安卓手机通过WireGuard VPN远程连接OPNSense防火墙

WireGuard是一种简单有效的VPN连接方法,本文介绍Android设备通过WireGuard VPN连接OPNSense防火墙的方法。

OPNsense安装WireGuard

导航到System => Firmware => Plugins,找到os-wireguard,然后点击右侧的 图标进行添加。

配置WireGuard

转到VPN => WireGuard菜单项

添加本地端

选择Local选项卡,然后单击 添加新的本地端配置。

设置 选项 说明
名称 opnsense 可以随便命名
公钥 留空 将自动生成
私钥 留空 将自动生成
监听端口 51820 WireGuard的默认端口,可以使用任何端口
DNS服务器 192.168.0.253 我在局域网上使用的IP地址,也可以是公用地址
隧道地址 10.252.0.0/24 OPNsense WireGuard隧道的IP地址
对等体 留空 在添加对等体之后,将在以后选择它们
禁用路由 不选 允许对等体进行路由就选中

单击保存,返回并编辑配置,将自动生成私钥和公钥。如下图所示。

添加端点

选择Endpoints选项卡,然后单击 添加新的端点

设置 选项 说明
已启  用 选中
名称 phone 可以随便命名
公钥 留空 手机客户端上生成的公钥,可以通过QQ粘贴过来
共享密钥 留空 如果需要,可以使用“共享密钥”使其更安全
允许的IP 10.252.0.2/32 对端WireGuard隧道的IP地址
端点地址 留空 手机一般不具有固定的IP地址
端点端口 51820 保持与上面使用的端口相同
在线检测 留空 如果不使用,则WireGuard隧道将在不使用时自动离线,输入20则每20秒对隧道进行一次ping操作以保持其正常运行。留空,则在需要时重新建立连接。
点击保存后,如下图所示:这里填写的公钥已从手机客户端上复制过来。

选择对端

现在,只需返回Local选项卡并编辑配置,然后在对等体列表中选择phone即可。

端口转发设置

导航到Firewall => NAT => Port Forward

51820端口转发到OPNSense防火墙,以允许WAN中的对等体访问WireGuard隧道。

设置 选项 说明
协议 UDP协议 WireGuard是基于UDP的协议
目标 WAN地址 我们正在将端口转发到WAN
目标端口范围 选择other并输入51820 默认的WireGuard端口
重定向目标IP 输入OPNsense的LAN IP地址 流量到达OPNSense上的WireGuard隧道

添加WireGuard接口

导航到Interfaces => Assignments添加一个新的接口,添加wg0,然后启用这个接口,记住,不要设置任何IP地址信息。

再转到Firewall => NAT => Outbound,将出站设置为Automatic outbound NAT rule generationHybrid outbound NAT rule generation,然后重新启动OPNSense,就会发现WG网络出现在“自动规则”列表中。

安卓手机设置

在Android设备上安装WireGuard,可以安装WireGuardViscerion

添加WireGuard接口

在手机上打开下载的应用程序,然后单击 图标并选择Create from scratch(从头开始创建)

设置 选项 说明
名称 opnsense 可以随便命名
私钥 点击 Generate
公钥 从私钥派生
地址 10.252.0.2/32 WireGuard隧道的IP地址
监听端口 51820 与OPNsense中使用的端口相同
DNS服务器 192.168.0.253 与OPNsense中使用的DNS设置相同
MTU 留空

如上图所示,现在单击Add Peer添加OPNsense对端。

添加OPNsense对端

设置 选项 说明
公钥 OPNsense上设置的公钥 可以通过QQ等方式粘贴过来
预共享密钥 留空 类似于OPNsense中的Shared Secret参数。
允许的IP 0.0.0.0/0, ::/0 将所有IPV4和IPV6流量转发到此对端
排除私有IP 留空 单击此选项将从WireGuard隧道中排除私有IP范围
端点 linuxserver.io:51820 设置一个静态地址来访问OPNsense,也可以是域名。
在线检测 留空 与前面相同

建立连接

打开手机上的WireGuard应用程序,然后单击切换开关,可以在OPNsense上查看连接状况。

原文地址

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注