pfSense搭建OpenVPN远程访问服务器

在外部访问pfSense防火墙的最佳方式是通过VPN连接来访问。在pfSense中,可供使用的VPN方式有IPsec VPN、OpenVPN以及在2.50版本以后添加的WireGuard VPN。本文介绍使用OpenVPN远程连接pfSense防火墙的方法,使用的软件版本为pfSense 2.52。
  
本文要实现的目标
  • 远程访问pfSense防火墙
  • 访问远程LAN资源
  • 通过远程网关访问互联网

由于新版本的改变,有些设置与老版本有所差别,注意区分。

本文的网络环境:
  • LAN接口IP地址:192.168.101.254/24
  • WAN接口:静态公网IP
  • OpenVPN的隧道网络:10.10.1.0/24

第一步 添加本地证书颁发机构

导航到系统>证书管理> CAs,单击右下的添加按钮,添加一个内部证书颁发机构:

完成后如下图所示:

第二步 添加服务器

导航到系统>证书管理>证书,单击右侧的添加,添加一个服务器证书。证书来源选创建内部证书,证书颁发机构选上一步创建的testvpn,证书类型选服务器证书。

完成后如下图所示。

第三步 添加用户和客户端证书

导航到系统>用户管理,单击右侧的添加按钮,添加一个新用户。

在证书位置,选中单击创建用户证书,创建一个用户证书。证书颁发机构选上面建立的testvpn。

完成后单击保存。

第四步 安装插件

导航到系统>插件管理>可用插件,找到openvpn-client-export插件进行安装。

安装完成后如下图所示:

第五步 配置OpenVPN服务器

导航到VPN>OpenVPN,单击右侧的添加按钮,添加新VPN服务器。在常规设置部分,服务器模式选远程访问SSL/TLS+用户认证,协议选UDP,设备模式默认,接口选你的WAN接口,本示例有多WAN,选WAN1接口,本地端口选默认。

在加密设置部分,证书颁发机构选前面添加的tesevpn,服务器证书选中前面建立的证书,其他参数保留默认,也可以根据需要进行设置。

在隧道设置部分,输入隧道的网络,因为要访问远程LAN资源并通过远程网关访问互联网,必须选中重定向IPv4网关。如果只是访问远程的LAN资源,不需要通过远程网关访问互联网,则不需要勾选,但需要输入IPV4本地网络选项:192.168.101.254/24。

在客户端设置部分,选中动态IP,因为客户端的IP地址会发生变化。在DNS部分,为客户端指定DNS默认域和DNS服务器地址。

高级配置部分默认即可。

完成后点击保存,如下图所示。

第六步 导出配置

导航到VPN – OpenVPN -Client Export,填写相关的选项。远程访问访问服务器选我们前面创建的,主机名解析选接口IP地址,其他选项根据需要设置。

保存为默认设置以后,下载VPN客户端配置文件,也可以下载VPN客户端。但个人更建议去官方网站下载,各种平台基本都涵盖了。

VPN配置文件为红框中选中的链接。如果缺少客户端或配置文件,则可能是由于OpenVPN服务器实例与客户端证书之间的CA不匹配,或者没有添加客户端证书。

第七步 配置防火墙规则

配置防火墙规则,允许访问OpevVPN使用的UDP端口1194,这一步如果是采用向导模式设置的OpenVPN服务器,则在最后一步的选项中勾选上就不用再进行设置。

导航到防火墙>规则策略,单击OpenVPN服务器所使用的WAN接口,添加以下通行规则:

协议UPD,源any,目标WAN接口地址,端口1194。

再单击OpenVPN接口选项卡,添加一条any to any的允许通行规则。

第八步 安装并运行客户端

安装客户端程序,导入VPN配置文件。拖放文件,或单击底部的浏览都可以导入。

打开连接按钮:

连接后的状态:

第九步 测试

1、在客户端电脑上ping OpenVPN服务器地址或防火墙LAN接口地址,检查是否能通。

2、打开公网IP查询网站,检查上网所使用的公网IP是否为远程公网IP。

3、测速成绩与WireGuard VPN相比,差距较大。测试网络为300M上下行带宽。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注