Ir para o conteúdo

Capítulo 26 – VPN de Acesso Remoto com OpenVPN

Introdução

Em ambientes corporativos modernos, é comum que colaboradores precisem trabalhar remotamente ou que consultores externos necessitem de acesso seguro aos sistemas internos da empresa.
A forma mais segura de disponibilizar esse acesso é através de uma VPN (Rede Virtual Privada), que permite a conexão criptografada de dispositivos externos à rede corporativa, mesmo utilizando a internet como meio de transporte.

Neste capítulo, aprenderemos a configurar uma VPN de Acesso Remoto utilizando o OpenVPN, solução amplamente adotada por sua compatibilidade, robustez e flexibilidade.
O OpenVPN é o método oficial utilizado neste curso para prover acesso remoto seguro a usuários externos.

Visão Geral do Processo

A configuração do OpenVPN no OPNsense segue as seguintes etapas principais:

  1. Gerar a Autoridade Certificadora (CA) – responsável por emitir e validar os certificados usados na autenticação.
  2. Gerar o Certificado do Servidor VPN – usado para autenticar o firewall perante os clientes.
  3. Configurar o Servidor OpenVPN – definindo protocolos, portas e políticas de autenticação.
  4. Criar Usuários e Certificados de Cliente – para autenticação individual e segura.
  5. Exportar e Instalar a Configuração do Cliente – no dispositivo remoto do usuário.
  6. Aplicar Regras de Firewall e Testar a Conexão – para garantir a funcionalidade e segurança.

Etapa 1 – Criar a Autoridade Certificadora (CA)

Acesse System → Trust → Authorities e siga os passos abaixo:

  1. Clique em + Add para adicionar uma nova CA.
  2. Em Method, selecione Create an internal Certificate Authority.

  3. Preencha os campos obrigatórios:

    Campo Exemplo
    Description CA-OPENVPN
    Lifetime (days) 3650 (10 anos)
    Country Code / State / City / Organization Dados da empresa
    Common Name OPNsense OpenVPN CA

  4. Clique em Save.

Importante

A CA é responsável por validar todos os certificados emitidos — tanto do servidor quanto dos clientes VPN.
Portanto, mantenha sua chave privada protegida e realize backups em local seguro.

Etapa 2 – Criar o Certificado do Servidor VPN

Acesse System → Trust → Certificates.

  1. Clique em + Add.
  2. Em Method, selecione Create an internal Certificate.

  3. Configure os campos conforme o exemplo:

    Campo Exemplo
    Description CERTIFICADO-OPENVPN
    Type Server Certificate
    Issuer CA-OPENVPN
    Lifetime 1095 (3 anos)
    Common Name vpn.seusite.com.br

  4. Clique em Save.

Etapa 3 – Criar o Grupo SSLVPN de Usuários

Usaremos o grupo SSLVPN para que somente os usuários dentro deste grupo possam autenticar na VPN. Assim mantemos um melhor controle de quais serviços cada usuário pode acessar no Firewall, e ainda preparamos para caso você faça integração com o AD/LDAP posteriormente.

Acesse System → Access → Groups.

  1. Clique em + Add.

  2. Configure os campos conforme o exemplo:

    Campo Exemplo
    Group name SSLVPN
    Description Grupo de acesso VPN

  3. Clique em Save.

Etapa 4 – Configurar a Chave TLS Estática

Acesse VPN → OpenVPN → Instances e clique na guia Static Keys.

  1. Clique em + Add para adicionar uma nova chave.

    • Description: SSLVPN.
    • Deixe o modo selecionado como Crypt.
    • Clique no ícone da engrenagem ⚙ (Generate new).

  2. Clique em Save.

  3. Clique em Apply.

Etapa 5 – Configurar o Servidor OpenVPN

Acesse VPN → OpenVPN → Instances e clique em + Add para criar um novo servidor.

Configurações Básicas

Campo Descrição
Description SSLVPN-USUARIOS
Protocol UDP (recomendado por melhor desempenho)
Port number 1194 (ou outra porta livre)
Server (IPv4) 10.0.8.0/24 (sub-rede usada pelo túnel VPN)
Certificate CERTIFICADO-OPENVPN
TLS static key Crypt ... SSLVPN
Authentication Local Database (ou LDAP/RADIUS)
Enforce local group SSLVPN
Strict User/CN Matching Yes
Local Network 192.168.1.0/24 (rede interna da empresa que o cliente terá acesso)

Opções Avançadas

  • DNS e Domínio

    • Marque Register DNS.
    • Em DNS Default Domain, insira o nome do domínio interno (ex.: citrait.corp).
    • Em DNS Servers, insira o IP do servidor AD ou do próprio OPNsense (caso reencaminhe consultas DNS).

  • Redirecionamento de Gateway (Opcional)

    • Marque Redirect Gateway (Default) se desejar que todo o tráfego do usuário remoto passe pela VPN (saindo pelo IP público da empresa).
    • Nesse caso, limpe o campo Local Network, já que todo o tráfego será roteado via túnel.

