Wireguard是一个易于配置、快速且安全的开源 VPN,它采用了最新的加密技术,比OpenVPN更先进,可以在多种平台上使用。2021年1月21日以后发布的pfSense2.5测试版已经包含支持WireGuard VPN,本文介绍在pfSense防火墙之间使用WireGuard VPN配置站点到站点连接的过程。
本文的网络拓扑如下:
文章目录
防火墙A配置
添加隧道
在防火墙A上,导航到VPN>WireGuard,单击添加隧道,填写如下内容,端口可以采用默认值,也可以自定义,接口公钥、私钥点击右侧的自动生成完成。
添加对端(远程端点)
保存后,在页面下方单击添加对端,端点填写防火墙B的公网IP,端口填写后面步骤中防火墙B上设置的自定义端口或默认值,公钥可以先不填,待启用防火墙B的本地端点后再复制过来。允许IP填上WireGuard的网络和要访问的对端LAN子网,用逗号分隔。
完成后如下图所示:
添加防火墙规则
导航到防火墙>规则策略,在WireGuard接口上添加一条any to any的规则,如下图所示:
在对应WAN接口上,添加允许5180端口通信的防火墙规则,协议选UDP,如下图所示:
防火墙B配置
添加隧道
在防火墙B上,导航到VPN>WireGuard,单击添加隧道,填写如下内容,接口公钥、私钥占右侧的自动生成完成。
添加对端(远程端点)
保存后,在页面下方单击添加对端,与防火墙A设置类似,如下图所示,公钥从防火墙A的本地端点上复制。允许IP填上WireGuard网络和要访问的远程端点LAN子网,用逗号分隔。
填写完成后如下图所示:
添加防火墙规则
导航到防火墙>规则策略,在WireGuard接口上,跟防火墙A一样,添加一条any to any的规则。在对应WAN接口上,允许5180端口通信。
至此,在pfSense防火墙上WireGuard VPN站点到站点的配置就完成了。
测试
在防火墙B上ping防火墙A的LAN接口和WG接口IP,测试连接是否成功。
用iperf3跑了一下连接测速,测试带宽为上、下行300M,测试结果如下图:
下面是视频教程。