Criar túnel IPSec - pfSense
Este artigo mostra como criar um túnel IPSec de um pfSense para outro pfSense.
As configurações variam de firewall para firewall, a depender do fabricante, porém o conceito permanece o mesmo, as informações devem ser preenchidas em ambos os lados para o túnel poder ser estabelecido.
Configurando a Phase 1
1- A phase 1 trata-se de estabelecer o túnel pelos IPs públicos. Sendo assim, vamos acessar o pfSense em VPN - IPSec.
2- Preencha com os dados do cliente:
2.1- Description: nome do túnel
2.2- Remote Gateway: IP público da outra ponta
2.3- Pre-Shared Key: defina uma chave, no qual será compartilhada para estabelecer o túnel ou gere uma aleatória clicando em "Generate new Pre-Shared Key". Essa chave você precisará enviar para a pessoa que irá configurar o outro firewall, na outra ponta.
3- Mantenha o restante das opções padrão. Caso altere alguma informação, precisará informar para que a outra ponta preencha da mesma forma, senão a conexão não será estabelecida. Por fim, clique em "Save".
Configurando a Phase 2
4- A Phase 2 é a configuração das redes privadas, de ambos os lados. Sendo assim, vamos configurar a conexão das LANs. Clique em "Add p2".
5- Preencha as informações abaixo:
5.1- Description: nome do túnel na fase 2
5.2- Local network: a interface de rede que responde na sua rede interna, no nosso caso, a VLAN100.
5.3- Remote Network: a rede privada remota, no formato CIDR.
Por fim, mantenha o restante das informações padrão e clique em "Save".
6- Ao finalizar as configurações no primeiro firewall, informe ao destino as suas informações abaixo para que na outra ponta seja preenchida da mesma forma, para estabelecimento da conexão.
Configurado Phase 1 no segundo firewall
7- No segundo firewall, preencha com as informações do primeiro firewall, com os mesmos passos anteriores.
Configurado Phase 2 no segundo firewall
8- Da mesma forma que o passo anterior, preencha a phase 2 com as informações do primeiro firewall.
9- Mantenha o restante das informações padrão e clique em "Save".
Criando a regra de firewall na interface IPSec
10- Ao criar o IPSec, o pfSense criará a interface para gerenciamento das regras em Firewall - Rules. Por padrão, ele não configurará nenhuma regra, sendo assim, precisaremos criar a regra default para que a comunicação por dentro do túnel seja possível. Caso contrário, o túnel se estabelecerá, porém a comunicação não será possível.
11- Sendo assim, clique em "Add". Preencha os campos abaixo como "Any", para que seja possível a comunicação de qualquer protocolo, em qualquer origem e destino, dentro do túnel.
11.1- Protocol: os protocolos que serão permitidos por dentro do túnel
11.2- Source: origem do pacote
11.3- Destination: destino do pacote
11.4- Log: permitirá o pfSense gerar logs de comunicação. Você pode acompanhar em "Status - System Logs"
12- Clique em "Save" para criar a regra.
Verificando a conexão
13- Para verificar o status da conexão, vá em "Status - IPSec". Caso ainda não esteja estabelecido automaticamente, clique em "Connect p1 and p2". Caso as informações estejam corretas, em ambos os lados, a conexão estabelecerá, como mostra a imagem abaixo.