{"id":5145,"date":"2021-12-09T16:01:19","date_gmt":"2021-12-09T19:01:19","guid":{"rendered":"https:\/\/blog.clusterweb.com.br\/?p=5145"},"modified":"2021-12-09T16:02:12","modified_gmt":"2021-12-09T19:02:12","slug":"vpn-mullvad-com-wireguard-em-pfsense","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=5145","title":{"rendered":"VPN Mullvad com Wireguard em PFSENSE"},"content":{"rendered":"
<\/header>\n

 <\/p>\n

\n
\n

VPN Mullvad com Wireguard em PFSENSE – Guia de configura\u00e7\u00e3o<\/h1>\n<\/header>\n
<\/figure>\n
Eu costumava usar PIA VPN com OpenVPN.\u00a0As velocidades eram boas, mas n\u00e3o confio mais na PIA desde que foram compradas pela Kape.\u00a0Decidi experimentar o Mullvad, que parece ser o melhor provedor de VPN atualmente.\u00a0\u00c9 mais caro do que PIA, mas custa apenas US $ 5 \/ m\u00eas<\/p>\n
\n
\n
VPN Mullvad – A privacidade \u00e9 um direito universal<\/div>\n
Mullvad \u00e9 um servi\u00e7o VPN que ajuda a manter a privacidade de sua atividade online, identidade e localiza\u00e7\u00e3o.\u00a0Apenas \u20ac 5 \/ m\u00eas – Aceitamos Bitcoin, dinheiro, transfer\u00eancia banc\u00e1ria, cart\u00e3o de cr\u00e9dito, PayPal e Swish.<\/div>\n
<\/div>\n<\/div>\n
As velocidades que estou obtendo s\u00e3o insanas. Usando WireGuard se PFSENSE obtenho velocidade de linha total com uso de CPU muito baixo no firewall. O maior que vi \u00e9 de 10%<\/div>\n<\/figure>\n
\"\"<\/figure>\n<\/section>\n

<\/p>\n

N\u00e3o consegui encontrar um guia completo sobre como conectar o PFSENSE ao Mullvad com o Wireguard.\u00a0Ent\u00e3o, olhei mais de 4 ou 5 guias sobre como configur\u00e1-lo e escrevi isso incluindo capturas de tela, para facilitar.<\/p>\n

Primeiro clique no link acima ou simplesmente v\u00e1 para Mullvad.net e cadastre-se para uma conta.\u00a0Salve o n\u00famero da sua conta e pague o plano.\u00a0Observe que voc\u00ea deve manter o n\u00famero da sua conta em segredo.<\/p>\n

Agora entre no PFSENSE.\u00a0V\u00e1 para Sistema> Gerenciador de pacotes e certifique-se de que o Wireguard esteja instalado<\/p>\n

\"\"<\/figure>\n

Caso contr\u00e1rio, basta clicar em “Pacotes dispon\u00edveis”, procurar Wireguard e instal\u00e1-lo.<\/p>\n

Agora na barra superior, v\u00e1 para VPN> Wireguard> Configura\u00e7\u00f5es e certifique-se de que est\u00e1 ativado<\/p>\n

\"\"<\/figure>\n

Agora para T\u00faneis e clique em Adicionar T\u00fanel<\/p>\n

\"\"<\/figure>\n

Clique para habilitar o t\u00fanel, digite um nome, pode ser o que voc\u00ea quiser.\u00a0Deixe a porta como padr\u00e3o e clique em gerar na chave da interface.<\/p>\n

Copie esta chave para um bloco de notas (ou o que voc\u00ea quiser), pois iremos precisar dela mais tarde.<\/p>\n

\"\"<\/figure>\n

Agora precisamos fazer o upload desta chave para Mullvad a fim de obter de volta os endere\u00e7os IP que podemos usar.\u00a0Fa\u00e7a isso a partir de qualquer sistema que tenha curl.\u00a0Eu fiz isso no meu Mac, mas sua caixa PFSENSE tamb\u00e9m faz.\u00a0Ent\u00e3o, se nada mais, apenas SSH para PFSENSE e siga estas etapas.\u00a0Estou usando o Putty para isso.<\/p>\n

