OpenVPN no PFSense 2.1.4 (Pre-shared Key)

Segue a configuração para definir o PFSense como Servidor OpenVPN e configuração para cliente Windows ou Linux.

Primeiro vamos no menu VPN - OpenVPN

Agora vamos adicionar as configurações de acordo com a imagem abaixo:

Server mode: Peer to peer (shared Key)
Protocol: UDP
Device mode: TUN
Interface: WAN
Local port: 1194
Descriptiom: VPN
Shared Key: Automatically generate a shared key
Encryption Algorithm: None
Hardware Crypto: No hardware crypto Acceleration
IPv4 Tunnel Network: 10.10.10.0/30
IPv4 Local Networks: 192.168.0.0/24
IPv4 Remote Networks: 192.168.1.0/24
Compress tunnel packets using the LZO algorithm: Marcado

Depois disso entre novamente nas configurações do perfil que acabou de criar e copie o conteúdo do campo Shared Key e salve em um arquivo com o nome "chave.key".

 

Para finalizar basta criar uma regra no seu firewall para aceitar a conexão VPN.

  

Action: Pass

Interface: WAN

TCP/IP Version: IPv4

Protocol: UDP

Source: Any

Destination: WAN address

Destination port range: 

- from: OpenVPN

- to: OpenVPN

Description: VPN

Agora o arquivo de conexão do cliente vai ter o seguinte conteúdo:

dev tun
remote 200.200.200.200 1194
proto udp
ifconfig 10.10.10.2 10.10.10.1
route 192.168.1.0 255.255.255.0
persist-tun
secret chave.key
tun-ipv6
cipher none
comp-lzo

OBS.: Altere o IP 200.200.200.200 pelo IP da sua WAN.

Por fim basta colocar o arquivo chave.key no mesmo diretório que foi criado o arquivo acima.

Importante: No linux o arquivo deve ser chamado client.conf, no Windows o arquivo deverá ter a extensão .ovpn, ex: client.ovpn.

Leia mais »

Port Forward no PFSense 2.0.1

Segue abaixo instruções para fazer Port Forward no PFsense. Estou fazendo esse material por ter enfrentando uma peculiaridade com clientes PPPoE:

Acesse Firewall > Rules:

Adicione a seguinte regra para abertura da porta para acesso via WAN:

Action: Pass
Interface: WAN
Protocol: TCP
Destination: WAN Interface

Destination port range:
 - from: 8080
 - to: 8080

Description: INPUT HTTP (Campo opcional para você descrever a regra que está sendo criada, facilita para análise posterior)

Agora clique em Save.

Agora vá em Firewall > NAT

 Adicione a regra de acordo com sua necessidade:

Interface: WAN
Protocol: TCP (Usado nesse exemplo)
Destination port range:
 - from: 8080
 - to: 8080
Redirect target IP: 192.168.0.100 (IP usado como exemplo, será o IP do seu servidor interno)
Redirect Target port: 8080 (Porta que está funcionando o serviço a ser liberado)
Description: HTTP

A opções restantes serão deixadas como padrão.

Em seguida será criada uma regra em Port Forward dentro de NAT e uma regra de liberação de INPUT em Rules. Clique em Apply changes.

Volte para Firewall > Rules e observe que as duas regras que acabamos de criar estão listadas

OBS.: Para clientes que usam PPPoE as opções de block private networks deve ser desabilitada, em alguns casos o mesmo deve ser feito para block bogon networks.

Leia mais »

PFsense 2.0.1 + Squid + SquidGuard + Autenticação AD

Esse manual é de minha autoria mesmo e traz a configuração do PFsense 2.0.1 amd64 com Squid e SquidGuard criando regras personalizadas e autenticando toda a base do AD e não só grupos.

OBS.: Segue algumas informações importantes sobre a configuração:

   - Domínio = contoso.com
   - Usuário administrador do domínio = Administrator
   - Senha Administrator = admin.123
   - IP Servidor AD = 192.168.1.2
   - IP Servidor PFSense = 192.168.1.1

Primeiro vamos fazer a configuração dos servidores DNS no PFSense. Para isso vá em System > General Setup:

Defina seus servidores DNS e por onde a consulta vai sair, nesse caso usei o DNS do google e a saída pela WAN.

