Oi. Fui encarregado de configurar um VPN site2site para um cara, entre seus dois locais, ambos usando Starlink.

Em qualquer outro produto de firewall, pelo menos um dos pontos finais precisa ter um IP público para ser o servidor VPN. Mas tenho visto posts que sugerem que é possível fazer isso, mesmo atrás de CGNAT.

Isso é possível? Se sim, alguém pode me indicar um tutorial que cubra esse assunto? Só encontro tutoriais que parecem assumir que um ou mais pontos finais têm IPs públicos.

E se não for possível rodar um site2site atrás de CGNAT nos dois pontos finais, qual seria minha melhor opção? Alugar um VPS em algum lugar e colocar um hub OpenVPN nele para que ambos os extremos se conectem a ele. (Já fiz algo assim com outro software de firewall atrás de CGNAT.)

Vi pessoas mencionando usar Tailscale, mas sem explicar como fazer isso.

Estou tentando descobrir tudo isso antes mesmo de colocar as mãos no meu primeiro firewalla. Caso contrário, eu estaria explorando os menus por lá para ver o que eles me dizem. Obrigado desde já.

Tailscale operando em ambos os redes CGNAT.

Starlink é a mais dinâmica de uma forma ruim… Espero que seu cliente não se encontre na situação de u/Terrible_Dot2875 onde o PIP muda 3 vezes por hora e a porta WAN do Firewalla não cycle tão rápido, deixando seu cliente precisar puxar o cabo Ethernet e reconectar para ativar o DHCP (em qualquer um dos locais S2S). Boa sorte.

IPv6 pode ser uma solução, parece que a maioria das regiões do Starlink agora suporta isso.

Você está sugerindo que eu estabeleça um VPN via Tailscale de alguma forma ou simplesmente dispense o VPN e use Tailscale para comunicação entre redes?

Prefiro não rotear o tráfego por um terceiro (Tailscale) por questões de latência. Idealmente, seria um verdadeiro site2site com dois extremos.

Você pode me fornecer um link para algum documento/vídeo/tutorial que detalhe os passos para usar Tailscale com Firewalla?

Aqui está como ativar

"Firewalla suporta especificar manualmente sua interface WAN e tipo de IP no aplicativo. Por exemplo, se você usar CGNAT como sua WAN principal, que não suporta encaminhamento de porta, você pode configurar a Interface WAN para DDNS e seu servidor VPN para sua WAN de backup ou alterar o tipo de IP para IPv6 Somente. Você pode especificar um endereço IP se tiver múltiplos IPs estáticos na mesma WAN.

Para especificar manualmente a interface WAN e o tipo de IP, toque em “+”, depois em DDNS. Você pode então modificar seu Tipo de Endereço IP e Interface WAN conforme necessário."

Se esse for um IP real no roteador/CPE do Starlink, então isso poderia funcionar. Vou verificar onde habilitar isso no Starlink.

Não sabia que isso estava disponível geralmente agora. Obrigado.

Para quem procura o procedimento de IPv6 com Starlink, isso cobre: https://medium.com/@tim_wang/my-setup-of-starlink-intranet-to-make-computers-at-home-accessible-on-internet-13cc8183c6d5

Basicamente, contorne o roteador Starlink (pois ele não passará IPv6 internamente). Use seu próprio roteador para obter o endereço IPv6 diretamente. Depois, hospede o que quiser. Pode ser um site ou um serviço VPN site2site.

Infelizmente este artigo do Medium requer uma assinatura paga.