Pular para o conteúdo
OpenSourceBrasil
VPN

VPN site-to-site para empresas: arquitetura, riscos e boas práticas

7 min de leituraAtualizado em

A VPN site-to-site cria um túnel criptografado permanente entre redes, por exemplo entre a matriz e as filiais ou entre a infraestrutura local e a nuvem. Bem desenhada, ela faz unidades distantes operarem como uma rede única e protegida.

Subir um túnel é a parte fácil. O que sustenta a solução é a arquitetura: endereçamento sem conflito, controle do que trafega entre as redes, escolha adequada de protocolo e resiliência diante de quedas de link.

O que a VPN site-to-site resolve

  • Acesso a sistemas e arquivos internos entre unidades distintas.
  • Comunicação criptografada sobre a internet pública.
  • Integração de filiais a servidores e ERPs centralizados.
  • Conexão segura entre data center local e nuvem.

Escolha de protocolo

IPsec é o padrão de mercado e costuma ser a melhor opção para interligar equipamentos de fabricantes diferentes. O WireGuard é moderno, leve e de alto desempenho, com baixa latência. A escolha depende de compatibilidade, desempenho e dos equipamentos das duas pontas, e deve ser validada conforme o risco e a operação.

Endereçamento e controle de tráfego

Um erro comum é interligar redes com faixas sobrepostas, o que gera conflitos de roteamento. O planejamento de endereçamento precede a configuração. Além disso, o túnel não deve ser uma ponte aberta: regras devem limitar o que cada rede acessa do outro lado, seguindo o princípio do menor privilégio.

Resiliência e disponibilidade

Em ambientes com múltiplos links, o failover de VPN sobre multi-WAN ajuda a manter a conexão ativa em caso de queda de um provedor. A necessidade de redundância depende da criticidade da comunicação entre as unidades.

Boas práticas de segurança

Boas práticas

  • Use algoritmos de criptografia atuais e autenticação robusta.
  • Limite o tráfego entre as redes ao estritamente necessário.
  • Monitore o estado dos túneis e registre eventos.
  • Documente a topologia e os parâmetros de cada túnel.

Riscos comuns

Atenção

  • Túnel funcionando como ponte totalmente aberta entre redes.
  • Faixas de IP sobrepostas entre as unidades.
  • Parâmetros de criptografia fracos ou desatualizados.
  • Ausência de monitoramento, dificultando detectar quedas.

Recurso útil

Para conferir faixas das duas pontas e evitar conflito de endereçamento, a calculadora de Subnet IPv4 das ferramentas de tecnologia do ValorFinal apoia o planejamento.

Quando buscar apoio especializado

Projetos com múltiplas unidades, integração com nuvem ou requisitos de continuidade se beneficiam de uma condução técnica. A OpenSourceBrasil implementa VPN site-to-site para empresas e atua com consultoria pfSense, sempre adaptando a arquitetura ao cenário.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

VPN

VPN de acesso remoto seguro

Acesso remoto seguro depende de autenticação forte e controle por perfil. Veja como evitar que a VPN vire porta de entrada.

Ler guia
Arquitetura

Segmentação de rede

Redes planas amplificam incidentes. A segmentação limita a movimentação lateral e reduz o impacto de um host comprometido.

Ler guia
Arquitetura

Publicação segura de serviços

Expor serviços com NAT é comum e arriscado. Veja alternativas mais seguras e como reduzir a superfície pública.

Ler guia

Dúvidas comuns

Perguntas frequentes

A VPN site-to-site funciona entre pfSense e outro fabricante?

Sim. Com IPsec é possível interligar pfSense a firewalls e roteadores de outros fabricantes compatíveis com os parâmetros do túnel. A compatibilidade é avaliada no projeto.

Preciso de IP fixo nas duas pontas?

O ideal é ter pelo menos um IP fixo. Há cenários com IP dinâmico que funcionam com ajustes, avaliados caso a caso para garantir estabilidade.

A VPN deixa a conexão mais lenta?

Há custo de processamento da criptografia, mas com dimensionamento correto e protocolos modernos como o WireGuard o impacto costuma ser pequeno.

O túnel deve liberar todo o tráfego entre as redes?

Não. O recomendado é limitar o tráfego ao necessário entre as redes, seguindo o princípio do menor privilégio, em vez de tratar o túnel como ponte aberta.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.

Enviar e-mail para a OpenSourceBrasilVer formas de contato