Voc\u00ea pode fazer isso atrav\u00e9s do navegador, mas como \/ u \/ Griffo_au no reddit apontou, voc\u00ea precisa carregar sua chave privada.\u00a0Esta n\u00e3o \u00e9 realmente uma boa ideia, e desta forma \u00e9 melhor.\u00a0E, honestamente, mais simples na minha opini\u00e3o.<\/p>\n

\"\"<\/figure>\n

Em seguida, basta digitar 8 para obter o shell<\/p>\n

\"\"<\/figure>\n

Agora voc\u00ea ter\u00e1 um prompt de shell aberto<\/p>\n

\"\"<\/figure>\n

Voc\u00ea vai querer colar o seguinte no bloco de notas e configur\u00e1-lo, em seguida, cole no shell PFSENSE<\/p>\n

curl\u00a0https:\/\/api.mullvad.net\/wg\/<\/a>\u00a0-d account = 0000000 –data-urlencode pubkey = YOURKEYHERE<\/p>\n

Substitua os 000 pelo n\u00famero da sua conta sem espa\u00e7os e cole a chave p\u00fablica que geramos no PFSENSE anteriormente.\u00a0Em seguida, ele cuspir\u00e1 alguns endere\u00e7os IP.\u00a0Salve isso em suas notas<\/p>\n

\"\"<\/figure>\n

Isso \u00e9 tudo, voc\u00ea pode fechar a janela agora.<\/p>\n

Agora volte para a janela PFSENSE com a configura\u00e7\u00e3o do t\u00fanel e adicione o endere\u00e7o IPv4 e a m\u00e1scara de sub-rede ao endere\u00e7o da interface, d\u00ea um nome e clique em Salvar t\u00fanel<\/p>\n

\"\"<\/figure>\n

Agora v\u00e1 para o t\u00fanel que voc\u00ea criou e clique em adicionar par<\/p>\n

\"\"<\/figure>\n

Agora voc\u00ea vai querer decidir a qual servidor deseja se conectar.\u00a0v\u00e1 para o link abaixo<\/p>\n

\n
\n
Servidores |\u00a0VPN Mole<\/div>\n
Mullvad \u00e9 um servi\u00e7o VPN que ajuda a manter a privacidade de sua atividade online, identidade e localiza\u00e7\u00e3o.\u00a0Apenas \u20ac 5 \/ m\u00eas – Aceitamos Bitcoin, dinheiro, transfer\u00eancia banc\u00e1ria, cart\u00e3o de cr\u00e9dito, PayPal e Swish.<\/div>\n
<\/div>\n<\/div>\n
E filtre por Wireguard e sua localiza\u00e7\u00e3o, ou onde quiser. Eu decidi por este<\/div>\n<\/figure>\n
\"\"<\/figure>\n

Anote o nome e a chave p\u00fablica.\u00a0Se o nome for\u00a0us235-wireguard<\/strong>\u00a0, o nome do host ser\u00e1\u00a0us235-wireguard.mullvad.net.\u00a0<\/strong>N\u00e3o confunda a chave p\u00fablica com a sua pr\u00f3pria gerada anteriormente.<\/p>\n

Agora volte para PFSENSE, certifique-se de que Enable Peer est\u00e1 habilitado e certifique-se de que o Tunnel est\u00e1 listando o t\u00fanel que criamos anteriormente<\/p>\n

Forne\u00e7a uma descri\u00e7\u00e3o e desmarque o endpoint din\u00e2mico.\u00a0Isso lhe dar\u00e1 os campos para inserir os detalhes do servidor<\/p>\n

V\u00e1 em frente e entre no servidor, e voc\u00ea pode deixar a porta em branco.\u00a0O padr\u00e3o \u00e9 51820, que \u00e9 a porta correta, e cole a chave p\u00fablica da tela de sele\u00e7\u00e3o do servidor<\/p>\n

Por \u00faltimo, insira 0.0.0.0 com uma m\u00e1scara de rede de 0 nas configura\u00e7\u00f5es de endere\u00e7o e clique em Salvar<\/p>\n

\"\"<\/figure>\n

Agora que a configura\u00e7\u00e3o no Wireguard est\u00e1 completa, s\u00f3 precisamos configurar mais algumas coisas no PFSENSE<\/p>\n

