OPNsense Tinc VPN配置

Tinc是一个全网状VPN解决方案,部署简单,OPNSense和pfSense中都包含有该插件。下面介绍在OPNsens的配置方法。

网络定义

本例中的网络结构如下表:

防火墙名称 TINC网络IP 广域网IP 局域网
FW1 10.255.255.30 192.168.12.130 172.16.30.0/24
FW2 10.255.255.31 192.168.12.131 172.16.31.0/24
FW3 10.255.255.32 192.168.12.132 172.16.32.0/24

为了减少网络配置规模,本例使用/ 24掩码定义Tinc网络。

安装软件

首先安装os-tinc软件包,安装完成后,会在VPN菜单中添加TINC子菜单:

使用相同的网络名称创建一个Tinc VPN,如下图所示:

在本例中,”网络”参数对应于实例的IP和子网10.255.255.32/24,”此主机”部分填写对应于该防火墙的外部IP和Tinc服务器的监听端口。保存设置后,将自动填写”私钥”和”公钥”字段。

在三个防火墙上执行完此操作后,必须打开与TINC服务相对应的端口。导航到”防火墙”>”规则”>”WAN”部分,添加一条新规则来打开TINC的访问端口。如下图所示:

现在配置Tinc网络中的其他主机,导航到VPN> Tinc>主机,输入其他防火墙的信息:

输入的信息包括:公共IP、端口、主机名、公钥。

Tinc在三个防火墙之间创建Full Mesh网络,通过Tinc路由可以传递来自未直接连接的主机流量。

路由配置

完成上面的操作后,继续定义不同网络之间的路由,以达到互相访问的目的。

首先分配TINC接口:

然后定义到其他Tinc节点的相应网关,如下图所示:

OPNSense开始验证与不同网关的连接及其延迟:

然后执行到不同网络的路由:

现在流量可以在不同防火墙之间正确传递。

配置防火墙

经过以上设置后,不同防火墙后面的节点与节点之间还无法进行通信,因为默认情况下TINC接口会拒绝所有流量,必须授权TINC / TincVPN接口上的所有协议流量自由传输。

导航到”防火墙”>”规则”>”TINC”部分,添加一条允许any到any的规则,如下图所示。

结论

现在可以通过VPN Tinc在3个站点的网络之间进行自由通信,也可以将其与其他类型的节点进行集成处理。