WireGuard是一种简单有效的VPN连接方法,本文介绍Android设备通过WireGuard VPN连接OPNSense防火墙的方法。
OPNsense安装WireGuard
导航到System => Firmware => Plugins,找到os-wireguard,然后点击右侧的 图标进行添加。
配置WireGuard
转到VPN => WireGuard菜单项
添加本地端
选择Local选项卡,然后单击 添加新的本地端配置。
| 设置 | 选项 | 说明 |
|---|---|---|
| 名称 | opnsense |
可以随便命名 |
| 公钥 | 留空 | 将自动生成 |
| 私钥 | 留空 | 将自动生成 |
| 监听端口 | 51820 |
WireGuard的默认端口,可以使用任何端口 |
| DNS服务器 | 192.168.0.253 |
我在局域网上使用的IP地址,也可以是公用地址 |
| 隧道地址 | 10.252.0.0/24 |
OPNsense WireGuard隧道的IP地址 |
| 对等体 | 留空 | 在添加对等体之后,将在以后选择它们 |
| 禁用路由 | 不选 | 允许对等体进行路由就选中 |
单击保存,返回并编辑配置,将自动生成私钥和公钥。如下图所示。
添加端点
选择Endpoints选项卡,然后单击 添加新的端点
| 设置 | 选项 | 说明 |
|---|---|---|
| 已启 用 | 选中 | |
| 名称 | phone |
可以随便命名 |
| 公钥 | 留空 | 手机客户端上生成的公钥,可以通过QQ粘贴过来 |
| 共享密钥 | 留空 | 如果需要,可以使用“共享密钥”使其更安全 |
| 允许的IP | 10.252.0.2/32 |
对端WireGuard隧道的IP地址 |
| 端点地址 | 留空 | 手机一般不具有固定的IP地址 |
| 端点端口 | 51820 |
保持与上面使用的端口相同 |
| 在线检测 | 留空 | 如果不使用,则WireGuard隧道将在不使用时自动离线,输入20则每20秒对隧道进行一次ping操作以保持其正常运行。留空,则在需要时重新建立连接。 |
选择对端
现在,只需返回Local选项卡并编辑配置,然后在对等体列表中选择phone即可。
端口转发设置
导航到Firewall => NAT => Port Forward
将51820端口转发到OPNSense防火墙,以允许WAN中的对等体访问WireGuard隧道。
| 设置 | 选项 | 说明 |
|---|---|---|
| 协议 | UDP协议 | WireGuard是基于UDP的协议 |
| 目标 | WAN地址 | 我们正在将端口转发到WAN |
| 目标端口范围 | 选择other并输入51820 |
默认的WireGuard端口 |
| 重定向目标IP | 输入OPNsense的LAN IP地址 | 流量到达OPNSense上的WireGuard隧道 |
添加WireGuard接口
导航到Interfaces => Assignments添加一个新的接口,添加wg0,然后启用这个接口,记住,不要设置任何IP地址信息。
再转到Firewall => NAT => Outbound,将出站设置为Automatic outbound NAT rule generation或Hybrid outbound NAT rule generation,然后重新启动OPNSense,就会发现WG网络出现在“自动规则”列表中。
安卓手机设置
在Android设备上安装WireGuard,可以安装WireGuard或Viscerion。
添加WireGuard接口
在手机上打开下载的应用程序,然后单击 图标并选择Create from scratch(从头开始创建)
| 设置 | 选项 | 说明 |
|---|---|---|
| 名称 | opnsense |
可以随便命名 |
| 私钥 | 点击 Generate |
|
| 公钥 | 从私钥派生 | |
| 地址 | 10.252.0.2/32 |
WireGuard隧道的IP地址 |
| 监听端口 | 51820 |
与OPNsense中使用的端口相同 |
| DNS服务器 | 192.168.0.253 |
与OPNsense中使用的DNS设置相同 |
| MTU | 留空 |
如上图所示,现在单击Add Peer添加OPNsense对端。
添加OPNsense对端
| 设置 | 选项 | 说明 |
|---|---|---|
| 公钥 | OPNsense上设置的公钥 | 可以通过QQ等方式粘贴过来 |
| 预共享密钥 | 留空 | 类似于OPNsense中的Shared Secret参数。 |
| 允许的IP | 0.0.0.0/0, ::/0 |
将所有IPV4和IPV6流量转发到此对端 |
| 排除私有IP | 留空 | 单击此选项将从WireGuard隧道中排除私有IP范围 |
| 端点 | linuxserver.io:51820 |
设置一个静态地址来访问OPNsense,也可以是域名。 |
| 在线检测 | 留空 | 与前面相同 |
建立连接
打开手机上的WireGuard应用程序,然后单击切换开关,可以在OPNsense上查看连接状况。
原文地址