Capítulo 24 – VPN Site-to-Site com IPsec (VTI)
Introdução
Em ambientes corporativos, é comum a necessidade de interligar diferentes localidades — como matriz e filial — por meio de VPNs seguras e estáveis.
Nos capítulos anteriores, vimos como configurar um túnel IPsec no modo tradicional (policy-based), onde as redes locais e remotas são definidas diretamente na Fase 2.
Entretanto, há situações em que é necessário adotar o modo roteado (VTI – Virtual Tunnel Interface). Esse formato é amplamente utilizado por firewalls corporativos como FortiGate, Watchguard, Palo alto, entre outros, pois oferece maior flexibilidade e integração com protocolos de roteamento dinâmico (ex.: BGP e OSPF).
Neste capítulo, você aprenderá a configurar uma VPN IPsec VTI entre duas unidades com OPNsense, de forma totalmente roteada, permitindo gerenciar o tráfego entre as redes com rotas estáticas ou dinâmicas, em um modelo moderno e escalável.
Diferença entre Tunnel Mode e VTI
O modo Tunnel Mode (policy-based) usa políticas fixas de tráfego configuradas na Fase 2.
Já o VTI (Virtual Tunnel Interface) cria uma interface virtual entre os firewalls, possibilitando o uso de rotas e gateways, tornando a VPN mais dinâmica e flexível.
Cenário de Exemplo
| Local | WAN (IP Público) | LAN (Rede Interna) | Túnel VTI |
|---|---|---|---|
| Matriz | 8.112.199.178 | 192.168.1.0/24 | 172.16.88.1 |
| Filial | 155.100.85.74 | 192.168.2.0/24 | 172.16.88.2 |
Objetivo: criar uma VPN IPsec no modo roteado (VTI), permitindo o tráfego seguro e bidirecional entre as redes 192.168.1.0/24 e 192.168.2.0/24.
Etapa 1 – Criar a Chave Pré-Compartilhada (PSK)
Acesse VPN → IPsec → Pre-Shared Keys em ambos os firewalls e adicione a chave:
| Campo | Matriz | Filial |
|---|---|---|
| Local Identifier | 8.112.199.178 | 155.100.85.74 |
| Remote Identifier | 155.100.85.74 | 8.112.199.178 |
| Pre-Shared Key | password2025 (use uma senha forte) | password2025 |
| Type | PSK | PSK |
Clique em Save e depois em Apply Changes.
Etapa 2 – Criar a Conexão IPsec (Fase 1 – IKE)
Acesse VPN → IPsec → Connections e crie a conexão conforme a ponta:
| Campo | Matriz | Filial |
|---|---|---|
| Local Address | 8.112.199.178 | 155.100.85.74 |
| Remote Address | 155.100.85.74 | 8.112.199.178 |
| Description | VPN-COM-FILIAL | VPN-COM-MATRIZ |
Clique em Save.
Em Local Authentication:
- Clique em + Add
- Preencha o ID com o IP da WAN da unidade e;
- Clique em Save.
Em Remote Authentication
- Clique em + Add
- Preencha o ID com o IP WAN da outra unidade e;
- Clique em Save.
Etapa 3 – Configurar a Fase 2 (CHILD_SA)
Nesta etapa, desabilitaremos as políticas automáticas, pois a comunicação será controlada por rotas:
- Na conexão criada, clique em + Add Children.
- Configure:
- Desmarque a opção Policies (essencial para o modo VTI).
- Reqid:
10(deve ser único e idêntico à interface VTI que será criada). - Local Network:
0.0.0.0/0 - Remote Network:
0.0.0.0/0
- Clique em Save e Apply Changes.
Importante
O Reqid identifica o vínculo entre a Fase 2 e a interface VTI.
Ele deve ser único por túnel e consistente entre a Fase 2 e a VTI.
Etapa 4 – Criar a Interface VTI
Acesse VPN → IPsec → Virtual Tunnel Interfaces e crie:
| Campo | Matriz | Filial |
|---|---|---|
| Reqid | 10 | 10 |
| Tunnel Local | 172.16.88.1 | 172.16.88.2 |
| Tunnel Remoto | 172.16.88.2 | 172.16.88.1 |
| Nome | TUNEL_FILIAL | TUNEL_MATRIZ |
Observação
O par de IPs do túnel (172.16.88.1/172.16.88.2) forma uma rede /30, exclusiva para esta VPN.
Etapa 5 – Criar o Gateway do Túnel
Acesse System → Gateways → Configuration e adicione:
| Campo | Matriz | Filial |
|---|---|---|
| Name | GW_TUN_FILIAL | GW_TUN_MATRIZ |
| Interface | TUNEL_FILIAL | TUNEL_MATRIZ |
| IP Address | 172.16.88.2 | 172.16.88.1 |
| Disable Gateway Monitoring | desmarcar | desmarcar |
Importante
O monitoramento do gateway permite detectar quedas automáticas no túnel e facilitar futuras integrações com failover e multi-WAN.
