Servidor de Acesso Remoto com OpenVPN – pfSENSE

1-Criar uma Autoridade Certificadora “CA”.“System/Certificate Manager/CAs” +Add 2048 bits, sha256, 3650 days

• Descriptive Name: VPN_CA• Method: Create an Internal Certificate Authority

• Country Code: BR• State or Province: Sao Paulo• City: Presidente Prudente• Organization: Empresa• Email Address: nome@email.com• Common Name: empresa-ca

2-Criar um certificado para o Servidor.“System/Certificate Manager/Certificates” +Add 2048 bits, sha256, 3650 days

• Method: Create an Internal Certificate• Descriptive Name: VPN Empresa

• Certificate Authority: VPN_CA• Certificate Type: Server Certificate• Country Code: BR• State or Province: Sao Paulo• City: Presidente Prudente• Organization: Empresa• Email Address: nome@email.com• Common Name: vpn-empresa

3-Cadastrar os usuários da VPN.“System/User Manager/Users” +Add

• Username: nome• Password: senha• Full Name: nome sobrenome

• Descriptive Name: nome• Certificate Authority: Empresa_CA

4-Configurar o Servidor de Acesso Remoto Open VPN.“VPN/OpenVPN/Wizards

• Type of Server: Local User Access

• Certificate Authority: VPN_CA

• Certificate: vpn-empresa

• Description: Nome para VPN• Cryptographic Settings: Auth Digest Algorithm (SHA256).

• Tunnel Network: 172.20.0.0/29 (Utilizar sempre uma faixa IP distinta da rede “LAN”).

Obs: Ver tabela com de manipulação de máscaras IP de redes locais no final do documento.

• Local Network:192.168.30.0/24

• Firewall Rule: marcar para criar regra de firewall automatica para o servidor.• OpenVPN rule: marcar para criar regra permitindo trafego através do tunel VPN.

• Finish: Finalizar a configuração do servidor de acesso remoto OpenVPN.

5-Instalar o pacote openvpn-client-export.“System/Package Manager/Available Packages” +Install

6-Exportar as configurações do cliente OpenVPN. “VPN/OpenVPN/Client Export” Download Current Windows Installer (2.4.6-lx02)

7-Instalar o cliente OpenVPN no Windows.

• Após realizar o download do cliente execute o aplicativo OpenVPN no Windows.

• Na janela do assistente de instalação do OpenVPN clique em “Install”.

• Na janela seguinte clique em “Next”.

• Na janela de termos de licença aceite clicando em “I Agree”.

• Na janela de seleção de componentes deixe o padrão já definido e clique em “Next”.

• Na janela de seleção de pasta de instalação clique em “Install”.

• Na janela seguinte aguarde a instalação do cliente OpenVPN.

• Na janela seguinte clique em “Finish” para finalizar a instalação.

• Na janela do bloco de notas verifique as informações gerais do OpenVPN.

• Na janela seguinte clique em “Close” para fechar o assistente do OpenVPN.

8-Conectar o cliente OpenVPN ao Servidor de Acesso Remoto.

Obs: Alterar o IP do arquivo de configuração do cliente OpenVPN para o IP externo atribuído pelo provedor de Internet. (C:\Arquivos de Programas\OpenVPN\config\OpenVPN Config File)

Obs: (Adicionar redirecionamento de porta “1194” no Roteador de borda para o Servidor de Acesso Remoto pfSense).

9-Informações básicas do Servidor de Acesso Remoto OpenVPN.“VPN/OpenVPN/Servers”

• Server mode: Modo de acesso remoto mais seguro utilizando uma chave criptografada e certificado de usuário “X.509” mais autenticação de nome de usuário e senha.

• Protocol: O protocolo “UDP” é utilizado por padrão para criar o tunelamento de trafego através da Internet por ter performance mais rápida de acesso remoto.

• Device mode: O modo “tun” trabalha na camada 3 do modelo “OSI” criando roteamento entre interfaces ponto a ponto.

• Interface: Interface padrão “WAN” do Servidor de Acesso Remoto para receber conexões externas originadas da Internet.

• Local port: Porta padrão “1194” para receber conexões externas originadas da Internet.

• Configurações de criptografia do Servidor de Acesso Remoto OpenVPN.

• TLS authentication: Autenticação de sessão “TLS” reforça a validação de ambos cliente e servidor através de chave estática compartilhada.

• Peer Certificate Authority: Seleção de Autoridade Certificadora utilizada para assinar o certificado do Servidor de Acesso Remoto.

• Server certificate: Seleção do Certificado gerado para o Servidor.• DH Parameter lenght (bits): Comprimento da chave Diffie-Hellman (2048 bits) para

estabelecer canal de comunicação segura.• Encryption Algorithm: Algoritmo de encriptação (AES-256CBC) utilizado para conexão

do servidor.• Auth digest algorithm: Algoritmo de autenticação (SHA256).• Certificate Depth: Profundidade de certificado um para cliente/servidor.

• Configurações para clientes do Servidor de Acesso Remoto OpenVPN.

• Dynamic IP: Para clientes OpenVPN que frequentemente mudam de endereço IP.• Address Pool: Atribuição automática de endereços IP para o adaptador virtual dos clientes

OpenVPN utilizando a sub-rede configurada em “Tunnel Network”.• Topology: Por padrão o OpenVPN no pfSense utiliza a topologia de sub-rede em modo tun,

alocando um endereço IP por cliente em sub-rede compartilhada.

10-Tabelas de endereçamento IP para redes locais e manipulação de mascaras de sub-rede.

• IPs válidos para redes locais e túneis de VPNs1-Rede Classe A 10.0.0.0 10.255.255.25516-Redes Classe B 172.16.0.0 172.31.255.255255-Redes Classe C 192.168.0.0 192.168.255.255

• Tabela de manipulação para definir sub-redes e quantidades de hosts válidos.CLASSE CBin 11111111 11111111 11111111 00000000 Net HostDec 255 255 255 0/24 1 254B 11111111 11111111 11111111 10000000D 255 255 255 128/25 2 126B 11111111 11111111 11111111 11000000D 255 255 255 192/26 4 62B 11111111 11111111 11111111 11100000D 255 255 255 224/27 8 30B 11111111 11111111 11111111 11110000D 255 255 255 240/28 16 14B 11111111 11111111 11111111 11111000D 255 255 255 248/29 32 6B 11111111 11111111 11111111 11111100D 255 255 255 252/30 64 2