo remote addresses como vazio.
1.1.11. Habilite o campo UDP encapsulation.
1.1.12. Preencha uma descrição para o túnel.
1.1.13. Clique em adicionar (+) um Local Authentication.
1.1.14. Preencha o campo Id como matriz e salve.
1.1.15. Clique em adicionar (+) um Remote Authentication.
1.1.16. Preencha o campo Id como filial e salve.
1.1.17. Clique para adicionar (+) uma nova Children.
1.1.18. Em start action selecione Trap (vamos deixar o túnel em pé, mas aguardando o lado cliente vpn começar enviar tráfego).
1.1.19. Preencha o campo Local com a rede local (ex.: 192.168.10.0/24) e o campo Remote com a rede remota (ex.: 192.168.20.0/24).
1.1.20. Clique em salvar para fechar a fase 2.
1.1.21. Clique em salvar para salvar o túnel vpn.

1.2. Criar as regras de Firewall para permitir entrada da conexão IPSec.

1.2.1. Acesse o menu Firewall > Rules > Floating.
1.2.2. Crie uma nova regra para liberar o tráfego ipsec, selecionando as interfaces de internet, protocolo UDP, porta 4500, origem Any e destino o próprio firewall (this firewall / self). Aplique a regra após ter salvo.
1.2.3. Crie uma nova regra para liberar o tráfego ipsec, selecionando as interfaces de internet, protocolo UDP, porta 500, origem Any e destino o próprio firewall (this firewall / self). Aplique a regra após ter salvo.
1.2.4. Acesse o menu Firewall > Rules > IPsec e crie uma regra de firewall na interface do IPsec liberando todo o tráfego origem/destino/protocolo. Depois que tiver validado, você volta e cria apenas as regras de acessos específicos, mas por enquanto vamos deixar aberto mesmo.
1.2.5. Crie uma nova regra de firewall na interface LAN permitindo a rede local da matriz chegar na rede local da filial (allow, source:lan net, destination: single host or network 192.168.20.0/24). Após criar esta regra suba ela para o topo para ter precedência entre as outras.

2.1. Criando o túnel na filial

2.1.1. Acesse o menu VPN > IPsec > Pré-Shared Keys.
3.1.2. Crie uma nova Pré-Shared key clicando no ícone (+) adicionar.
2.1.3. Preencha o Local Identifier como filial e o Remote Identifier como matriz, preencha a pré-shared key (exemplo: password) que deverá ser a mesma nos 2 firewalls e clique em Save, depois Apply.
2.1.4. Acesse o menu VPN > IPsec > Connections.
2.1.5. Crie um novo túnel clicando no ícone (+) adicionar.
2.1.6. Marque a opção "advanced mode" que fica no canto superior esquerdo do formulário.
2.1.7. Selecione o campo Unique como Replace.
2.1.8. Selecione o campo Version como IKEv2.
2.1.9. Em local address deixar vazio.
2.1.10. Preencha o campo remote addresses com o IP público/ddns da matriz.
2.1.11. Habilite o campo UDP encapsulation.
2.1.12. Preencha uma descrição para o túnel.
1.1.13. Clique em adicionar (+) um Local Authentication.
2.1.14. Preencha o campo Id como filial e salve.
2.1.15. Clique em adicionar (+) um Remote Authentication.
2.1.16. Preencha o campo Id como matriz e salve.
2.1.17. Clique para adicionar (+) uma nova Children.
2.1.18. Em start action selecione Start (iniciar ativamente a conexão).
2.1.19. Preencha o campo Local com a rede local da filial (ex.: 192.168.20.0/24) e o campo Remote com a rede da matriz(ex.: 192.168.10.0/24).
2.1.20. Clique em salvar para fechar a fase 2.
2.1.21. Clique em salvar para salvar o túnel vpn.

2.2. Criar as regras de Firewall para permitir entrada da conexão IPSec.

2.2.1. Acesse o menu Firewall > Rules > IPsec e crie uma regra de firewall na interface do IPsec liberando todo o tráfego origem/destino/protocolo. Depois que tiver validado, você volta e cria apenas as regras de acessos específicos, mas por enquanto vamos deixar aberto mesmo.
2.2.2. Crie uma nova regra de firewall na interface LAN permitindo a rede local da filial chegar na rede local da matriz (allow, source:lan net, destination: single host or network 192.168.10.0/24). Após criar esta regra suba ela para o topo para ter precedência entre as outras.

3. Criar um gateway local (em ambos os firewalls) para forçar o tráfego Firewall <--> Firewall sair com o IP de lan.

3.1. Este procedimento não é obrigatório, mas vai facilitar quando você tem serviços iniciado dentro do próprio firewall que precisam conversar com a outra ponta.
3.2. Acesse o menu System > Gateways > Configuration.
3.3. Clique em adicionar um novo gateway (+).
3.4. Preencha o nome do gateway (GW_IPSEC_MATRIZ), selecione a interface LAN, e no campo IP address preencha com o endereço IP da interface LAN do firewall (192.168.20.1 a LAN do firewall da filial). Clique em salvar.
3.5. Acesse o menu Routes > Configuration.
3.6. Clique para adicioanar uma nova regra (+).
3.7. Preencha o campo Network address com a rede lan da matriz (192.168.10.0/24). Selecione o gateway criado anteriormente (GW_IPSEC_MATRIZ), dê uma descrição para a rota (ROTA_LAN_MATRIZ) e clique em Save depois em Apply.
3.8. Repita esta etapa agora no firewall da matriz, mas preenchendo os dados na perspectiva da matriz (alterar o ip do gateway para 192.168.10.1 e destino da rota como 192.168.20.0/24).

4. Testar
agora é só testar e validar que funciona.

Troubleshoot

- Faça uma captura de pacotes para garantir que o firewall da filial está chegando com algum tráfego na porta 500/4500 do firewall matriz.
- Verifique os logs em busca de alguma configuração desalinhada entre os dois firewalls.