OPNsense - 多功能高可靠易使用的防火墙(五)
在OPNSense下建立site-to-site虚拟网络
本文将介绍如何在OPNSense下如何使用OpenVPN建立site-to-site虚拟网络,示例中我们使用了SharedKey加密技术,好处是不需要管理证书,设置非常方便简洁。
建立site-to-site虚拟网络
1. 示例网络拓扑图
注意:我们在模拟公网上使用了私网IP,在OPNSense的WAN设置中,必须禁用“ 拦截私有网络”和“ 拦截bogon网络”。
2. 建立和设置 OpenVPN服务器
在总部的OPNSense(LOC1)上建立OpenVPN服务器。
【VPN】->【服务器】->【添加】
描述:可任意填,如:site-to-site VPN server on LOC1
服务器模式: 端对端(共享密钥)
协议:UDP # 用UDP较为合适,也可以用TCP
设备模式: tun # 必须是 tun
接口: WAN # 接口用于建立 VPN隧道,一般都会是WAN
本地端口: 1194 # 标准OpenVPN端口,可以选其他的。
加密设置:
预共享密钥:自动产生 # 让服务器自动产生,该密钥也将用于客户端
加密算法: AES-256-CBC
认证摘要算法:RSA-SHA512
硬件加密:无
隧道设置:
IPv4隧道网络: 10.10.0.0/24
IPv4本地网络: 192.168.2.0/24
IPv4远程网络: 192.168.1.0/24
禁用IPv6:可以✔,也可以不✔
压缩:【启用自适应压缩】
客户端设置:
地址池:✔
设置完成后点击【保存】,服务将会自动启动。
修改防火墙规则
打开WAN的1149/UDP端口
在OpenVPN接口上,开放所有协议、端口和IP网络
为了简化示例,在防火墙上开放了VPN隧道。为了强化安全,您可以有选择性地开放协议、端口和IP。
检查VPN服务器连接状态
【VPN】->【链接状态】
我们可以看到服务器已经启动,正在等待链接。
3. 建立和设置 OpenVPN客户端
在远程办公室的OPNSense(LOC2)上建立OpenVPN客户端。
【VPN】->【客户端】->【添加】
描述:可任意填,如:site-to-site VPN Client on LOC2
服务器模式: 端对端(共享密钥)
协议:UDP # 用UDP较为合适,也可以用TCP
设备模式: tun # 必须是 tun
接口: WAN # 接口用于建立 VPN隧道,一般都会是WAN
Remote server:
Host or Address 端口
192.168.199.132 1194
加密设置:
预共享密钥:【将服务器端的共享密钥复制然后贴在此处】
加密算法: AES-256-CBC
认证摘要算法:RSA-SHA512
硬件加密:无
隧道设置:
IPv4隧道网络: 10.10.0.0/24
IPv4远程网络: 192.168.2.0/24
服务器模式: 端对端(共享密钥)
禁用IPv6:可以✔,也可以不✔
设置完成后点击【保存】,客户端将会自动启动。
修改防火墙规则
- 在OpenVPN接口上,开放所有协议、端口和IP网络
为了简化示例,在防火墙上开放了VPN隧道。为了强化安全,您可以有选择性地开放协议、端口和IP。
检查VPN服务器连接状态
【VPN】->【链接状态】
如客户端成功连接上服务器,链接状态将显示类似于上图的结果。如状态不是“UP”,请重新检查所有设置。有时建立连接时间可能长达一分钟。
4. 检查子网 192.168.1.0/24和192.168.2.0/24之间的通信
从 192.168.1.0/24子网上的Windows10(192.168.1.101)连接到 192.168.2.0/24上的 OPNSense WebUI(192.168.2.1)
从 192.168.1.0/24子网上的Windows10(192.168.1.101)连接到 192.168.2.0/24上的 服务器2(192.168.2.102)
[c:\~]$ ssh 192.168.2.102Connecting to 192.168.2.102:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-23-generic x86_64)* Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantageSystem information as of Thu Sep 13 13:18:10 CST 2018System load: 0.0 Processes: 179Usage of /: 24.0% of 19.56GB Users logged in: 1Memory usage: 17% IP address for ens32: 192.168.2.102Swap usage: 0%* Canonical Livepatch is available for installation.- Reduce system reboots and improve kernel security. Activate at:https://ubuntu.com/livepatch0 packages can be updated.
0 updates are security updates.*** System restart required ***
Last login: Thu Sep 13 13:17:58 2018 from 192.168.1.101
lsadm@lscms:~$
从 192.168.2.0/24子网上的Windows10(192.168.2.100)连接到 192.168.1.0/24上的 OPNSense 的WebUI(192.168.1.1)
从 192.168.1.0/24子网上的Windows10(192.168.1.101)连接到 192.168.2.0/24上的 服务器2(192.168.2.102)
[c:\~]$ ssh 192.168.1.102Connecting to 192.168.1.102:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-34-generic x86_64)* Documentation: https://help.ubuntu.com* Management: https://landscape.canonical.com* Support: https://ubuntu.com/advantageSystem information as of Thu Sep 13 13:28:06 CST 2018System load: 0.16 Processes: 210Usage of /: 24.0% of 19.56GB Users logged in: 1Memory usage: 12% IP address for ens32: 192.168.1.102Swap usage: 0%* Canonical Livepatch is available for installation.- Reduce system reboots and improve kernel security. Activate at:https://ubuntu.com/livepatch0 packages can be updated.
