pfSense WireGuard VPN站点到站点配置

Wireguard是一个易于配置、快速且安全的开源 VPN,它采用了最新的加密技术,比OpenVPN更先进,可以在多种平台上使用。2021年1月21日以后发布的pfSense2.5测试版已经包含支持WireGuard VPN,本文介绍在pfSense防火墙之间使用WireGuard VPN配置站点到站点连接的过程。

本文的网络拓扑如下:

防火墙A配置

添加隧道

在防火墙A上,导航到VPN>WireGuard,单击添加隧道,填写如下内容,端口可以采用默认值,也可以自定义,接口公钥、私钥点击右侧的自动生成完成。

添加对端(远程端点)

保存后,在页面下方单击添加对端,端点填写防火墙B的公网IP,端口填写后面步骤中防火墙B上设置的自定义端口或默认值,公钥可以先不填,待启用防火墙B的本地端点后再复制过来。允许IP填上WireGuard的网络和要访问的对端LAN子网,用逗号分隔。

完成后如下图所示:

添加防火墙规则

导航到防火墙>规则策略,在WireGuard接口上添加一条any to any的规则,如下图所示:

在对应WAN接口上,添加允许5180端口通信的防火墙规则,协议选UDP,如下图所示:

防火墙B配置

添加隧道

在防火墙B上,导航到VPN>WireGuard,单击添加隧道,填写如下内容,接口公钥、私钥占右侧的自动生成完成。

添加对端(远程端点)

保存后,在页面下方单击添加对端,与防火墙A设置类似,如下图所示,公钥从防火墙A的本地端点上复制。允许IP填上WireGuard网络和要访问的远程端点LAN子网,用逗号分隔。

填写完成后如下图所示:

添加防火墙规则

导航到防火墙>规则策略,在WireGuard接口上,跟防火墙A一样,添加一条any to any的规则。在对应WAN接口上,允许5180端口通信。

至此,在pfSense防火墙上WireGuard VPN站点到站点的配置就完成了。

测试

在防火墙B上ping防火墙A的LAN接口和WG接口IP,测试连接是否成功。

用iperf3跑了一下连接测速,测试带宽为上、下行300M,测试结果如下图:

下面是视频教程。

发表评论

邮箱地址不会被公开。 必填项已用*标注