OPNsense配置OpenVPN远程接入服务(新) - Memoryn's Blog

在远程访问公司或家庭网络时，确保网络安全尤为重要。使用 OPNsense 的 OpenVPN 服务器功能可以帮助我们创建一个安全的远程接入通道，提供对内网资源的加密访问。本文演示使用新版本的 OpenVPN 实例来搭建远程访问服务器。

测试平台：OPNsense 26.1.8

1. 前期准备

在开始之前，确保以下几点：

OPNsense 已成功安装并正确配置。
网络拓扑结构明确，知道哪些设备需要通过 VPN 访问。
准备好一台可用的客户端设备，用于后续测试远程连接。

另外，建议将 OPNsense 更新至最新版本以确保兼容性和安全性。

2. 配置步骤

2.1 配置证书

2.1.1 添加机构证书

为了保证连接的安全性，我们需要使用证书来验证连接的合法性。在 OPNsense 中配置证书的方法如下：

进入证书管理页面：导航到 系统 > 证书 > 颁发，点击添加新增一个内部证书颁发机构 (CA)。填写一个描述性名称 VPN-CA，选择密钥类型、摘要算法。其他字段可以根据需要填写，最后点击保存按钮保存机构证书。

创建内部证书颁发机构

添加完成如下图所示：

证书颁发机构添加完成

2.1.2 添加服务器证书

导航到 系统 > 证书 > 证书，单击右下角添加，然后创建一个内部证书。输入描述名称如 vpn_test，类型选服务器证书，颁发机构选前面添加的 CA，密钥类型选 RSA-2048，摘要算法选 SHA256，其他字段根据需要输入。

添加服务器证书

输入完成点击保存按钮，保存证书，如下图所示：

服务器证书添加完成

2.2 添加 VPN 用户

2.2.1 添加 VPN 用户

转到 系统 > 访问 > 用户，单击右侧的添加图标，添加一个 VPN 用户，并输入用户名和密码。

添加 VPN 用户

其他选项保持默认，点击保存，如下图所示。

VPN 用户添加完成

2.2.2 添加客户端证书

在用户列表右侧，点击太阳图标，会出现证书添加页面，点击为该用户添加一个客户端证书。颁发机构选前面添加的 CA。

添加客户端证书

添加完成如下图所示：

客户端证书添加完成

2.3 配置 OpenVPN

2.3.1 添加静态密钥

在配置实例之前，先添加一个静态密钥。导航到 VPN > OpenVPN > 静态密钥，添加一个名为 vpn_test 的 TLS 静态密钥。

添加静态密钥

2.3.2 添加实例

导航到 VPN > OpenVPN > 实例，单击添加一个 VPN 服务器。

常规设置：协议 UDP，端口号 1194，绑定地址填入 WAN 接口地址，类型选 TUN，输入服务器的虚拟 IPv4 地址，其他选项保持默认。

实例常规设置

证书与认证部分：证书选中前创建的服务器证书，静态密钥选中前面创建的静态密钥 vpn_test，其他选项可以保持默认。

证书与认证设置

路由及其他设置：输入允许访问的本地网络，其他选项保持默认即可。

路由及本地网络设置

配置完成后，回到实例列表，点击应用按钮启用 OpenVPN 服务器。

启用 OpenVPN 服务器

2.4 添加防火墙规则

为了允许 VPN 用户连接并访问内部网络，需要添加两条防火墙规则。

放行 OpenVPN 访问端口：导航到 防火墙 > 规则（新），在 WAN 接口上，添加一条放行 1194 端口的规则。

添加 WAN 防火墙规则

添加允许 OpenVPN 流量访问的规则：导航到 防火墙 > 规则（新），在 OpenVPN 组上，添加一条 any to any 规则，可以根据需要细化规则设置。

添加 OpenVPN 组规则

3. 客户端配置

3.1 下载配置文件

导出客户端配置文件：转到 VPN > OpenVPN > 客户端导出。远程访问服务器选中刚刚创建的 VPN-TEST 服务器，导出类型选中仅文件，主机名称为防火墙域名或公网地址，端口输入 1194，其他选项如下图所示。

客户端导出设置

然后在链接的用户部分，下载前面添加的 vpn_user 配置文件。

3.2 客户端连接

根据客户端设备系统的不同，下载并安装对应平台的 OpenVPN 客户端软件。以 macOS 系统为例，可以使用 Tunnelblick 或 OpenVPN Connect 客户端，导入 ovpn 配置文件，点击连接按钮，即可与 OPNsense 防火墙进行连接。

Tunnelblick 连接界面
Tunnelblick 界面

OpenVPN Connect 连接界面
OpenVPN Connect 界面

客户端连接成功后，导航到 VPN > OpenVPN > 连接状态，可以查看该连接的信息。

VPN 连接状态

客户端 ping 防火墙 LAN 地址或 OpenVPN 隧道地址（10.10.10.1），检查是否正常连通。

4. 重定向网关

如果客户端需要通过远程服务器出站，可以配置重定向网关选项来实现。具体操作如下：

在实例配置部分，将重定向网关选项由未选择切换为默认。其他选项的含义如下：

local – 保留本地 LAN 路由，不影响默认网关
autolocal – 自动检测本地网络并绕过
默认 – 将所有 IPv4 流量通过 VPN
bypass dhcp – 保留 DHCP 通信，一般不单独使用
bypass dns – 保留本地 DNS，特殊需求时使用
block local – 阻止访问本地网络，隐私场景
ipv6 (default) – 同时重定向 IPv6，需要 IPv6 时使用
not ipv4 (default) – 仅重定向 IPv6，不重定向 IPv4，很少使用

重定向网关选项

然后转到 防火墙 → NAT → 出站，将出站切换为混合模式，并添加一条出站规则：接口 = WAN，源 = OpenVPN 隧道网络（10.10.10.0/24），转换/目标 = 接口地址。如下图所示：

添加出站 NAT 规则

访问 ip111.cn，检查出口 IP 是否显示为 OPNsense 的公网地址。

5. 故障排查

无法连接 VPN：检查 OPNsense 中的防火墙配置，确保 1194 端口已开放。
访问内网资源失败：检查路由设置和防火墙规则，确保 VPN 客户端 IP 可以访问内网资源。