站点到站点连接示例 (共享密钥)
本节介绍使用共享密钥方式配置OpenVPN隧道站点到站点连接的过程。
在配置共享密钥站点到站点OpenVPN连接时,一个防火墙将成为服务器,另一个将成为客户端。 通常,主要位置将是服务器端,远程办公室将充当客户端,但在功能上是等同的。 与远程访问OpenVPN配置类似,除了两端的子网之外,还将有一个用于网络间OpenVPN互连的专用子网。 网络拓扑见上图。
隧道网络使用10.3.100.0/30。 如图所示,两个防火墙之间的OpenVPN隧道从该子网的另一端获取IP地址。 下面介绍如何配置连接的服务器端和客户端。
配置服务器端
- 导航到VPN > OpenVPN, 服务器选项卡
- 单击 添加创建一个服务器条目
- 填写如下所示的字段,其他都保留默认值:服务器模式: 选择点对点(共享密钥)描述:在这里输入文字来描述连接 (例如 ExampleCo Site B VPN)
共享密钥: 选中自动生成共享密钥,或粘贴此连接的预先存在的共享密钥。
隧道网络:输入之前选择的网络, 10.3.100.0/30
远程网络:输入B站点局域网络,10.5.0.0/24
单击保存
- 单击 点对点编辑刚刚创建的服务器
- 找到共享密钥选项框
- 选择共享密钥框内的所有文本
- 将文本复制到剪贴板
- 将内容保存到文件中,或临时粘贴到文本编辑器(如记事本)中
接下来,在WAN上添加防火墙规则,允许访问OpenVPN服务器。
- 导航到防火墙 >规则策略, WAN选项卡
- 单击 在列表顶部添加一条规则
- 协议选 UDP
- 设置源地址以匹配客户端。 如果它具有动态IP地址,请将其设置为“any”,否则将该规则设置为仅允许来自客户端的WAN IP地址:
- 源地址选择单个主机或别名
- 输入客户端的WAN地址作为源地址 (例如:
203.0.113.5
)
- 设置目的地址为WAN地址
- 在本示例中,设置目标端口为
1194
- 填写描述,例如
OpenVPN from Site B
- 单击保存,如下图所示。
- 单击 应用更改
还必须将规则添加到OpenVPN接口,才能将通过VPN的流量从客户端LAN传递到服务器端LAN。 可以使用“全部允许”样式规则或一组更严格的规则。 在这个例子中,允许所有的流量是最好的,所以下面的规则是:
- 导航到防火墙 >规则策略, OpenVPN选项卡
- 单击 在列表顶部添加一条规则
- 设置协议为 any
- 输入描述 ,例如
Allow all on OpenVPN
- 单击保存
- 单击应用更改
服务器端配置完成。
配置客户端
- 在客户端系统上,导航到VPN > OpenVPN, 客户端选项卡
- 单击 添加,创建一个新的OpenVPN客户端实例
- 填写如下所示的字段,其他都保留默认值:
服务器模式: 选择点对点 (共享密钥)
服务器主机IP地址:在这里输入OpenVPN服务器的公共IP地址或主机名 (例如 198.51.100.3)
描述:输入一个描述文本 (例如ExampleCo Site A VPN)
共享密钥:取消选中自动生成共享密钥,粘贴从先前创建的服务器实例复制的密钥。
隧道网络:必须完全匹配服务器端 (例如:10.3.100.0/30)
远程网络:输入站点A的LAN网络,例如 10.3.0.0/24
- 单击保存
还必须将规则添加到OpenVPN接口,才能将通过VPN的流量从服务器端LAN传递到客户端LAN。 可以使用“全部允许”规则或一组更严格的规则。
- 导航到防火墙 >规则策略, OpenVPN选项卡
- 单击 在列表顶部添加一条规则
- 设置协议为 any
- 输入描述 ,例如
Allow all on OpenVPN
- 单击保存
- 单击应用更改
客户端的配置已完成。 客户端WAN接口上不需要设置防火墙规则,因为客户端只启动出站连接。 服务器从不启动到客户端的连接。
注意:对于远程访问PKI配置,通常路由和其他配置选项在客户端配置上没有定义,而是从服务器推送到客户端。 使用共享密钥部署时,必须根据需要在两端定义路由和其他参数(如前所述,以后在自定义配置选项中),则在使用共享密钥时,不能将选项从服务器推送到客户端。
测试连接
连接将在客户端保存后立即生效。 尝试ping到远端验证连接,以测试连接是否正常。也可以导航到系统状态>openVPN,查看连接情况。