OPNsense - 多功能高可靠易使用的防火墙（五）

在OPNSense下建立site-to-site虚拟网络

本文将介绍如何在OPNSense下如何使用OpenVPN建立site-to-site虚拟网络，示例中我们使用了SharedKey加密技术，好处是不需要管理证书，设置非常方便简洁。

---

建立site-to-site虚拟网络

1. 示例网络拓扑图

注意：我们在模拟公网上使用了私网IP，在OPNSense的WAN设置中，必须禁用“ 拦截私有网络”和“ 拦截bogon网络”。

---

2. 建立和设置 OpenVPN服务器

在总部的OPNSense（LOC1）上建立OpenVPN服务器。

【VPN】->【服务器】->【添加】

描述：可任意填，如：site-to-site VPN server on LOC1
服务器模式： 端对端（共享密钥）
协议：UDP # 用UDP较为合适，也可以用TCP
设备模式： tun # 必须是 tun
接口： WAN # 接口用于建立 VPN隧道，一般都会是WAN
本地端口： 1194 # 标准OpenVPN端口，可以选其他的。
加密设置：
预共享密钥：自动产生 # 让服务器自动产生，该密钥也将用于客户端
加密算法： AES-256-CBC
认证摘要算法：RSA-SHA512
硬件加密：无
隧道设置：
IPv4隧道网络： 10.10.0.0/24
IPv4本地网络： 192.168.2.0/24
IPv4远程网络： 192.168.1.0/24
禁用IPv6：可以✔，也可以不✔
压缩：【启用自适应压缩】
客户端设置：
地址池：✔
设置完成后点击【保存】，服务将会自动启动。

修改防火墙规则

• 打开WAN的1149/UDP端口