在具有双WAN接口的pfSense上为OpenVPN设置故障转移

如果你的网络有两个WAN接口,那么在一个WAN出现故障的情况下,通过本文的设置,可以让OpenVPN使用另一个正常的WAN接口保持VPN连接。

一、设置OPENVPN

导航到“VPN”菜单,然后从下拉列表中选择“OpenVPN”。

点击并打开“向导

选择“本地用户访问”作为身份验证支持类型。单击下一步,然后转到“创建CA证书”部分。使用描述名称国家/地区代码组织创建新的CA证书。

然后转到下一步,创建一个新的服务器证书。

点击下一步。修改OpenVPN 的“常规设置”,选择一个要配置的接口。这里选择WAN1接口。

根据需要,修改“加密算法 ”。

转到“隧道设置”部分。

添加“隧道网络”地址。这是一个虚拟网络地址,可提供IP地址进行加密连接。它有助于OpenVPN服务器与客户端之间的私人通信。这里输入一个在你的网络中不存在的网络地址。然后,添加“本地网络”的网络地址,这个网络应该是你要通过OpenVPN访问的网络。

  • 只需启用“客户端前通信”即可启用与其他OpenVPN客户端之间的通信。
  • 这里可能需要为“客户端设置 ”部分输入“域名”和“DNS服务器
  • 最后需要“配置防火墙”来允许通过隧道网络进行连接。

然后单击完成按钮。OpenVPN Server常规配置已完成。

由于我们将使用2个Wan接口,因此需要创建两个防火墙NAT端口转发规则。

二、创建端口转发规则。

现在转到“防火墙 ”选项卡,然后从下拉菜单中选择“NAT ”。为WAN1接口创建两个端口转发规则。将来自WAN1和WAN2接口的OpenVPN连接转发到本地主机。

例如:如果有两个WAN,并且OpenVPN服务器在端口1194上运行,请将接口设置为Localhost,然后添加两个端口转发:

WAN1-UDP,源*,目标WAN1地址,端口1194,重定向目标127.0.0.1,端口1194 

WAN2-UDP,源*,目标WAN2地址,端口1194,重定向目标127.0.0.1,端口1194

同时为WAN2接口创建相同的规则。

三、安装“OPENVPN CLIENT EXPORT”插件

导航到“系统”菜单,然后选择“插件管理 ”,搜索“ openvpn-client-export ”插件并安装。

四、创建OpenVPN用户

导航到“系统 ”>“用户管理 ”,创建一个OpenVPN客户端用户。可以选择启用“证书 ”选项为每个用户创建用户证书

五、修改OPENVPN服务器

转到OpenVPN中的“客户端导出 ”部分。修改“OpenVPN Server ”设置。将“主机名解析 ” 更改为“ localhost”,将这些条目添加到“ 高级配置选项”中。

这些是OpenVPN连接要使用的公共IP地址。

remote 192.168.0.2 1194 udp remote 192.168.10.250 1194 udp

至此,双WAN连接的OpenVPN配置已完成。现在如果一个链接断开,则另一个接口开始起作用。但是要注意与另一个接口恢复连接可能需要近60秒左右。