OPNSense 构建企业级防火墙-site-to-site network（六）

OPNSense 构建企业级防火墙–site-to-site network（六）

2020 年 3 月 16 日
筆記

简介

OPNsense是一个功能非常丰富强大的开源防火墙及路由平台，本篇文章将介绍如何使用OPNsense 内置 OpenVPN 模块来进行跨区域组网。实现不同地域的局域网通过 Tunnel 进行通信。

组网架构

公司数据中心分别位于北京和上海两地，将通过OPNsense OpenVPN 进行两地局域网络打通，实现IP通信。

Tunnel 地址 10.0.10.0/24  北京 DC  LAN：172.18.30.0/24  WAN：***.***.***.***/24  上海 DC  LAN ：192.168.99.0/24  WAN：***.***.***.***/24

OpenVPN 服务器端

描述：site-to-site network server  服务器模式：点对点（共享密钥）  协议：UDP  设备模式：tun  接口：WAN  本地端口：1199  加密设置：共享密钥：服务器自动产生，该密钥也将用于客户端  加密算法：AES-128-CBC  认证摘要算法：SHA1（160-bit）  硬件加密：无  隧道设置：IPv4隧道网络：10.0.10.0/24  IPv4本地网络：172.18.30.0/24  IPv4远程网络：192.168.99.0/24  压缩：启用自适应压缩  禁用IPv6：是  客户端设置：动态IP：是  地址池：是

OPNsense firewall 配置

WAN 口放行UDP1199

OpenVPN 口放行 any–any

注意:生产环境需要匹配严格的访问规则

边界防火墙端口映射

nat server 1 protocol udp global current-interface 1199 inside 172.41.129.249 1199

OpenVPN 客户端

描述：site-to-site network client  服务器模式：点对点（共享密钥）  协议：UDP  设备模式：tun  接口：WAN  远程服务器  主机或IP  端口  ***.***.***.****  1199  加密设置：共享密钥：将服务器端的共享密钥复制然后贴在此处  加密算法：AES-128-CBC  认证摘要算法：SHA1（160-bit）  硬件加密：无  隧道设置：IPv4隧道网络：10.0.10.0/24  IPv4远程网络：172.18.30.0/24  禁用IPv6：是