Roteamento de dispositivos para gateways VPN usando o pfSense

Posted on by Thiago Crepaldi

Enquanto eu estava escrevendo um post sobre como rotear tráfego web através da VPN, eu me inspirei e decidi fazer outro post sobre como rotear dispositivos (por exemplo um servidor NAS, laptop, iPhone, etc) através da VPN, enquanto o resto de sua casa continua usando o gateway padrão do provedor de Internet. Esse tipo de abordagem pode ser interessante, pois nem sempre a conexão VPN é boa o suficiente (em termos de velocidade ou estabilidade) para manter toda a rede conectada a todo o moment; ou talvez alguns sites não funcionem corretamente atrás de VPN, como no caso de muitos site de bancos.

A ideia por trás deste post é criar um aliases no seu firewall pfSense e, em seguida, modificar as regras de firewall LAN para usar um gateway diferente (o gateway VPN) quando os dispositivos especificados no aliases são detectados.

Um pré-requisito para este post é criar aliases de firewall chamado RFC1918, como discutido em posts anteriores. Assumirei que sua interface VPN seja OPT1, mas pode usar um nome diferente.

Navegue até Firewall >> Aliases >> IP e clique em Adicionar e fazer o seguinte:

Propriedades

  • Nome: DISPOSITIVOS_VPN_EUA
  • Descrição: Lista de IPs/Hostnames que devem ser encaminhados através de VPN dos EUA para privacidade
  • Tipo: Host(s)

Host(s)

  • IP ou FQDN: Aqui você adiciona o nome IP ou host que deseja ocultar atrás da VPN

Se você quiser adicionar mais dispositivos, clique em Adicionar host e adicione o IP/FQDN.

Quando terminar, clique em Salvar e Aplicar alterações. Agora precisamos atualizar suas regras de firewall para usar esta lista de dispositivos para decidir por qual gateway seu tráfego passa.

Vá para Firewall >> Regras >> LAN e olhe atentamente para as regras existentes. Na parte inferior haverá uma regra PASSA TUDO, que permite que o tráfego passe através da interface LAN em qualquer porta/protocolo para qualquer IP/porta destino. O truque é adicionar a nova regra antes da regra “passa tudo”. Isso é necessário porque a regra “passa tudo” desvia o tráfego provenientes de todos dispositivos através do gateway WAN. Por conta disso, precisamos criar uma regra que envie tráfego dos dispositivos específicos para o gateway OPT1 (ou seja lá como nomeou sua interface de gateway VPN) antes.

Em seguida, clique em Adicionar para criar uma nova regra de firewall:

  • Editar regra de Firewall
    • Ação: Liberar
    • Família de endereços: IPv4 (ainda não estou usando IPv6 no meu homelab)
    • Protocolo: Qualquer
  • Origem
    • Selecione “Único host ou alias
    • Digite “DISPOSITIVOS_VPN_EUA” como endereço de origem
  • Destino
    • Seleção invertida: verificado
    • Selecione “Único host ou alias
    • Digite “RFC1918” como endereço de destino
  • Opções extras
    • Log: desmarcado
    • Descrição: Force dispositivos em DISPOSITIVOS_VPN_EUA a passar pelo OPT1 para chegar à Internet
  • Opções avançadas
    • Deixe tudo como está.
    • Porta: Selecione OPT1

Pressione salvar e aplicar alterações. Após alguns segundos, o tráfego proveniente do DISPOSITIVOS_VPN_EUA será roteado através do túnel VPN.

Um truque que uso para testar o funcionamento é adicionar meu celular ou laptop ao DISPOSITIVOS_VPN_EUA e depois visitar myip.com e verificar se o IP listado não é do provedor de Internet, mas sim do provedor de VPN.

Opcional: Adicionando um interruptor da morte (kill switch) à sua conexão VPN

Kill switch é um mecanismo no qual nenhum tráfego é permitido através do gateway do seu provedor quando a conexão criptografada [cliente VPN] cai. Isso é importante para cenários em que é preferível perder conectividade do que arriscar expor dados fora do túnel.

Você terá que modificar a regra de firewall que acabou de ser criada. Visite Firewall >> Regras >> LAN e role para Opções Avançadas e altere o campo tag para vpntraffic. Clique em Salvar e Aplicar alterações.

Neste momento, todo o tráfego será marcado com vpntraffic. Essa tag será usada para identificar o tráfego destinado à VPN para que possamos bloqueá-lo na próxima etapa.

Vá para Firewall >> Regras >> Flutuantes e clique em Adicionar (seta para cima) para criar uma nova regra que será aplicada antes de todas as outras relacionadas à sua conexão WAN:

  • Editar regra de firewall
    • Ação: Bloquear
    • Desativado: desmarcado
    • Rápido: marcado
    • Interface: WAN
    • Direção: Qualquer
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Seleção invertida: desmarcado
    • Qualquer
  • Destino
    • Seleção invertida: desmarcado
    • Qualquer
  • Opções extras
    • Descrição: Kill switch para tráfego de clientes OpenVPN
    • Clique em Display Advanced.
  • Opções avançadas
    • Marcado: vpntraffic

Clique em Salvar e Aplicar alterações.

Note que marcamos tráfego com o rótulo vpntraffic na interface LAN e o bloqueamos na interface Flutuante antes que pudesse chegar ao WAN, caso a interface OPT1 da VPN estivesse indisponível.

Para testar, você pode desconectar a conexão VPN e verificar a conectividade de algum dispositivo do alias DISPOSITIVOS_VPN_EUA. Ele deve estar offline até que você reconecte a VPN.

Feliz navegação segura!

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

WordPress Appliance - Powered by TurnKey Linux