本文摘要pfSense 2.5 配置 WireGuard VPN 实现手机远程访问防火墙教程本教程网络环境:防火墙接口地址:192.168.1.1,LAN网络:192.168.1.0/24,WAN接口地址:172.16.16.1一、创建 VPN 隧道导航到防火墙 > VPN 菜单,单击 WireGuard单击“添加隧道”选中“启用”为隧道添加描述说明指定 VPN 网络的地址(不能与主要 LAN 子网...
pfSense 2.5 配置 WireGuard VPN 实现手机远程访问防火墙教程
本教程网络环境:防火墙接口地址:192.168.1.1,LAN网络:192.168.1.0/24,WAN接口地址:172.16.16.1
一、创建 VPN 隧道
- 导航到防火墙 > VPN 菜单,单击 WireGuard
- 单击“添加隧道”
- 选中“启用”
- 为隧道添加描述说明
- 指定 VPN 网络的地址(不能与主要 LAN 子网重叠)。该地址将作为防火墙上用于路由的接口地址。本例中使用
10.0.0.1/24 - 在“接口密钥”右侧,单击“生成密钥”
- 将生成的公钥复制到文本文件中备用。本例接口公钥为:
$ PUBKEYFIREWALL = - 点击“保存”
二、创建防火墙规则
- 单击“防火墙”,然后进入“规则策略”菜单
- 在“WAN”选项卡下,单击“添加”以创建新规则
- 将“动作”设为“通过”,接口设为 WAN,地址族设为 IPv4
- 协议设置为 UDP
- 源设置为“任意”
- 目标设置为“WAN 地址”
- 目标端口范围设为“自定义”,从 51820 到 51820
- 点击“保存”
- 返回“规则策略”菜单,切换到 WG0 选项卡
- 点击“添加”
- 动作设为“通过”,接口设为 WG0,地址族设为 IPv4
- 协议设为“任意”
- 源设为“WG0 net”
- 目标设为“任意”(或根据需要仅允许访问内部网络)
- 点击“保存”
- 点击页面顶部的“应用更改”
三、手机端设置(以 iPhone 为例)
注意:iOS 端 WireGuard 应用需使用非中国大陆 Apple ID 下载。
- 打开 WireGuard 应用,点击加号按钮,选择“从头开始创建”
- 在“名称”字段输入连接名称,例如 pfSense
- 点击“生成密钥对”
- 保存公钥备用,本例中为:
$ PUBKEYPHONE = - 在“地址”中填写
10.0.0.2/24 - 监听端口和 MTU 留空
- 根据需要指定 DNS 服务器
- 向下滚动到“对端”部分
- 在“公共密钥”中输入防火墙上生成的公钥:
$ PUBKEYFIREWALL = - “预共享密钥”留空
- “端点”填写防火墙 WAN 接口地址及端口,例如
172.16.16.1:51820 “允许的 IP”根据需要填写:
- 仅访问内部网络:
192.168.1.0/24 - 通过 VPN 路由所有流量:
0.0.0.0/0
- 仅访问内部网络:
- 点击右上角“保存”
- 允许应用添加 VPN 配置
四、建立对端(pfSense 端)
- 返回防火墙 VPN > WireGuard 页面
- 单击 WG0 旁的“编辑”按钮
- 点击“添加远程端点”
- 在“描述”字段输入设备名称,例如 iPhone
- “端点”、“端点端口”和“保持活动”留空
- “公钥”输入手机端生成的公钥:
$ PUBKEYPHONE = - “允许的 IP”填写需要路由的地址,本例为
10.0.0.2/32 - 单击“更新”
- 点击“保存”
五、连接 VPN
在 iPhone 上打开 WireGuard 应用,点击对应配置旁的滑块进行连接。
你可以前往“设置”查看日志。WireGuard 的工作方式与常见 VPN 不同:仅当有流量发往“允许的 IP”时,才会尝试建立握手并传输数据。
六、其他注意事项
- 如需在离开特定 Wi-Fi 时自动连接 VPN,可在 WireGuard 应用中编辑隧道,启用“按需激活”(On-Demand Activation)。
- 预共享密钥(Preshared Key)为可选配置,可用于进一步提高安全性。
视频教程
觉得内容不错?我要
