Skip to content
Geek is the Way!
Menu
  • Forums
  • Sobre o blog
  • Contato
  • Português
    • English
Menu

Roteamento de sites específicos através de um gateway VPN usando pfSense

Posted on 21/04/202104/08/2022 by Thiago Crepaldi

Para aqueles que viram meu post anterior sobre como configurar um cliente VPN no pfSense, uma aplicação direta do conceito é rotear apenas sites específicos através da VPN enquanto o resto do tráfego passa pelo gateway do provedor de Internet – como de costume. Isso é interessante quando você quer usar IP de outro país para ler notícias locais, ou navegar com privacidade em sites ou quem sabe assistir aquele filme que só tem no catálogo do seu serviço de streaming em outro país. Sim, eu sei que o que você fez no verão passado!

AVISO Este post foi traduzido automaticamente via software e revisado nas coxas por mim. É possível que as descrições textuais sejam diferentes das interfaces gráficas. Além disso, algumas capturas de tela podem estar em inglês enquanto as instruções em português. Recomendo muita hora nessa calma e fazer as adaptações necessárias

A ideia por trás deste post é criar um aliases no firewall pfSense e, em seguida, modificar as regras de firewall LAN para selecionar um gateway diferente (e.g. o gateway VPN) quando os sites selecionados são detectados. Aqui vamos nós

Para este post, vou assumir que sua interface VPN é OPT1, mas você pode usar outras interfaces.

Navegue até Firewall >> Aliases >> IP e clique em Adicionar e preencha como a seguir:

Propriedades

  • Nome: WEBSITES_VPN_EUA
  • Descrição: Lista de URLs que devem ser roteados através de VPN dos EUA para privacidade
  • Tipo: Host(s)

Host(s)

  • IP ou FQDN: google.com (Aqui você adiciona o site que deseja esconder atrás da VPN)

Se você quiser adicionar mais URLs (hosts), clique em Adicionar host e adicione o IP/FQDN.

Quando terminar, clique em Salvar e Aplicar alterações. Agora precisamos atualizar as regras de firewall para usar a lista de sites para decidir por qual gateway seu tráfego passará.

Vá para Firewall >> Regras >> LAN e olhe atentamente para as regras existentes. Na parte inferior haverá uma regra PASS TUDO, que permite que o tráfego vindo da LAN em qualquer porta/protocolo com destino a qualquer IP/porta. O truque é adicionar a nova regra antes da regra PASSA TUDO. Isso porque o a regra “passa tudo” desvia todo o tráfego para o gateway WAN. Por isso, precisamos criar uma regra que envie o tráfego dos sites queridinhos para a interface OPT1 da VPN (ou seja lá como você nomeou sua interface de gateway VPN).

Em seguida, clique em Adicionar para criar uma nova regra de firewall:

  • Editar regra de Firewall
    • Ação: Liberar
    • Família de endereços: IPv4 (ainda não estou usando IPv6 no meu homelab)
    • Protocolo: Qualquer
  • Origem
    • Qualquer
  • Destino
    • Selecione “Único host ou alias“
    • Digite “WEBSITES_VPN_EUA” como endereço de destino
  • Opções extras
    • Log: desmarcado
    • Descrição: Forçar WEBSITES_VPN_EUA a passar pelo OPT1 para chegar à Internet
  • Opções avançadas
    • Deixe tudo como está.
    • Porta: Selecione OPT1

Pressione salvar e aplicar alterações. Após alguns segundos, seu tráfego para todos os sites listados em WEBSITES_VPN_EUA será roteado através do seu túnel VPN.

Um truque que uso para testar essa configuração é adicionar “myip.com” a WEBSITES_VPN_EUA e depois visitá-lo e verificar se o IP listado não é do meu provedor de ISP, mas do meu provedor de VPN.

Opcional: Adicionando um interruptor da morte (kill switch) à sua conexão VPN

Kill switch é um mecanismo no qual nenhum tráfego é permitido através do provedor de Internet quando a conexão criptografada [cliente VPN] cai. Isso é importante para cenários em que é preferível perder conectividade do que arriscar expor dados fora do túnel.

Você terá que modificar a regra de firewall que acabou de ser criada em Firewall >> Regras >> LAN. Role para Opções Avançadas e altere o campo tag para vpntraffic. Clique em Salvar e Aplicar alterações.

Neste momento, todo o tráfego será marcado com vpntraffic. Isso será usado para identificar o tráfego proveniente da VPN para que possamos bloqueá-lo na próxima etapa.

Vá para Firewall >> Regras >> Flutuando e clique em Adicionar (seta para cima) para criar uma nova regra que será aplicada antes de todas as outras relacionadas à sua conexão WAN:

  • Editar regra de firewall
    • Ação: Bloquear
    • Desativado: desmarcado
    • Rápido: selecionado
    • Interface: WAN
    • Direção: Qualquer
    • Família endereço: IPv4
    • Protocolo: Qualquer
  • Origem
    • Seleção invertida: desmarcado
    • Qualquer
  • Destino
    • Seleção invertida: desmarcado
    • Qualquer
  • Opções extras
    • Descrição: Kill switch para tráfego de clientes OpenVPN
    • Clique em Exibir Avançado.
  • Opções avançadas
    • Tag: vpntraffic

Clique em Salvar e Aplicar alterações.

Note que marcamos tráfego com o rótulo vpntraffic na interface LAN e o bloqueamos na interface Flutuante antes que pudesse chegar ao WAN, caso a interface OPT1 da VPN esteja desconectada.

Para testar, você pode desconectar a conexão VPN e verificar sua conectividade. Ele deve estar offline até que você reconecte a VPN.

É isso e aproveite sua navegação segura!

Compartilhe isso:

  • Tweet

Related

Deixe uma respostaCancelar resposta

LIKED? SUPPORT IT :)

Buy Me a Coffee


Pesquisa


Categorias

  • Aleatório (3)
  • Cozinhando (1)
  • Homelab (50)
    • APC UPS (5)
    • Compras (1)
    • NAS Synology (7)
    • pfSense (33)
    • Proxmox (4)
    • Supermicro (1)
    • Ubiquiti (4)
    • UDM Pro (4)
  • Wordpress (1)

Tag

ambiente virtual proxmox (3) aplicativo apt-get (2) certificados (5) Certificados Let's Encrypt (5) comunidade proxmox (2) controlador unifi (2) DNS dinâmico (2) DNS Dinâmico (DDNS) (3) Dsistribuição Linux Debian (2) Equipamento UDM-Pro (5) Linha Unifi (3) No-Break APC (5) Nobreak UPS (5) Nuvem CloudFlare (2) Placa APC AP9631 (3) Plataforma PBS (3) Plataforma pfSense (35) Plataforma Proxmox (3) Plataforma PVE (3) Plataforma Synology (6) privacidade (2) Protocolo IPSEC (2) Protocolo LDAP (2) Protocolo SNMP (3) Protocolo SNMPv1 (3) Protocolo SSH (4) Protocolo SSL (5) Rede de Computadores (14) Redes VLAN (4) Rede VPN (8) Rede WiFi (4) rev202207br (54) Roteamento (2) segurança (14) Segurança com Firewall (7) Servidor de Backup Proxmox (3) servidor vpn (2) Serviço DNS (3) Serviço NMC (2) Serviço pfBlockerNG (2) Sistema Operacional DSM (6) sub-rede (2) Switch de rede Unifi (2) Tarefas cron (2) Tarefas crontab (2)

Ver também

Política de privacidade

Mapa do site

©2025 Geek is the Way! | Design by Superb