OPNsense配置OpenVPN远程接入服务(新)
|
16
|
0
|
OPNsense

1721 字
|
7 分钟

在远程访问公司或家庭网络时,确保网络安全尤为重要。使用OPNsense的OpenVPN服务器功能可以帮助我们创建一个安全的远程接入通道,提供对内网资源的加密访问。本文演示使用新版本的OpenVPN实例,来搭建远程访问服务器。

测试平台:OPNsense 26.1.7

1. 前期准备

在开始之前,确保以下几点:

  • OPNsense已成功安装并正确配置。
  • 网络拓扑结构明确,知道哪些设备需要通过VPN访问。
  • 准备好一台可用的客户端设备,用于后续测试远程连接。

另外,建议将OPNsense更新至最新版本以确保兼容性和安全性。

2. 配置步骤

2.1 配置证书

2.1.1 添加机构证书

为了保证连接的安全性,我们需要使用证书来验证连接的合法性。在OPNsense中配置证书的方法如下:

进入证书管理页面:导航到系统>证书 >颁发,点击添加新增一个内部证书颁发机构 (CA)。填写一个描述性名称VPN-CA,选择密钥类型、摘要算法。其他字段可以根据需要填写,最后点击保存按钮保存机构证书。如下图所示:

添加完成如下图所示:

2.1.2 添加服务器证书

导航到 系统>证书 >证书,单击右下角添加,然后创建一个内部证书。输入描述名称如vpn_test,类型选服务器证书,颁发机构选前面添加的CA,密钥类型选RSA-2048,摘要算法选SHA256,其他字段根据需要输入 。

输入完成点击保存按钮,保存证书,如下图所示:

2.2  添加VPN用户

2.2.1 添加vpn 用户

转到系统>访问>用户,单击右侧的添加图标,添加一个VPN用户,并输入用户名和密码。

其他选项保持默认,点击保存,如下图所示。

2.2.2添加客户端证书

在用户列表右侧,点击太阳图标,会出现证书添加页面,点击为该用户添加一个客户端证书。颁发机构选前面添加的CA。

添加完成如下图所示:

2.3 配置OpenVPN

2.3.1 添加静态密钥

在配置实例之前,先添加一个静态密钥。导航到VPN>OpenVPN>静态密钥,添加一个名为 vpn_test 的tls静态密钥。

2.3.2 添加实例

导航到VPN>OpenVPN>实例,单击添加一个VPN服务器。

常规设置:协议UDP,端口号1194,绑定地址填入WAN接口地址,类型选TUN,输入服务器的虚拟 ipv4 地址,其他选项保持默认。

证书与认证部分:证书选中前创建的服务器证书,静态密钥选中前面创建的静态密钥 vpn_test,其他选项可以保持默认。

路由及其他设置:输入允许访问的本地网络,其他选项保持默认即可。

配置完成后,回到实例列表,点击应用按钮启用OpenVPN服务器。

2.4 添加防火墙规则

为了允许VPN用户连接并访问内部网络,需要添加两条防火墙规则。

放行OpenVPN访问端口:导航到 防火墙 >规则(新),在WAN接口上,添加一条放行1194端口的规则。

添加允许OpenVPN流量访问的规则:导航到 防火墙 >规则(新),在OpenVPN组上,添加一条any to any规则,可以根据需要细化规则设置。

3. 客户端配置

3.1 下载配置文件

导出客户端配置文件:转到VPN > OpenVPN >客户端导出。远程访问服务器选中刚刚创建的VPN-TEST服务器,导出类型选中档案,主机名称为防火墙域名或公网地址,端口输入 1194,其他选项如下图所示。

然后在链接的用户部分,下载前面添加的 vpn_user配置文件。

3.2 客户端连接

根据客户端设备系统的不同,下载并安装对应平台的OpenVPN客户端软件。以 MACOS 系统为例:将下载的档案解压,将 .ovpn 文件导入到tunnelblick 客户端,点击连接按钮,完成与OPNsense 防火墙的连接。

导航到VPN > OpenVPN >连接状态,可以查看连接信息。

客户端ping防火墙LAN地址或OpenVPN隧道地址(10.10.10.1),检查是否正常连通。

4. 重定向网关

如果客户端需要通过远程服务器出站,可以配置重定向网关选项来实现。具体操作如下:

在实例配置部分,将重定向网关选项由未选择切换为默认。其他选项的含义如下:

  • local  –  保留本地 LAN 路由,不影响默认网关
  • autolocal  –  自动检测本地网络并绕过
  • 默认 –  将所有 IPv4 流量通过 VPN
  • bypass dhcp  –  保留 DHCP 通信,一般不单独使用
  • bypass dns  –  保留本地 DNS,特殊需求时使用
  • block local  –  阻止访问本地网络,隐私场景
  • ipv6 (default)  –  同时重定向 IPv6,需要 IPv6 时使用
  • not ipv4 (default)  –  仅重定向 IPv6,不重定向 IPv4,很少使用

然后转到防火墙→ NAT →  出站,将出站切换为混合模式,并添加一条出站规则:接口=WAN,源 = OpenVPN 隧道网络(10.10.10.0/24 ),转换/目标=接口地址。如下图所示:

访问 ip111.cn,检查出口 IP 是否显示为 OPNsense 的公网地址。

5. 故障排查

  1. 无法连接VPN:检查OPNsense中的防火墙配置,确保1194端口已开放。
  2. 访问内网资源失败:检查路由设置和防火墙规则,确保VPN客户端IP可以访问内网资源。

6. 相关文章

OPENVPN
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
															
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

															
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇

                    

                    
			        推荐文章
		            

		            

							
OPNsense配置OpenVPN远程接入服务(旧)

							
							

							
OPNsense 日志设置指南