OPNsense OpenVPN配置

编程入门行业动态更新时间:2024-10-18 01:40:04

OPNsense OpenVPN配置

1. 添加证书颁发机构

系统 → 证书 → 颁发机构 → 添加

描述名称: test-ca
方法: 创建一个内部证书颁发机构
密钥类型: RSA
密钥长度 (bits): 2048
摘要算法: SHA256
有效期 (days): 825
国家代码: CN (China)
州或省: Guangdong
城市: Shenzhen
组织: test
邮件地址: test@test
通用名称: test-ca

2. 添加服务器证书

系统 → 证书 → 证书 → 添加

方法: 创建一个内部证书
描述名称: OpenVPN服务器
证书颁发机构: test-ca
类型: 服务器证书
密钥类型: RSA
密钥长度 (bits): 2048
摘要算法: SHA256
有效期 (days): 397
私钥位置: 保存在该防火墙上
国家代码: CN (China)
州或省: Guangdong
城市: Shenzhen
组织: test
邮件地址: test@test
通用名称: OpenVPN服务器IP
备用名称: 根据需求填写

3. 添加OpenVPN服务器

VPN → OpenVPN → 服务器 → 添加

网络信息:
内网IP: 192.168.20.0/24
VPN隧道IP: 10.8.0.0/24
OPNsense IP: 3.3.3.3

常规信息
- 描述: OpenVPN
- 服务器模式: 远程接入(用户认证)
- 认证后端: 本地数据库
- 强制本地组: (none)
- 协议: TCP
- 设备模式: tun
- 接口: any
- 本地端口: 1194
加密设置
- TLS认证: 已启用 - 身份验证和加密
- TLS共享密钥: 勾选自动生成共享TLS身份认证密钥.
- 对等证书颁发机构: test-ca
- 对等证书吊销列表: None
- 服务器证书: OpenVPN服务器 (test-ca) *In Use
- Encryption algorithm (deprecated): AES-256-GCM
- 认证摘要算法: SHA256 (256-bit)
- 证书深度: 不检查
隧道设置
- IPv4隧道网络: 10.8.0.0/24
- IPv6隧道网络: 空
- 重定向网关: 空
- IPv4本地网络: 192.168.20.0/24
- IPv6本地网络: 空
- IPv4远程网络: 空
- IPv6远程网络: 空
- 并发连接: 空
- 压缩: 启用 - LZ4 v2算法 (–compress lz4-v2)
- 服务类型: 不勾选
- 客户端通信: 勾选
- 重复连接: 不勾选
客户端设置
- 动态IP: 勾选
- 拓扑: 勾选
- 其它配置选项根据需求配置

4. 添加用户

系统 → 访问 → 用户 → 添加

用户名: zhangsan
密码: Abc1230
其它根据需求填写

5. 客户端测试

防火墙规则已放行端口1194,如果未配置登录VPN客户端提示:Attempting to establish TCP connection with [AF_INET]错误

已安装 OpenVPN GUI,配置信息如下:

创建 zhangsan.ovpn

client
dev tun
persist-tun
persist-key
proto tcp
remote 3.3.3.3 1194
cipher AES-256-GCM
resolv-retry infinite
nobind
compress lz4-v2
remote-cert-tls server
auth SHA256
auth-user-pass<ca>
-----BEGIN CERTIFICATE-----
XXXXXXXX
-----END CERTIFICATE-----
</ca><tls-crypt>
-----BEGIN OpenVPN Static key V1-----
XXXXXX
-----END OpenVPN Static key V1-----
</tls-crypt>