在OPNSense下建立site-to-site虚拟网络
本文将介绍如何在OPNSense下如何使用OpenVPN建立site-to-site虚拟网络,示例中我们使用了SharedKey加密技术,好处是不需要管理证书,设置非常方便简洁。
建立site-to-site虚拟网络
1. 示例网络拓扑图
注意:我们在模拟公网上使用了私网IP,在OPNSense的WAN设置中,必须禁用“ 拦截私有网络”和“ 拦截bogon网络”。
2. 建立和设置 OpenVPN服务器
在总部的OPNSense(LOC1)上建立OpenVPN服务器。
【VPN】->【服务器】->【添加】
描述:可任意填,如:site-to-site VPN server on LOC1
服务器模式: 端对端(共享密钥)
协议:UDP # 用UDP较为合适,也可以用TCP
设备模式: tun # 必须是 tun
接口: WAN # 接口用于建立 VPN隧道,一般都会是WAN
本地端口: 1194 # 标准OpenVPN端口,可以选其他的。
加密设置:
预共享密钥:自动产生 # 让服务器自动产生,该密钥也将用于客户端
加密算法: AES-256-CBC
认证摘要算法:RSA-SHA512
硬件加密:无
隧道设置:
IPv4隧道网络: 10.10.0.0/24
IPv4本地网络: 192.168.2.0/24
IPv4远程网络: 192.168.1.0/24
禁用IPv6:可以✔,也可以不✔
压缩:【启用自适应压缩】
客户端设置:
地址池:✔
设置完成后点击【保存】,服务将会自动启动。
修改防火墙规则
打开WAN的1149/UDP端口
在OpenVPN接口上,开放所有协议、端口和IP网络