pfSense 2.4.5 - Como configurar IPSEC VTI + OSPF no pfSense

preview_player
Показать описание
Olá Pessoal,

Neste vídeo abordamos a criação de VPN IPSEC VTI com foco voltado para o uso de roteamento, e aproveitamos o tema roteamento para falar também sobre configuração de protocolo de roteamento dinâmico com o uso de OSPF.

Obrigado e até o próximo vídeo,

Links úteis,

#pfsense
#firewall
#utm
#opensource
#free
#infra
#vti
#ipsec
#networking
  1. NETWORKPRO
  2. pfsense
  3. ipsec
  4. vti
  5. vpn
  6. ospf
Рекомендации по теме
pfsense 2.4.4 – 0:14:56

pfsense 2.4.4 – Como configurar IDS/IPS no pfSense usando o Suricata (1/2)

pfSense 2.4.5 - 0:25:44

pfSense 2.4.5 - Como configurar IPSEC VTI + OSPF no pfSense

pfSense 2.4.5 - 0:45:42

pfSense 2.4.5 - Como configurar o pfSense como concentrador VPN na Amazon – AWS

pfsense 2.4.4 – 0:12:57

pfsense 2.4.4 – Como configurar IPS/IDS no pfSense usando o SNORT

pfsense 2.4.4 - 0:13:04

pfsense 2.4.4 - Como automatizar tarefas no pfSense usando Ansible (2/5)

pfsense 2.4.4 – 0:10:11

pfsense 2.4.4 – Como criar interfaces vlan no pfSense

pfsense 2.4.4 - 0:10:37

pfsense 2.4.4 - Como automatizar tarefas no pfSense usando Ansible (1/5)

pfsense 2.4.4 - 0:08:22

pfsense 2.4.4 - Como configurar multi WAN no pfsense (Failover, Failback e Load balance)

The Easy Way 0:00:59

The Easy Way to Wire RJ45 Ethernet Plugs with Speedy

pfSense 2.4.5 - 0:28:14

pfSense 2.4.5 - Como configurar o OPENVPN para home office com IP dinâmico no pfSense

pfsense 2.4.4 – 0:20:13

pfsense 2.4.4 – Como configurar IDS/IPS no pfSense usando o Suricata (2/2)

pfsense 2.4.4 - 0:12:04

pfsense 2.4.4 - Como criar uma rede wifi corporativa com pfSense e Unifi (1/2)

pfsense 2.4.4 - 0:07:34

pfsense 2.4.4 - Como automatizar tarefas no pfSense usando Ansible (4/5)

Pfsense 2.5 instalação 0:13:53

Pfsense 2.5 instalação e configuração

Aula 04 - 0:27:55

Aula 04 - Configurando as Interfaces de Rede

How to Configure 0:07:02

How to Configure Multi-WAN on pfSense | Step-by-Step Guide

Tutorial - Instalação 0:04:42

Tutorial - Instalação do E2guardian no Pfsense 2.4.4 em 5 MINUTOS

Configurando Failover e 0:15:15

Configurando Failover e Load Balance no PFSense: Passo a Passo

pfsense 2.5 - 0:14:06

pfsense 2.5 - Como implementar o pfBlockerNG no pfSense (2/3) - DNS Webfilter

pfSense 2.4.5 - 0:10:15

pfSense 2.4.5 - Projeto de implementação de firewall (4/7) - SafeSearch via pfBlockerNG

How to use 0:15:59

How to use Multiple WAN on pfsense for Fail over and or Load Balancing

Seu roteador é 0:18:01

Seu roteador é uma droga! Faça um você mesmo com o pfSense

pfsense 2.4.4 - 0:07:35

pfsense 2.4.4 - Como automatizar tarefas no pfSense usando Ansible (5/5)

pfSense 2.5 tutorial 0:21:18

pfSense 2.5 tutorial español - Diseño, instalación y setup básico

Комментарии
Автор

Excelente Fernando, mto prático e objetivo seu vídeo, seu conteúdo vale ouro. Obrigado por compartilhar.

arthurtecpc
Автор

Excelente! Obrigado por esse material top e por compartilhar!

marciocesarcuryvalentin
Автор

Show de bola.... parabéns pela explicação.... estava procurando uma solução para quando cair uma VPN o tráfego ser redirecionado para outra VPN. E o modo que que vc mostrou já abriu um leque de possibilidades. Obrigado mesmo!!!! Deus o abençoe e que possibilite vc a fazer esse trabalho maravilhoso de passar conhecimento.

