IPSec是一组通信协议,用于在网络上提供安全连接。短语“IPsec”是缩写,其中“IP”代表“Internet 协议”,“sec”代表“安全”。Internet 协议 (IP) 是管理 Internet 上数据传输的普遍接受的协议。IPSec通过包括加密和身份验证来增强协议的安全性。它用于虚拟专用网络 (VPN)。
OPNsense为分支机构和远程用户提供VPN连接。只需使用OPNsense Web用户界面,即可轻松设置将多个分支机构连接到中央位置的单一、安全的专用网络。可以为远程用户生成和使证书失效,并且用户友好的导出工具简化了客户端配置过程。
站点到站点VPN隧道通过使用静态公共 IP 地址连接两个位置并在其各自的网络之间路由流量。这通常用于在组织的分支机构和总部之间建立连接,允许分支机构用户检索位于总部的网络资源。
本教程将示范OPNsense防火墙配置 IPsec 站点到站点 VPN 隧道的过程。
网络拓扑
本教程使用的网络拓扑如下:
为了允许IPsec 隧道连接,必须在两个站点WAN接口上开放下面三个端口和协议:
- 端口 4500 上的 UDP 流量 (NAT-T)
- 端口 500 上的 UDP 流量 (ISAKMP)
- 协议 ESP
通用设置
在SiteA和SiteB的两个 OPNsense 防火墙上添加这 3 条防火墙规则后,单击“应用更改”按钮来激活新设置。
站点A设置
站点A阶段1常规设置如下图所示:
站点A阶段1提案(认证)部分设置如下图所示:
单击阶段1条目右侧的 按钮添加阶段2条目:
站点A阶段2常规部分设置如下图所示:
按照以下步骤在站点A 上快速启用IPsec 服务:
导航到VPN → IPSec →隧道设置。选中页面底部的启用 IPsec选项。单击页面右上角的应用更改按钮,激活 IPsec 隧道设置。
站点B设置
站点B阶段1设置,除常规选项远程网关不同以外,其他部分可参照站点A进行设置。
站点B阶段2设置除远程网络地址不同以外,其他部分参照站点A进行设置:
添加防火墙规则
在两个站点上,分别添加允许访问的规则。导航到防火墙>规则>IPsec接口,添加允许访问LAN net的规则。
查看隧道状态
要查看当前IPsec VPN隧道状态,可以导航到VPN → IPsec →状态总览进行查看。
提升隧道性能
根据负载(单流或多流 IPsec),启用IPsec上的多线程加密模式对提升隧道性能是有益的。此模式将加密数据包分布在多个处理器上,当仅使用一个隧道时,提升尤其明显。可以导航至系统→设置→可调参数来添加或修改以下参数即可。
net.inet.ipsec.async_crypto = 1
