Tinc是一个全网状VPN解决方案,部署简单,OPNSense和pfSense中都包含有该插件。下面介绍在OPNSense的配置方法。
网络定义
本例中的网络结构如下表:
| 防火墙名称 | TINC网络IP | 广域网IP | 局域网 |
|---|---|---|---|
| FW1 | 10.255.255.30 | 192.168.12.130 | 172.16.30.0/24 |
| FW2 | 10.255.255.31 | 192.168.12.131 | 172.16.31.0/24 |
| FW3 | 10.255.255.32 | 192.168.12.132 | 172.16.32.0/24 |
为了减少网络配置规模,本例使用/24掩码定义Tinc网络。
安装软件
首先安装os-tinc软件包,安装完成后,会在VPN菜单中添加TINC子菜单:
使用相同的网络名称创建一个Tinc VPN,如下图所示:
在本例中,“网络”参数对应于实例的IP和子网10.255.255.32/24,“此主机”部分填写对应于该防火墙的外部IP和Tinc服务器的监听端口。保存设置后,将自动填写“私钥”和“公钥”字段。
在三个防火墙上执行完此操作后,必须打开与TINC服务相对应的端口。导航到“防火墙”>“规则”>“WAN”部分,添加一条新规则来打开TINC的访问端口。如下图所示:
现在配置Tinc网络中的其他主机,导航到VPN > Tinc > 主机,输入其他防火墙的信息:
输入的信息包括:公共IP、端口、主机名、公钥。
Tinc在三个防火墙之间创建Full Mesh网络,通过Tinc路由可以传递来自未直接连接的主机流量。
路由配置
完成上面的操作后,继续定义不同网络之间的路由,以达到互相访问的目的。
首先分配TINC接口:
然后定义到其他Tinc节点的相应网关,如下图所示:
OPNSense开始验证与不同网关的连接及其延迟:
然后执行到不同网络的路由:
现在流量可以在不同防火墙之间正确传递。
配置防火墙
经过以上设置后,不同防火墙后面的节点与节点之间还无法进行通信,因为默认情况下TINC接口会拒绝所有流量,必须授权TINC / TincVPN接口上的所有协议流量自由传输。
导航到“防火墙”>“规则”>“TINC”部分,添加一条允许any到any的规则,如下图所示。
结论
现在可以通过VPN Tinc在3个站点的网络之间进行自由通信,也可以将其与其他类型的节点进行集成处理。
觉得内容不错?我要