ianseycamoes
Автор

Muito obrigado pelo vídeo, com certeza vou colocar em prática em alguns projetos onde tenho uma infraestrutura semelhante, com a única diferença de que uma das conexões é um Ponto a Ponto com linha de fibra dedicada, mas não mudaria muito, também estou pensando em criar uma VPN que trafegue por esse link ponto a ponto para criptografar o tráfego. Muito bem explicado e claro que continuarei assistindo seus vídeos.

pedroporrasmedina
Автор

Absurdamente bem explicado. Valeu mestre!

intellq
Автор

Já estou montando um lab para testar. Excelente conteúdo, obrigado!!

edsonluis
Автор

Perfeito seu conteúdo!! Nota 1000
Me tira uma duvida, hoje tenho uma conexao Mpls entre matriz e filial, e gostaria de deixar um openvpn ativo sem rotas, e usando o OSPF, quando cair a Mpls, entrar essa conexao do openvpn?

_skycrash
Автор

Top velho, parabéns. Muito bom compartilhar este conteúdo.

LucasTavaresSoares
Автор

Olá, anteriormente eu fiz uma pergunta de como eu faria uso da internet da rede filial através da rede matriz usando o tunel ipsec, mas não concluí o teste pois precisava do segundo pfSense que só chegou agora. Estou tentando fechar o túnel IPSec mas tenho problemas de autenticação que pode ser devido a duas características da minha rede. Ficaria muito grato se pudesse me ajudar novamente.

A primeira caracteristica complicante é que embora a rede matrix tenha um pfsense ligado na ponta da internet, a rede filial tem um roteador GPON na ponta da internet, o qual conecta ao pfsense depois.

Reservei IP estático para o pfsense na filial e o coloquei na DMZ do roteador GPON. Com isso, pacotes chegando no gpon deveriam ser redirecionados para o pfsense. Por precaução t(e não sei se está correto), fiz port forward de udp 500 -> pfsense udp 500 e udp 4500 -> pfsense udp 4500 para tentar ajudar o NAT-T a funcionar (nao sou muito familiarizado com nat-t)

A segunda característica complicante é que ambas as redes matriz e filial, possuem IPs dinamicos. Tenho servicos DDNS configurado corretamente e ambos ddns.matrizdomain.com e ddns.filialdomain.com estao apontadando para os IPs publicos corretos. Tentei usar esses FQDN como My identifier e Peer Identifier na fase 1, mas o tunel não fecha. Acho que pode estar relacionado com o fato de a filial ter um IP 192.168.15.10 internamente e 206.55.YYY.XXX externamente. Vi relatos de pessoas dizendo para usar PSK ao invés de pre shared key para esses caso de double ddns, mas nao sei o que fazer.

Na filial, eu vejo essa mensagem:
Dec 20 18:53:00 charon 12[ENC] <bypasslan|34> generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Dec 20 18:53:00 charon 12[IKE] <bypasslan|34> received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding
Dec 20 18:53:00 charon 12[CFG] <bypasslan|34> no alternative config found
Dec 20 18:53:00 charon 12[CFG] <bypasslan|34> selected peer config 'bypasslan' unacceptable: non-matching authentication done
Dec 20 18:53:00 charon 12[CFG] <bypasslan|34> constraint requires public key authentication, but pre-shared key was used
Dec 20 18:53:00 charon 12[IKE] <bypasslan|34> authentication of 'matriz.domain.com' with pre-shared key successful
Dec 20 18:53:00 charon 12[CFG] <bypasslan|34> selected peer config 'bypasslan'
Dec 20 18:53:00 charon 12[CFG] <34> candidate "bypasslan", match: 1/1/24 (me/other/ike)
Dec 20 18:53:00 charon 12[CFG] <34> looking for peer configs matching
Dec 20 18:53:00 charon 12[ENC] <34> parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
Dec 20 18:53:00 charon 12[NET] <34> received packet: from 206.55.YYY.XXX[4500] to 192.168.15.10[4500] (272 bytes)
Dec 20 18:52:59 charon 12[NET] <34> sending packet: from 192.168.15.10[500] to 206.55.YYY.XXX[500] (464 bytes)
Dec 20 18:52:59 charon 12[ENC] <34> generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]
Dec 20 18:52:59 charon 12[CFG] <34> sending supported signature hash algorithms: sha256 sha384 sha512 identity
Dec 20 18:52:59 charon 12[IKE] <34> remote host is behind NAT
Dec 20 18:52:59 charon 12[IKE] <34> local host is behind NAT, sending keep alives


