OPNsense支持多种技术来建立VPN(虚拟专用网络),包括主流的IPsec和OpenVPN。从OPNsense 19.7开始提供了WireGuard来设置VPN。在本文中,介绍了OPNsense防火墙上WireGuard VPN的配置,可以让roadwarrior用户方便的访问OPNsense防火墙后面的内部网络。
安装WireGuard插件
WireGuard插件的安装可通过集成的插件管理功能方便地完成。
单击系统->固件->插件。
在os-wireguard行中,单击+符号。
安装开始。
安装成功。
配置WireGuard
下面的截图显示了WireGuard的配置过程:
单击VPN-> WireGuard。
这是OPNsense端点的配置。单击下面的+符号。
输入名称,可以选择输入端口(或随机创建)和OPNsense端点的隧道地址。然后点击保存。
创建了端点后,一并会创建私钥和公钥。现在单击右侧的铅笔符号。
可以在这里看到显示的私钥和公钥。点击取消。
配置WAN接口防火墙规则
下面的截图显示了防火墙规则的配置过程,添加规则以允许访问OPNsense防火墙上的WireGuard VPN服务:
单击防火墙->规则-> WAN,然后单击右上角的橙色按钮+ ADD。
协议选UDP ,输入目标端口范围。向下滚动。
在描述字段中输入规则的名称,然后单击“保存。
点击“应用”。
添加的防火墙规则已配置完成并处于活动状态。
配置WireGuard接口防火墙规则
添加新规则来允许连接的VPN对端(客户端)完全访问OPNsense的网络。
单击防火墙->规则-> WireGuard,然后单击橙色按钮+ ADD。
源选择单个主机或网络,然后在下面输入WireGuard VPN源网络的IP范围及其子网掩码。向下滚动。
在描述字段中输入规则的名称,然后单击“保存”。
点击“应用”,重新加载防火墙规则。
添加的防火墙规则已配置并处于活动状态。
配置端点(客户端)
下面的截图显示了通过WireGuard连接到OPNsense端点的配置示例。客户端配置参照这篇文章(Ubuntu 系统),当然你也可以使用OPNsense进行站点到站点的配置。
单击VPN-> WireGuard,然后单击端点,然后单击+图标。
输入端点的名称,并复制在客户端系统上配置期间生成的公钥。将WireGuard IP范围中的IP地址分配给客户端。使用后缀/ 32,将始终为客户端精确分配该IP地址。然后点击保存。
转到本地选项卡,然后单击按钮来编辑条目。
现在,在下拉菜单Peers中,可以选择已配置的端点。也可以选择多个客户端配置。
点击保存。
再次单击保存。
在常规选项卡中,检查是否已选中启用WireGuard复选标记,然后单击保存。
在仪表板视图(大厅->仪表板)中,现在会出现一个新的条目WireGuard-go。
测试连接
从客户端设备启动连接。然后检查OPNsense防火墙上的连接状态:
转到菜单VPN-> WireGuard,然后转到列表配置选项卡。可以看到已连接的客户端连接数据以及最新的握手记录。
原文地址。