Capítulo 23 – VPN Site-to-Site com IPsec
Introdução
Interligar matriz e filial via VPN (Virtual Private Network) é uma necessidade comum em ambientes corporativos modernos, especialmente quando há necessidade de comunicação segura, privada e contínua entre localidades geograficamente distintas.
Quando ambas as pontas da conexão utilizam o OPNsense, a configuração de uma VPN site-to-site com IPsec torna-se padronizada, segura e de fácil manutenção.
Neste capítulo, você aprenderá a criar um túnel IPsec site-to-site entre duas unidades — Matriz e Filial —, utilizando endereços IP públicos fixos. O objetivo é permitir que as redes locais se comuniquem de forma criptografada, estável e transparente, substituindo soluções mais caras como MPLS.
Cenários Mais Avançados
Este capítulo aborda o modelo básico de IPsec, ideal para topologias simples com IPs públicos fixos.
Para cenários que exigem redundância, múltiplos links ou failover automático, é recomendado o uso de IPsec Roteado (VTI) integrado a protocolos de roteamento dinâmico como BGP, que será abordado em capítulos posteriores.
Cenário de Exemplo
| Local | WAN (IP Público) | LAN (Rede Interna) |
|---|---|---|
| Matriz | 180.0.0.1 | 192.168.1.0/24 |
| Filial | 200.0.0.1 | 192.168.2.0/24 |
Note
O objetivo é permitir que as máquinas das duas redes locais se comuniquem por meio de um túnel IPsec criptografado, de forma transparente e segura.
Entendendo as Fases do IPsec
Antes de iniciar a configuração, é importante compreender os dois estágios principais do IPsec:
- Fase 1 (IKE): estabelece o canal seguro entre os firewalls, autenticando as pontas e negociando algoritmos de criptografia.
- Fase 2 (CHILD_SA): define quais redes locais e remotas serão protegidas dentro desse túnel.
Para facilitar o entendimento
Pense na Fase 1 como a estrada que conecta duas cidades, e na Fase 2 como o ônibus que leva os passageiros utilizando essa estrada.
Configuração na Matriz
1. Habilitar o IPsec
- Acesse VPN → IPsec → Connections.
- Marque Enable IPsec.
- Clique em Apply.
2. Criar a Chave Pré-Compartilhada (PSK)
- Acesse VPN → IPsec → Pre-Shared Keys.
- Clique em + Add.
- Preencha:
- Local Identifier:
matriz - Remote Identifier:
filial - Pre-Shared Key:
password2025(use uma senha forte e única) - Type:
PSK
- Local Identifier:
- Clique em Save, depois em Apply Changes.
Note
Ao conectar com outros firewalls (FortiGate, Cisco, Mikrotik etc.), utilize IPs reais nos campos Local Identifier e Remote Identifier, pois muitos fabricantes exigem esse formato.
3. Criar a Conexão IPsec (Fase 1 – IKE)
- Vá para VPN → IPsec → Connections.
- Clique em + Add.
- Preencha:
- Local Address:
180.0.0.1 - Remote Address:
200.0.0.1 - Description:
VPN-COM-FILIAL
- Local Address:
- Clique em Save.
- Em Local Authentication, clique em + Add, preencha o ID com
matrize clique em Save. - Em Remote Authentication, clique em + Add, preencha o ID com
filiale clique em Save.
Note
O campo ID usado aqui deve ser exatamente o mesmo definido na seção de Pre-Shared Keys.
4. Configurar a Fase 2 (CHILD_SA)
- Clique em + Add Children.
- Preencha:
- Local Network:
192.168.1.0/24 - Remote Network:
192.168.2.0/24
- Local Network:
- Clique em Save e depois em Apply Changes.
5. Criar Regras de Firewall na WAN
Crie estas regras em Firewall → Rules → WAN:
| Protocolo | Porta | Destino | Descrição |
|---|---|---|---|
| ESP | — | This Firewall | Permite tráfego ESP |
| UDP | 500 | This Firewall | Permite IKE (Fase 1) |
| UDP | 4500 | This Firewall | Permite IPsec NAT-T |
Após criar, clique em Apply Changes.
6. Criar Regras de Firewall na Interface IPsec
- Vá em Firewall → Rules → IPsec.
- Clique em + Add.
- Preencha:
- Action:
Pass - Protocol:
Any - Source:
192.168.2.0/24 - Destination:
192.168.1.0/24 - Description:
Permite LAN filial acessar LAN matriz
- Action:
- Salve e aplique.
Importante
Se a interface IPsec não aparecer na lista de regras:
- Pressione F5
- Confirme se o IPsec está habilitado
- Clique em Apply
- Se necessário, reinicie o firewall
Configuração na Filial
A configuração deve ser espelhada:
| Parâmetro | Matriz | Filial |
|---|---|---|
| Local Identifier | matriz | filial |
| Remote Identifier | filial | matriz |
| Local Address | 180.0.0.1 | 200.0.0.1 |
| Remote Address | 200.0.0.1 | 180.0.0.1 |
| Local Network | 192.168.1.0/24 | 192.168.2.0/24 |
| Remote Network | 192.168.2.0/24 | 192.168.1.0/24 |
Repita os mesmos passos (PSK, Fase 1, Fase 2, regras de WAN e IPsec).
Validação da Conexão
1. Teste de Conectividade
- No firewall da Filial, acesse Interfaces → Diagnostics → Ping.
- Em Destination, digite
192.168.1.1. - Em Source address, selecione
LAN(192.168.2.1). - Verifique se há resposta.
2. Verificação Visual
Acesse VPN → IPsec → Connections e confirme o status verde.
3. Troubleshooting
- Reinicie o túnel
- Veja logs em VPN → IPsec → Log File
- Revise regras da WAN
Cenários Especiais: IP Dinâmico ou NAT
- Configure DDNS na unidade com IP dinâmico.
- No campo Remote Address, use o hostname DDNS.
- Habilite UDP encapsulation no modo avançado do túnel.
- Use o Monit para reiniciar o túnel em falhas.
Boas Práticas e Segurança
- Use PSKs fortes
- Permita apenas redes necessárias no túnel
- Habilite logs
- Monitore CPU em hardware sem AES-NI
- Documente identificadores e redes
Caso de Uso Prático
Cenário
Empresa substitui link MPLS por VPN IPsec entre São Paulo e Curitiba.
Benefícios
- Economia
- Criptografia ponta a ponta
- Maior controle operacional
Resultado
Conectividade corporativa segura, estável e sob gestão interna.
Conclusão
A VPN IPsec site-to-site oferece segurança e confiabilidade na integração entre unidades corporativas.
Para ambientes maiores, com múltiplos links ou requisitos de failover automático, o próximo passo é migrar para IPsec Roteado (VTI) com BGP, tema do próximo capítulo.