Enquanto que na matriz eu vejo esta:
Dec 20 13:53:00 charon 13[IKE] <con1000|31> received AUTHENTICATION_FAILED notify error
Dec 20 13:53:00 charon 13[ENC] <con1000|31> parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Dec 20 13:53:00 charon 13[NET] <con1000|31> received packet: from 177.188.YYY.XXX[4500] to 206.55.YYY.XXX[4500] (65 bytes)
Dec 20 13:53:00 charon 13[NET] <con1000|31> sending packet: from 206.55.YYY.XXX[4500] to 177.188.YYY.XXX[4500] (272 bytes)

muito obrigado novamente!

thiagocrepaldi
Автор

Amigo se puder ajudar seria de grande valor. Não acho explicação um lugar algum.
Tenho uma franquia com dois links. No outro lado (franqueador) já está configurado meus dois IPs. Configurei o tunnel com fase 2 e ele roda normal. Porém quando derrubo uma conexão ( tirando a fibra do modem), ele demora e tem vezes que não estabelece usando o outro link. Usei o Gateway na configuração do túnel um grupo de gateway que criei (failover)
Sabe o que posso fazer pra contornar isso ? Ambos os lados ip fixo. Não uso ddns

MarceloOliveira-ozpc
Автор

Muito bom o vídeo, obrigado. Tenho uma dúvida com relação a VTI sem OSPF. Supondo que o túnel esteja de pé e as duas redes estejam comunicando entre si e que cada rede conecte-se pela internet normalmente, como faria para forçar a rede filial acessar a internet através da matrix *ou* o contrário? Não sei se preciso de NAT ou alguma outra coisa em um dos lados para permitir esse cenário. Abraços

tognado
Автор

TOP Brother, muito bom mesmo. Abraço.

cristianodorneles
Автор

Faz um vídeo na Versão atual no pacote FRR por Favor !

sanvitijoao
Автор

Boa tarde amigo, primeiramente meus parabens pelos videos, estou aprendendo muito, gostaria de tirar uma duvida, no meu caso eu trabalho com dois pfsense em HA (CARP) e para todas interfaces dele (exceto a SYNC) tem um virtual IP (VIP), nesse caso para que eu tenha esse tunnel habilitado em HA eu preciso criar um VIP tambem? Reparei que ao criar a interface nos dois firewalls a opção do payload sincronizou normalmente, ainda não realizei testes pois so tenho acesso a equipamentos de produção e meu simulador eve preciso refazer pois formatei meu computador recentemente, desde já agradeço a atenção e muito obrigado e um grande abraço.

vlopes
Автор

Olá. Excelente material. Você usa o pfSense em HA nas duas pontas junto com esse tipo de roteamento?

zagogratidao
Автор

Boa tarde, excelente tutorial, ótimas informações. Tentei alterar este cenário, considerando que um dos links entre os dois PFSense seja um link dedicado (10.2.1.0/30) sem acesso à internet. Nos testes, simulando a queda da WAN em um dos lados, continuou havendo comunicação entre os dois pontos como era esperado. É possível que a estação, ligada ao PFSense em que a WAN esteja inoperante, acesse a internet através do outro PFSense em que a WAN esteja operando? Isto seria possível?

kmarcomedeiros
Автор

Parabéns pelo compartilhamento de conhecimento. que Deus te devolva em 100x.
por favor quero tira uma dúvida:
Se tenho duas filiais que os ips internos são na mesma classe tipo: 192.168.1.0/24.

Existe alguma forma da matriz diferenciar uma da outra pela vpn, ou terei que trocar a classe de uma delas?
muito obrigado

ramoschico
Автор

No modo ipsec tradicional em algumas situações para eu a fase 2 cai muito mesmo revendo os liftimes, não sei o porquê. Alguém passa por este problema?

gustavopimentel
Автор

Nesse modelo, eu poderia colocar + uma WAN em cada ponto, e caso uma ponto ficar sem Internet fazer a saída pela outra ponta?

michaeltavares
Автор

Infelizmente com a atualização para versão 2.5.1-RELEASE (amd64) o pacote não esta mais disponível, seria possível mostrar outra alternativa?

welyqrsondebastosdoamaral