在远程访问公司或家庭网络时,确保网络安全尤为重要。使用 OPNsense 的 OpenVPN 服务器功能可以帮助我们创建一条安全的远程接入通道,提供对内网资源的加密访问。本文演示使用 SSL/TLS + 用户认证方式访问 OpenVPN 服务器,其他访问方式请参考网络上的可用教程。
1. 前期准备
在开始之前,请确认以下几点:
- OPNsense 已成功安装并正确配置。
- 网络拓扑结构明确,知道哪些设备需要通过 VPN 访问。
- 准备好一台可用的客户端设备,用于后续测试远程连接。
另外,建议将 OPNsense 更新至最新版本以确保兼容性和安全性。
2. 配置步骤
2.1 配置证书
为了保证连接的安全性,我们需要使用证书来验证连接的合法性。
2.1.1 配置证书机构
进入证书管理页面:导航到 系统 > 证书 > 颁发,点击添加新增一个内部证书颁发机构 (CA)。填写一个描述性名称,例如 “test”。设置密钥类型、摘要算法等字段,最后点击保存按钮保存 CA 证书。如下图所示:
添加完成后如下图所示:
2.1.2 配置服务器证书
导航到 系统 > 证书 > 证书,单击右下角添加,然后创建一个内部证书。输入描述名称如 test,类型选客户端/服务器组合证书,发行人选前面添加的 CA,选择密钥类型、摘要算法,输入其他字段。
输入完成后点击保存按钮,保存证书,如下图所示:
2.2 配置 VPN 用户
转到 系统 > 访问 > 用户,单击右侧的添加图标,添加一个 VPN 用户。
输入用户名和密码(确认密码):
其他选项保持默认。找到证书项,选中生成一个新的用户证书。
点击保存后,会出现证书编辑页面,根据提示输入用户证书的各项参数并保存。
2.3 配置 OpenVPN
导航到 VPN > OpenVPN > 服务器(旧版),单击添加一个 VPN 服务器。
2.3.1 常规设置
服务器模式选择 远程接入 (SSL/TLS+用户认证),认证后端口选 本地数据库,协议选择 UDP,设备模式选择 tun 模式,接口选 WAN,监听端口使用默认的 1194 端口。
2.3.2 加密设置
TLS 认证选 已启用-仅限身份验证,证书颁发机构和证书选中前面创建的 CA 和证书,摘要算法选 SHA1,证书深度选 One。
2.3.3 隧道设置
输入隧道使用的网络。注意不要与防火墙上任何已使用的网络相同,本地网络输入防火墙上希望被远程访问的内部网络。
其他选项根据需要设置。配置完成后点击下面的保存按钮即可启用 OpenVPN 服务器。
2.4 配置防火墙规则
为了允许 VPN 用户连接并访问内部网络,需要添加两条防火墙规则。
放行 OpenVPN 访问端口:导航到 防火墙 > 规则,WAN 选项卡,添加一条放行 1194 端口的规则。
添加允许 OpenVPN 流量访问的规则:导航到 防火墙 > 规则,OpenVPN 选项卡,添加一条 any to any 规则,可以根据需要细化规则设置。
3. 下载配置
导出客户端配置文件:转到 VPN > OpenVPN > 客户端导出。在远程访问服务器中,选中刚刚创建的服务器,导出类型选中 仅导出文件,选中如下图所示的其他选项。单击最下方的下载按钮,导出 ovpn 配置文件。
4. 客户端连接
根据客户端系统的不同,下载并安装对应平台的 OpenVPN 客户端软件 。将下载的 .ovpn 文件导入到客户端中,完成配置。点击连接,连接成功后,图标会变成绿色的带锁标记,同时会显示分配的隧道地址。
客户端 ping 防火墙 LAN 地址或 OpenVPN 隧道地址(10.10.10.1),检查是否连通。
5. 故障排查
- 无法连接 VPN:检查 OPNsense 中的防火墙配置,确保 1194 端口已开放。
- 访问内网资源失败:检查路由设置和防火墙规则,确保 VPN 客户端 IP 可以访问内网资源。
- 连接慢:尝试使用 TCP 协议或降低加密等级,但需权衡安全性和性能。
觉得内容不错?我要