V\u00e1 para Interfaces, Tarefas<\/p>\n

\"\"<\/figure>\n

Na parte inferior da tela, voc\u00ea ver\u00e1 uma lista suspensa para Portas de rede dispon\u00edveis.\u00a0Agora voc\u00ea ter\u00e1 um chamado tun_wg0 l\u00e1.\u00a0Selecione-o e clique em Adicionar<\/p>\n

\"\"<\/figure>\n

Agora v\u00e1 em frente e edite a interface que acabamos de criar, que tem tun_wg0 como a sele\u00e7\u00e3o de porta<\/p>\n

Voc\u00ea quer ter certeza de que est\u00e1 ativado, d\u00ea a ele um nome melhor como Mullvad_WG ou o que voc\u00ea quiser<\/p>\n

Defina a configura\u00e7\u00e3o IP para Static IPV4 e role para baixo at\u00e9 a configura\u00e7\u00e3o Static IPV4.\u00a0Aqui voc\u00ea ir\u00e1 mais uma vez inserir o IP que recebeu de Mullvad, junto com a m\u00e1scara de rede de \/ 32<\/p>\n

Em seguida, clique em Adicionar Novo Gateway<\/p>\n

\"\"<\/figure>\n

Uma nova tela ser\u00e1 exibida, certifique-se de que o Gateway padr\u00e3o esteja desmarcado.\u00a0Se estiver marcado, ele enviar\u00e1 todo o tr\u00e1fego por este gateway por padr\u00e3o.\u00a0Isso pode ser o que voc\u00ea deseja, ent\u00e3o, se for, verifique.\u00a0Eu n\u00e3o recomendo isso.<\/p>\n

Insira um nome de gateway e, em seguida, insira novamente o endere\u00e7o IP que recebemos de Mullvad e clique em adicionar<\/p>\n

\"\"<\/figure>\n

Agora voc\u00ea deve ter um gateway listado na interface.\u00a0V\u00e1 em frente e confirme se est\u00e1 listado e clique em salvar<\/p>\n

\"\"<\/figure>\n

V\u00e1 para Sistema> Roteamento<\/p>\n

\"\"<\/figure>\n

E agora voc\u00ea deve ver um gateway extra listado<\/p>\n

\"\"<\/figure>\n

Agora v\u00e1 para\u00a0Sistema> Avan\u00e7ado> Diversos<\/strong>\u00a0e role para baixo at\u00e9 Monitoramento de gateway.\u00a0Marque a caixa para n\u00e3o criar regras quando o gateway estiver inativo<\/p>\n

\"\"<\/figure>\n

Como diz l\u00e1, se o gateway estiver desativado por padr\u00e3o, ele remover\u00e1 a especifica\u00e7\u00e3o do gateway da regra.\u00a0Isso significa que voc\u00ea pode enviar tr\u00e1fego acidentalmente pelo gateway normal!\u00a0Portanto, marcar esta caixa desativa esse “recurso”<\/p>\n

Em seguida, precisamos confirmar se voc\u00ea tem regras de NAT de sa\u00edda; se n\u00e3o as tiver, o firewall n\u00e3o ser\u00e1 capaz de enviar tr\u00e1fego por esta conex\u00e3o, por isso precisamos ter certeza de que est\u00e3o l\u00e1.<\/p>\n

V\u00e1 para Firewall> NAT e clique em Outbound.\u00a0Aqui voc\u00ea DEVE ver algumas regras de NAT criadas automaticamente.\u00a0Tenho algumas redes, ent\u00e3o a minha pode ser um pouco diferente<\/p>\n

Se voc\u00ea n\u00e3o os vir, dever\u00e1 ter o NAT de sa\u00edda manual habilitado.\u00a0Basta copiar as duas regras existentes e fazer com que as novas usem Mullvad como interface.\u00a0F\u00e1cil.<\/p>\n

\"\"<\/figure>\n

Agora estamos prontos para enviar tr\u00e1fego pela VPN.<\/p>\n

A maneira de fazer isso \u00e9 tendo um Alias \u200b\u200bque tem uma lista de IPs internos dos sistemas que desejo que sejam for\u00e7ados na VPN.\u00a0Ent\u00e3o, vamos fazer isso agora, mas voc\u00ea pode facilmente fazer sua pr\u00f3pria configura\u00e7\u00e3o se isso n\u00e3o for adequado para voc\u00ea.<\/p>\n

