Agora acho que vai, ta dificil!!
Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque,
mas com IPsec não foi nem a pau.
Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando adiciono
o host do computador no alias lanliberados.
Para explicar o que é o lanliberados :
Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
chamado lanliberados, que permite acesso a tudo e também em bypass no
squid nas opções abaixo:
Regra do firewall:
Protocol Source Port
Destination Port Gateway
IPv4+6 TCP/UDP lanliberados * *
* *
Configurações no SQUID:
Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs
A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?
Só para constar eu tenho a regra no firewall WAN:
Protocol Source Port Destination Port Gateway
IPv4 UDP IP da Filial * WAN address 1195
*
E tenho a regra no firewall em OpenVPN permitindo tudo.
Obrigado a todos e aguardo anciosamente,
Fábio S. Nucci
-------- Mensagem encaminhada --------
Assunto: Re: [Pfsense-pt] VPN para acessar pasta em servidor Windows
com AD
Data: Tue, 9 May 2017 17:34:31 -0300
De: Fábio Sallasar Nucci <[email protected]>
Para: Lista em Português sobre pfSense <[email protected]>
Desculpem a gaf, não retirei o link e bagunçou tudo, kkk, segue
novamente corrigido.
Boa tarde Pessoal,
Consegui realizar a conexão VPN utilizando OpenVPN, não sei o porque,
mas com IPsec não foi nem a pau.
Agora o problema é o seguinte, utilizo squid e squidguard. Eu consigo
acessar as pastas na rede da Filial pela Matriz somente quando adiciono
o host do computador no alias lanliberados.
Para explicar o que é o lanliberados :
Tenho uma regra no firewall em LAN, que permite certos hosts em um alias
chamado lanliberados, que permite acesso a tudo e também em bypass no
squid nas opções abaixo:
Regra do firewall:
Protocol
Source
Port Destination
Port
Gateway
<http://192.168.0.1/firewall_rules.php?if=lan&act=toggle&id=11>
IPv4+6 TCP/UDP lanliberados * *
* *
Configurações no SQUID:
Bypass Proxy for These Source IPs
Bypass Proxy for These Destination IPs
A pergunta é, o bloqueio esta ocorrendo no firewall ou no proxy? Existe
alguma configuração no Squid ou no OpenVPN que precisa ser feita quando
utilizo proxy?
Só para constar eu tenho a regra no firewall WAN:
Protocol Source
Port Destination
Port
Gateway
<http://192.168.0.1/firewall_rules.php?if=wan&act=toggle&id=3>
IPv4 UDP IP da Filial
* WAN address 1195 *
E tenho a regra no firewall em OpenVPN permitindo tudo.
Obrigado a todos e aguardo anciosamente,
Fábio S. Nucci
Em 03/05/2017 23:31, Eduardo Rigler escreveu:
Prezado Fábio,
Talvez o problema na autenticação seja apenas em virtude das redes estarem
nas "mesmas redes", imagino que a maquina que está tentando acessar esteja
se perdendo na identificação do controlador de dominio dele, mas é apenas
um palpite, precisaria testar e entender o cenário mais à fundo.
Sobre seus questionamentos:
- Ranges diferentes sempre;
- Eu recomendo VPN IPsec ao invés de OpenVPN (entre as redes corporativas),
deixando o OpenVPN apenas para os clientes, mas vai do gosto do fregues;
- Ao invés de dois ADs separados talvez seja hora de pensar na consolidação
deles pois as redes estarão "juntas", fazendo só a replicação remotamente,
mas estou bem enferrujado nas features mais avançadas do Active Directory
então prefiro não palpitar muito além disso... rs;
- Eu particularmente prefiro usar o servidor DNS recursivo do pfsense
(Unbound). No autoritativo eu uso Bind em servidores separados visando
maior disponibilidade, mas também vai ao gosto do freguês;
Acho que é isso :-)
[]'s
Eduardo.
Em 3 de maio de 2017 16:49, Fábio Sallasar Nucci<[email protected]>
escreveu:
Bom tarde pessoal.
Por favor, se alguém puder dar umas dicas ou indicar o caminho ficarei
muito grato.
Para entenderem, meu cenário é:
Matriz com servidor pfSense 2.3.3-p1 (AMD64) com squid, squidguard e DHCP
e servidor Windows server 2012R2 com Active Directory e DNS;
Filial com pfSense 2.1.5 (AMD64) com squid, squidguard e servidor Windows
Server 2008R2 com Active Directory, DHCP e DNS.
Realizei uma conexão openVPN Client to Site de um computador de dentro da
rede da filial para a Matriz e ocorreu tudo certo, conexão foi perfeita,
até consigo pingar o IP do AD na Matriz.
As redes internas da Matriz e da Filial tem mesmo range: 192.168.0.0/24
Porém, não consigo acessar a pasta no servidor matriz pois da erro de
autenticação de logon, por serem domínios diferentes.
A duvida é a seguinte.
O range das redes tem que ser diferentes?
Tenho que realizar uma conexão VPN Site to Site e replicar meus Active
Directorys?
Ou se integrar o AD no pfSense com pf2AD eu consigo autenticar o usuario
VPN pelo AD?
Na opinião de vocês, qual seria o mais fácil ou se existe alguma outra
forma.
Obrigado desde já,
Fábio Sallasar Nucci
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
_______________________________________________
Pfsense-pt mailing list
[email protected]
http://lists.pfsense.org/mailman/listinfo/pfsense-pt
