OPNsense - 多功能高可靠易使用的防火墙（五）

在OPNSense下建立site-to-site虚拟网络

本文将介绍如何在OPNSense下如何使用OpenVPN建立site-to-site虚拟网络，示例中我们使用了SharedKey加密技术，好处是不需要管理证书，设置非常方便简洁。

建立site-to-site虚拟网络

1. 示例网络拓扑图

注意：我们在模拟公网上使用了私网IP，在OPNSense的WAN设置中，必须禁用“ 拦截私有网络”和“ 拦截bogon网络”。

2. 建立和设置 OpenVPN服务器

在总部的OPNSense（LOC1）上建立OpenVPN服务器。

【VPN】->【服务器】->【添加】

描述：可任意填，如：site-to-site VPN server on LOC1
服务器模式：端对端（共享密钥）
协议：UDP # 用UDP较为合适，也可以用TCP
设备模式： tun # 必须是 tun
接口： WAN # 接口用于建立 VPN隧道，一般都会是WAN
本地端口： 1194 # 标准OpenVPN端口，可以选其他的。
加密设置：
预共享密钥：自动产生 # 让服务器自动产生，该密钥也将用于客户端
加密算法： AES-256-CBC
认证摘要算法：RSA-SHA512
硬件加密：无
隧道设置：
IPv4隧道网络： 10.10.0.0/24
IPv4本地网络： 192.168.2.0/24
IPv4远程网络： 192.168.1.0/24
禁用IPv6：可以✔，也可以不✔
压缩：【启用自适应压缩】
客户端设置：
地址池：✔
设置完成后点击【保存】，服务将会自动启动。

修改防火墙规则

打开WAN的1149/UDP端口
在OpenVPN接口上，开放所有协议、端口和IP网络

为了简化示例，在防火墙上开放了VPN隧道。为了强化安全，您可以有选择性地开放协议、端口和IP。

检查VPN服务器连接状态

【VPN】->【链接状态】

我们可以看到服务器已经启动，正在等待链接。

3. 建立和设置 OpenVPN客户端

在远程办公室的OPNSense（LOC2）上建立OpenVPN客户端。

【VPN】->【客户端】->【添加】

描述：可任意填，如：site-to-site VPN Client on LOC2
服务器模式：端对端（共享密钥）
协议：UDP # 用UDP较为合适，也可以用TCP
设备模式： tun # 必须是 tun
接口： WAN # 接口用于建立 VPN隧道，一般都会是WAN
Remote server：
Host or Address 端口
192.168.199.132 1194
加密设置：
预共享密钥：【将服务器端的共享密钥复制然后贴在此处】
加密算法： AES-256-CBC
认证摘要算法：RSA-SHA512
硬件加密：无
隧道设置：
IPv4隧道网络： 10.10.0.0/24
IPv4远程网络： 192.168.2.0/24
服务器模式：端对端（共享密钥）
禁用IPv6：可以✔，也可以不✔

设置完成后点击【保存】，客户端将会自动启动。

修改防火墙规则

在OpenVPN接口上，开放所有协议、端口和IP网络

为了简化示例，在防火墙上开放了VPN隧道。为了强化安全，您可以有选择性地开放协议、端口和IP。

检查VPN服务器连接状态

【VPN】->【链接状态】

如客户端成功连接上服务器，链接状态将显示类似于上图的结果。如状态不是“UP”，请重新检查所有设置。有时建立连接时间可能长达一分钟。

4. 检查子网 192.168.1.0/24和192.168.2.0/24之间的通信

从 192.168.1.0/24子网上的Windows10（192.168.1.101）连接到 192.168.2.0/24上的 OPNSense WebUI（192.168.2.1）

从 192.168.1.0/24子网上的Windows10（192.168.1.101）连接到 192.168.2.0/24上的服务器2（192.168.2.102）

[c:\~]$ ssh 192.168.2.102Connecting to 192.168.2.102:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-23-generic x86_64)* Documentation:  https://help.ubuntu.com* Management:     https://landscape.canonical.com* Support:        https://ubuntu.com/advantageSystem information as of Thu Sep 13 13:18:10 CST 2018System load:  0.0                Processes:            179Usage of /:   24.0% of 19.56GB   Users logged in:      1Memory usage: 17%                IP address for ens32: 192.168.2.102Swap usage:   0%* Canonical Livepatch is available for installation.- Reduce system reboots and improve kernel security. Activate at:https://ubuntu.com/livepatch0 packages can be updated.
0 updates are security updates.*** System restart required ***
Last login: Thu Sep 13 13:17:58 2018 from 192.168.1.101
lsadm@lscms:~$

从 192.168.2.0/24子网上的Windows10（192.168.2.100）连接到 192.168.1.0/24上的 OPNSense 的WebUI（192.168.1.1）

从 192.168.1.0/24子网上的Windows10（192.168.1.101）连接到 192.168.2.0/24上的服务器2（192.168.2.102）

[c:\~]$ ssh 192.168.1.102Connecting to 192.168.1.102:22...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-34-generic x86_64)* Documentation:  https://help.ubuntu.com* Management:     https://landscape.canonical.com* Support:        https://ubuntu.com/advantageSystem information as of Thu Sep 13 13:28:06 CST 2018System load:  0.16               Processes:            210Usage of /:   24.0% of 19.56GB   Users logged in:      1Memory usage: 12%                IP address for ens32: 192.168.1.102Swap usage:   0%* Canonical Livepatch is available for installation.- Reduce system reboots and improve kernel security. Activate at:https://ubuntu.com/livepatch0 packages can be updated.
0 updates are security updates.Last login: Thu Sep 13 13:26:22 2018
lsadm@lscms:~$

到此，在OPNSense上使用OpenVPN建立site-to-site虚拟网已完成并通过测试，可投入使用。