V\u00e1 para Firewall, Aliases e clique em Adicionar no canto inferior<\/p>\n

\"\"<\/figure>\n

D\u00ea um nome ao Alias \u200b\u200be defina-o como Tipo: Hosts<\/p>\n

Em seguida, insira o IP dos dispositivos que deseja enviar por push pela VPN.\u00a0Apenas certifique-se de que eles tenham IPs est\u00e1ticos ou mapas est\u00e1ticos, para que o IP n\u00e3o mude, e o tr\u00e1fego acabe passando por sua WAN normal por engano<\/p>\n

Clique em Salvar para salvar o Alias<\/p>\n

\"\"<\/figure>\n

Com isso salvo, vamos para Firewall> Regras<\/p>\n

\"\"<\/figure>\n

Agora v\u00e1 para a interface do sistema que deseja usar a VPN est\u00e1 ligada, no meu caso \u00e9 LAN.<\/p>\n

Ent\u00e3o vamos fazer 2 regras.\u00a0A primeira regra \u00e9 fazer com que o tr\u00e1fego passe pela VPN e a segunda \u00e9 bloquear o acesso a todo o resto<\/p>\n

Observe que eles precisam estar acima da regra padr\u00e3o de LAN para Qualquer e a regra de permiss\u00e3o precisa estar acima da regra de nega\u00e7\u00e3o.\u00a0O tr\u00e1fego corresponde a essas regras de cima para baixo.<\/p>\n

\"\"<\/figure>\n

Crie uma nova regra, defina-a para passar, defina a fam\u00edlia de endere\u00e7os para ipv4, protocolo qualquer e a fonte ser\u00e1 o Alias \u200b\u200bque criamos.\u00a0D\u00ea um nome tamb\u00e9m<\/p>\n

\"\"<\/figure>\n

Antes de salvar, clique em mostrar avan\u00e7ado, o bot\u00e3o azul e role para baixo<\/p>\n

Queremos definir o gateway para aquele que criamos e, em seguida, clicar em salvar.<\/p>\n

\"\"<\/figure>\n

A pr\u00f3xima regra \u00e9 muito simples<\/p>\n

Selecione Block, LAN, IPV4, Any, entre com o mesmo Alias, d\u00ea um nome e clique em Salvar.<\/p>\n

\"\"<\/figure>\n

Agora verifique se eles est\u00e3o na ordem correta<\/p>\n

    \n
  • Regra de Gateway<\/li>\n
  • Regra de bloqueio<\/li>\n
  • LAN padr\u00e3o para QUALQUER<\/li>\n<\/ul>\n

    Agora, queremos ter certeza de que n\u00e3o obteremos nenhum vazamento de DNS, ent\u00e3o v\u00e1 para Firewall, NAT, Port Forward e clique em add new rule<\/p>\n

    Aqui faremos uma regra para redirecionar todo o tr\u00e1fego DNS da porta 53 dessa m\u00e1quina, diretamente para os servidores DNS Mullvad<\/p>\n

    \"\"<\/figure>\n

    Agora defina a interface para LAN (ou onde quer que sua m\u00e1quina esteja), selecione IPv4 e TCP \/ UDP.\u00a0Em seguida, selecione a fonte como o Alias \u200b\u200bque criamos<\/p>\n

    Para destino, deve ser definido como qualquer, mas no intervalo de portas, certifique-se de que esteja definido como DNS<\/p>\n

    Em seguida, o IP de destino de redirecionamento ser\u00e1 o IP do servidor DNS Mullvad.\u00a0No momento em que este artigo foi escrito, era 193.138.218.74.\u00a0Mas voc\u00ea provavelmente n\u00e3o deveria confiar em mim, e apenas verificar<\/p>\n

    Para redirecionar a porta de destino, selecione DNS novamente.\u00a0D\u00ea um nome a ele e certifique-se de que Associa\u00e7\u00e3o de regra de filtro est\u00e1 definida como Nenhum<\/p>\n

