站点到站点连接示例 (共享密钥)

pfSense book之 Open***站点到站点连接示例(共享密钥)_第1张图片

Open××× 站点到站点网络示例

本节介绍使用共享密钥方式配置Open×××隧道站点到站点连接的过程。


在配置共享密钥站点到站点Open×××连接时,一个防火墙将成为服务器,另一个将成为客户端。 通常,主要位置将是服务器端,远程办公室将充当客户端,但在功能上是等同的。 与远程访问Open×××配置类似,除了两端的子网之外,还将有一个用于网络间Open×××互连的专用子网。 网络拓扑见上图。


隧道网络使用10.3.100.0/30。 如图所示,两个防火墙之间的Open×××隧道从该子网的另一端获取IP地址。 下面介绍如何配置连接的服务器端和客户端。

配置服务器端

  • 导航到××× > Open×××服务器选项卡

  • 单击 fa-plus  添加创建一个服务器条目

  • 填写如下所示的字段,其他都保留默认值:


    服务器模式: 选择点对点(共享密钥)

    描述:在这里输入文字来描述连接 (例如 ExampleCo Site B ×××)

    共享密钥: 选中自动生成共享密钥,或粘贴此连接的预先存在的共享密钥。

    隧道网络:输入之前选择的网络, 10.3.100.0/30

    远程网络:输入B站点局域网络,10.5.0.0/24

     

  • 单击保存

  • 单击 fa-pencil 点对点编辑刚刚创建的服务器

  • 找到共享密钥选项框

  • 选择共享密钥框内的所有文本

  • 将文本复制到剪贴板

  • 将内容保存到文件中,或临时粘贴到文本编辑器(如记事本)中

接下来,在WAN上添加防火墙规则,允许访问Open×××服务器。

  • 导航到防火墙 >规则策略WAN选项卡

  • 单击   在列表顶部添加一条规则

  • 协议选 UDP

  • 设置源地址以匹配客户端。 如果它具有动态IP地址,请将其设置为“any”,否则将该规则设置为仅允许来自客户端的WAN IP地址:

    • 源地址选择单个主机或别名

    • 输入客户端的WAN地址作为源地址 (例如: 203.0.113.5)

  • 设置目的地址为WAN地址

  • 在本示例中,设置目标端口为 1194 

  • 填写描述,例如Open××× from Site B

  • 单击保存,如下图所示。

Open×××站点到站点连接示例WAN防火墙规则

  • 单击 应用更改


还必须将规则添加到Open×××接口,才能将通过×××的流量从客户端LAN传递到服务器端LAN。 可以使用“全部允许”样式规则或一组更严格的规则。 在这个例子中,允许所有的流量是最好的,所以下面的规则是:

  • 导航到防火墙 >规则策略Open×××选项卡

  • 单击   在列表顶部添加一条规则

  • 设置协议 any

  • 输入描述 例如 Allow all on Open×××

  • 单击保存

  • 单击应用更改

服务器端配置完成。

配置客户端

  • 在客户端系统上,导航到××× > Open×××客户端选项卡

  • 单击 fa-plus 添加,创建一个新的Open×××客户端实例

  • 填写如下所示的字段,其他都保留默认值:


  服务器模式: 选择点对点 (共享密钥)

  服务器主机IP地址:在这里输入Open×××服务器的公共IP地址或主机名 (例如 198.51.100.3)

  描述:输入一个描述文本 (例如ExampleCo Site A ×××)

  共享密钥:取消选中自动生成共享密钥,粘贴从先前创建的服务器实例复制的密钥。

  隧道网络:必须完全匹配服务器端 (例如:10.3.100.0/30)

  远程网络:输入站点A的LAN网络,例如 10.3.0.0/24

 

  • 单击保存 


还必须将规则添加到Open×××接口,才能将通过×××的流量从服务器端LAN传递到客户端LAN。 可以使用“全部允许”规则或一组更严格的规则。

  • 导航到防火墙 >规则策略Open×××选项卡

  • 单击   在列表顶部添加一条规则

  • 设置协议 any

  • 输入描述 例如 Allow all on Open×××

  • 单击保存

  • 单击应用更改


客户端的配置已完成。 客户端WAN接口上不需要设置防火墙规则,因为客户端只启动出站连接。 服务器从不启动到客户端的连接。

注意

对于远程访问PKI配置,通常路由和其他配置选项在客户端配置上没有定义,而是从服务器推送到客户端。 使用共享密钥部署时,必须根据需要在两端定义路由和其他参数(如前所述,以后在自定义配置选项中),则在使用共享密钥时,不能将选项从服务器推送到客户端。


测试连接

连接将在客户端保存后立即生效。 尝试ping到远端验证连接,以测试连接是否正常。也可以导航到系统状态>open×××,查看连接情况。

翻译自pfsense book

2017-12-05