Agora vá em System > Packages e baixe o pacote Squid. Depois de instalado vá em Services > Proxy Server:

Na aba General preencha os campos com diz abaixo:

Proxy Interface = LAN

Allow users on interface = Marcada

Enabled logging = Marcada

Log store directory = /usr/squid/logs

Proxy Port = 3128

Visible Hostname = Servidor

Administrator e-mail: admin@localhost (Ou o e-mail do seu suporte técnico)

Agora vá na aba Auth Settings: e preencha os campos como diz abaixo:

Autentication method = LDAP
Ldap Version = 3
Autentication  server = 192.168.1.2
Autentication server port = 389
Ldap server user DN attribute = cn=Administrator,cn=Users,dc=contoso,dc=com
Ldap password = admin.123
Ldap base domain = dc=contoso,dc=com
Ldap username DN attribute = uid
Ldap search filter = sAMAccountName=%s

Agora adicione o pacote SquidGuard em System > Packages. Depois de instalado vá em Services > Proxy Filter.


Na aba General Settings marque a caixa Enable e clique no botão save.

Agora vá na aba Target categories e clique no botão Add.

Preencha os campos como diz abaixo:

Name: Personalizadas
Domain list: adicione os domínios separados por espaço (Ver imagem)
Descriptions: Regras personalizadas

Salve e vá para a aba Common ACL e clique no botão verde para mostrar as listas existentes:

Agora marque Default access [all] como Allow e Regras personalizadas [Personalizadas] como Deny:

Depois disso clique no botão Save.

OBS.: Lembrando que a política adotada nesse manual é negando acesso a alguns sites. Para bloquear tudo e liberar alguns endereços nós aplicamos as regras de forma invertida. Allow para Regras personalizadas [Personalizadas] e Deny para Default access [all].


Agora vamos criar uma regra no Firewall para bloquear a navegação direta para a internet. Vá em Firewall > Rules e clique em Add para criar nova regra.

Preencha os campos como diz abaixo:

Action = Block
Interface = LAN
Protocol = TCP
Source = Lan subnet
Destination:
   - Not = Marcada
   - Type = Lan subnet
Destination port range = HTTP

Pronto, o PFSense está configurado para controle de acesso a internet via usuários do AD. Basta marcar a configuração de proxy no navegador das estações da rede com o endereço 192.168.1.1 e a porta 3128.

Leia mais »

Failover no PFSense 2.0.0

Segue a seguir o procedimento e failover aplicado no PFSense 2.0.0. O cenário utilizado é com 2 conexões com a internet (WAN) e apenas 1 conexão de rede local (LAN).

Observação.: O servidor possui 3 placas de rede, 2 conectadas a internet e 1 conectada a rede interna. Na instalação eu defini apenas 1 wan e 1 lan. A segunda placa wan será configurada abaixo.

Vamos iniciar ativando a segunda interface WAN. Vá em: Interfaces > Assign

Clique no Botão Add:

Imediatamente o PFSense vai adicionar a interface restante. Agora basta clicar em Save

Agora vamos ativar e renomear a interface para evitar confusão. Vá em Interfaces > OPT1

Clique em Enable Interface, Altere o campo Description para WAN2, defina o tipo de conexão em Type para DHCP e clique em salvar.

Agora precisamos definir os endereços de servidores DNS, para isso vamos no menu System, opção General Setup:

Preencha os campos com o seus servidores DNS de cada provedor de acesso e defina a respectiva interface de conexão, ou faça como eu e defina os servidores DNS do google para cada interface:

8.8.8.8 - WAN
8.8.4.4 - WAN
8.8.8.8 - WAN2
8.8.4.4 - WAN2

Agora vamos iniciar o processo de configuração do failover propriamente. Vamos definir um Grupo de gateways, para isso vá em System > Routing:

confirme na aba Gateways que os gateways das interfaces WAN e WAN2 estão preenchidos.

Agora entre na aba Groups e clique no botão Add:

Preencha os campos da seguinte forma:

Group Name: Multilan
Gateway priority:
 * Tier1 - WAN
 * Tier 2 - WAN2
trigger Level: Packet Loss

Depois disso basta clicar em Save.