    Finalmente, clique em salvar<\/p>\n

    \"\"<\/figure>\n

    Agora, se tudo funcionou, essa m\u00e1quina ser\u00e1 enviada atrav\u00e9s do Mullvad, e todas as solicita\u00e7\u00f5es de DNS tamb\u00e9m ser\u00e3o redirecionadas para o Mullvad.\u00a0Voc\u00ea pode verificar aqui<\/p>\n

    \n
    \n
    Verifica\u00e7\u00e3o de conex\u00e3o |\u00a0VPN Mullvad<\/div>\n
    Mullvad \u00e9 um servi\u00e7o VPN que ajuda a manter a privacidade de sua atividade online, identidade e localiza\u00e7\u00e3o.\u00a0Apenas \u20ac 5 \/ m\u00eas – Aceitamos Bitcoin, dinheiro, transfer\u00eancia banc\u00e1ria, cart\u00e3o de cr\u00e9dito, PayPal e Swish.<\/div>\n
    <\/div>\n<\/div>\n
    Como voc\u00ea pode ver, o meu funciona muito bem<\/div>\n<\/figure>\n
    \"\"<\/figure>\n

    Mas h\u00e1 algo a se ter em mente aqui, se voc\u00ea estiver usando um navegador, sua poss\u00edvel configura\u00e7\u00e3o adicional \u00e9 necess\u00e1ria para evitar vazamentos de DNS<\/p>\n

    \n
    \n
    Como prevenir vazamentos de DNS – Guias |\u00a0VPN Mullvad<\/div>\n
    Aprenda como verificar facilmente se voc\u00ea est\u00e1 protegido contra vazamentos de DNS e o que fazer para evit\u00e1-los.<\/div>\n
    <\/div>\n<\/div>\n
    Para mim, o redirecionamento da porta 53 \u00e9 o suficiente, j\u00e1 que estou apenas usando uma VM Debian rodando um cliente torrent. Ele n\u00e3o faz nenhum truque sofisticado de DNS<\/div>\n<\/figure>\n

    Outra nota.\u00a0se voc\u00ea tiver configurado ipv6 em sua rede e o sistema que voc\u00ea est\u00e1 redirecionando tiver um endere\u00e7o ipv6, o tr\u00e1fego ipv6 n\u00e3o corresponder\u00e1 \u00e0 regra que criamos desde que selecionamos ipv4 e fornecemos endere\u00e7os ipv4 e passar\u00e1 por seu gateway regular.\u00a0Nesse caso, voc\u00ea precisaria configurar o ipv6 para Mullvad \/ Wireguard (que este guia n\u00e3o cobre!) Ou desabilitar o ipv6 nessa m\u00e1quina.<\/p>\n

    Esperan\u00e7osamente, este guia foi \u00fatil. Qualquer d\u00favida ou coment\u00e1rio entre em contato comigo!<\/p>\n<\/section>\n<\/article>\n","protected":false},"excerpt":{"rendered":"

      VPN Mullvad com Wireguard em PFSENSE – Guia de configura\u00e7\u00e3o Eu costumava usar PIA VPN com OpenVPN.\u00a0As velocidades eram boas, mas n\u00e3o confio mais na PIA desde que foram compradas pela Kape.\u00a0Decidi experimentar o Mullvad, que parece ser o melhor provedor de VPN atualmente.\u00a0\u00c9 mais caro do que PIA, mas custa apenas US $ […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[730,1,42,51,1550,495,68,271,512],"tags":[349,40,353,369,298,1551,1298,164,1552],"class_list":["post-5145","post","type-post","status-publish","format-standard","hentry","category-clusterweb","category-viazap","category-leitura-recomendada","category-linux-linuxrs","category-pfsense","category-profissional-de-ti","category-redes-2","category-seguranca-2","category-vpn-2","tag-com","tag-configuracao","tag-de","tag-em","tag-guia","tag-mullvad","tag-pfsense","tag-vpn","tag-wireguard"],"_links":{"self":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5145","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5145"}],"version-history":[{"count":2,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5145\/revisions"}],"predecessor-version":[{"id":5147,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=\/wp\/v2\/posts\/5145\/revisions\/5147"}],"wp:attachment":[{"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5145"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5145"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.clusterweb.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5145"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}