Clique em Save e depois em Apply.

Importante

Ao habilitar o Redirect Gateway, o consumo de banda na matriz pode aumentar significativamente, pois o firewall passa a rotear todo o tráfego dos usuários VPN.

Etapa 6 – Criar Regras de Firewall

Regra na WAN

Permite a entrada de conexões VPN no firewall.

Acesse Firewall → Rules → WAN e crie uma nova regra:

Campo Valor
Protocol UDP
Destination This Firewall
Port Range 1194
Description Permite Conectar OpenVPN

Clique em Save e Apply Changes.

Regra na Interface OpenVPN

Controla o tráfego dentro do túnel.

Acesse Firewall → Rules → OpenVPN e adicione uma regra:

Campo Valor
Action Pass
Protocol Any
Source Any
Destination Any
Description Libera tráfego VPN SSL Usuários

Clique em Save e Apply Changes.

Importante

Após os testes, restrinja essa regra para liberar apenas os serviços necessários (ex.: servidores específicos, RDP, SMB, etc.).

Etapa 7 – Criar Usuários e Certificados de Cliente

Acesse System → Access → Users.

  1. Clique em + Add e configure:

    • Username: luciano
    • Password: (defina uma senha forte)
    • Groups: SSLVPN
    • Clique em Save.

  2. Acesse System → Trust → Certificates e clique em + Add.

    • Method: Create an internal Certificate
    • Issuer: CA-OPENVPN
    • Type: Client Certificate
    • Description: luciano – certificado de VPN
    • Common Name: luciano (obrigatório ser o mesmo login do usuário)
    • Clique em Save.

Importante

Cada usuário deve possuir seu próprio certificado, o que permite revogar acessos individualmente caso necessário.

Etapa 8 – Exportar a Configuração do Cliente

Acesse VPN → OpenVPN → Client Export.

  1. Em Remote Access Server, selecione o servidor criado (SSLVPN-USUARIOS).
  2. Em Export Type, selecione File Only (gera um arquivo .ovpn unificado).
  3. Em Hostname, informe o endereço público (ou DDNS) do firewall.
  4. Na seção Accounts / Certificates, clique no ícone de Download na linha do usuário desejado.

Importante

O arquivo .ovpn exportado contém todas as informações necessárias (chave, certificado e parâmetros de conexão).
O usuário só precisará importá-lo no cliente OpenVPN.

Etapa 9 – Configurar o Cliente OpenVPN

No computador do usuário remoto:

  1. Baixe e instale o cliente disponível em:
    https://openvpn.net/community

  2. Copie o arquivo .ovpn exportado para o diretório padrão:
    C:\Program Files\OpenVPN\config

  3. Abra o aplicativo OpenVPN GUI, clique com o botão direito no ícone da bandeja e selecione Conectar.

  4. Após a autenticação bem-sucedida:

  5. O cliente receberá um endereço IP do túnel (ex.: 10.0.8.x).
  6. As rotas para as redes remotas serão aplicadas automaticamente.

No OPNsense, o status da conexão pode ser verificado em VPN → OpenVPN → Connection Status.

Importante

Para importar o perfil de VPN na máquina do usuário, você pode clicar duas vezes no arquivo após ter instalado o cliente openvpn e o perfil será automaticamente importado. Entretanto, desta forma, o perfil só fica disponível para o usuário que o importou.
No exemplo acima colocamos diretamente o arquivo na pasta C:\Program Files\OpenVPN\config fazendo o perfil ficar disponível para qualquer usuário que utilize o computador.

Observações Importantes

  • O OpenVPN utiliza certificados para autenticação de servidor e clientes; ambos devem estar vinculados à mesma CA.
  • Se o Common Name do certificado do cliente não corresponder ao login do usuário, a conexão falhará.
  • O UDP é mais indicado por performance, mas o TCP pode ser usado em redes que bloqueiam portas UDP.
  • O uso do Redirect Gateway faz todo o tráfego do cliente passar pela VPN — ideal para cenários que exigem saída pelo IP corporativo.
  • Caso sistemas na nuvem dependam do IP da empresa, é necessário configurar NAT Outbound para mascarar também a subrede da VPN ao sair pelo link de Internet.

Boas Práticas

  • Utilize certificados com validade apropriada (ex.: 10 anos para a CA e 1–3 anos para usuários).
  • Monitore sessões em VPN → OpenVPN → Connection Status.
  • Restrinja as regras da interface OpenVPN conforme o perfil do usuário.
  • Considere implementar MFA (Autenticação Multifator) para maior segurança.
  • Em ambientes corporativos, integre com Active Directory via LDAP/RADIUS para autenticação centralizada.

Conclusão

A configuração do OpenVPN no OPNsense permite que usuários remotos acessem com segurança os recursos internos da empresa, mantendo criptografia ponta a ponta, controle de acesso e auditoria.
Com boas práticas de autenticação, monitoramento e gestão de certificados, o OpenVPN se torna uma solução confiável e escalável para ambientes corporativos de qualquer porte.