站点到站点连接示例 (共享密钥)

Open××× 站点到站点网络示例

本节介绍使用共享密钥方式配置Open×××隧道站点到站点连接的过程。

在配置共享密钥站点到站点Open×××连接时，一个防火墙将成为服务器，另一个将成为客户端。 通常，主要位置将是服务器端，远程办公室将充当客户端，但在功能上是等同的。 与远程访问Open×××配置类似，除了两端的子网之外，还将有一个用于网络间Open×××互连的专用子网。 网络拓扑见上图。

隧道网络使用10.3.100.0/30。 如图所示，两个防火墙之间的Open×××隧道从该子网的另一端获取IP地址。 下面介绍如何配置连接的服务器端和客户端。

配置服务器端

• 导航到××× > Open×××, 服务器选项卡

• 单击   添加创建一个服务器条目

• 填写如下所示的字段，其他都保留默认值：

  服务器模式: 选择点对点（共享密钥)

  描述:在这里输入文字来描述连接 (例如 ExampleCo Site B ×××)

  共享密钥: 选中自动生成共享密钥，或粘贴此连接的预先存在的共享密钥。

  隧道网络:输入之前选择的网络， 10.3.100.0/30

  远程网络:输入B站点局域网络，10.5.0.0/24

• 单击保存

• 单击  点对点编辑刚刚创建的服务器

• 找到共享密钥选项框

• 选择共享密钥框内的所有文本

• 将文本复制到剪贴板

• 将内容保存到文件中，或临时粘贴到文本编辑器（如记事本）中

接下来，在WAN上添加防火墙规则，允许访问Open×××服务器。

• 导航到防火墙 >规则策略, WAN选项卡

• 单击   在列表顶部添加一条规则

• 协议选 UDP

• 设置源地址以匹配客户端。 如果它具有动态IP地址，请将其设置为“any”，否则将该规则设置为仅允许来自客户端的WAN IP地址:

  • 源地址选择单个主机或别名

  • 输入客户端的WAN地址作为源地址 (例如： 203.0.113.5)

• 设置目的地址为WAN地址

• 在本示例中，设置目标端口为 1194

• 填写描述，例如Open××× from Site B

• 单击保存，如下图所示。

Open×××站点到站点连接示例WAN防火墙规则

• 单击 应用更改

还必须将规则添加到Open×××接口，才能将通过×××的流量从客户端LAN传递到服务器端LAN。 可以使用“全部允许”样式规则或一组更严格的规则。 在这个例子中，允许所有的流量是最好的，所以下面的规则是：

• 导航到防火墙 >规则策略, Open×××选项卡

• 单击   在列表顶部添加一条规则

• 设置协议为 any

• 输入描述 ，例如 Allow all on Open×××

• 单击保存

• 单击应用更改

服务器端配置完成。

配置客户端

• 在客户端系统上，导航到××× > Open×××, 客户端选项卡

• 单击  添加，创建一个新的Open×××客户端实例

• 填写如下所示的字段，其他都保留默认值:

  服务器模式： 选择点对点 (共享密钥)

  服务器主机IP地址：在这里输入Open×××服务器的公共IP地址或主机名 (例如 198.51.100.3)

  描述：输入一个描述文本 (例如ExampleCo Site A ×××)

  共享密钥：取消选中自动生成共享密钥，粘贴从先前创建的服务器实例复制的密钥。

  隧道网络：必须完全匹配服务器端 (例如：10.3.100.0/30)

  远程网络：输入站点A的LAN网络，例如 10.3.0.0/24

• 单击保存 

还必须将规则添加到Open×××接口，才能将通过×××的流量从服务器端LAN传递到客户端LAN。 可以使用“全部允许”规则或一组更严格的规则。

• 导航到防火墙 >规则策略, Open×××选项卡

• 单击   在列表顶部添加一条规则

• 设置协议为 any

• 输入描述 ，例如 Allow all on Open×××

• 单击保存

• 单击应用更改

客户端的配置已完成。 客户端WAN接口上不需要设置防火墙规则，因为客户端只启动出站连接。 服务器从不启动到客户端的连接。

注意

对于远程访问PKI配置，通常路由和其他配置选项在客户端配置上没有定义，而是从服务器推送到客户端。 使用共享密钥部署时，必须根据需要在两端定义路由和其他参数（如前所述，以后在自定义配置选项中），则在使用共享密钥时，不能将选项从服务器推送到客户端。

测试连接

连接将在客户端保存后立即生效。 尝试ping到远端验证连接，以测试连接是否正常。也可以导航到系统状态>open×××，查看连接情况。

翻译自pfsense book

2017-12-05