VPN - OpenVPN site to site (ponto a ponto) com pfSense

VPN - OpenVPN site to site (ponto a ponto) com pfSense


Nesta aula vamos criar uma VPN site to site (ponto a ponto) utilizando OpenVPN no pfSense.

O OpenVPN é um servidor e cliente de Open Source VPN que é suportado em várias plataformas, incluindo o pfSense. Ele pode ser usado para configurações de ponto a ponto (site to site) ou VPN de acesso remoto (client to site).

O OpenVPN pode trabalhar com chaves compartilhadas ou com uma configuração de PKI para SSL / TLS. VPNs de acesso remoto podem ser autenticadas localmente ou usando uma fonte de autenticação externa, como RADIUS ou LDAP.

Existem várias maneiras possíveis de configurar o OpenVPN no pfSense.

Nesta aula vamos configurar uma VPN ponto a ponto (site to site) de chave compartilhada (um par de sites por túnel).

Acesse VPN -> OpenVPN. Para criar um servidor OpenVPN clique no botão Add. (Crie o servidor na Matriz)

Temos as seguintes opções para criar um servidor OpenVPN.

Disabled: Se marcado desativa a regra.

Server mode:  selecione ‘Peer to Peer (Shared Key)’

Protocol: selecione ‘UDP on IPv4 only’

Device mode: selecione ‘tun - Layer 3 Tunnel Mode’

Interface: selecione ‘WAN’

Local port: 1194 (porta padrão)

Description: informe uma descrição para o servidor de VPN (VPN matriz)

Shared key: marque essa opção para gerar automaticamente uma chave compartilhada.

Encryption Algorithm: selecione ‘AES-128-CBC (128 bit key, 128 bit block)’

Enable NCP:  Podemos deixar desmarcada para utilizar apenas a criptografia marcada acima.

Auth digest algorithm: selecione  ‘SHA1 (160-bit)’

Hardware Crypto: selecione ‘No Hardware Crypto Acceleration’

IPv4 Tunnel Network: Vamos utilizar a faixa 10.0.0.0/31. (só vamos precisar de 2 IP’s.)

IPv4 Remote network(s): Deve ser informado as faixas de IP’s utilizados no cliente que vamos conectar no servidor OpenVPN. No caso é 192.168.10.0/24

Em ‘Advanced Configuration’ podemos deixar padrão. (Salve)

Servidor OpenVPN configurado no pfSense da matriz.


Agora vamos configurar o cliente OpenVPN (para conectar no servidor OpenVPN no pfSense da Matriz).

Acesse VPN -> OpenVPN selecione a aba Clients. Para criar um cliente OpenVPN clique no botão Add. (Crie o cliente na Filial)

Disabled: Se marcado desativa a regra.

Server mode:  selecione ‘Peer to Peer (Shared Key)’

Protocol: selecione ‘UDP on IPv4 only’

Device mode: selecione ‘tun - Layer 3 Tunnel Mode’

Interface: selecione ‘WAN’

Local port: deixe em branco para utilizar uma porta aleatória.

Server host or address: Informe o IP público ou DDNS do servidor OpenVPN.

Server port: neste exemplo utilizamos a porta 1194 (padrão) no servidor.

Proxy host or address: deixe em branco, não estamos utilizando proxy no momento.

Description: informe uma descrição para o cliente de VPN (VPN filial com matriz)


Auto generate: deixe essa opção desmarcada.

Shared key: Copie a Shared Key do servidor OpenVPN e Cole aqui.

Encryption Algorithm: selecione ‘AES-128-CBC (128 bit key, 128 bit block)’

Enable NCP:  Podemos deixar desmarcada para utilizar apenas a criptografia marcada acima.

Auth digest algorithm: selecione  ‘SHA1 (160-bit)’

Hardware Crypto: selecione ‘No Hardware Crypto Acceleration’


IPv4 Tunnel Network: Vamos utilizar a faixa 10.0.0.0/31. (só vamos precisar de 2 IP’s.)

IPv4 Remote network(s): Deve ser informado as faixas de IP’s utilizados no servidor OpenVPN que vamos conectar. No caso é 192.168.1.0/24

Em ‘Advanced Configuration’ podemos deixar padrão. (Salve)

Cliente OpenVPN configurado no pfSense da filial.


O cliente OpenVPN ainda não ira conseguir conectar no servidor OpenVPN pois para isso é necessário liberar a conexão na WAN do servidor OpenVPN. Acesse ‘Firewall -> Rules’  e selecione a aba ‘WAN’.

Podemos Visualizar a status da conexão OpenVPN direto na Dashboard do pfSense, utilizando o Widgets ‘OpenVPN’.

No servidor OpenVPN. (Matriz)

No cliente OpenVPN. (Filial)

Agora que conectamos a nossa Matriz na Filial utilizando o OpenVPN é necessário criarmos regras de Firewall na Interface OpenVPN para desbloquear o tráfego entre as duas redes. Acesse ‘Firewall -> Rules’  e selecione a aba ‘OpenVPN’.

Criando esta regra na Matriz e na Filial o tráfego entre as duas redes estará liberado.