Wireguard是一个易于配置、快速且安全的开源 VPN，它采用了最新的加密技术，比OpenVPN更先进，可以在多种平台上使用。2021年1月21日以后发布的pfSense2.5测试版已经包含支持WireGuard VPN，本文介绍在pfSense防火墙之间使用WireGuard VPN配置站点到站点连接的过程。

本文的网络拓扑如下：

防火墙A配置

添加隧道

在防火墙A上，导航到VPN>WireGuard，单击添加隧道，填写如下内容，端口可以采用默认值，也可以自定义，接口公钥、私钥点击右侧的自动生成完成。

添加对端(远程端点）

保存后，在页面下方单击添加对端，端点填写防火墙B的公网IP，端口填写后面步骤中防火墙B上设置的自定义端口或默认值，公钥可以先不填，待启用防火墙B的本地端点后再复制过来。允许IP填上WireGuard的网络和要访问的对端LAN子网，用逗号分隔。

完成后如下图所示：

添加防火墙规则

导航到防火墙>规则策略，在WireGuard接口上添加一条any to any的规则，如下图所示：

在对应WAN接口上，添加允许5180端口通信的防火墙规则，协议选UDP，如下图所示：

防火墙B配置

添加隧道

在防火墙B上，导航到VPN>WireGuard，单击添加隧道，填写如下内容，接口公钥、私钥占右侧的自动生成完成。

添加对端(远程端点）

保存后，在页面下方单击添加对端，与防火墙A设置类似，如下图所示，公钥从防火墙A的本地端点上复制。允许IP填上WireGuard网络和要访问的远程端点LAN子网，用逗号分隔。

填写完成后如下图所示：

添加防火墙规则

导航到防火墙>规则策略，在WireGuard接口上，跟防火墙A一样，添加一条any to any的规则。在对应WAN接口上，允许5180端口通信。

至此，在pfSense防火墙上WireGuard VPN站点到站点的配置就完成了。

测试

在防火墙B上ping防火墙A的LAN接口和WG接口IP，测试连接是否成功。

用iperf3跑了一下连接测速，测试带宽为上、下行300M，测试结果如下图：

下面是视频教程。