Depois desses passos vamos as configurações de Firewall. Vá em Firewall > Rules:

Entre na aba Floating e clique no botão Add new rule:

Preencha os campos da seguinte maneira:

Action: Pass
Interface: Selecione WAN e WAN2
Direction: Out
Protocol: TCP
Source: Any
Destination: Any
Destination Port Range
  * From: HTTP
  * To: HTTP

Desça a barra de rolagem até Advanced Features, Clique no botão Advanced na opção Gateway e selecione Multilan:

Salve e vá para Firewall > NAT:

Vá para a guia Outbound e marque a opção Manual Outbound NAT rule generation e salve. As regras abaixo irão aparecer na sua tela:

Vamos adicionar duas regras. Clique no botão Add e preencha os seguintes campos:

Interface: WAN
Protocol: Any
Source: Any
Destination: Any
Translation: Interface address

e clique em salvar.

Repita o procedimento criando nova regra só alterando a interface WAN por WAN2:

O resultado será a tela abaixo:

Pronto, o failover já estará funcionando. Agora só nos resta testar e confirmar que ele está realmente OK.

Leia mais »

VIDEO TUTORIAL - Instalação e configuração do PFSense

Segue o link do blog do Ivanildo Galvão, profissional ultra qualificado, consultor e professor da área de TI com uns vídeos tutoriais de como preparar o PFSense para as ações básicas.

http://www.ivanildogalvao.com.br/seguranca/instalando-e-configurando-o-pfsense

Leia mais »

PFsense 2.0 + SquidGuard + Autenticação AD

Na aba "Available Packages" procure por "squid" e mande instalar clicando no ícone no canto direito

Imediatamente você será direcionado para a página do Package Installer, nele veremos o progresso da instalação do pacote squid e suas dependências:

Vamos inserir as regras para a rede LAN:

OBS.: LAN net = LAN subnet

Agora vamos no menu Services > Proxy Server:

Na aba "General" certifique que "Transparent Proxy" está desmarcada.

Considerando que seu servidor wk3 está com o IP: 192.168.1.12, a senha do usuário Administrador é "pwd1admin" e seu domínio é prototipo

Na aba "Auth Settings" vamos adicionar os seguintes parâmetros:

Authentication method: LDAP
LDAP version: 3

Authentication server: 192.168.1.12
Authentication server port: 389
LDAP server user DN: cn=Administrador,cn=Users,dc=prototipo
LDAP password: pwd1admin
LDAP base domain: dc=prototipo
LDAP username DN attribute: uid
LDAP search filter: sAMAccountName=%s

OBS: Meu domínio coloquei somente o nome prototipo, não coloquei nada como .com.br ou .com

Após este processo o squid estará buscando os usuários pelo Ad, agora precisamos instalar o SquidGuard para que ele possa controlar estes usuários na rede.

Vá na aba Blacklist e baixe no site da shallalist os arquivos, ou cole na blacklist upload: http://www.shallalist.de/Downloads/shallalist.tar.gz

Vá na aba Common ACL e acesse Target Rules List e de um Deny no Default access All

Agora vamos adicionar em Group ACL os grupos que já temos cadastrados no Active directory.

No meu exemplo tenho cadastrado somente dois, um deles é “Internet-TI” “Internet-Padrao”, deixe-os com letras maiúsculas ou minúsculas do jeito que postou no Active Directory.

Note que no campo cliente, possui alguns usuários, é importante adiciona-los pois o SquidGuard vai bloquear de acordo com as especificações que você adicionará logo em Target Rules list

No meu exemplo, o Grupo Internet-TI terá bloqueado somente webmail.

Para fazer o teste, clique em "save" e volte para a aba General Settings e deixe de acordo com a tela abaixo.

Assim que o SquidGuard iniciar ficará com status Start. Aí é só testar. Para isso utilizei o Internet Explorer.

Vá em Ferramentas > Opções da Internet > Configurações da LAN

Configure de acordo com o Ip de seu PfSense.

Agora de um Ok e Ok

Feche o navegador e abra-o novamente e agora coloque o login e senha do grupo que adicionou. No meu caso: Internet-TI

Agora vou acessar um site que contenha webmail. Ex: www.hotmail.com.br

Este é o resultado.

Caso alguém tenha mais alguma ideia para tirar o cadastro de usuários no SquidGuard, pode postar aqui.

Autor: Marcelo Mangini 

Leia mais »