Ao ler meu post anterior, você pode ter criado um túnel IPSec para conectar sua casa e escritório (ou algo assim). Isso é útil por si só, mas pode ser o caso de você também querer que todo o tráfego de internet de um site passe, digamos, pelo site B.
Sim, eu sei, preciso trabalhar em títulos mais curtos 😀
Uma razão para tal configuração pode ser devido a restrições geográficas, ou talvez o Site B tenha um IP público estático que permite acesso a recursos restritos não disponíveis através do IP público do Site A ou qualquer outra razão legal que tenha inventado. Podemos fazer isso usando NAT de saída e alguns outros truques.
Semelhante a este post e este post, não enviaremos todo o tráfego do Site A através do Site B (embora possa escrever sobre isso, caso queiram). Criaremos uma nova rede Wi-Fi no Site A (por exemplo, SSID Internet_atraves_SiteB) que roteia o tráfego da Internet através do site B. O resto das rotas de rede do Site A (exceto Internet_atraves_SiteB) continuando usando o seu gateway padrão. Esta é uma abordagem mais seletiva que pode salvar largura de banda de ambos os sites!
Site A
Crie uma nova rede WiFi
Se você tem um Switch Unifi, você pode criar uma nova rede WiFi como mostrado aqui. No entanto, se você tem um Unifi Dream Machine Pro, este post é o post que precisa!
Recomendo o uso de uma VLAN entre 2 e 254, para que possamos usar o VLAN ID como parte do octeto IP. Por exemplo, dado que as VLANs serão criadas na rede 10.0.0.0/24, para um VLAN ID 92, podemos ter 10.92.0.0/24 como a rede VLAN, o que ajuda a identificar conexões em análises futuras. Vamos adotar o VLAN 92 para este post!
Neste ponto, você tem um novo WiFi que não funciona devido à configuração VLAN incompleta. Você pode corrigir isso seguindo este tutorial sobre como configurar uma VLAN no seu pfSense. Use os seguintes parâmetros durante esta etapa:
- Endereço LAN: 10.92.0.1/24
- VLAN ID: 92
- Faixa DHCP: 10.92.0.100-10.92.100.199
- Servidor NTP/DNS: 10.92.0.1
- Nome de domínio: lan.domain.com
- Porta: IPSEC_SITES_A_B_VTIV4
- Este é o segredo para obter o tráfego passando pelo Site A
Site B
Criar NAT de saída
Precisamos permitir que o tráfego venha do Site A para executar o NAT no lado B do Site.
Vá para Firewall >> NAT >> Saída e altere o modo NAT de saída para a geração de regras NAT de saída híbrida. Isso manterá todas as suas regras existentes e permitirá que mais sejam adicionadas junto delas! Confirme a seleção clicando em Salvar e Aplicar alterações!
Em seguida, clique em Adicionar na seção Mapeamentos e faça o seguinte:
- Editar entrada NAT de saída avançada
- Desativado: desmarcado
- Não faça NAT: desmarcado
- Interface: IPSEC_SITES_B_A
- Família de endereços: IPv4
- Protocolo: Qualquer
- Fonte
- Tipo: Rede
- Rede de origem: 10.92.0.0/24
- Porta ou alcance: vazio
- Destino
- Tipo: Qualquer
- Rede de destinos: vazia
- Porta ou alcance: vazio
- Tradução
- Endereço: Endereço de interface
- Porta ou Alcance: vazio
- Misc
- Sem XMLRPC Sync: desmarcado
- Descrição: NAT para o túnel IPsec Local A
Pressione os botões de Salvar e Aplicar alterações.
Criar rota estática para a sub-rede do Site A
Navegue até Sistema >> Roteamento >> Rotas Estáticas, clique em Adicionar e faça o seguinte:
- Editar entrada de rota
- Rede de destinos: 10.92.0.0
- Gateway: Selecione a interface IPSec
- Desativado: desmarcado
- Descrição: Rota IPSEC para sub-rede do Site A
Clicar em Salvar e Aplicar alteraçõescompletam a configuração no site A.
Verificando as coisas…
É isso, é isso. Acesse o Site A, conecte-se à rede WiFi e visite myip.com para verificar se o IP que está sendo usado é aquele pertencente ao gateway do Site B!
Referências
- https://docs.netgate.com/pfsense/en/latest/recipes/ipsec-s2s-route-internet-traffic.html#configure-outbound-nat
- https://pfsense-docs.readthedocs.io/en/latest/vpn/ipsec/routing-internet-traffic-through-a-site-to-site-ipsec-vpn.html#configure-outbound-nat