Para aqueles que viram meu post anterior sobre como configurar um cliente VPN no pfSense, uma aplicação direta do conceito é rotear apenas sites específicos através da VPN enquanto o resto do tráfego passa pelo gateway do provedor de Internet – como de costume. Isso é interessante quando você quer usar IP de outro país para ler notícias locais, ou navegar com privacidade em sites ou quem sabe assistir aquele filme que só tem no catálogo do seu serviço de streaming em outro país. Sim, eu sei que o que você fez no verão passado!
A ideia por trás deste post é criar um aliases no firewall pfSense e, em seguida, modificar as regras de firewall LAN para selecionar um gateway diferente (e.g. o gateway VPN) quando os sites selecionados são detectados. Aqui vamos nós
Para este post, vou assumir que sua interface VPN é OPT1, mas você pode usar outras interfaces.
Navegue até Firewall >> Aliases >> IP e clique em Adicionar e preencha como a seguir:
Propriedades
- Nome: WEBSITES_VPN_EUA
- Descrição: Lista de URLs que devem ser roteados através de VPN dos EUA para privacidade
- Tipo: Host(s)
Host(s)
- IP ou FQDN: google.com (Aqui você adiciona o site que deseja esconder atrás da VPN)
Se você quiser adicionar mais URLs (hosts), clique em Adicionar host e adicione o IP/FQDN.
Quando terminar, clique em Salvar e Aplicar alterações. Agora precisamos atualizar as regras de firewall para usar a lista de sites para decidir por qual gateway seu tráfego passará.
Vá para Firewall >> Regras >> LAN e olhe atentamente para as regras existentes. Na parte inferior haverá uma regra PASS TUDO, que permite que o tráfego vindo da LAN em qualquer porta/protocolo com destino a qualquer IP/porta. O truque é adicionar a nova regra antes da regra PASSA TUDO. Isso porque o a regra “passa tudo” desvia todo o tráfego para o gateway WAN. Por isso, precisamos criar uma regra que envie o tráfego dos sites queridinhos para a interface OPT1 da VPN (ou seja lá como você nomeou sua interface de gateway VPN).
Em seguida, clique em Adicionar para criar uma nova regra de firewall:
- Editar regra de Firewall
- Ação: Liberar
- Família de endereços: IPv4 (ainda não estou usando IPv6 no meu homelab)
- Protocolo: Qualquer
- Origem
- Qualquer
- Destino
- Selecione “Único host ou alias“
- Digite “WEBSITES_VPN_EUA” como endereço de destino
- Opções extras
- Log: desmarcado
- Descrição: Forçar WEBSITES_VPN_EUA a passar pelo OPT1 para chegar à Internet
- Opções avançadas
- Deixe tudo como está.
- Porta: Selecione OPT1
Pressione salvar e aplicar alterações. Após alguns segundos, seu tráfego para todos os sites listados em WEBSITES_VPN_EUA será roteado através do seu túnel VPN.
Um truque que uso para testar essa configuração é adicionar “myip.com” a WEBSITES_VPN_EUA e depois visitá-lo e verificar se o IP listado não é do meu provedor de ISP, mas do meu provedor de VPN.
Opcional: Adicionando um interruptor da morte (kill switch) à sua conexão VPN
Kill switch é um mecanismo no qual nenhum tráfego é permitido através do provedor de Internet quando a conexão criptografada [cliente VPN] cai. Isso é importante para cenários em que é preferível perder conectividade do que arriscar expor dados fora do túnel.
Você terá que modificar a regra de firewall que acabou de ser criada em Firewall >> Regras >> LAN. Role para Opções Avançadas e altere o campo tag para vpntraffic. Clique em Salvar e Aplicar alterações.
Neste momento, todo o tráfego será marcado com vpntraffic. Isso será usado para identificar o tráfego proveniente da VPN para que possamos bloqueá-lo na próxima etapa.
Vá para Firewall >> Regras >> Flutuando e clique em Adicionar (seta para cima) para criar uma nova regra que será aplicada antes de todas as outras relacionadas à sua conexão WAN:
- Editar regra de firewall
- Ação: Bloquear
- Desativado: desmarcado
- Rápido: selecionado
- Interface: WAN
- Direção: Qualquer
- Família endereço: IPv4
- Protocolo: Qualquer
- Origem
- Seleção invertida: desmarcado
- Qualquer
- Destino
- Seleção invertida: desmarcado
- Qualquer
- Opções extras
- Descrição: Kill switch para tráfego de clientes OpenVPN
- Clique em Exibir Avançado.
- Opções avançadas
- Tag: vpntraffic
Clique em Salvar e Aplicar alterações.
Note que marcamos tráfego com o rótulo vpntraffic na interface LAN e o bloqueamos na interface Flutuante antes que pudesse chegar ao WAN, caso a interface OPT1 da VPN esteja desconectada.
Para testar, você pode desconectar a conexão VPN e verificar sua conectividade. Ele deve estar offline até que você reconecte a VPN.
É isso e aproveite sua navegação segura!