0 updates are security updates.Last login: Thu Sep 13 13:26:22 2018
lsadm@lscms:~$
到此,在OPNSense上使用OpenVPN建立site-to-site虚拟网已完成并通过测试,可投入使用。
OPNsense - 多功能高可靠易使用的防火墙(五)相关推荐
- Reliable, Scalable, and Maintainable Applications 高可靠、易扩展、易运维应用
寻找翻译本书后续章节合作者 微信:18600166191 ---------------------------------- PART I Foundations of Data Systems ...
- 智和信通搭建高可靠、真稳定IT运维平台,助力能源行业高效生产
在能源企业信息化高度发展的背景下,北京智和信通有限公司推出全栈式运维管控平台--"智和网管平台",助力能源企业搭建高可靠.真稳定的IT运维平台,实现高效稳定生产. 信息化飞速发展, ...
- 高可靠芯片搭配视觉演算法,影像式ADAS满足车规要求
高可靠芯片搭配视觉演算法,影像式ADAS满足车规要求 2015-12-21 18:03:27 来源:eefocus 关键字:高可靠芯片 视觉演算法 影像式 ADAS 车规要求 影像式 ...
- 技术解析系列 | PouchContainer 支持 LXCFS 实现高可靠容器隔离
划重点 本周起 PouchContainer 启动核心技术专家解析系列文章,第一篇文章将深入剖析 LXCFS 适用业务场景和原理,对 LXCFS 感兴趣的同学不要错过 引言 PouchContaine ...
- 基于Flink的高可靠实时ETL系统
GIAC(GLOBAL INTERNET ARCHITECTURE CONFERENCE)是长期关注互联网技术与架构的高可用架构技术社区和msup推出的,面向架构师.技术负责人及高端技术从业人员的年度 ...
- Nginx多进程高并发、低时延、高可靠机制在缓存(redis、memcache)twemproxy代理中的应用...
1. 开发背景 现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemp ...
- 高性能、高可靠分布式文件系统 go-fastdfs v1.2.0 发布
开发四年只会写业务代码,分布式高并发都不会还做程序员? go-fastdfs是一个基于http协议的分布式文件系统,它基于大道至简的设计理念,一切从简设计,使得它的运维及扩展变得更加简单,它具有高 ...
- Tair是一个高性能,分布式,可扩展,高可靠的key/value结构存储系统(转)
Tair是一个高性能,分布式,可扩展,高可靠的key/value结构存储系统! Tair专为小文件优化,并提供简单易用的接口(类似Map) Tair支持Java和C版本的客户端 Tair is a d ...
- GaussDB(for MySQL)如何在存储架构设计上做到高可靠、高可用
摘要: GaussDB(for MySQL)通过ND算子下推解决存储节点和计算节点之间的传输速度,减少网络开销这个难题. 数据库作为高效稳定处理海量数据交易/分析的坚强数据底座,底层架构设计的重要性不 ...
- Nginx多进程高并发、低时延、高可靠机制在滴滴缓存代理中的应用
开发背景 现有开源缓存代理中间件有twemproxy.codis等,其中twemproxy为单进程单线程模型,只支持memcache单机版和redis单机版,都不支持集群版功能. 由于twemprox ...
最新文章
- Base62x比Base64的编码速度更快吗?
- 004 两种方法找寻路call
- 漫画:什么是HashMap?
- php html 伪静态,php 伪静态(url重写)的写法
- u盘启动 联想一体机_联想笔记本电脑怎么重装win10系统
- Android 高级学习心得及项目要点
- 21. Function 对象
- u检验中的查u界值表_u检验、t检验、F检验、X2检验
- RHEL8破解root密码
- ResizeObserver loop limit exceeded报错解决方案
- 一个假冒的序列号被用来注册Internet Download Manager。IDM正在退出...解决办法
- 苹果语音备忘录可以转文字吗?可以语音转文字的备忘录便签
- 中央气象局天气预报接口城市代码大全
- 正弦波调光器的工作原理
- 扫描二维码登陆实现原理
- CMMI简介及思想启发
- 夺命雷公狗jquery---18jquery中常用属性(方法)
- Mysql字符串截取函数SUBSTRING的用法说明
- NS2中的WirelessPhyExt工作机制研究
- 学生用什么台灯性价比很高?分享五款学生最好的护眼灯品牌
热门文章
- Word添加脚注自定义标记
- python while循环例题鸡兔同笼_使用函数嵌套和循环枚举解决鸡兔同笼问题(解数学题学Python编程)...
- SQL Server 2005“错误1706。安装程序找不到需要的文件。请检查……”的处理办法
- VS中打开C项目源文件、头文件分类文件夹不见了?这样操作打开!
- p2p-如何拯救k8s镜像分发的阿喀琉斯之踵 1
- 树莓派触摸屏校准以及QT触摸屏相关问题解决
- 高通 msm8953 LCD 休眠/唤醒 流程
- AIX系统中 .toc文件是做什么用的
- 在html5中加下划线的方式,怎么给文字插入下划线?
- [CGAL] CGAL的世界-Kernel内核、Traits特征类