Etapa 6 – Criar Rotas Estáticas
Acesse System → Routes → Configuration e adicione:
| Campo | Matriz | Filial |
|---|---|---|
| Network | 192.168.2.0/24 | 192.168.1.0/24 |
| Gateway | GW_TUN_FILIAL | GW_TUN_MATRIZ |
Após criar, clique em Apply Changes.
Etapa 7 – Configurar Regras de Firewall na WAN
As regras abaixo devem ser criadas em ambas as pontas:
Acesse Firewall → Rules → WAN e adicione:
| Protocolo | Porta | Destino | Descrição |
|---|---|---|---|
| ESP | — | This Firewall | Permitir IPsec ESP |
| UDP | 500 | This Firewall | Permitir ISAKMP (IKE) |
| UDP | 4500 | This Firewall | Permitir NAT-T (UDP encapsulado) |
Clique em Save e depois em Apply Changes.
Etapa 8 – Criar Regras de Firewall na Interface VTI
Diferente do modo policy-based, no VTI o tráfego passa pela interface virtual criada (TUNEL_FILIAL / TUNEL_MATRIZ).
Acesse Firewall → Rules → [interface VTI] e adicione:
| Campo | Valor |
|---|---|
| Action | Pass |
| Protocol | Any |
| Source | Rede remota (192.168.2.0/24 ou 192.168.1.0/24) |
| Destination | Rede local correspondente |
| Description | Permitir tráfego via túnel IPsec (VTI) |
Clique em Save e depois em Apply Changes.
Importante
Não use a aba Firewall → Rules → IPsec neste modo.
Ela é utilizada apenas no modo policy-based.
No VTI, o tráfego flui pela interface virtual (VTI) atribuída.
Lembre-se, a regra deve ser criada em ambos os firewalls para comunicação bi-lateral.
Etapa 9 – Validar a Conexão
- No firewall da Filial, vá em Interfaces → Diagnostics → Ping.
- Em Destination, digite
192.168.1.1. - Verifique se o ping retorna com sucesso.
- Repita o teste na Matriz, invertendo os endereços.
Se o ping responder em ambos os sentidos, o túnel VTI está operacional.
Dica de Diagnóstico
Caso não haja resposta:
- Reinicie o serviço em VPN → IPsec → Connections.
- Verifique os logs de IPsec em VPN → IPsec → Log File.
- Confirme se o
Reqidcorresponde ao da VTI. - Revise regras de firewall na interface VTI.
Observações Importantes
- O modo VTI não utiliza policies automáticas na Fase 2 — o tráfego é roteado por interfaces e rotas.
- Utilize endereços de túnel dedicados /30 (ex.:
172.16.88.0/30) para evitar sobreposições. - Documente Reqid, IPs de túnel, gateways e rotas.
- O monitoramento de gateway deve permanecer ativado para detectar falhas rapidamente.
- Para múltiplos túneis, use Reqid diferentes em cada configuração.
- Combine VTI com BGP ou OSPF para ambientes com vários links e necessidade de failover.
Boas Práticas
- Descreva claramente os objetos e regras criados (nomes como “VPN-FILIAL-VTI” ajudam na manutenção).
- Utilize PSKs únicas e fortes para cada túnel.
- Monitore a estabilidade dos túneis via System → Gateways → Status.
- Valide a comunicação bidirecional entre redes antes de liberar para produção.
- Considere o uso de VPNs dinâmicas (com BGP) em cenários de múltiplas filiais.
Caso de Uso Prático
Cenário:
Uma empresa multinacional precisava interligar sua matriz no Brasil com filiais no exterior.
Enquanto o time local utilizava OPNsense, as filiais operavam com FortiGate.
Problema:
O FortiGate exigia o uso de IPsec no modo VTI, enquanto o túnel tradicional (policy-based) não oferecia suporte a roteamento dinâmico.
Solução:
Foi configurado IPsec no modo roteado (VTI) entre o OPNsense e o FortiGate, com endereços /30 dedicados e integração com BGP para troca dinâmica de rotas.
Resultados:
- Compatibilidade total entre fabricantes.
- Facilidade para adicionar novas rotas sem alterar a Fase 2.
- Redundância e failover automático com múltiplos túneis.
Conclusão
O modo IPsec VTI eleva o padrão de conectividade corporativa ao permitir que a VPN opere como uma interface roteável, compatível com protocolos dinâmicos e alta disponibilidade.
Além de facilitar a interoperabilidade com outros firewalls, ele simplifica a manutenção e o crescimento da rede.
Veja o Capítulo 21 - Roteamento Dinâmico para entender como aplicar o BGP em cima do IPsec VTI.