OPNsense OpenVPN配置"/>
OPNsense OpenVPN配置
OPNsense OpenVPN配置
1. 添加证书颁发机构
系统 → 证书 → 颁发机构 → 添加
- 描述名称: test-ca
- 方法: 创建一个内部证书颁发机构
- 密钥类型: RSA
- 密钥长度 (bits): 2048
- 摘要算法: SHA256
- 有效期 (days): 825
- 国家代码: CN (China)
- 州或省: Guangdong
- 城市: Shenzhen
- 组织: test
- 邮件地址: test@test
- 通用名称: test-ca
2. 添加服务器证书
系统 → 证书 → 证书 → 添加
- 方法: 创建一个内部证书
- 描述名称: OpenVPN服务器
- 证书颁发机构: test-ca
- 类型: 服务器证书
- 密钥类型: RSA
- 密钥长度 (bits): 2048
- 摘要算法: SHA256
- 有效期 (days): 397
- 私钥位置: 保存在该防火墙上
- 国家代码: CN (China)
- 州或省: Guangdong
- 城市: Shenzhen
- 组织: test
- 邮件地址: test@test
- 通用名称: OpenVPN服务器IP
- 备用名称: 根据需求填写
3. 添加OpenVPN服务器
VPN → OpenVPN → 服务器 → 添加
网络信息:
内网IP: 192.168.20.0/24
VPN隧道IP: 10.8.0.0/24
OPNsense IP: 3.3.3.3
-
常规信息
- 描述: OpenVPN
- 服务器模式: 远程接入(用户认证)
- 认证后端: 本地数据库
- 强制本地组: (none)
- 协议: TCP
- 设备模式: tun
- 接口: any
- 本地端口: 1194
-
加密设置
- TLS认证: 已启用 - 身份验证和加密
- TLS共享密钥: 勾选自动生成共享TLS身份认证密钥.
- 对等证书颁发机构: test-ca
- 对等证书吊销列表: None
- 服务器证书: OpenVPN服务器 (test-ca) *In Use
- Encryption algorithm (deprecated): AES-256-GCM
- 认证摘要算法: SHA256 (256-bit)
- 证书深度: 不检查
-
隧道设置
- IPv4隧道网络: 10.8.0.0/24
- IPv6隧道网络: 空
- 重定向网关: 空
- IPv4本地网络: 192.168.20.0/24
- IPv6本地网络: 空
- IPv4远程网络: 空
- IPv6远程网络: 空
- 并发连接: 空
- 压缩: 启用 - LZ4 v2算法 (–compress lz4-v2)
- 服务类型: 不勾选
- 客户端通信: 勾选
- 重复连接: 不勾选
-
客户端设置
- 动态IP: 勾选
- 拓扑: 勾选
- 其它配置选项根据需求配置
4. 添加用户
系统 → 访问 → 用户 → 添加
- 用户名: zhangsan
- 密码: Abc1230
- 其它根据需求填写
5. 客户端测试
防火墙规则已放行端口1194,如果未配置登录VPN客户端提示:Attempting to establish TCP connection with [AF_INET]错误
已安装 OpenVPN GUI,配置信息如下:
创建 zhangsan.ovpn
client
dev tun
persist-tun
persist-key
proto tcp
remote 3.3.3.3 1194
cipher AES-256-GCM
resolv-retry infinite
nobind
compress lz4-v2
remote-cert-tls server
auth SHA256
auth-user-pass<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXX
-----END CERTIFICATE-----
</ca><tls-crypt>
-----BEGIN OpenVPN Static key V1-----
XXXXXX
-----END OpenVPN Static key V1-----
</tls-crypt>
系统 → 证书 → 颁发机构 → 修改test-ca, 复制 “证书数据” 粘贴客户端配置文件 ca标签里
VPN → OpenVPN → 服务器 → 修改, 复制 “TLS共享密钥” 粘贴客户端配置文件 tls-crypt标签里
更多推荐
OPNsense OpenVPN配置
发布评论