OPNSense 构建企业级防火墙--site-to-site network（六）

Kevin song

发布于 2020-03-16 18:50:23

1.7K0

发布于 2020-03-16 18:50:23

文章被收录于专栏：运维监控日志分析运维监控日志分析

简介

OPNsense是一个功能非常丰富强大的开源防火墙及路由平台，本篇文章将介绍如何使用OPNsense 内置 OpenV** 模块来进行跨区域组网。实现不同地域的局域网通过 Tunnel 进行通信。

组网架构

公司数据中心分别位于北京和上海两地，将通过OPNsense OpenV** 进行两地局域网络打通，实现IP通信。

Tunnel 地址 10.0.10.0/24
北京 DC  
LAN：172.18.30.0/24  
WAN：***.***.***.***/24
上海 DC
LAN ：192.168.99.0/24
WAN：***.***.***.***/24

OpenV** 服务器端

描述：site-to-site network server
服务器模式：点对点（共享密钥） 
协议：UDP 
设备模式：tun 
接口：WAN 
本地端口：1199
加密设置：共享密钥：服务器自动产生，该密钥也将用于客户端 
加密算法：AES-128-CBC 
认证摘要算法：SHA1（160-bit） 
硬件加密：无 
隧道设置：IPv4隧道网络：10.0.10.0/24 
IPv4本地网络：172.18.30.0/24 
IPv4远程网络：192.168.99.0/24  
压缩：启用自适应压缩 
禁用IPv6：是
客户端设置：动态IP：是
地址池：是

OPNsense firewall 配置

WAN 口放行UDP1199

OpenV** 口放行 any--any

注意:生产环境需要匹配严格的访问规则

边界防火墙端口映射

nat server 1 protocol udp global current-interface 1199 inside 172.41.129.249 1199

OpenV** 客户端

描述：site-to-site network client
服务器模式：点对点（共享密钥） 
协议：UDP 
设备模式：tun 
接口：WAN 
远程服务器 
主机或IP  端口 
***.***.***.****  1199
加密设置：共享密钥：将服务器端的共享密钥复制然后贴在此处 
加密算法：AES-128-CBC  
认证摘要算法：SHA1（160-bit） 
硬件加密：无 
隧道设置：IPv4隧道网络：10.0.10.0/24 
IPv4远程网络：172.18.30.0/24  
禁用IPv6：是