Guia Completo para VPN Entre Escritórios com pfSense

1. PLANEJAMENTO INICIAL

1.1 Dados Necessários

• Matriz (SP):
• Rede LAN: 192.168.1.0/24
• IP WAN: Fixo (ex: 200.100.50.1)

• Filial (RJ):
• Rede LAN: 192.168.2.0/24 (deve ser diferente da matriz)
• IP WAN: Dinâmico (usar DDNS)

1.2 Verificações Cruciais

• Firmware do pfSense atualizado (≥ 2.6)
• Portas UDP 500/4500 (IPSec) ou 1194 (OpenVPN) liberadas
• Nenhuma sobreposição de redes locais

2. CONFIGURAÇÃO IPSEC (MÉTODO RECOMENDADO)

2.1 Configuração do Servidor (SP)

1. VPN > IPSec > Tunnels > Add P1:

• Remote Gateway:  rj-empresa.ddns.net
• Pre-Shared Key:  S3nh@F0rt3!2023  (anote em local seguro)
• Encryption: AES-256-GCM
• Lifetime: 28800 (8h)

1. Fase 2 (Add P2):

• Local Network:  192.168.1.0/24
• Remote Network:  192.168.2.0/24

2.2 Configuração do Cliente (RJ)

• Repetir configuração invertendo:
• Remote Gateway:  sp-empresa.ddns.net
• Local/Remote Networks

Erros Comuns & Correções:

"No Proposal Chosen"

Solução: Verificar se ambos lados usam:

• Mesmo algoritmo (ex: AES-256-GCM)
• Mesmo DH Group (ex: 14)

VPN cai frequentemente
Solução: Aumentar Lifetime para 86400 (24h) em Advanced Settings

3. CONFIGURAÇÃO OPENVPN (ALTERNATIVA)

3.1 No Servidor (SP)

1. System > Cert. Manager: Criar CA e certificado do servidor
2. VPN > OpenVPN > Servers > Add:

• Protocol: UDP
• Port: 1194
• Tunnel Network:  10.10.10.0/24
• Local Network:  192.168.1.0/24

3.2 No Cliente (RJ)

1. Importar configuração do arquivo  .ovpn  em VPN > OpenVPN > Clients
2. Verificar:

• Server Host:  sp-empresa.ddns.net
• Porta: 1194

Erros Comuns & Correções:

 "TLS Handshake Failed"

Solução:

• Verificar data/hora nos dispositivos
• Regerar certificados em Cert. Manager

Conexão lenta
Solução:

• Reduzir criptografia para AES-128-GCM
• Habilitar  compress lzo

4. CONFIGURAÇÃO DE FIREWALL

4.1 Regras Básicas

• Servidor (SP):
• Permitir tráfego de  10.10.10.0/24  para  192.168.1.0/24
• Cliente (RJ):
• Permitir tráfego de  10.10.10.0/24  para  192.168.2.0/24

Erro Típico:
Ping funciona mas aplicações não
Solução:

• Verificar regras específicas para portas (ex: 445 para SMB)
• Testar com  tcpdump  em Diagnostics > Packet Capture

5. TESTES E VALIDAÇÃO

5.1 Testes Básicos

# Na filial (RJ):

ping 192.168.1.1  # Gateway da matriz

curl http://192.168.1.100  # Teste HTTP

5.2 Testes Avançados

• Transferência de arquivos grandes (>1GB)
• Chamadas VoIP (ex: porta 5060)

Problema Comum:
Latência alta
Solução:

• Ajustar MTU para 1400 em Interfaces > WAN
• Desativar PFS (Perfect Forward Secrecy)

6. GERENCIAMENTO DE USUÁRIOS

6.1 Para OpenVPN

1. Criar certificados individuais em Cert. Manager
2. Exportar arquivos  .ovpn  personalizados

6.2 Monitoramento

• Verificar conexões ativas em Status > OpenVPN
• Logs detalhados em Status > System Logs

Erro Comum:
Usuário não consegue conectar
Solução:

• Verificar validade do certificado
• Checar se o usuário está na sub-rede permitida

7. BACKUP E RECUPERAÇÃO

7.1 Backup das Configurações

• Exportar settings em Diagnostics > Backup
• Armazenar senhas/certificados em local seguro

7.2 Procedimento de Restauração

1. Refazer configuração manualmente ou
2. Importar backup em Diagnostics > Restore

8. CHECKLIST FINAL

VPN estabelecida (Status: "ESTABLISHED")

Testes de conectividade bem-sucedidos
Regras de firewall aplicadas
Backup realizado

Considerações finais

• Para ambientes críticos, considerar VPN redundante
• Documentar todas as alterações em log de mudanças
• Revisar configurações semestralmente