Ir para o conteúdo

Roteamento da VPN SSL pelo Túnel Site-to-Site Wireguard

Visão Geral

Neste artigo, veremos como permitir que usuários conectados à VPN SSL (OpenVPN) da matriz tenham acesso também às redes das filiais conectadas via túneis WireGuard.
Essa configuração é útil em ambientes onde a matriz centraliza os serviços corporativos e mantém túneis site-to-site com as filiais utilizando o WireGuard, mas também oferece acesso remoto seguro para usuários através do OpenVPN.

O objetivo é fazer com que os usuários remotos da OpenVPN consigam acessar não apenas a LAN da matriz, mas também as redes LAN das filiais, utilizando rotas adequadas e regras de firewall consistentes.

Topologia do Exemplo

Local Rede LAN VPN / Interface
Matriz 192.168.0.0/24 OpenVPN SSL: 192.168.88.0/24
Filial 1 192.168.1.0/24 WireGuard
Filial 2 192.168.2.0/24 WireGuard

Etapa 1 – Ajustar a Configuração da OpenVPN na Matriz

  1. No OPNsense da matriz, acesse o menu VPN → OpenVPN → Servers.
  2. Edite a instância do servidor OpenVPN que atende os usuários remotos.

  3. Localize o campo Local Networks e adicione todas as redes internas que os usuários da VPN devem alcançar:192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24.

    • Cada rede deve ser separada por vírgula.
    • Isso fará com que, ao conectar, o cliente OpenVPN receba rotas para todas as redes listadas.

Etapa 2 – Ajustar a Configuração do WireGuard nas Filiais

Cada filial precisa saber que o tráfego destinado à rede da VPN SSL (OpenVPN) da matriz (192.168.88.0/24) deve ser encaminhado através do túnel WireGuard.

  1. Em cada filial, acesse VPN → WireGuard → Peers.
  2. Edite o peer correspondente à matriz (aquele que contém a chave pública da matriz).
  3. No campo Allowed Addresses, adicione a rede da VPN SSL 192.168.88.0/24
  4. Salve e aplique as alterações.

Importante

O campo Allowed Addresses define tanto as rotas quanto os prefixos que o túnel aceitará trafegar. Caso essa rede não esteja incluída, o tráfego vindo da VPN SSL não será roteado corretamente para as filiais.

Etapa 3 – Configurar as Regras de Firewall

Após ajustar as rotas, é necessário garantir que o tráfego entre as redes seja permitido em todas as interfaces envolvidas.

3.1. Na Matriz

  1. Acesse Firewall → Rules → OpenVPN

  2. Crie as seguintes regras de permissão:

    Origem Destino Descrição
    192.168.88.0/24 192.168.0.0/24 Permitir acesso dos usuários VPN à LAN da Matriz
    192.168.88.0/24 192.168.1.0/24 Permitir acesso dos usuários VPN à Filial 1
    192.168.88.0/24 192.168.2.0/24 Permitir acesso dos usuários VPN à Filial 2

3.2. Nas Filiais

Para cada filial, crie regras na interface WireGuard:

Filial 1

Acesse Firewall → Rules → WireGuard e crie a seguinte regra:

Origem Destino Descrição
192.168.88.0/24 192.168.1.0/24 Permitir tráfego da VPN SSL até a LAN da Filial 1

Filial 2

Acesse Firewall → Rules → WireGuard** e crie a seguinte regra:

Origem Destino Descrição
192.168.88.0/24 192.168.2.0/24 Permitir tráfego da VPN SSL até a LAN da Filial 2

Importante

Sempre limite as regras ao mínimo necessário. Caso apenas determinados serviços precisem ser acessados (por exemplo, RDP ou SMB), substitua “Any” pelo protocolo/porta específica.

Etapa 4 – Testes e Validação

Após aplicar as configurações:

  1. Conecte-se à VPN SSL (OpenVPN) a partir de um cliente externo.
  2. Execute testes de conectividade:

ping 192.168.0.1   # Gateway da matriz
ping 192.168.1.1   # Gateway da filial 1
ping 192.168.2.1   # Gateway da filial 2
3. Caso os pings falhem:

  • Verifique se as rotas foram adicionadas corretamente no cliente.
  • Confirme se as regras de firewall estão permitindo o tráfego.
  • Analise os logs de firewall (Live View) para as interfaces WireGuard e OpenVPN em busca de pacotes bloqueados.

Considerações Finais

Com essa configuração, os usuários conectados à VPN SSL (OpenVPN) passam a ter acesso completo a todas as redes corporativas (matriz e filiais) interligadas pelos túneis WireGuard.

Essa integração oferece:

  • Centralização do acesso remoto pela matriz.
  • Simplicidade de gerenciamento de rotas.
  • Flexibilidade para adicionar novas filiais no futuro apenas ajustando as redes em Local Networks e Allowed Addresses.

Essa abordagem é altamente escalável e compatível com ambientes que combinam diferentes tipos de VPN dentro do OPNsense.