简介
OPNsense是一个功能非常丰富强大的开源防火墙及路由平台,本篇文章将介绍如何使用OPNsense 内置 OpenV** 模块来进行跨区域组网。实现不同地域的局域网通过 Tunnel 进行通信。
组网架构
公司数据中心分别位于北京和上海两地,将通过OPNsense OpenV** 进行两地局域网络打通,实现IP通信。
Tunnel 地址 10.0.10.0/24
北京 DC
LAN:172.18.30.0/24
WAN:***.***.***.***/24
上海 DC
LAN :192.168.99.0/24
WAN:***.***.***.***/24
OpenV** 服务器端
描述:site-to-site network server
服务器模式:点对点(共享密钥)
协议:UDP
设备模式:tun
接口:WAN
本地端口:1199
加密设置:共享密钥:服务器自动产生,该密钥也将用于客户端
加密算法:AES-128-CBC
认证摘要算法:SHA1(160-bit)
硬件加密:无
隧道设置:IPv4隧道网络:10.0.10.0/24
IPv4本地网络:172.18.30.0/24
IPv4远程网络:192.168.99.0/24
压缩:启用自适应压缩
禁用IPv6:是
客户端设置:动态IP:是
地址池:是
OPNsense firewall 配置
WAN 口放行UDP1199
OpenV** 口放行 any--any
注意:生产环境需要匹配严格的访问规则
边界防火墙端口映射
nat server 1 protocol udp global current-interface 1199 inside 172.41.129.249 1199
OpenV** 客户端
描述:site-to-site network client
服务器模式:点对点(共享密钥)
协议:UDP
设备模式:tun
接口:WAN
远程服务器
主机或IP 端口
***.***.***.**** 1199
加密设置:共享密钥:将服务器端的共享密钥复制然后贴在此处
加密算法:AES-128-CBC
认证摘要算法:SHA1(160-bit)
硬件加密:无
隧道设置:IPv4隧道网络:10.0.10.0/24
IPv4远程网络:172.18.30.0/24
禁用IPv6:是
OPNsense firewall 配置
OpenV** 口放行any--any
注意:生产环境需要匹配严格的访问规则
OpenV** 连接状态
网络测试
测试两地数据中心网络互访正常步骤省略.....