站点到站点连接示例 (共享密钥)

OpenVPN站点到站点网络示例

本节介绍使用共享密钥方式配置OpenVPN隧道站点到站点连接的过程。

在配置共享密钥站点到站点OpenVPN连接时，一个防火墙将成为服务器，另一个将成为客户端。 通常，主要位置将是服务器端，远程办公室将充当客户端，但在功能上是等同的。 与远程访问OpenVPN配置类似，除了两端的子网之外，还将有一个用于网络间OpenVPN互连的专用子网。 网络拓扑见上图。

隧道网络使用10.3.100.0/30。 如图所示，两个防火墙之间的OpenVPN隧道从该子网的另一端获取IP地址。 下面介绍如何配置连接的服务器端和客户端。

配置服务器端

• 导航到VPN > OpenVPN, 服务器选项卡
• 单击
  
    添加创建一个服务器条目
• 填写如下所示的字段，其他都保留默认值：服务器模式: 选择点对点（共享密钥)描述:在这里输入文字来描述连接 (例如 ExampleCo Site B VPN)

  共享密钥: 选中自动生成共享密钥，或粘贴此连接的预先存在的共享密钥。

  隧道网络:输入之前选择的网络， 10.3.100.0/30

  远程网络:输入B站点局域网络，10.5.0.0/24

  单击保存

• 单击
  
   点对点编辑刚刚创建的服务器
• 找到共享密钥选项框
• 选择共享密钥框内的所有文本
• 将文本复制到剪贴板
• 将内容保存到文件中，或临时粘贴到文本编辑器（如记事本）中

接下来，在WAN上添加防火墙规则，允许访问OpenVPN服务器。

• 导航到防火墙 >规则策略, WAN选项卡
• 单击
  
    在列表顶部添加一条规则
• 协议选 UDP
• 设置源地址以匹配客户端。 如果它具有动态IP地址，请将其设置为“any”，否则将该规则设置为仅允许来自客户端的WAN IP地址:
  • 源地址选择单个主机或别名
  • 输入客户端的WAN地址作为源地址 (例如： 203.0.113.5)
• 设置目的地址为WAN地址
• 在本示例中，设置目标端口为 1194
• 填写描述，例如OpenVPN from Site B
• 单击保存，如下图所示。

OpenVPN站点到站点连接示例WAN防火墙规则

• 单击 应用更改

还必须将规则添加到OpenVPN接口，才能将通过VPN的流量从客户端LAN传递到服务器端LAN。 可以使用“全部允许”样式规则或一组更严格的规则。 在这个例子中，允许所有的流量是最好的，所以下面的规则是：

• 导航到防火墙 >规则策略, OpenVPN选项卡
• 单击
  
  在列表顶部添加一条规则
• 设置协议为 any
• 输入描述 ，例如 Allow all on OpenVPN
• 单击保存
• 单击应用更改

服务器端配置完成。

配置客户端

• 在客户端系统上，导航到VPN > OpenVPN, 客户端选项卡
• 单击
  
   添加，创建一个新的OpenVPN客户端实例
• 填写如下所示的字段，其他都保留默认值:

  服务器模式： 选择点对点 (共享密钥)

  服务器主机IP地址：在这里输入OpenVPN服务器的公共IP地址或主机名 (例如 198.51.100.3)

  描述：输入一个描述文本 (例如ExampleCo Site A VPN)

  共享密钥：取消选中自动生成共享密钥，粘贴从先前创建的服务器实例复制的密钥。

  隧道网络：必须完全匹配服务器端 (例如：10.3.100.0/30)

  远程网络：输入站点A的LAN网络，例如 10.3.0.0/24

• 单击保存 

还必须将规则添加到OpenVPN接口，才能将通过VPN的流量从服务器端LAN传递到客户端LAN。 可以使用“全部允许”规则或一组更严格的规则。

• 导航到防火墙 >规则策略, OpenVPN选项卡
• 单击
  
  在列表顶部添加一条规则
• 设置协议为 any
• 输入描述 ，例如 Allow all on OpenVPN
• 单击保存
• 单击应用更改

客户端的配置已完成。 客户端WAN接口上不需要设置防火墙规则，因为客户端只启动出站连接。 服务器从不启动到客户端的连接。

注意：对于远程访问PKI配置，通常路由和其他配置选项在客户端配置上没有定义，而是从服务器推送到客户端。 使用共享密钥部署时，必须根据需要在两端定义路由和其他参数（如前所述，以后在自定义配置选项中），则在使用共享密钥时，不能将选项从服务器推送到客户端。

测试连接

连接将在客户端保存后立即生效。 尝试ping到远端验证连接，以测试连接是否正常。也可以导航到系统状态>openVPN，查看连接情况。